MANUAL DE RIESGO OPERATIVO

TIPO DE PROCESO: TRANSVERSAL

NOMBRE DEL PROCESO: RIESGO OPERATIVO

MANUAL DE RIESGO OPERATIVO

Aprobado por la Junta directiva en sesión del día 6 de noviembre de 2007, acta 289

Bogotá, D. C. Octubre 17 de 2007

Versión: 0.0
Fecha última actualización: noviembre 6 2007

Noviembre de 2007 1
 MANUAL DE RIESGO OPERATIVO

TABLA DE CONTENIDO

CAP. TEMA PAG.

1. DESCRIPCION 3
2. OBJETIVO 3
3. ALCANCE 3
4. DEFINICION DEL SARO 3
5. POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION
DEL SISTEMA DE RIESGO OPERATIVO “SARO” 3
6. OBJETIVOS ESPECIFICOS DEL SISTEMA EN LA FEN 4
7. ESTRUCTURA ORGANIZACIONAL 5
8. COMITÉ INTEGRAL DE RIESGOS 5
9. DEFINICIONES 6
10. FUNCIONES 8
11. METODOLOGIA Y PROCEDIMIETO 11
12. PLAN DE CONTINUIDAD DEL NEGOCIO 19
13. REPORTES 20
14. MEDIOS TECNOLOGICOS UTILIZADOS 20
15. DOCUMENT ACION Y REGISTRO 21
16. DIVULGACION Y CAPACITACION 21

ANEXOS

DIAGRAMA DEL PROCESO

Noviembre de 2007 2
 MANUAL DE RIESGO OPERATIVO

1. DESCRIPC ION

La Circular Externa 048 de 2006 expedida por la Superintendencia Financiera de Colombia

que se constituyó en el capítulo XXIII de la Circular Externa 100 de 1995, establece las
reglas relativas a la Administración del Riesgo Operativo para que las entidades sometidas a
su vigilancia y control adopten, establezcan, implementen y administren adecuadamente un
Sistema de Administración del Riesgo Operativo “SARO”.

2. OBJETIVO

El objetivo del Sistema de Administración del Riesgo Operativo “SARO” es el de establecer

las políticas, procedimientos y metodologías para monitorear, medir y controlar los riesgos
operativos implicados en los procesos de la FEN.

3. ALCANCE

El presente manual contiene los elementos del Sistema de Administración de Riesgo

Operativo de la FEN, en cual inicia con la identificación y medición de los eventos de riesgo
en cada uno de los procesos, para luego establecer y monitorear los controles y el perfil de
riesgo de la entidad, hasta el mantenimiento del sistema, la mitigación de los eventos y la
implementación del plan de continuidad del negocio.

4. DEFINICION DEL “SARO”

El Sistema de Administración del Riesgo Operativo “SARO” es el conjunto de elementos tales

como las políticas, procedimientos, documentación, estructura organizacional, registro de
eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de la
información y capacitación, mediante los cuales la entidad identifica, mide, controla y
monitorea el Riesgo Operativo.

.
5. POLITICAS ADOPTADAS POR LA FEN PARA LA ADMINISTRACION DEL
SISTEMA DE RIESGO OPERATIVO “SARO”

La entidad debe establecer y mantener un sistema que permita identificar, registrar, medir,
monitorear y controlar los Riesgos Operativos, asignar un área responsable de la
administración y mantenimiento del sistema que verifique el cumplimiento de las normas
internas y externas que se establezcan en esta materia.

La FEN debe impulsar a nivel institucional una cultura de prevención del riesgo operativo
acorde con otras políticas como la de Calidad, Modelo Estándar de Control Interno “MECI” y
otros sistemas como los de riesgo crediticio, de liquidez y de mercado.

Noviembre de 2007 3
 MANUAL DE RIESGO OPERATIVO

La entidad debe contar con un Comité Integral de Riesgos, estamento que

fundamentalmente apoyará y asesorará a la alta dirección en la toma de decisiones en esta
materia.

El sistema de administración de riesgo operativo debe ser dinámico de tal forma que se
asegure la identificación de cambios en los controles y perfiles de riesgo y permitir la
actualización del nivel de riesgo operativo de la FEN, permitiendo a su vez la prevención y
resolución de conflictos de interés en la recolección de la información durante sus diferentes
etapas de implementación, así como en el registro de eventos y en el mantenimiento del
sistema.

