Diciembre de 2019INTRODUCCIÓN

La Superintendencia Financiera de Colombia, en cumplimiento de lo establecido por la Ley 872 de 2003 por la cual se crea el Sistema de Gestión de Calidad en las instituciones públicas de la Rama Ejecutiva, y con el compromiso de mejorar continuamente la prestación del servicio para el beneficio de sus usuarios, implementó el Sistema de Gestión Integrado que contempla los elementos determinados por el Decreto 1083 de 2015 (Por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública), y el modelo de riesgo que se establece en la Guía para la Administración de los Riesgos de Gestión, Corrupción y Seguridad Digital y el Diseño de Controles en Entidades Públicas establecida por el Departamento Administrativo de la Función Pública- DAFP.

El riesgo como elemento inherente a las actividades, se ha tenido en cuenta en el Sistema de Gestión Integrado, y con el fin de dar cumplimiento adicionalmente a la dimensión de control interno del Modelo Integrado de Planeación y Gestión, el cual tiene como finalidad promover el mejoramiento de las entidades estableciendo acciones, métodos de gestión y control del riesgo, la Superfinanciera cuenta con la presente política de administración de riesgos por proceso, en la que se encuentran incluidos los riesgos de seguridad digital y riesgos de Corrupción y con la metodología del DAFP, la cual comprende la identificación, calificación y valoración de los riesgos de cada proceso y la identificación de los controles que permiten atenuar o mitigar los riesgos.

Es así como, esta política de Administración de riesgos por proceso se revisa periódicamente con el fin de mantenerla actualizada y acorde a las funciones y objetivos institucionales de la Superfinanciera.

OBJETO DE LA POLÍTICA

Este documento tiene como propósito establecer las directrices y compromisos de la Superintendencia Financiera de Colombia para dar cumplimiento a los lineamientos gubernamentales y a los objetivos Institucionales en temas de riesgos, específicamente con las acciones transversales definidas y en desarrollo del Plan Estratégico, orientando acciones de prevención y mitigación de materialización de riesgos, a través de la identificación, valoración e implementación de controles que resulten efectivos teniendo en cuenta la naturaleza de esta Entidad.

ALCANCE DE LA POLÍTICA

La política de riesgos por proceso (incluidos Seguridad Digital y de Corrupción) es aplicable a todos los procesos que hacen parte del Sistema de Gestión Integrado SGI, y a todas las acciones ejecutadas por los servidores públicos durante el ejercicio de sus funciones.

CONTEXTO ESTRATÉGICO DE LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Cada año a nivel general se contemplan factores del entorno estratégico de la Entidad a partir de los siguientes variables internas y externas, para la adecuada identificación de los riesgos, análisis de sus causas y gestión de los mismos: Factores internos: se tienen en cuenta internamente los ajustes a la estructura de la Entidad, modernización y optimización de los procesos a través de nuevas y mejores prácticas en el marco de la supervisión, tecnológico y comunicación.  Factores externos: requerimientos externos realizados a nivel gubernamental desde una perspectiva estratégica, de eficiencia administrativa, acceso a la información, transparencia, participación ciudadana, visibilidad, institucionalidad y control de la gestión.

Es así como cada proceso analiza el contexto del proceso, el interno y externo de la Entidad con base en las siguientes variables que se presentan en el cuadro en el que se presentan las variables que pueden afectar la gestión y el cumplimiento de los objetivos institucionales.

El análisis mencionado se realiza en el marco de la metodología DOFA la cual debe quedar plasmada en la proforma interna E-PI-PLA-018 Contexto Organizacional y gestión de riesgos.

Análisis de contextoDefinición de riesgos

Contexto Factores Variables a tener en cuenta

CONTEXTO EXTERNO Económicos/

Financieros

* Relación con otros sistemas económicos.* Convenios entre Sistemas financieros con otros países.* Convenios entre supervisores financieros de otros países* Crecimiento de la economía informal*Relación con otros sistemas económicos.

Políticos

* Cambios de gobierno, legislación, políticas públicas, regulación (generación de nuevos requisitos regulatorios)* Relación con otros países.* Expedición de regulación, con muchos requerimientos y no integrada entre Entidades del Estado.

Sociales * Grado de aceptación y confianza de los grupos de valor y partes interesadas hacia esta entidad.* Mejoramiento de los mecanismos de participación ciudadana* Aceptación por parte de algunos grupos sociales de la captación ilegal de dinero- responsabilidad social* Estabilidad social

Análisis de contextoDefinición de riesgos

Tecnológicos

* Innovación tecnológica del Sistema Financiero y Entidades supervisadas* Acceso a sistemas de información externos* Gobierno digital- Oficina virtual* Innovación en nuevos productos ofrecidos en el sistema financiero y necesidades de supervisión.* Interoperabilidad con otras entidades* Racionalización de trámites y procedimientos

Medioambientales

* Emisiones de residuos y exigencias legales medioambientales* Desarrollo sostenible y finanzas verdes

Comunicación externa

* Mecanismos utilizados para tener contacto, participación y control social con los grupos de valor y partes interesadas.* Mecanismos de acceso, divulgación y participación de personas en situación de discapacidad, o ciudadanos que hablen otros idiomas.* Comunicación y coordinación entre las entidades del Estado y las entidades del sector Hacienda.* Comunicación y coordinación entre la Superfinanciera y Entidades Supervisadas, Colegios de Supervisión, Organismos Multilaterales u otras organizaciones nacionales e internacionales que participen en el Sistema Financiero. * Nivel de conocimiento y satisfacción de las necesidades y expectativas de las partes interesadas.

