Curso Gestión del Riesgo Módulo 2

Semana 1

SARO

Sistema de Administración de Riesgo Operativo 1. MARCO NORMATIVO - COMITÉ DE BASILEA Objetivo: Fortalecer la solidez de los sistemas financieros. Fecha de fundación: 1975 por los Presidentes de los Bancos Centrales de los Países del G-10 Miembros actuales: Bélgica, Canadá, Francia, Alemania, Italia, Japón, Holanda, Suiza, Reino Unido y Estados Unidos.

Hace recomendaciones.

No son obligatorias, sin embargo los países las adoptan, de ahí su importancia

El Comité de Basilea es la denominación usual con la que se conoce al Comité de Supervisión Bancaria de Basilea. Es la organización mundial que reúne a las autoridades de supervisión bancaria, cuya función es fortalecer la solidez de los sistemas financieros.

 

El Comité fue establecido en 1975 por los presidentes de los bancos centrales de los países miembros del Grupo de los 10 (G-10) en aquel momento. Normalmente se reúne en la ciudad de Basilea Suiza, de donde se deriva su nombre. Actualmente, el Comité de Basilea está constituido por representantes de las autoridades de supervisión bancaria de los bancos centrales de Bélgica, Canadá, Francia, Alemania, Italia, Japón, Países Bajos, Suecia, Suiza, Reino Unido y Estados Unidos. Desde su surgimiento, se constituyó en un foro de discusión para fomentar la mejora y la convergencia de las prácticas y normativas de supervisión bancaria. El comité formula y recomienda normas y buenas prácticas en la supervisión bancaria. Efectivamente, a pesar de no tener autoridad para hacer cumplir sus recomendaciones, la mayoría de los países, miembros o no, tienden a implementar las políticas dictadas por el Comité.

LOS ACUERDOS DEL COMITÉ DE BASILEA Basilea I Fecha: 1988 Principal aporte: Recomendar la exigencia de capital o patrimonio a las entidades en función de los riesgos que asumen. Define metodologías estándar para calcular la exigencia de capital. Entre mas riesgos desee asumir una entidad financiera, mayor debe ser

su capital o patrimonio. En 1988, el Comité aprobó el denominado Acuerdo de Capital de Basilea (Basilea I), que introducía unas exigencias mínimas de recursos propios del 8% en función de los riesgos asumidos, principalmente de crédito. Este Acuerdo fue adoptado no sólo por los países integrantes del Comité, sino por prácticamente todos aquellos que tienen un sector bancario activo internacionalmente.

 

Basilea II Fecha: 2004 Principal aporte: Modifica las metodologías de cálculo de capital introducidas en Basilea I. Recomienda que las entidades deben tener en cuenta el Riesgo Operativo para efectos de calcular su capital o patrimonio exigido. 10 años después de su publicación, las recomendaciones de Basilea no

han sido implementadas en la totalidad de los países por ser de alto costo para las entidades.

En junio de 2004 se publica el Acuerdo de Basilea II, el cual tenia como propósito principal crear un estándar internacional de supervisión que sirviera de referencia a los reguladores bancarios. Su principal aporte es que recomienda la cuantificación del riesgo operativo a través del uso de metodologías estándar, con el fin de exigir a las entidades capital o patrimonio para cubrir su materialización o pérdidas causadas. Basilea III Fecha: 2010 Principal aporte: Fortalece la exigencia de liquidez en las entidades financieras, para hacer frente a las crisis financieras.

Se encuentra en etapa de implementación Basilea III es parte de una serie de iniciativas para fortalecer el sistema de financiero tras la crisis de las hipotecas subprime en Estados Unidos. Entró en ejecución a partir del 1 de enero de 2011. Basilea III fue motivado tras observar que la crisis financiera se explicó en que muchas instituciones no contaban con suficiente liquidez. - AS/NZS: 4360 Risk Management Standard ® Estándar de Administración del Riesgo elaborado por la alianza de las oficinas de estándares de Australia y Nueva Zelanda. Provee una

 

metodología genérica, basada en fundamentos universales para la Administración del Riesgo.