Las funciones y competencias de cada uno de los empleados, así como la estructura
organizacional, deben mantenerse adecuadas a los propósitos y requerimientos del sistema
y se deben incluir en los respectivos Manuales de Organización y de Funciones y de
Competencias Laborales.

Se debe desarrollar, implementar y documentar un plan de continuidad del negocio.

6. OBJETIVOS ESPECIFICOS DEL SISTEMA EN LA FEN

Los objetivos de la FEN al implementar el Sistema de Administración de Riesgo Operativo

son:

1. Identificar en todos los procesos cada uno de los eventos de riesgo, establecer un perfil de
riesgo operativo para la entidad y asegurar que los controles se ajusten en la medida que se
desarrolle la cultura de prevención de riesgos operativos.

2. Establecer las metodologías de identificación, registro y valoración de los riesgos

operativos.

3. Establecer los métodos para registrar los eventos de riesgo operativo, así como las
pérdidas que pudieren presentarse.

4. Divulgar el sistema y capacitar a los funcionarios en cada una de las etapas que se
implementen.

5. Asegurar que cualquier evento de riesgo sea registrado en la bases de datos que se
diseñen para tal fin.

6. Velar porque el riesgo sea controlado y minimizado permanentemente.

7. Asegurar la actualización y verificación del sistema de acuerdo con las mejoras

metodológicas y/o nuevos productos o servicios que se llegaren a prestar así como la
permanente divulgación y capacitación.

Noviembre de 2007 4
 MANUAL DE RIESGO OPERATIVO

7. ESTRUCTURA ORGANIZACIONAL

Para el cumplimiento de los objetivos para implementar el Sistema de Administración de

Riesgo Operativo, la FEN cuenta dentro de su Estructura Organizacional con el
Departamento de Administración del Riesgos, el cual corresponde a un segundo nivel dentro
de la organización y reporta directamente a la Presidencia.

El Departamento de Administración de Riesgos cuenta con el personal y la infraestructura

tecnológica necesaria para cumplir con los objetivos de los sistemas de control y
administración de los riesgos de la entidad, incluido el Riesgo Operativo; en consecuencia es
el área responsable de administrar y mantener el sistema de administración de Riesgo
Operativo y de comunicar al Comité Integral de Riesgos y a la alta dirección las novedades
que se presenten al respecto.

8. COMITÉ INTEGRAL DE RIESGOS

Es el estamento especializado establecido para dirigir y supervisar los Sistemas de

Administración de Riesgos de la entidad (Crédito, Liquidez, de Mercado, Operativos y de
Lavado de Activos y de Financiación del Terrorismo) y el plan de continuidad del negocio así
como para proponer a la Junta Directiva modificaciones en las políticas y determinación de
límites y tolerancias máximas de exposición a los riesgos de acuerdo con los estudios que
sobre el particular presente el Departamento de Administración de Riesgos.

La composición y funciones del Comité se encuentran plasmadas en el Manual de

Organización de la Entidad.

Noviembre de 2007 5
 MANUAL DE RIESGO OPERATIVO
9. DEFINICIONES

Evento
Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo
determinado.

Eventos de pérdida
Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.

Clasificación de los eventos de riesgo operativo

Fraude Interno
Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos
de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un
empleado o administrador de la entidad.

Fraude Externo
Actos realizados por una persona externa a la entidad, que buscan defraudar, apropiarse
indebidamente de activos de la misma o incumplir normas o leyes.

Relaciones laborales
Actos que son incompatibles con la legislación laboral, con los acuerdos internos de
trabajo y, en general, la legislación vigente sobre la materia.

Clientes
Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden
satisfacer una obligación profesional frente a éstos.

Daños a activos físicos

Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

Fallas tecnológicas
Pérdidas derivadas de incidentes por fallas tecnológicas.

Ejecución y administración de procesos

Pérdidas derivadas de errores en la ejecución y administración de los procesos.

Factores de riesgo
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se
originan las pérdidas por riesgo operativo.

Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos.

Dichos factores se deben clasificar en internos o externos, según se indica a continuación.

Noviembre de 2007 6
 MANUAL DE RIESGO OPERATIVO
Internos
Recurso Humano
Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los
procesos de la entidad.

Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los

términos de la legislación vigente, bien sea celebrada por la misma entidad o a través
de un tercero.

La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad
una relación jurídica de prestación de servicios diferente a aquella que se origina en un
contrato de trabajo

Procesos
Es el conjunto interrelacionado de actividades para la transformación de elementos de
entrada en productos o servicios, para satisfacer una necesidad.

Tecnología
Es el conjunto de herramientas empleadas para soportar los procesos de la entidad.
Incluye: hardware, software y telecomunicaciones.

Infraestructura
Es el conjunto de elementos de apoyo para el funcionamiento de una organización.
Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

Externos
Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que
escapan en cuanto a su causa y origen al control de la entidad.

Indicadores de riesgo
Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo

La Unidad de Riesgo Operativo

Se entiende por Unidad de Riesgo Operativo el área designada por el Representante Legal
de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO

Manual de Riesgo Operativo

Es el documento que contiene las políticas, objetivos, estructura organizacional, estrategias,
los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del
SARO.

Pérdidas
Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los
gastos derivados de su atención.

Perfil de Riesgo
Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

Noviembre de 2007 7
 MANUAL DE RIESGO OPERATIVO

Plan de contingencia
Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de
un sistema o proceso.

Plan de continuidad del negocio

Conjunto detallado de acciones que describen los procedimientos, los sistemas y los
recursos necesarios para retornar y continuar la operación, en caso de interrupción.

Riesgo
Es la posibilidad de que un evento ocurra y afecte en forma adversa el cumplimiento de unos
objetivos

Riesgo Operativo (RO)

Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias,
fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura
o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y
reputacional, asociados a tales factores.

Riesgo Legal
Es la posibilidad de pérdida en que puede incurrir la entidad al ser sancionada u obligada
a indemnizar daños como resultado del incumplimiento de normas o regulaciones y
obligaciones contractuales.

El riesgo legal surge también como consecuenci a de fallas en los contratos y

transacciones, derivadas de actuaciones malintencionadas, negligencia o actos
involuntarios que afectan la formalización o ejecución de contratos o transacciones.

Riesgo reputacional
Es la posibilidad de pérdida en que puede incurrir la entidad por desprestigio, mala
imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de
negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Riesgo inherente
Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual
Nivel resultante del riesgo después de aplicar los controles.

10. FUNCIONES

Sin perjuicio de las funciones asignadas en los Estatutos y el Manual de funciones y

competencias laborales, se establecen las siguientes funciones en cuanto a Riesgo
Operativo:

Noviembre de 2007 8
 MANUAL DE RIESGO OPERATIVO

De la Junta Directiva
La Junta Directiva participa activamente en la dirección del sistema de administración de
riesgos de la entidad a través del establecimiento de las políticas generales, el estudio y
aprobación de los niveles de tolerancia presentados por las áreas técnicas de la entidad, la
designación de los cargos que conforman el Comité Integral de Riesgos y el análisis y
pronunciamiento respecto a los informes que en materia de administración de riesgos
presente la Alta Dirección y los Órganos de Control de la Entidad, entre otras.

A continuación se relacionan las principales funciones que deben cumplir los estamentos de
dirección y control de la entidad, las cuales han sido integradas al manual especifico de
competencias laborales de la Entidad:

Del Representante Legal

El Representante legal es el funcionario responsable de:

ü Diseñar y someter a aprobación de la Junta Directiva el presente Manual de Riesgo

Operativo así como sus actualizaciones.

ü Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.

ü Adelantar un seguimiento permanente de las etapas y elementos constitutivos del

SARO que se llevan a cabo en la entidad.

ü Verificar el cumplimiento de las funciones asignadas al Departamento de

Administración de Riesgos y en particular las concernientes al Sistema SARO.

ü Desarrollar y velar porque se implementen las estrategias con el fin de establecer el

cambio cultural en la administración de los riesgos de la entidad.

ü Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de

tolerancia al riesgo, fijado por la Junta Directiva.

ü Velar por la correcta aplicación de los controles del riesgo inherente, identificado y
medido.

ü Recibir y evaluar los informes presentados por el Departamento de Administración de

Riesgos.

ü Velar porque las etapas y elementos del SARO cumplan con las disposiciones
señaladas por la Superintendencia Financiera de Colombia.