Financieros * Cumplimiento en la ejecución de los proyectos de inversión* Presupuesto para Seguridad de la Información

CONTEXTO INTERNO

Funcionarios/ Directivos

* Competencia con respecto a las exigencias de las funciones que se desempeñan * Nivel de cargas laborales que faciliten la prestación el servicio y ejecución de productos de acuerdo a requisitos.* Madurez de la cultura organizacional que permita un buen clima laboral* Cultura Organización hacia el cambio* Grado de experiencia necesaria para el nivel de servicio exigido* Madurez de la cultura organizacional respecto a los valores y principios de la Entidad * Cultura Organizacional hacia el cambio..

Procesos

* Capacidad de los procesos para dar cumplimiento a los objetivos estratégicos* Capacidad de los procesos para generar innovación y mejoramiento continuo* Capacidad de los procesos para crear los productos y servicios de acuerdo a los requerimientos definidos.* Distribución, coordinación e interrelación de tareas en quipos de trabajo o unidades de análisis en los procesos, planes, programas y proyectos. * Aplicación de las políticas de la Entidad respecto a temas de lucha contra la corrupción, acceso y seguridad de la información, códigos de conducta y gobierno corporativo y demás que afecten los procesos, * Inventario de portafolio de servicios prestados interna y externamente de los proceso misionales* Racionalización y optimización de trámites y procesos.* Segregación de funciones, y responsabilidades de seguimiento y control en los procesos, planes, programas y proyectos.* Medición de la eficacia de las acciones de mejora, planes y proyectos. * Certificación de Calidad e implementación de otros sistemas de gestión dentro del SGI.* Articulación de las áreas con los procesos en que participan.

Tecnología

* Integridad de datos * Disponibilidad de la información* Preservación de la información* Confidencialidad de la información * Mantenimiento de los sistemas y plataformas tecnológicas* Tecnología que apoye la gestión de riesgos y cruce con activos de la entidad* Cohesión (conexión) entre las diferentes soluciones de TI. * Disponibilidad de sistemas de tecnología en la oportunidad y con las funcionalidades en que son requeridos.

Estratégicos * Alineación de los objetivos estratégicos de la Entidad a las exigencias gubernamentales y normativas* Alineación de los objetivos de los procesos a los objetivos estratégicos* Coordinación entre directivos, líderes y funcionarios que faciliten el logro de los objetivos de los procesos.* Resiliencia: Recuperación de la operación y de la información en el momento que se requiera. Continuidad de la operación de los productos y servicios críticos.* Controles ejercidos a través del Comités, OCI y auditorias.* Generación de lineamientos y políticas para el cumplimiento de los sistemas de gestión y procesos

Análisis de contextoDefinición de riesgos

Servicio y participación ciudadana

* Identificación de la caracterización de usuarios * Nivel de madurez alcanzado en servicio al ciudadano y conocimiento de las necesidades y expectativas de las partes interesadas.* Conocimiento, medición y mejoramiento de la participación ciudadana* Control social realizado por las partes interesadas.

Comunicación y Coordinación interna

* Canales utilizados y medición de su efectividad * Mecanismos de flujo de información y divulgación de información entre los líderes y funcionarios que contribuya al buen desempeño de los procesos, planes, programas y proyectos.* Acceso a los canales de comunicación.* Matriz de escalado de problemas* Apoyo, comunicación, coordinación y control por parte de la Alta Dirección a los procesos, planes, programas y proyectos.* Comunicación y coordinación entre las dependencias de la Entidad para temas transversales de procesos, planes, programas y proyectos.

CONTEXTO DEL

PROCESO

Diseño del proceso

* Alcance y objetivo del Sistema de Gestión Integrado y de los procesos* Alineación y coordinación entre las áreas que hacen parte del proceso* Estructuración del proceso de acuerdo al ciclo PHVA* Mecanismos de medición del proceso, con metas específicas, medibles, alcanzables, relevantes y proyectadas en el tiempo.* Planes de contingencia y continuidad que se requieren de los productos de los procesos * Ejecución del proceso -cumplimiento de flujo definido, generación de evidencias y registros* Seguimiento y control del Sistema de Gestión Integrado y del proceso.* Socialización y divulgación de los temas propios del Sistema de Gestión Integrado y del proceso entre sus integrantes.

Personas

* Segregación de funciones, responsabilidad de actividades en el proceso y dependencia de personal clave.* Competencias, desempeño y suficiencia de personal* Rotación de personal* Toma de decisiones por parte del nivel directivo o jefes * Conocimiento y destreza por parte de los funcionarios, en los aplicativos internos y externos en que se gestionan los temas del proceso, planes, programas y proyectos.

Proyectos

*Planificación de planes, programas y proyectos contemplando situación inicial, situación deseable, supuestos, cambios, prioridades, factores externos y funcionarios, funcione o áreas participantes.* Documentación del proyecto - Documentación del progreso del proyecto

Interacción con otros procesos

* Acuerdos del nivel de servicio entre los procesos y entre las áreas que hacen parte del proceso* Relación entre los insumos, proveedores, productos, usuarios o clientes internos.

Transversalidad

* Pertinencia de los procedimientos existentes en el proceso.* La documentación del proceso permite el aprendizaje y transferencia del conocimiento.* Nivel de conservación y preservación de los registros y documentación en general* Mecanismos de medición y mejoramiento continuo de los procesos.* Socialización y divulgación de los temas propios de la Oficina Asesora de Planeación entre sus integrantes.

Gestión del conocimiento

*Pertinencia de los procedimientos existentes en el proceso.*La documentación del proceso permite el aprendizaje y transferencia del conocimiento.*Se cuenta con un nivel avanzado de conservación y preservación de los registros y documentación en general*Mecanismos de medición y mejoramiento continuo de los procesos.