A nivel de estándares internacionales de gestión de riesgos, el más conocido es el estándar australiano identificado como la Norma AS/NZ 4360. Este estándar concibe la gestión de riesgos como un proceso sistémico y cíclico dentro de la organización, el cual se compone de siete elementos, todos ellos relacionados entre sí. Estos elementos son: Establecer el contexto, identificar riesgos, analizar riesgos, evaluar riesgos, tratar riesgos, comunicar y monitorear. De estos elementos hablaremos en mayor detalle en el capitulo III de la capacitación, donde abordaremos la metodología adoptada por POSITIVA para gestionar sus riesgos. - ISO 31000 equivalente a la Norma Técnica Colombiana de Gestión de Riesgos (NTC 5254): Estándar de Gestión del Riesgo Colombiano elaborado y coordinado por el Comité de Riesgos del Instituto Colombiano de Normas Técnicas y Certificación - ICONTEC. El NTC se fundamentó en el estándar genérico de gestión de riegos de mayor aplicación a nivel mundial ISO 31000.

 

Identificar

Medir

Controlar

Monitorear

ELEMENTOS: Políticas

Procedimientos Documentos

Estructura Organizacional

Registro de Eventos Órganos de control

Plataforma tecnológica Divulgación de

Información Capacitación

En Colombia, el ICONTEC expidió una norma técnica certificable en gestión de riesgos, basada en los principales estándares internacionales. Es una traducción de la norma técnica Australiana AS/NZ 4360:2004, que como ya mencionamos es de amplia aceptación y reconocimiento a nivel mundial para la gestión de riesgos independiente de la industria o el negocio que desee emplearla. El interés de POSITIVA es contar con un proceso de gestión de riesgos que cumpla los mejores estándares con miras a evaluar la certificación en el largo plazo. Capítulo XXIII de la Circular Básica Contable y Financiera Superintendencia Financiera de Colombia Instrucciones Relativas a la Adopción de un Sistema de Administración de Riesgo Operativo (SARO).

 

En diciembre 2006 siguiendo las tendencias mundiales generadas por Basilea II, la Superintendencia Financiera de Colombia definió como obligatoria la adopción de un Sistema para la Administración del Riesgo Operativo, comúnmente conocido como SARO. Señalo la Superfinanciera que dicho sistema debe estar conformado por políticas, procedimientos, estructura organizacional, plataforma tecnológica y un registro de eventos de riesgo operativo. Adicionalmente indicó que SARO debe contar con mínimo 4 etapas: Identificación, medición, control y monitoreo de riesgos. Comparando el estándar internacional y el estándar de la Superintendencia, podría pensarse que son diferentes; sin embargo en la práctica SARO recoge las principales “buenas prácticas” recomendadas por los estándares internacionales. - Modelo Estándar de Control Interno –MECI- Herramienta de gestión que busca unificar criterios en materia de control interno para el sector público, estableciendo una estructura para el control a la estrategia, la gestión y la evaluación. Su propósito es orientar a las entidades públicas hacia el cumplimiento de sus objetivos y la contribución de éstos a los fines esenciales del Estado. El Modelo Estándar de Control Interno surge a partir de la estructura establecida por la Ley 87 de 1993 para el Sistema de Control Interno, el cual se compone por una serie de Subsistemas, Componentes y Elementos de Control. Por último hablaremos un poco en relación con MECI. MECI traduce Modelo Estándar de Control Interno. El MECI surge a partir de la estructura establecida por la Ley 87 de 1993 para el Sistema de Control Interno. Es una herramienta de gestión que busca unificar criterios en materia de control interno para el sector público. Su propósito es orientar a las entidades públicas hacia el cumplimiento de sus objetivos y la contribución de éstos a los fines esenciales del Estado.

 

El MECI se fundamenta en tres módulos que son: Modulo de control de Planeación y Gestión Modulo control de evaluación y Seguimiento y el Eje transversal información y comunicación

El módulo de Control de planeación y gestión agrupa los parámetros relacionados con el cumplimiento de la visión, misión, objetivos, principios metas, políticas de la organización y demás aspectos que permiten el desarrollo de la gestión. En este grupo encontramos, Talento humano, planes, programas, procesos, indicadores, procedimientos, recursos y ADMINISTRACION DE LOS RIESGOS. El módulo de Control de Evaluación y seguimiento agrupa parámetros que garantizan la valoración permanente de los resultados de la entidad, a través de sus diferentes mecanismos de verificación, evaluación y seguimiento.