ü Velar porque se implementen los procedimientos para la adecuada administración del

riesgo operativo a que se vea expuesta la entidad en desarrollo de su actividad.

ü Aprobar los planes de contingencia y de continuidad del negocio y disponer de los

recursos necesarios para su oportuna ejecución.
Noviembre de 2007 9
 MANUAL DE RIESGO OPERATIVO

ü Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la

evolución y aspectos relevantes del SARO, incluyendo, entre otros, las acciones
preventivas y correctivas implementadas o por implementar y el área responsable.

ü Verificar el cumplimiento de los procedimientos establecidos para alimentar el registro

de eventos de riesgo operativo.

ü Velar porque el registro de eventos de riesgo operativo cumpla con los criterios de
integridad, confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y
confidencialidad de la información allí contenida.

Del Departamento de Administración de Riesgos

El Departamento de Administración de Riesgos debe cumplir con las siguientes funciones:

ü Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad

administre efectivamente su riesgo operativo, en concordancia con los lineamientos,
etapas y elementos, mínimos previstos en esta norma.

ü Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo

operativo de la entidad.

ü Administrar el registro de eventos de riesgo operativo.

ü Coordinar la recolección de la información para alimentar el registro de eventos de

riesgo operativo.

ü Evaluar el impacto de las medidas de control potenciales para cada uno de los
eventos de riesgo identificados y medidos.

ü Establecer y monitorear el perfil de riesgo individual y consolidado de la entidad, y

presentar los informes correspondient es a la Alta Dirección.

ü Realizar el seguimiento permanente de los procedimientos y planes de acción

relacionados con el SARO y proponer sus correspondient es actualizaciones y
modificaciones.

ü Desarrollar los modelos de medición del riesgo operativo.

ü Coordinar con el área administrativa el desarrollo de los programas de capacitación de

la entidad relacionados con el SARO.

ü Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el
propósito de evaluar su efectividad.

ü Reportar semestralmente al Representante Legal la evolución del riesgo, los controles

implementados y el monitoreo que se realice sobre el mismo.
Noviembre de 2007 10
 MANUAL DE RIESGO OPERATIVO

De la Oficina de Control Interno

La Oficina de Control Interno debe evaluar periódicamente la efectividad y cumplimiento de
todas y cada una de las etapas y los elementos del SARO con el fin determinar el grado de
eficiencia y las oportunidades de mejora encontradas. De su gestión debe informar tanto al
Departamento de Administración de Riesgos como a la Presidencia y al Comité de Auditoria
de la Junta Directiva.

De la Revisoría Fiscal
Le corresponde elaborar un reporte al cierre de cada ejercicio contable, en el que informe
acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento por parte
de la entidad de las normas establecidas sobre el SARO.

Cualquier incumplimiento observado debe ser puesto en conocimiento de la Presidencia y la

Junta Directiva.

11. METODOLOGIA Y PROCEDIMIENTO

El desarrollo del modelo que la Financiera Energética Nacional S. A. estableció para la

administración del Riesgo Operativo comprendió los siguientes pasos de evaluación:

ü Entrevista con la alta dirección: A través de la cual se estableció la severidad máxima

aceptable y de ocurrencia para los eventos de riesgo en la entidad.

ü Identificación de riesgos principales (altos, medios y bajos) en cada uno de los

procesos que conforman el mapa de procesos de la entidad.

ü Determinación de posibles impactos del riesgo operativo (insignificante, menor,

moderado, mayor o catastrófico).

ü Determinación de la probabilidad de ocurrencia de los eventos (Rara, improbable,

posible, probable y casi cierta).

ü Desarrollo de registro de eventos de riesgo en una base de datos diseñada por

procesos.

ü Entrevista con los responsables de cada uno de los procesos para identificar en forma
detallada los eventos de riesgo en cada una de las etapas de los procesos, así como
para valorarlos e identificar los controles.