Nivel tecnológico del proceso

* El proceso se encuentran apoyados en medios tecnológicos * Los controles que se tienen están soportados en tecnología

Tiempo de servicios y productos de entrada y de salida

** Claridad en los tiempos o plazos de recibo de insumos, producción y entrega de productos.* Vulnerabilidad de cumplimiento de plazos entre la recepción de insumos y entrega de productos* Acuerdos de nivel de servicio entre los procesos y entre procesos y áreas.

Gestión de la información.

* Claridad sobre la identificación de los activos de información y el índice de Información clasificada y reservada. * La información protegida de acuerdo a los protocolos de seguridad de la misma.* Pruebas sobre la ejecución y la eficacia de los controles con el fin de fortalecerlos.* Auditorías internas del proceso para verificar la ejecución de los controles

Fuente: Oficina Asesora de Planeación

ANÁLISIS DOFADefinición de causas

 

El análisis DOFA es una herramienta de diagnóstico y análisis para la generación de posibles estrategias de mejora, a partir de la identificación de los factores internos y externos del sistema o proceso, visualizando cuáles son las actividades que requieren potencializarse y desarrollarse para mejorar y así minimizar posibles impactos negativos. Al identificar las AMENAZAS y DEBILIDADES podemos diseñar e implementar acciones que nos permiten prevenir, mitigar o reducir al máximo los posibles impactos negativos. Al identificar las FORTALEZAS y OPORTUNIDADES podemos potencializarlas y/o por lo menos mantenerlas.

Para realizar este análisis, es de fundamental importancia contemplar la mayor cantidad posible de aspectos del sistema o proceso y desde diversas ópticas o puntos de vista.

SISTEMA o PROCESO:  

ANÁLISIS INTERNO

Características o aspectos esenciales del sistema o proceso. Comprende el análisis del contexto del proceso (objetivo, alcance y responsables del proceso; interrelación con otros procesos y

procedimientos asociados); así como el análisis del contexto interno (estructura organizacional, funciones y responsabilidades, políticas, recursos, percepción de la prestación del servicio, entre otros).

FORTALEZAS(Factores positivos internos) IMPACTO   DEBILIDADES

(Factores negativos internos) IMPACTO

         

         

         

         

ANÁLISIS EXTERNOCaracterísticas o aspectos del entorno en el que opera la Entidad que podrían tener influencia sobre el

sistema o proceso, en términos de facilitar o restringir el logro de objetivos. Para la identificación puede tener en cuenta los factores Políticos, Económicos, Sociales, Tecnológicos,

Ambientales, Legales (PESTAL).

AMENAZAS (Factores negativos externos) IMPACTO   OPORTUNIDADES

(Factores positivos externos) IMPACTO

         

         

       

Fuente: Oficina Asesora de Planeación

PLAN ESTRATÉGICO DE LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Para la Superintendencia Financiera de Colombia es vital mantenerse a la vanguardia de los mecanismos y herramientas utilizadas en la gestión misional y administrativa de la Entidad, con el propósito de dar cumplimiento a los objetivos institucionales, ejerciendo, con mayor eficiencia y eficacia, las funciones propias a la naturaleza de la Entidad y alineados con las directrices que la ley le confiere como ente de vigilancia y control.

Así mismo, la dinámica propia de los mercados financieros, su evidente capacidad de crecimiento local, su posicionamiento regional, la capacidad de consolidar estructuras de negocio multipropósito, los cambios demográficos y comportamentales de los consumidores financieros que no solo demandan mejor servicio sino a su vez novedosos productos sumado a una supervisión más moderna, proporcional y prospectiva, ha planteado el reto de pensar en lo que la Entidad quiere promover en el sistema financiero a 2025.

La estrategia se ha ejecutado en alineación con las funciones que la Ley le confiere y se ha enriquecido con las necesidades identificadas del entorno, los retos que impone, el dinamismo e innovación del mercado y la tecnología (aprovechando la Big Data, el Blockchain, el DLT, la inteligencia artificial, entre otros) con la creación de nuevos vehículos alternativos de inversión y mecanismos de pago (democratizando los mercados de capitales, ampliando la participación de las empresas en la bolsa de valores y desarrollando los mercados locales), así como con los requerimientos de incrementar la inclusión financiera especialmente en el sector rural, mediante la “fintechgración”.

De igual manera, considera la adopción de mejores prácticas en materia de administración y análisis de riesgos, requerimientos prudenciales, supervisión tanto de las entidades del sistema financiero como de los conglomerados financieros, mecanismos de resolución, racionalización y mejoramiento de requerimientos y condiciones que incentiven el acceso al mercado de valores (para la promoción del mercado de valores del público en general), permitiendo la reducción de los costos de la industria, estimulando la bancarización.

Aunado en lo anterior, se están fortaleciendo las estrategias para el Defensor del Consumidor Financiero, mediante el despliegue de campañas de educación (alfabetización) financiera, promoviendo el conocimiento de los consumidores financieros en materia de sus derechos, apoyados en el desarrollo de competencias acuñadas bajo el concepto de “finanzas responsables”.

Misión

Promover la estabilidad del Sistema Financiero Colombiano, la integridad y transparencia del mercado de valores y velar por la protección de los derechos de los consumidores financieros.