• Componente de Talento Humano • Componente Direccionamiento Estratégico

• Componente Administración del Riesgo

1. Modulo de control de Planeación y

Gestión

• Componente Autoevaluación Institucional

• Componente Auditoria Interna • Componente Planes de Mejoramiento

2. Modulo control de evaluación y Seguimiento

3. Eje transversal información y comunicación

 

Y el Eje transversal agrupa los parámetros de información y comunicación.

Políticas de Administración del Riesgo

Al ser un componente del modulo de control de Planeación y Gestión, la Administración del Riesgo se sirve de información de la organización como la misión, visión, objetivos, metas, procesos, proyectos, sistemas de información entre otros. Su enfoque sistémico contribuye a que la entidad no solo garantice la gestión institucional y el logro de los objetivos sino que fortalece el ejercicio del control interno en las entidades de la Administración Pública. Este componente faculta a la entidad para emprender las acciones de control necesarias que le permitan el manejo de los eventos que puedan afectar negativamente el logro de los objetivos institucionales. Se estructura a través de la existencia de Políticas de administración de riesgo, de la identificación del riesgo, y del análisis y valoración de los mismos. Como productos mínimos de la Política de Administración de riesgos, el MECI menciona la obligación de un mapa de riesgos institucional, el cual debe ser divulgado y de conocimiento de toda la Organización.

Elemento

• Política de

Administración de Riesgos

Productos Mínimos

• Definición por parte de la alta Dirección de políticas para el manejo de los riesgos

• Divulgación del mapa de riesgos institucional y sus políticas.

Observaciones

• Acto Administrativo o documento a través del cual se definen y adoptan las políticas de Administración del Riesgo

• Documentos, herramientas, eventos de difusión y/o demás actividades que demuestren la socialización y difusión de los mapas de riesgo de la entidad. (Cartillas, correos electrónicos, cartelera de la entidad, concursos, actividades entre otros.)

 

Identificación del Riesgo

Dentro de esta etapa se establece el análisis del contexto estratégico de las entidades, debido a que este es cambiante, se recomienda revisarlo como mínimo una vez al año. Teniendo en cuenta que el contexto afecta a la organización, es importante monitorear los riesgos identificados periódicamente para poder establecer si la exposición a los mismos se mantiene en el nivel evaluado, si presenta variaciones o si existen nuevos riesgos a los que pueda estar expuesta la organización.

Análisis y Valoración del Riesgo

Elemento

• Identificación del Riesgo

Productos Mínimos

• Identificación de los factores internos y externos de riesgo

• Riesgos identificados por procesos que puedan afectar el cumplimiento de objetivos de la entidad.

Observaciones

• Identificación de condiciones internas o externas que puedan generar eventos de riesgo para la entidad.

• Documentos de identificación de los riesgos de cada proceso, programas y/o proyectos que contengan las causas, descripción y las posibles consecuencias de los mismos.

 

En la etapa de análisis y valoración del riesgo, se espera obtener el mapa de riesgos por proceso, en el cual se incluyen los riesgos identificados, su valoración así como los controles existentes.

Etapas de Riesgo Operativo ISO 31000

Elemento

Análisis y Valoración del Riesgo

Productos Mínimos

Análisis del Riesgo

Evaluación de controles existentes

Valoración del Riesgo

Controles

Mapa de riesgo de proceso

Mapa de riesgos institucional

Observaciones

Documento de análisis de riesgo con su probabilidad de ocurrencia

y el posible impacto en caso de materialización

Documento donde se evalué si los controles para valorar los riesgos

son adecuados o no

Documento en el cual se analizan los riesgos frente a los controles

existentes.