ü Análisis de escenarios sobre la continuidad del negocio en materia de:

ü Instalaciones físicas
ü Personas
ü Procesos
ü Infraestructura tecnológica

Noviembre de 2007 11
 MANUAL DE RIESGO OPERATIVO

Identificación de los Determinación

Riesgos principales de probabilidad
altos, medios y bajos

Entrevista Determinaciónn Desarrollo de

Alta de posibles Registro de
Dirección impactos eventos de
riesgos

Básico

Identificación
¿ detallada de
riesgos

Entrevista con Análisis de esce-

dueños de los narios sobre la
procesos continuidad del
negocio

Medio

Desarrollo de controles, procesos y procedimientos de Riesgos

11.1. Etapas de la Administración del Riesgo Operativo

La Financiera Energética Nacional S. A. ha establecido un modelo de gestión de Riesgos el
cual abarca las siguientes etapas:
Medición

Identificación
Mitigación

Divulgación
Control

Monitoreo

Identificación:
Consiste en la identificación de los riesgos internos y externos que pueden afectar las
diferentes actividades de cada uno de los Procesos que conforman el Mapa de la Entidad.
Noviembre de 2007 12
 MANUAL DE RIESGO OPERATIVO

Medición
Los riesgos identificados son evaluados considerando su probabilidad de ocurrencia y su
impacto en caso de materializarse. Estos riesgos son evaluados con bases residuales y
bases inherentes.

Mitigación
El Departamento de Administración de Riesgos debe analizar los riesgos y las respuestas
para evitarlo, aceptarlos, reducirlo, o compartirlo, alineándolo con la tolerancia al riesgo
definida por la institución.

Control
Consiste en evaluar cada uno de los controles establecidos determinando su acertividad así
como la necesidad de mejora o establecimiento de nuevos controles. En esta parte es
importante medir la eficiencia del control frente al costo y la fluidez de los procesos.

Monitoreo
Actividad que se lleva a cabo a través de la verificación, evaluación y administración del
sistema para una adecuada retroalimentación. De esta etapa se desprenden continuos
ajustes al sistema para hacerlo efectivo con los propósitos del mismo.

Divulgación
Como consecuenci a de un adecuado registro de los eventos, esta etapa permite comunicar
en forma oportuna a cada funcionario en todos los niveles los riesgos identificados, la
evaluación de los mismos, los riesgos inherentes, los controles y los propósitos para llevarlos
a unos niveles mínimos que no afecten la operacionalidad de la entidad.

11.2. Tabla de Probabilidad

Se estableció la siguiente tabla de Probabilidad:

Probabilidad
Clasificación

Casi Se espera la ocurrencia del evento en la mayoría de las circunstancias.

5
Certeza
4 Probable
3 Posible
2 Improbable
1 Raro
Casi con certeza se espera la ocurrencia del evento.
Entre 81% y 100%
El evento ocurrirá en casi cualquier circunstancia.
Significativa probabilidad de oc urrencia.
Entre 61% y 80%
El evento ocurrirá en algún momento.
Mediana probabi lidad de oc urrencia.
Entre 41% y 60%
El evento puede ocurrir en algún m omento.
Baja probabilidad de oc urrencia.
Entre 21% y 40%
El evento puede ocurrir solo bajo circunstancias excepcionales.
Muy baja probabilidad de ocurrencia.
Entre 0% y 20%

Nota: El horizonte de tiempo considerado para la determinación de la probabilidad es de un año.

Noviembre de 2007 13
 MANUAL DE RIESGO OPERATIVO

11.3. Matriz de Riesgos

Una vez evaluados los riesgos de acuerdo con su probabilidad e impactos se construyó la
matriz de riesgos, con el objetivo de detectar los riesgos que pudieran encontrarse en la zona
roja, como se muestra en la siguiente matriz:

Casi Certeza 5 5-1 5-2 5-3 5-4 5-5

Probabilidad de Ocurrencia

Probable 4 4-1 4-2 4-3 4-4 4-5

Posible 3 3-1 3-2 3-3 3-4 3-5

Improbable 2 2-1 2-2 2-3 2-4 2-5

Raro 1 1-1 1-2 1-3 1-4 1-5

$ 1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Magnitud de Impacto

La severidad de los riesgos se ha representado con los siguientes colores:

Bajo =

Moderado =

Alto =

Extremo =

11.4. Evaluación de los controles

Los riesgos son mitigados con controles, los cuales serán evaluados de acuerdo con su
efectividad e implementación, así:

Noviembre de 2007 14
 MANUAL DE RIESGO OPERATIVO

Efectividad

Escala Definición Descripción

3 Fuerte Los controles son adecuados en cuanto a su
diseño inherente
Los controles son adecuados; sin embargo
2 Moderada existen algunas debilidades que no
representan un riesgo significativo
1 Débil Los controles no son de nivel aceptable

Implementación

Escala Definición Descripción

El control se aplica de la forma planeada, en

3 Alta cuanto a periodicidad establecida y dueños
del control asignados
El control tiene algunas fallas en su
2 Media aplicación, sin embargo no representa
mayores riesgos
1 Baja El control no se aplica de la forma planeada

Derivado de la siguiente escala se crea una matriz con la finalidad de evaluar cuán
importante es cada control para un riesgo:

Efectividad de Diseño
Fuerte 3 3 6 9 Fuerte 3

Moderada 2 2 4 6 Moderada 2

Débil 1 1 1 3 Débil 1

Evaluación 1 2 3
Estado Baja Media Alta
Implementación

11.5. Mapa de Ri esgos

Como resultado de la valoración de los Riesgos en cuanto a probabilidad y magnitud, y los
controles en cuanto a efectividad y grado de implementación, se obtiene el Mapa de Riesgos
de la Entidad el cual contiene:

ü Código del Evento de Riesgo

ü Valoración del Riesgo Bruto
ü Valoración del Control
ü Valoración del Riesgo Residual
Noviembre de 2007 15
 MANUAL DE RIESGO OPERATIVO
ü Nombre del Evento de Riesgo.

Código Valoración del Valoración del Valoración del Nombre del Riesgo
Riesgo Bruto Control Riesgo Residual

11.6. Matriz de Riesgos y Matriz de Ries go residual de la Entidad

Del Mapa de Riesgos de la entidad se desprenden la Matriz de Riesgos que clasifica cada
uno de los eventos sin aplicar controles en extremo, alto, moderado y bajo:

Corresponde a los códigos de los eventos de

Riesgo
Riesgo Bruto
Casi Certeza
Extremo
Riesgo Bruto
Probable 114 115 11
Alto
12, 97, 98,
101, 103,
1, 2, 107, 104, 105, Riesgo Bruto
Posible 6, 7, 113 124, 128
110, 111 108, 109, Moderado
117, 122,
123, 127
5,31, 40,
42, 43, 46,
47, 50, 51, 3, 9, 10,
15, 16, 17,
54, 75, 76, 13, 14, 33, Riesgo Bruto
24, 25, 29,
Improbable 32 82, 83, 84, 44, 48, 52,
30, 45, 67,
85, 86, 88, 57, 64, 66, Bajo
68, 69
93, 94, 95, 89, 99
100, 119,
125, 126
4, 20, 22,
27, 34, 35,
36, 37, 38,
8, 18, 21, 39, 41, 49,
23, 28, 70, 56, 58, 59,
19, 53, 26, 55, 74,
Raro 73, 79, 80
77, 78, 81,
87, 92,
60, 61, 62,
112 63, 65, 71,
116, 118 72, 90, 91,
96, 102,
106, 120,
121
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico

Y la matriz de Riesgo residual la cual ubica cada uno de los eventos de Riesgo después de
haber aplicado los controles asÍ:

Riesgo Riesgo
104, 105, 117, 122, 11, 12, 97, 98, 101,
Bruto Residual
127 123 108, 109
Extremo Extremo
1, 2, 9, 42, 3, 5, 10, 13, 14, 20,
4, 39, 40,
43, 44, 46, 22, 27, 31, 33, 34,
57, 59,
47, 48, 49, 35, 36, 37, 38, 41, Riesgo
Riesgo 60, 62,
88, 93, 94, 50, 51, 52, 54, 56, Residual
Bruto Alto 63, 65,
95, 99, 107, 71, 72, 75, 76, 82, Alto
66, 90,
115, 119, 83, 84, 85, 86, 89,
100
121 91, 92, 96, 106, 110,

Noviembre de 2007 16
 MANUAL DE RIESGO OPERATIVO
111, 120, 125, 126
Riesgo Riesgo
18, 118, 21, 26, 55, 74, 87,
Bruto 8, 115, 128 Residual
128 116, 124
Moderado Moderado
7, 19, 23, 25, 28, 29,
Riesgo
Riesgo 15, 16, 6, 45, 67,30, 32, 53, 73, 77,
Residual
Bruto Bajo 17, 24 68, 69, 70
78, 79, 80, 81, 112,
Bajo
113, 114
Débil Moderado Fuerte
SOLIDEZ DEL CONTROL