Visión (al 2025)

Ser una autoridad de supervisión financiera dinámica y eficaz con capacidad de anticiparse a los retos derivados del desarrollo y funcionamiento del Sistema Financiero, así como ser reconocida como una entidad que protege efectivamente los derechos de los consumidores financieros

Objetivos Estratégicos y Proyectos

Es preciso señalar que los objetivos y proyectos están en marcha y las iniciativas claves se encuentran dentro del rango planificado. De esta manera, la Superfinanciera, ha llevado a cabo la misión, como autoridad financiera, de contribuir a la construcción de la confianza de los colombianos en el sistema financiero y la preservación de su estabilidad; y se compromete a perseguir la visión de ser una mejor Entidad, con mayores capacidades técnicas y fortalecida para afrontar crisis financieras con la debida preparación.

Gráfica 1. Mapa Estratégico de la Superfinanciera

Fuente: Oficina Asesora de Planeación

1. Objetivo Estratégico: Supervisión y regulación comprensiva y consolidada

La concepción del negocio financiero como una actividad individual ha cambiado radicalmente en las últimas décadas. Hoy estructuras más complejas y de actividades mixtas en donde confluyen múltiples riesgos (financieros y no financieros) requieren una supervisión caracterizada por integralidad, prospectividad y proporcionalidad. Esto se traduce en la necesidad de tener un esquema de supervisión comprensiva y consolidada que promueva la estabilidad y el crecimiento bajo un marco de facultades extendidas provistas por las Ley 1870 de 2017 (LCF).

2. Objetivo Estratégico: Estrategia de Innovación

La innovación financiera y tecnológica ha replanteado la forma como se concibe el negocio financiero, se gestionan los riesgos y se supervisan las entidades. Tendencias como las FinTech que emergen como soluciones financieras innovadoras ante las necesidades insatisfechas de los individuos, el RegTech como soluciones que optimizan el cumplimiento normativo y el SupTech como los desarrollos tecnológicos al servicio de la supervisión eficiente, suponen desafíos a la SFC en esta materia

3. Objetivo Estratégico: Consumidor Financiero

Los consumidores financieros se han transformado y hoy no solo demandan productos financieros más ajustados a sus necesidades, sino que reconocen sus derechos y deberes como consumidor financiero. Es por esto que la SFC evoluciona su visión del consumidor financiero para brindarle una mejor protección de forma preventiva y oportuna.

4. Objetivo Estratégico: Gestión del Cambio Institucional

Consolidación de la modernización funcional en el marco de la planeación estratégica y el crecimiento institucional e individual, como entidad dinámica y flexible orientada hacia la innovación y la gestión del cambio.

Acciones Transversales

1. Capacitación

En el periodo se deben desarrollar planes y programas de formación de mediano y largo plazo cuyos contenidos les proporcionen a los supervisores:

• Un conocimiento profundo e integral de las características particulares de las entidades que forman parte de los sectores que supervisan.

• Una adecuada comprensión de los negocios del mercado financiero, las actividades que desarrollan y los riesgos implícitos en dichas actividades.

• El fortalecimiento de las técnicas de investigación, auditoria y otras competencias necesarias para la supervisión basada en riesgos.

2. Mejorar la oportunidad y la eficiencia

Si bien como resultado de la implementación del Sistema de Gestión Integrado (SGI) la Superintendencia ha mejorado en términos generales la eficiencia de sus procesos y la actitud de servicio de sus funcionarios, todavía hay diversos aspectos que deben optimizarse, especialmente en relación con los tiempos utilizados para la atención de los diferentes trámites.

En consecuencia, se debe realizar un mayor esfuerzo, dentro de los lineamientos del SGI, para que los plazos empleados en la prestación del servicio resulten acordes con las necesidades y expectativas de las entidades supervisadas, de los consumidores financieros y de los demás usuarios.

3. Estrategia de Defensa Judicial

Como consecuencia de la proliferación del fenómeno de captación masiva ilegal en distintas ciudades del país, se ha evidenciado un incremento significativo en la cantidad de trámites judiciales y extrajudiciales que se deben atender, lo que representa un riesgo considerable, tanto moral como financiero, para esta entidad.

Esta situación hace necesario fortalecer la estrategia de defensa judicial de la Superintendencia y hacerle un seguimiento más riguroso y cuidadoso.

4. Avances en transparencia, acceso a la información, lucha contra la corrupción y atención al ciudadano

a. Transparencia y rendición de cuentas

Los lineamientos y las directrices de la Rendición de Cuentas tienen como enfoque principal crear y consolidar una cultura de acceso a la información, transparencia e interacción entre todos los participantes del Estado y todos los ciudadanos bajo las premisas de buen gobierno y gestión pública.

La Superfinanciera, comprometida con la transparencia y la democratización de la gestión pública y, en el marco de la política de rendición de cuentas del Gobierno Nacional, viene trabajando acciones para promover el diálogo tales como Audiencias Públicas de Rendición de Cuentas a la Ciudadanía, Foros virtuales, Charlas, Ferias Nacionales de Servicio al Ciudadano, Publicación de proyectos normativos, Jornadas de Prevención de la Captación Ilegal, entre otros. La Entidad dispuso de canales electrónicos tales como: Facebook, Twitter, sitio web, correo electrónico, entre otros. Asimismo la Superfinanciera continua su empeño en fortalecer la participación e interacción eficaz de la Entidad con los consumidores financieros, las entidades supervisadas, las agremiaciones, las veedurías ciudadanas, los establecimientos educativos, los medios de comunicación, los órganos de control y otros interesados a través de foros, ferias, congresos y otros medios de participación.