Identificar controles correctivos y preventivos definidos para cada

proceso para mitigar la probabilidad e impacto de los

riesgos

Establecer un mapa de riesgos que contendrá toda la información

establecida anteriormente

Mapa de riesgos institucional, se incluirán los riesgos anticorrupción

de los que trata la ley 1474 de 2011

 

En conclusión, una vez conocido y analizado el marco normativo que rige la Administración de Riesgos, tanto a nivel nacional como internacional, podemos afirmar que, independientemente del nombre utilizado, el Modelo de Gestión de Riesgos es ÚNICO, ya que las etapas que lo componen deben ser como mínimo: la identificación, el análisis y la evaluación de riesgos. Adicionalmente es claro que la implementación de un modelo de gestión de riesgos está orientado a optimizar la gestión de las organizaciones y disminuir los impactos negativos que puedan generarse en el desarrollo de su ejercicio profesional.

Y … ¿QUIÉN NO CUIDA LO QUE QUIERE?

La Gestión de Riesgos es un COMPROMISO de TODOS

SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERATIVOS

 

Semana 2

SARLAFT

Sistema de Administración del Riesgo de Lavado de Activos y Financiación del terrorismo

1. Etapas del Lavado de Activos y la Financiación del Terrorismo El ciclo de lavado de activos y la financiación del terrorismo inicia cuando se ha culminado el delito que origina los dineros ilícitos, los cuales son: *El Trafico de migrantes *Tráfico de personas *Enriquecimiento Ilícito *Secuestro Extorsivo *Financiamiento del Terrorismo *Tráfico de Armas *Tráfico de drogas, estupefacientes *Rebelión *Extorsión, entre otros. Dicho ciclo tiene tres etapas: - Colocación - Ocultamiento o diversificación - Integración o reintegración A continuación de forma práctica describiremos cada una de las mismas. El señor Pedro Pérez miembro de una organización criminal obtiene un ingreso de $500.000.000 al ejercer la actividad de tráfico de personas, acción que está considerada como un delito, por ende este dinero es de origen ilícito.

 

El Señor Pérez con el fin de dar apariencia de legalidad a este dinero inicia el ciclo de LA/FT a través de la siguientes etapas;

- La primera etapa “colocación” consiste en introducir en el sistema financiero el dinero obtenido con la actividad ilícita. Por lo anterior el Señor Pérez realiza la apertura de varias cuentas de ahorros en los banco X, Y y Z, depositando de forma periódica módicas sumas de dinero en estas cuentas. - Toda vez que el señor Pérez ya ingresó el dinero de origen ilícito en el sector financiero, inicia la segunda etapa de “ocultamiento o diversificación”. Esta etapa tiene como objetivo disimular el rastro del origen de los fondos, para lo cual el señor Pérez realiza transacciones utilizando sus cuentas de ahorros.

 

Para el ejemplo, el Señor Pérez compra productos de inversión (acciones y bonos) y luego de unos días los vende a diversas personas, logrando con esto que el dinero en efectivo vuelva a sus manos. - Al recibir de nuevo el dinero, da inicio a la etapa de integración, la cual tiene como objetivo darle apariencia de legalidad al mismo. Por lo anterior el Señor Pérez decide comprar bienes muebles y vehículos lujosos para su uso. ¿Las compañías de seguros son susceptibles de ser utilizadas para el Lavado de Activos y la Financiación del Terrorismo? Según la Unidad de Análisis de Información y Análisis Financiero en su documento “Cartilla lo que se debe saber sobre prevención de Lavado de Activos y la Financiación del Terrorismo” se han evidenciado algunas prácticas a través de las cuales las compañías de seguro son vulneradas y utilizadas para fines ilegales. A continuación describiremos algunas, con el fin de mejorar nuestros mecanismos de control. 3. Proyector - La primera técnica se denomina “simulación de siniestros de activos adquiridos con recursos para LA/FT”.

 

Esta técnica consiste en el aseguramiento de activos o bienes obtenidos con dinero ilícito, sobre los cuales posteriormente se simula un siniestro que genere una destrucción y/o pérdida total del activo con el fin de cobrar lo estipulado en el contrato de seguros y así darle apariencia de legalidad a los recursos ilícitos. Por ejemplo;

 