Una vez evaluados los controles, la metodología considera que dependiendo de la aplicación
de los mismos se podría reducir el riesgo. Algunos controles son fuertes reduciendo la
probabilidad de ocurrencia del riesgo el cual se reduciría únicamente si se cuenta con ellos.
Los controles ayudan a mitigar el riesgo junto con la atomización de operaciones, los planes
de contingencia o traspaso del riesgo a un tercero, por ejemplo: seguros de daños, fianzas,
etc.

Las matrices de riesgos serán evaluadas por el Comité Integral de Riesgos, con la finalidad
de determinar cómo será administrado el riesgo y en qué casos se deberán establecer
tratamientos tal como se muestra en la siguiente tabla:

Noviembre de 2007 17
 MANUAL DE RIESGO OPERATIVO
De las decisiones que adopte el Comité Integral de Riesgos se deben desprender acciones
correctivas dirigidas a las diferentes áreas de la entidad de acuerdo con sus competencias y
a los responsables de cada proceso con el fin de que los eventos mas impactantes de
Riesgo residual se ubiquen en lugares de bajo impacto.

11.7. Registro de eventos de Riesgo

La FEN ha diseñado una base de datos para registrar la totalidad de los eventos de riesgo
operativo que se pudieren presentar en todos los procesos tales como:
ü Aquellos que generan pérdidas y afectan el estado de resultados de la entidad.
ü Aquellos que generan pérdidas y no afectan el estado de resultados de la
entidad y
ü Aquellos que no generan pérdidas y por lo tanto no afectan el estado de
resultados de la entidad.

La base de datos contiene:

ü Código
ü Fecha de inicio del evento
ü Fecha de finalización del evento
ü Fecha del descubrimiento
ü Fecha de contabilización
ü Moneda
ü Monto
ü Valor recuperado
ü Valor recuperado por seguros
ü Clase de evento
ü Proceso afectado
ü Cuenta PUC afectada
ü Tipo de pérdida
ü Descripción del evento
ü Línea Operativa

11.8. Indicadores de Riesgo

Los indicadores de Riesgo son métricas que pueden ser utilizadas para identificar “zonas
calientes” (“hot spots”), que podrían convertirse en futuras pérdidas en las líneas de negocio.
Estos indicadores pueden proveer información sobre la efectividad de la gestión de riesgo
operacional. Estas medidas pretenden reflejar el perfil de riesgos de la organización.

Idealmente, los indicadores seleccionados deben cumplir con los estándares siguientes:

ü La elección del indicador debe ayudar a explicar el riesgo asumido y reflejar el criterio
experto del dueño del proceso o de la línea de negocio.

ü De ser posible (no siempre es el caso) los indicadores deberían poder ser traducidos
en medidas cuantitativas.

ü Tener sensibilidad al riesgo: un incremento en el valor del indicador debe

corresponder a un incremento en el riesgo monitoreado.
Noviembre de 2007 18
 MANUAL DE RIESGO OPERATIVO

ü Poder definir valores máximos que desencadenen alertas de prevención temprana del
riesgo.

ü Los indicadores deben estar bien documentados y sujetos a revisiones

independientes.

ü La validez y pertinencia de los indicadores deberá ser validada comparándolos con la

historia de pérdidas registradas.

12. PLAN DE CONTINUIDAD DEL NEGOCIO

12.1. Diagnóstico
Para la elaboración del “Plan de Continuidad del Negocio” de la Financiera Energética
Nacional S.A. se realizó un diagnóstico en el cual se midió el grado de preparación de la
entidad para enfrentar situaciones que pudieren ocasionar interrupciones parciales o totales
en la prestación de los servicios.

Con base en dicho diagnóstico se identificaron los aspectos más vulnerables que podrían
ocasionar riesgos en la continuidad del negocio, en las siguientes dimensiones:

ü Instalaciones físicas (acceso, servicios generales y zonas comunes)

ü Personas (conocimiento y salud laboral)
ü Procesos (documentación y evaluación respecto a impacto financiero en caso
de presentarse una suspensión (en tiempo y en dinero)
ü Infraestructura tecnológica. (aplicaciones, servidores, redes, bases de datos,
almacenamiento y respaldo).