El detalle de la Estrategia de Rendición de Cuentas de la Entidad puede ser consultado a través del sitio web institucional (www.superfinanciera.gov.co).

b. Lucha contra la Corrupción

La Entidad continuado con el propósito de: a. fortalecer su cultura ética y sus sistemas de control, b. mantenerse en los primeros lugares en el índice de transparencia y c. de contribuir con el gobierno central en la lucha contra la corrupción, consolida su política orientada hacia la transparencia, la integridad y la lucha contra la corrupción a través de la creación del Grupo para la Transparencia y Lucha Contra la Corrupción mediante la Resolución 225 de febrero de 2018, de conformidad con lo establecido con las normas vigentes y las directrices impartidas por la Secretaría para la Transparencia de la Presidencia de la República.

Del mismo modo, siguiendo los lineamientos gubernamentales sobre anticorrupción se construyó el Plan Anticorrupción y de Atención al Ciudadano 2019, con la participación de directivos y funcionarios en la ejecución del mismo. El plan en mención contempla los seis componentes señalados a continuación, los cuales fueron definidos de acuerdo al documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano” elaborado por la Secretaría para la Transparencia de la Presidencia de la República y reglamentado mediante el Decreto 2641 de diciembre de 2012, así: a. Mapa de riesgos de corrupción y acciones de mitigación, b. Estrategia antitrámites, c. Rendición de cuentas, d. Mecanismos para mejorar la atención al ciudadano, e. Ley de transparencia e f. Iniciativas adicionales.

El plan, fue publicado en el sitio web institucional en cumplimiento de los plazos estipulados, para lo cual fue sometido a consideración del público en general, entes de control y entidades del sector previo a la formalización del mismo con el fin de contemplar sus observaciones y comentarios.

El Plan Anticorrupción y de Atención al Ciudadano y el informe de seguimiento para la vigencia 2018 se encuentra publicado en el sitio web institucional (www.superfinanciera.gov.co), observándose un cumplimiento del 100%, según el informe de seguimiento de cierre de la vigencia del año anterior.

c. Servicio al Ciudadano

En desarrollo de la responsabilidad de recepción, trámite y atención de las solicitudes allegadas, la Entidad realizó todas las labores tendientes a atender el diseño, creación, implementación, mantenimiento y maduración del subproceso de Atención de Peticiones, Quejas o Reclamos, Sugerencias y Felicitaciones por los Servicios que Presta la Superfinanciera (PQRSF)

TRATAMIENTO DEL RIESGO

A la hora de evaluar las opciones existentes en materia de tratamiento del riesgo, los líderes de los procesos tendrán en cuenta la importancia y el impacto de los riesgos definidos dentro del proceso, lo cual incluye el efecto que puede tener sobre la entidad, la probabilidad e impacto del riesgo.

Para realizar el tratamiento el riesgo se tienen en cuenta las siguientes opciones:

Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el impacto, o ambos, por lo general se debe implementar nuevos controles o fortalecer los existentes.

Evitar el riesgo: se abandonan las actividades que originan el riesgo, decidiendo no iniciar o no continuar con la actividad que causa el riesgo. Esta medida de tratamiento es un obstáculo para el desarrollo de las actividades de la Entidad y por lo tanto existen situaciones donde no es una opción.

Compartir el riesgo: Se reduce la probabilidad o el impacto, transfiriendo o compartiendo una parte del riesgo (seguros y tercerización). Estos mecanismos deben encontrarse formalizados a través de un acuerdo contractual.

• Acciones de mejora o tratamiento:

Acción de mejora: Plan de acción o actividades o tareas adicionales para reducir o evitar o que se materialice o se vuelva a presentar el riesgo. Como por ejemplo evaluar, diseñar e implementar nuevos controles.

En la definición de las causas o eventos que pueden originar los riesgos se mencionó el DOFA de cada proceso, el cual también es una herramienta útil para determinar las acciones de tratamiento a partir de las estrategias DO y FA por cuanto están atacando las causas (debilidades y amenazas).

Las estrategias definidas en la matriz DOFA como por ejemplo la formulación de planes de contingencia para restablecer la normalidad de la operación en forma inmediata al momento que el riesgo se materialice se pueden tomar de ese análisis preliminar del proceso.

La Dirección de Tecnología deberá evaluar la factibilidad de diseñar e implementar los planes de contingencia, de continuidad y los controles de tipo técnico (software o hardware) que se hayan definido en la revisión de la matriz de riesgos (hoja de valoración). Por lo anterior, si es viable definir y desarrollar un plan de contingencia o controles técnicos se debe elaborar el plan de acción o de mejora en el aplicativo del Sistema de Gestión Integrado.

Para todos los riesgos residuales de los procesos se debe definir y desarrollar una acción en la matriz de riesgos o plan de acción en el SGI. Es posible definir tareas de capacitación, cuando una de las causas se refiera a deficiencias en el conocimiento de los funcionarios que ejecutan las actividades, en las cuales se debe evaluar el aprendizaje adquirido por los funcionarios.

MONITOREO Y SEGUIMIENTO A LA MATRIZ DE RIESGOS

Monitoreo

El líder del proceso y/o facilitador controlan el desarrollo de las acciones para mitigar los riesgos, verificando la ejecución de las actividades en el tiempo programado, las cuales son fundamentales para prevenir o para reducir el riesgo.

Nota: En el caso que se defina plan de acción en el SGI se debe escribir en la matriz de riesgos el número del plan acción que se creó en el aplicativo.

En primer lugar, la matriz de riesgos vigente debe ser descargada del aplicativo y guardada en su computador. En este archivo registre en la columna de seguimiento/observaciones el cumplimiento de las acciones seleccionando SI o NO según el caso frente a cada acción y escriba alguna aclaración respecto al entregable de la acción o las razones del atraso en el caso de existir

El monitoreo a las acciones de la matriz de riesgos se reporta a la Oficina Asesora de Planeación en forma trimestral con corte a marzo-junio-septiembre y diciembre (cuando aplique reporte de actividades finalizadas), a través de la opción Reportes y Solicitudes al SGI (aplicativo del SGI), anexando la matriz con el monitoreo, con destinatario Sistema de Gestión.