El señor Pedro Pérez miembro de una organización criminal le obsequia a su esposa Aurora un vehículo de alta gama, motivo por el cual solicita una póliza de automóvil a la Compañía aseguradora X,. La señora Aurora es la tomadora, asegurada y beneficiaria de la póliza la cual tiene vigencia de 1 año. Para poder acceder a esta póliza, la Señora Aurora declara tener ingresos mensuales de $650.000 y egresos mensuales de $150.000, con un total de activos de $100.000.000, representados en su automóvil alta gama y sin pasivo alguno, Como ocupación afirma ser ama de casa, donde sus ingresos no tienen relación con su actividad económica. La compañía X expide teniendo en cuenta las condiciones anteriormente descritas. Al cabo de 2 meses La señora Aurora reporta un siniestro a causa de un accidente de tránsito en una zona con baja afluencia vehicular. La compañía aseguradora realiza el pago del siniestro, convirtiendo un vehículo adquirido con dinero de origen ilícito en dinero licito.

 

- Como segunda técnica tenemos la “obtención de recursos a través de la triangulación de pagos para LA/FT”. Esta técnica consiste en vulnerar la relación contractual entre la compañía de seguros y un proveedor que presta sus servicios para atender a los asegurados. Por ejemplo;

Una compañía de seguros tiene diferentes contratos de prestación de servicios con varios proveedores. Posteriormente, al momento de la facturación, el proveedor que presta el servicio notifica a la compañía de seguros la cesión de los derechos contractuales (cuentas por pagar) a un tercero. Este tercero es una persona vinculada a una organización al margen de la ley que, bajo la figura de cesión de derechos, obtiene unos recursos de origen lícito procedentes de la cuenta de una compañía aseguradora.

 

Esta persona es la encargada por varios proveedores de recoger el dinero proveniente de la compañía de seguros. Con este dinero “limpio”, este tercero lo utiliza bien sea para financiar actividades delictivas o para adquirir nuevos activos. - La tercera técnica utilizada para LA/FT, se denomina “Utilización de canales de distribución masivos para la suscripción de seguros de vida” A través de está técnica “el lavador de dinero” adquiere varios seguros de vida a nombre de una o varias personas como asegurados. Estas personas al poco tiempo fallecen (generalmente por muerte violenta), generando el derecho de reclamación ante las diferentes compañías de seguros, por parte de los beneficiarios designados al momento de la suscripción, quienes pueden ser testaferros del “lavador.” Por ejemplo;

La organización criminal del señor Pedro Pérez utiliza a personas que no tienen antecedentes en las centrales de riesgo y en ocasiones que no han tenido productos financieros para la solicitud de seguros de vida,

 

los valores asegurados de estas pólizas oscilan entre los 20 y 150 millones de pesos. Al poco tiempo estas personas fallecen, generalmente por muerte violenta. Los beneficiarios designados o los de ley, hacen efectivo el pago de la indemnización, y solicitan a la Compañía de Seguros que el pago se realice a nombre de un tercero miembro de la organización criminal. La última técnica utilizada para LA/FT se conoce como “devolución efectiva de primas”.

Esta técnica consiste en que “el lavador de dinero” realiza el pago de primas de seguro en efectivo con dinero procedente de actividades ilícitas. Durante la vigencia del contrato de seguro, solicita la cancelación del seguro y la Compañía debe devolver el dinero correspondiente a las primas pagadas por el tiempo no causado o tiempo no transcurrido.

 

A continuación ilustraremos como ejemplo video cortesía de la cadena NTD Televisión, en donde se ilustra el caso de HSBC, entidad bancaria utilizada como canal para el lavado de dinero en México y Arabia Saudita, motivo por el cual esta entidad fue multada con la más alta sanción interpuesta por las autoridades estadounidenses. http://www.youtube.com/watch?v=wluJTPoAlpk

Semana 3 Esquema de Prevención de Fraude y Corrupción

1. Marco Normativo

Por la naturaleza jurídica de POSITIVA, el esquema de prevención del fraude y la corrupción está reglamentado a través de los lineamientos generales planteados en el ESTATUTO ANTICORUPCION (Decreto Ley 1474 de 2011). En el artículo 73 del mismo, se menciona que anualmente las entidades públicas deberán elaborar una estrategia de lucha contra la corrupción, que incluya la elaboración de un mapa de riesgos de corrupción, así como las medidas implementadas para mitigarlos.