Posteriormente se elaborará el “Plan de Continuidad del Negocio”, dentro del plazo

establecido por la norma (a más tardar el 1º de julio de 2008.)

12.2. Análisis de riesgos de continuidad del negocio y su impacto

El análisis comprende:

ü Líneas de procesos críticos.

ü Tiempo máximo de interrupción (RTO)
ü Punto objetivo de recuperación (MPO)
ü Recursos mínimos para operar en contingencia
ü Impactos financiero, estratégico, operacional , otros
ü Proveedores (que impacten la operación)
ü Histórico de interrupciones

12.3. Plan de Continuidad del Negocio

El “Plan de Continuidad del Negocio” debe contener:

Noviembre de 2007 19
 MANUAL DE RIESGO OPERATIVO
ü Objetivo
ü Alcance
ü Gobierno
Estructura para contingencia
Roles y responsabili dades
Línea de sucesión
Cadena de llamadas
ü Procedimientos generales
ü Procedimientos alternos para trabajar bajo contingencias
ü Procedimientos de mantenimiento

El “Plan de Continuidad del Negocio” debe estar en funcionamiento en los términos y plazos
establecidos por la Superintendencia Financiera de Colombia y debe ser probado, superar
las pruebas que confirmen su efectividad, ser divulgado y conocido por todos los
responsables de su ejecución en sus diferentes etapas. Adicionalmente el “Plan de
Continuidad del Negocio” debe ser objeto de revisión y actualización por lo menos cada año.

13. REPORT ES

El Departamento de Administración de Riesgos responde por la preparación y remisión de

los informes a la Presidencia y a la Junta Directiva, así mismo por dar cumplimiento a los
reportes sobre el avance en la implementación del sistema y aquellos que en el futuro
establezca la Superintendencia Financiera de Colombia.

La Oficina de Control Interno debe informar los resultados de las evaluaciones sobre la
efectividad y el cumplimiento de todas y cada una de las etapas del SARO, informes que
deberá presentar al Departamento de Administración de Riesgos, a la Presidencia y al
Comité de Auditoria.

14. MEDIOS TECNOLÓGICOS UTILIZADOS

La FEN ha diseñado una herramienta tecnológica a través de la cual se registran las

valoraciones de cada uno de los eventos de riesgo operativo y se llevará el registro de los
eventos de pérdida que se pudieren presentar tales como:

ü Fraude interno
ü Fraude externo
ü Relaciones Laborales
ü Clientes
ü Daños a activos físicos
ü Fallas tecnológicas
ü Ejecución y administración de procesos

En la medida que los responsables de cada proceso identifiquen mejoras o la posible

ocurrencia de nuevos eventos de riesgo, el Departamento de Administración de Riesgos

Noviembre de 2007 20
 MANUAL DE RIESGO OPERATIVO
valorará dicha situación y registrará en las bases de datos dichos eventos con el fin de
asegurar la permanente actualización del sistema.

15. DOCUMENT ACION Y REGISTRO

La FEN sin perjuicio de las normas establecidas en el Manual de Archivo, debe asegurar la
existencia de la documentación y registro de eventos de riesgo así como de la
documentación concerniente al diseño, evaluación, implementación, puesta en marcha y
mantenimiento del sistema.

Los registros contables deberán ejecutarse de acuerdo con el Plan Único de Cuentas y las
instrucciones que sobre el particular establezca la Superintendencia Financiera de Colombia.

16. DIVULGACION Y CAPACITACION

El Departamento de Administración de Riesgos debe coordinar con el área de Servicios

Legales y de Apoyo las actividades necesarias para asegurar que la información
concerniente al sistema sea divulgada periódica y adecuadamente y porque todos los
funcionari os permanezcan actualizados en cuanto al funcionamiento y requerimientos del
Sistema.

La capacitación en el sistema deberá reforzarse por lo menos una vez al año, deberá hacer
parte del proceso de inducción de la entidad y ser objeto de evaluación para eficacia frente a
las políticas y objetivos del sistema.

Noviembre de 2007 21