Seguimiento

La Oficina de Control Interno- OCI realiza seguimiento a las matrices de riesgos de los procesos que hacen parte del Sistema de Gestión Integral. Sin embargo, es importante tener en cuenta que las auditorías realizadas por esta oficina se basan en riesgos, es decir se realizan con base en los riesgos definidos en cada proceso. Este seguimiento genera un Informe, el cual es presentado en el Comité Institucional de Coordinación de Control Interno. En el caso que la OCI realice

recomendaciones, éstas se desarrollan a través acciones de mejora en el proceso de Planeación si son transversales o particularmente en los procesos que la OCI determine.

NIVEL DE ACEPTACIÓN / APETITO DE RIESGO

Se considera el apetito del riesgo en la descripción de cada riesgo como su tolerancia aceptada, para lo cual se debe escribir en la celda del nombre/descripción del riesgo a partir de qué momento se considera que se materializa el riesgo. Es decir, antes de ese nivel se está aceptando el riesgo. Ejemplo: El riesgo se materializa a partir del incumplimiento del indicador XXX durante tres meses seguidos o cuando han ocurrido dos productos no conformes durante el mes. Solo los riesgos de corrupción no se les deben considerar una tolerancia al riesgo.

En la Superintendencia Financiera de Colombia todos los riesgos deben ser tratados aunque se encuentren en nivel bajo, único caso en el cual es permitido definir y desarrollar actividades tales como capacitaciones o sensibilizaciones (incluida la respectiva evaluación de aprendizaje) en el tema específico de riesgo y del proceso. Es decir, para todos los riesgos residuales de los procesos se debe definir y desarrollar una acción en la matriz de riesgos o plan de acción en el Sistema de Gestión Integrado-SGI.

CÁLCULO DE LA PROBABILIDAD

Para evaluar la probabilidad del riesgo se tiene en cuenta la frecuencia/factibilidad dependiendo del tipo de riesgo evaluado y de si el riesgo se ha materializado o no. Por consenso entre el equipo de trabajo se determina el nivel de probabilidad de ocurrencia de cada uno de los riesgos de acuerdo a la factibilidad o a la frecuencia y dependiendo del descriptor del riesgo de los niveles existentes tales como: Casi seguro, probable, posible, rara vez e improbable.

CÁLCULO DEL IMPACTO

Corresponde al análisis de las consecuencias . Se cuenta con una medida cuantitativa y/o cualitativa de la severidad de un evento sobre la sociedad, la entidad o sobre un proceso específico.

El impacto se debe analizar y calificar a partir de las consecuencias identificadas en la etapa de Documentación del riesgo, en la proforma interna E-PI-PLA-018 Contexto Organizacional y gestión de riesgos (hoja de DOCUMENTACIÓN).

El equipo de trabajo escoge un método de los dos que se describen a continuación:

Para la opción cualitativa el equipo de trabajo realiza su análisis para cada uno de los riesgos teniendo en cuenta la descripción del impacto y cada funcionario califica obteniendo una estimación de acuerdo al nivel de impacto, el cual se registra en la tabla de Impacto cualitativo, con el que se calcula el valor definitivo del impacto seleccionando el nivel de acuerdo a: catastrófico, mayor, moderado, menor e insignificante.

Con la opción cuantitativa el equipo de trabajo por consenso define el impacto de acuerdo a los parámetros descritos en la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión corrupción y seguridad digital.

Si el equipo de trabajo considera que de acuerdo al proceso deben existir otros parámetros o variables de medición del impacto expuestas en la Guía, éstas se pueden presentar o informar a la Oficina Asesora de Planeación a través del correo del SGI para que sea actualizada la plantilla de Matriz de riesgos E-PI-PLA-018 Contexto Organizacional y gestión de riesgos.

Con la realización de esta etapa de evaluación del riesgo se busca que la entidad obtenga los siguientes resultados:

• Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad institucional, para cumplir su propósito o misión.

• Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de las acciones necesarias para el logro de los objetivos institucionales o el desarrollo de los procesos.

• Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

Con base en la definición de la probabilidad y del impacto se calcula la criticidad (interrelación entre la probabilidad y el impacto), la cual se realiza automáticamente a través de las fórmulas existentes en la proforma interna del Contexto Organizacional y gestión de riesgos. Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la celda que ocupa en la que se ubica la calificación de probabilidad en la fila y la de impacto en la columnas correspondientes, establezca el punto de intercepción de las dos y este punto corresponderá al nivel de riesgo, determinando así el riesgo inherente.

Matriz de calificación del riesgo

P r

o b

a b

i l i

d a

d

Casi Seguro

(5)A51 A52 E53 E54 E55

Probable (4) M41 A42 A43 E44 E45

Posible (3) B31 M32 A33 E34 E35

Rara vez (2) B21 B22 M23 A24 E25

Improbable(1)

B11 B12 M13 A14 A15

Insignificante (1)

Menor (2)

Moderado (3)

Impacto

Mayor (4)

Catastrófico(

5)

Zona de RiesgoBAJO  

MODERADO  

ALTO  EXTREMO  

IMPACTO SEGÚN EL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

Para la evaluación del riesgo según la seguridad digital se debe tener en cuenta los criterios de clasificación (Confidencialidad, Integridad y Disponibilidad), presentados en las siguientes tablas:

Principio Impactado de SG-SI

Disponibilidad Propiedad de ser accesible y utilizable a demanda por una entidad.