• Elaborar anualmente una estrategia de lucha contra la corrupción y la atención al

ciudadano.(Art. 73) • Debe incluir mapa de riesgos y

controles.

Estatuto Anticorrupción

Decreto Ley 1474 de 2011

 

Posteriormente, a través del Decreto 2641 de 2012, el Gobierno señaló que para elaborar la estrategia mencionada en el artículo 73 del Estatuto anticorrupción, se deben seguir los lineamientos mencionados en el documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano” En el primer componente de dicho documento se señala que las entidades deberán aplicar una metodología con cuatro etapas a saber:

1) Identificación de riesgos de corrupción 2) Análisis de riesgo de corrupción 3) Valoración del riesgo de corrupción 4) Seguimiento de los riesgos de corrupción

 

En la etapa de identificación, se busca de manera general “identificar un conjunto sistemático de situaciones que por sus características, pueden originar prácticas corruptas” asociándolas a cada uno de los procesos y procedimientos de la respectiva entidad. A nivel ilustrativo la metodología señala algunos procesos susceptibles de actos de corrupción. Por ejemplo, en el Proceso de Direccionamiento Estratégico de una Entidad pueden existir riesgos de corrupción tales como: - Concentración de autoridad o exceso de poder. - Extralimitación de funciones. - Ausencia de canales de comunicación. - Amiguismo y clientelismo.

• Concentración de autoridad o exceso de poder.

• Extralimitación de funciones. • Ausencia de canales de

comunicación. • Amiguismo y clientelismo.  

Identificación de riesgos de

corrupción

 

En el Proceso Financiero una Entidad pueden existir riesgos de corrupción tales como: - Inclusión de gastos no autorizados. - Inversiones de dineros públicos en entidades de dudosa solidez financiera, a cambio de beneficios indebidos para servidores públicos encargados de su administración. - Inexistencia de registros auxiliares que permitan identificar y controlar los rubros de inversión. - Archivos contables con vacíos de información. - Afectar rubros que no corresponden con el objeto del gasto en beneficio propio

• Inclusión de gastos no autorizados. • Inversiones de dineros públicos en entidades de dudosa solidez financiera, a cambio de beneficios indebidos para servidores públicos encargados de su administración.

• Inexistencia de registros auxiliares que permitan identificar y controlar los rubros de inversión.

• Archivos contables con vacíos de información. • Afectar rubros que no corresponden con el objeto del gasto en beneficio

Identificación de riesgos de

corrupción

 

En el Proceso de contratación una Entidad pueden existir riesgos de corrupción tales como: - Estudios previos o de factibilidad superficiales.

• Estudios previos o de factibilidad superficiales.

• Estudios previos o de factibilidad manipulados.

• Pliegos de condiciones hechos a la medida de una firma.

• Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes direccionar los procesos.

• Restricción de la participación a través de visitas obligatorias innecesarias.

• Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados.

• Urgencia manifiesta inexistente.

Identificación de riesgos de

corrupción

 

- Estudios previos o de factibilidad manipulados por personal interesado en el futuro proceso de contratación. (Estableciendo necesidades inexistentes o aspectos que benefician a una firma en particular). - Pliegos de condiciones hechos a la medida de una firma en particular. - Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes direccionar los procesos hacia un grupo en particular, como la media geométrica. - Restricción de la participación a través de visitas obligatorias innecesarias, establecidas en el pliego de condiciones. - Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados. - Urgencia manifiesta inexistente. - Designar supervisores que no cuentan con conocimientos suficientes para desempeñar la función. - Concentrar las labores de supervisión de múltiples contratos en poco personal. - Contratar con compañías de papel, las cuales son especialmente creadas para participar procesos específicos, que no cuentan con experiencia, pero si con músculo financiero. En la etapa de análisis de riesgo de corrupción se busca determinar el grado en el cual se puede materializar un evento.

Como en toda la teoría de riesgos, el grado de materialización depende de la probabilidad de ocurrencia y del impacto de su materialización. Conforme a los lineamientos establecidos en la Norma, la probabilidad de ocurrencia de un riesgo de corrupción es: Casi seguro: se espera que el evento ocurra en la mayoría de las circunstancias Posible: el evento puede ocurrir en algún momento.