Integridad Propiedad de exactitud y completitud.

ConfidencialidadPropiedad de la información que la hace no disponible o sea divulgada a individuos, entidades o procesos no autorizados.

Nota: Este análisis solo se le realiza a los riesgos tipo Seguridad digital

Las variables de confidencialidad, integridad y disponibilidad se definen de acuerdo con el Modelo de Seguridad y Privacidad de la Información de la estrategia de Gobierno Digital (GD),

Los riesgos referentes a tecnología nueva y emergente se contemplan en los riesgos definidos, evaluados, valorados y tratados en la matriz de riesgos del proceso de Gestión de Tecnología.

IMPACTO EN LOS RIESGOS DE CORRUPCIÓN

Los riesgos que se pueden presentar por situaciones o eventos de corrupción también se contemplan en la E-PI-PLA-018 Contexto Organizacional y gestión de riesgos de cada proceso y se consolida en el mapa de Riesgos de corrupción de la Superintendencia Financiera de Colombia, en el que se contempla la evaluación, valoración y tratamiento de estos riesgos en todos los procesos de la Entidad, siguiendo la metodología establecida en la metodología del Departamento Administrativo de la Función Pública – DAFP, la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión corrupción y seguridad digital, la cual se encuentra oficializada en el SGI y se puede ubicar en el listado maestro de documentos externos. En este caso la Oficina de Control interno realiza seguimiento cuatrimestral.

De acuerdo a la metodología el impacto en los riesgos de corrupción también se calcula de forma diferente a los riesgos de procesos o gestión: en la hoja 3. EVALUACIÓN en la parta de abajo se debe diligenciar o contestar si el riesgo de corrupción se materializa podría? Si la sumatoria de las respuestas da como resultado:

Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado. Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor. Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto catastrófico

El significado del impacto a la posible materialización de un riesgo de corrupción es:

Moderado: Genera consecuencias sobre la entidad

Mayor: Genera consecuencias considerables o significativas sobre la entidad

Catastrófico: Genera consecuencias desastrosas para la entidad.

Es importante tener en cuenta que con base en los riesgos inherentes y la valoración de los controles de acuerdo a la metodología aprobada en la SFC (la guía del DAFP), se hallan los riesgos residuales.

CÁLCULO DEL RIESGO RESIDUAL

Producto de analizar y cotejar los resultados de la evaluación del riesgo con los controles existentes e identificados en los procesos, con el objetivo de establecer prioridades para su manejo y fijación de políticas, y /o planes de acción.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes y descritos en la documentación de los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Le corresponde a la Primer Línea de Defensa (gerentes públicos o líderes de proceso) el establecimiento de actividades de Control. Las actividades de control se orientan para prevenir y detectar la materialización de los riesgos. Por consiguiente su efectividad depende, de qué tanto se está logrando los objetivos estratégicos y de los procesos de la entidad.

Actividades de control: Son acciones establecidas y descritas a través de políticas, procedimientos u otro documento diferente a la Matriz de riesgos de los procesos, que contribuyen a garantizar la ejecución de las directrices de los líderes de procesos, para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

Nota• Una política por sí sola no es un control.• Los controles se precisan a través de los procedimientos, guía, instructivos del proceso (hacen

parte del día a día de los procesos).• La actividad de control debe está dirigida a las causas de los riesgos.

Los controles pueden ser Preventivos o Detectivos

Preventivo: Aquellos controles que actúan para eliminar las causas que originan el riesgo para prevenir su ocurrencia o materialización (evita un evento no deseado).Afecta la probabilidad.Detectivos: Controles que están diseñados para identificar un evento o resultado no previsto después de que se haya producido. Buscan detectar la situación no deseada para que se corrija y se tomen las acciones correspondientes. Disminuyen el impacto.

La valoración de los controles se realiza con base en los criterios definidos en la metodología propuesta por el DAFP - Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión corrupción y seguridad digital. Su efecto sobre los riesgos inherentes depende de la fortaleza del control y si disminuye o no la probabilidad y el impacto para hallar el riesgo residual.

RESPONSABILIDADES Y COMPROMISOS DE LA SUPERINTENDENCIA FINANCIERA DE COLOMBIA FRENTE A LA POLÍTICA

La administración de riesgos comprende las acciones llevadas a cabo en forma estructurada e integral de acuerdo a la metodología definida por la SFC, que le permite a la Entidad identificar, analizar y evaluar los riesgos que pueden afectar el cumplimiento de sus objetivos, con el fin de emprender las medidas necesarias para responder ante ellos.  Es deber de todos los servidores públicos de la SFC, especialmente de los jefes de dependencia y líderes de proceso, asegurar el cumplimiento de las normas relacionadas con la administración del riesgo, incluidos las correspondientes a seguridad digital, facilitar la recolección de información en

las distintas etapas del sistema de administración de riesgos, con énfasis en lo relacionado con el registro de materialización de riesgo, y permitir la identificación de los cambios en los controles. Corresponde a la Oficina Asesora de Planeación y la Dirección de Tecnología de la SFC definir la metodología de acuerdo a estándares en materia de administración de riesgos (consultar la Guía E-GU-PLA-001 Metodología de riesgos), administrar el registro de eventos, preparar los informes semestrales, asesorar a las demás dependencias de la SFC, adelantar la capacitación sobre el tema y elaborar la documentación que contenga la metodología y estructura para su gestión y responsabilidades, entre otros.

Será responsabilidad de los líderes de proceso velar por la identificación, valoración, toma de decisiones y monitoreo de los controles pertinentes y de los factores generadores de riesgo. La revisión y actualización periódica de la matriz de riesgos de cada proceso debe ser dirigida por el líder del proceso y realizada con un equipo de funcionarios que participan en el proceso con el acompañamiento de la Oficina Asesora de Planeación, ejercicio que se deberá realizar al menos una vez dentro del año siguiente a la última actualización evaluando todas las variables y factores contemplados en la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión corrupción y seguridad digital. Durante el año de vigencia de la matriz de riesgos los líderes de proceso son responsables de realizar el monitoreo a las acciones definidas en la matriz para evitar la materialización de los riesgos o mitigar el impacto, según el caso.  Si del ejercicio de revisión de las matrices de riesgo se define la creación de nuevos controles de tipo técnico (software o hardware), la Dirección de Tecnología deberá evaluar la pertinencia, viabilidad y factibilidad de construirlos e implementarlos, para lo cual informará oportunamente de su decisión al respectivo líder de proceso.

Para los casos en que resulta aceptable el riesgo residual se deberá al menos definir acciones de capacitación que involucren evaluación de su aprendizaje y/o la definición e implementación de planes de contingencia o de continuidad para su manejo. La Dirección de Tecnología deberá evaluar la factibilidad y viabilidad de diseñar e implementar los planes de contingencia o de continuidad propuestos por los líderes de proceso de acuerdo a las acciones de tratamiento o mejora definidas en la matriz de riesgos de cada proceso.

Las matrices de riesgo de todos los procesos una vez actualizadas y aprobadas en el SGI se le presentarán al Representante de la Dirección para su revisión y, en el caso de resultar de este ejercicio observaciones o recomendaciones, el Líder del proceso se responsabilizará de que se realicen los ajustes pertinentes.  En el evento de presentarse la materialización de un riesgo se deberá reportar a través del aplicativo del SGI (Reportes y solicitudes). El líder del respectivo proceso realizará la revisión de los riesgos y tomará las decisiones de acuerdo al evento presentado, incluyendo el riesgo materializado si no se encontraba definido en la matriz del proceso y fortaleciendo los controles existentes o definiendo nuevos controles, según el caso. Si el líder del proceso decide rechazar el reporte de materialización del riesgo debe justificar su decisión, hecho que se presentará al Representante de la Dirección y al Comité Institucional de Coordinación y Control Interno.

El mapa de riesgos institucional debe ser elaborado por la Oficina Asesora de Planeación con base en las matrices de riesgos de cada proceso y presentado al Comité Institucional de Coordinación de Control Interno, permitiendo visualizar los riesgos de acuerdo al tipo de riesgo y a su criticidad. Mediante esta política se formalizan los criterios para la toma de decisiones con respecto a la mitigación del riesgo presente en las funciones estratégicas, misionales, de apoyo y de control de la Entidad. El cumplimiento de esta política asegura la adecuada gestión del riesgo por parte de todos los funcionarios de la Entidad.

LÍNEAS DE DEFENSA DE LA ENTIDAD

Existen diversas funciones de riesgo y control en las entidades públicas sin embargo a nivel de Función Pública se han asignado roles específicos y coordinación con eficacia y eficiencia de estos grupos de manera que no existan "brechas" en la cobertura de los controles ni duplicaciones innecesarias. Se han definido responsabilidades claras, de modo que cada grupo de profesionales de riesgo y control entienda los límites de sus responsabilidades y cómo encaja su rol en la estructura general de riesgo y control de la organización. El modelo de las Tres Líneas de Defensa proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados

• Línea estratégica: Define el marco general para la gestión del riesgo y el control a cargo de la alta dirección y el Comité Institucional de Coordinación de Control Interno.

La alta dirección y el equipo directivo, a través de sus comités deben monitorear y revisar el cumplimiento a los objetivos a través de una adecuada gestión de riesgos.

• Primera línea de defensa: Desarrolla e implementa procesos de control y gestión de riesgos a través de su identificación, análisis, valoración, monitoreo y acciones de mejora. Está conformada por los gerentes públicos y líderes de los procesos, programas y proyectos de la entidad.

Los gerentes públicos y los líderes de proceso deben monitorear y revisar el cumplimiento de los objetivos instituciones y de sus procesos a través de una adecuada gestión de riesgos, incluyendo los riesgos de corrupción.

• Segunda línea de defensa: Asiste y guía la línea estratégica y la primera línea de defensa en la gestión adecuada de los Riesgos que pueden afectar el cumplimiento de los objetivos institucionales y de sus procesos, incluyendo los riesgos de corrupción, a través del establecimiento de directrices y apoyo en el proceso de identificar, analizar, evaluar y tratar los riesgos, y realiza un monitoreo independiente al cumplimiento de las etapas de la gestión de riesgos. Está conformada por los responsables de monitoreo y evaluación de controles y gestión del riesgo (jefes de planeación, supervisores e interventores de contratos o proyectos, responsables de sistemas de gestión, etc.)

Los jefes de planeación, supervisores e interventores de contratos o proyectos o responsables de sistemas de gestión deben monitorear y revisar el cumplimiento de los objetivos institucionales y de procesos a través de una adecuada gestión de riesgos.

• Tercera línea de defensa: Provee aseguramiento (evaluación) independiente y objetivo sobre la efectividad del sistema de gestión de riesgos, validando que la línea estratégica, la primer línea y segunda línea de defensa cumplan con sus responsabilidades en la gestión de riesgos para el logro en el cumplimiento de los objetivos institucionales y de proceso, así como los riesgos de corrupción.

La oficina de control interno o auditoría interna monitorea y revisa de manera independiente y objetiva el cumplimiento de los objetivos institucionales y de procesos, a través de la adecuada gestión de riesgos.