 

Mientras que el impacto de la materialización de un riesgo de corrupción es único, por cuanto lesiona la imagen, la credibilidad, la transparencia y la probidad de las entidades y del Estado, afectando los recursos públicos, la confianza y el cumplimiento de las funciones de la administración. De acuerdo a esto, la materialización de un riesgo de corrupción es inaceptable.

En la etapa de valoración del riesgo de corrupción debemos establecer los controles (preventivos y correctivos) que buscan combatir o eliminar las causas que lo generan. Teniendo en cuenta que el riesgo de corrupción es INACEPTABLE por mandato, se hace obligatorio contar con controles muy eficientes que permitan reducir su probabilidad de ocurrencia, de tal forma que el grado de riesgo se mitigue.

• Es necesario que permanentemente se revisen las causas del riesgo de corrupción identificado

Seguimiento de los riesgos de

corrupción

 

En la etapa de seguimiento, las entidades públicas debemos realizar seguimiento a los riesgos identificados y sus causas por lo menos tres veces al año (corte abril, agosto y diciembre) 2. Objetivo del Esquema de Preveción de Fraude y Corrupción POSITIVA, basada en el marco regulatorio mencionado, diseñó su esquema de prevención del fraude y la corrupción con un objetivo:

Identificar  y  formalizar  el  proceso  de  prevención,  detección  y  respuesta  a  todos  aquellos  actos  contrarios  a  la  verdad  y  a  la  rectitud,  que  perjudican  a  Positiva  y/o  a  las  personas  que  

interactúan  con  ella. Nuestro Esquema es un mecanismo que compromete el actuar de TODOS los integrantes de la familia POSITIVA; - Junta Directiva - Empleados Públicos - Trabajadores Oficiales - Empleados Temporales - Proveedores Es importante que todos nos sintamos parte de este compromiso con la compañía por que con ello lograremos generar una cultura en torno a la prevención del fraude. 3, Principios del Esquema de Prevención de Fraude y Corrupción El principal atributo de un esquema de prevención de fraude y corrupción es la confianza. Revisemos cuales son los principales atributos con que cuenta nuestro Esquema de prevención de fraude y corrupción. Empecemos por decir que en Positiva, el esquema de prevención del fraude y la corrupción tiene 8 principios rectores, a través de los cuales se busca garantizar la confianza.

 

Dichos principios son: Principio de Cero tolerancia. Es la principal política. A través de esta declaración, la compañía es categórica al rechazar cualquier acción relacionada con actividades de fraude y/o corrupción. De allí que sea tan importante para nuestra compañía conocer todo tipo de información susceptible de ser analizada a profundidad. Principio de Presunción de buena fe, corresponde a la condición que poseen todos las personas cuando presentan una denuncia acerca de una sospecha de fraude. El principio de Ausencia de represalias garantiza tu libertad de realizar cualquier reporte ya que al hacerlo no contrarias los intereses de la compañía y por lo tanto no hay ningún tipo de represalias.

El Principio de Confidencialidad busca gestionar el reporte recibido con absoluto cuidado en el manejo de la información por parte de las personas administradoras del esquema, de tal forma que no se impacte la honra y reputación de las personas. El principio de cumplimiento de ley es primordial, ya que vela porque todas nuestras acciones, a la luz del esquema de prevención se enmarquen dentro del marco regulatorio respectivo. EL principio de canales de comunicación garantiza que la Compañía contará con mecanismos dispuestos para que quien desee reportar una

• Positiva Compañía de Seguros no tolera el fraude y toma todas las medidas necesarias para combatirlo; por ello, implementa mecanismos, sistemas y controles adecuados que permiten la prevención, detección y tratamiento de estas actividades ilícitas.

Cero tolerancia

• Cuando funcionario o tercero presenta una denuncia sobre un fraude o sospecha de fraude o corrupción, se presume que lo hace de buena fe y con base en indicios o elementos reales.

Presunción de buena fe

• El funcionario o tercero que denuncie la comisión o posible comisión de un acto fraudulento, no será objeto de represalias, amenazas, medidas discriminatorias o sanciones de tipo alguno.

Ausencia de represalias

 

posible señal de alerta lo haga de forma anónima o evidente guardando absoluta reserva.

Para terminar están los principios de régimen sancionatorio y capacitación permanente. El primero de ellos es la declaración material de la Cultura de CERO TOLERANCIA al fraude, en el sentido de que quien incurra en conductas fraudulentas, será sancionado de acuerdo con lo previsto en la Ley y/o la normatividad aplicable. El principio de capacitación permanente garantiza que en POSITIVA contamos con esquemas de sensibilización y comunicación en temas asociados a la prevención del fraude y la corrupción.

• La Junta Directiva así como los miembros del Comité de Ética están obligados a dar un tratamiento de confidencialidad a toda la información recibida y la identidad de las personas involucradas.

Confidencialidad

• Las actividades de prevención, disuasión y detección, así como los procesos de investigación y levantamiento de evidencias se desarrollan en pleno cumplimiento del marco regulatorio.

Cumplimiento de la Ley

• Positiva contará con canales de comunicación abiertos y permanentes para recibir las potenciales denuncias relacionadas con eventos de riesgo de fraude y/o corrupción.  

Canales de comunicación

 

4. Gobierno Corporativo del Esquema de Prevención de Fraude y Corrupción

• Todos los directivos, servidores y trabajadores de Positiva Compañía de Seguros que incurran en conductas fraudulentas, serán sancionados de acuerdo con lo previsto en la Ley y/o la normatividad aplicable.

Régimen sancionatorio

• Positiva implementará anualmente un programa de capacitación que sensibilice y comunique de manera permanente a todos los servidores de la Compañía en las actualizaciones y herramientas asociadas a la prevención del fraude.

Capacitación permanente

 

Desde el punto de vista del esquema de prevención del fraude y la corrupción, los distintos niveles jerárquicos asumimos responsabilidades. La Junta Directiva, como máximo órgano de la Administración debe conocer y pronunciarse sobre los temas relacionados con eventos de fraude. El Comité de Ética se encarga de establecer, gestionar y atender el Esquema de Prevención de Fraude y Corrupción, a través de acciones puntuales tales como:

• Conocer, analizar y decidir sobre las alertas de fraude reportadas al Comité por la Gerencia de riesgos del Negocio o el Oficial de Ética.

 

• Analizar la necesidad y autorizar la realización de investigaciones para las señales de alerta reportadas.

• Tomar las decisiones que se requieran sobre los resultados de las investigaciones.

• Conocer y sugerir mejoras respecto de los eventos de riesgo relacionados con fraude y corrupción en el caso de que se presenten.

• Promover porque Positiva cuente con programas y controles antifraude y anticorrupción que contribuyan a prevenir, detectar y disuadir el fraude y la corrupción.

• Velar por el adecuado funcionamiento y fortalecimiento de los mecanismos y/o canales a través de los cuales se conocen los posibles eventos de fraude y/o corrupción.

Nuestra Presidencia debe brindar apoyo efectivo, eficiente y oportuno al Comité de Ética para que desarrolle su labor. La Vicepresidencia de Riesgos, a través de la Gerencia de Riesgos del Negocio es la encargada de desarrollar y mantener modelos de prevención de fraude al interior de la compañía; así como de capturar y filtrar la información relacionada con conductas de fraude al interior y exterior de la compañía, que sean puesta en su conocimiento a través de los canales dispuestos para esta actividad. Y por últimos estamos TODOS los colaboradores de POSITIVA, cuyo rol es CUIDAR NUESTRA COMPAÑÍA a través de:

• Conocer acerca del Esquema de Prevención de Fraude y Corrupción.

• Administrar adecuadamente los potenciales conflictos de interés • Reportar acciones sospechosas o incidentes relacionados con

fraude. • Ejecutar los controles antifraude a su cargo y dejar evidencia de

su cumplimiento. • Cooperar en las investigaciones que adelanten las autoridades

competentes. • Asistir y participar de las capacitaciones relacionadas con el

tema. 5. Conflicto de Intereses Como funcionarios de POSITIVA es importante saber como actuar frente a un conflicto de interés.

 

Como conflicto de interés entendemos toda aquella situación en virtud de la cual una persona, en razón de su actividad, se encuentra en una posición en donde podría aprovechar para sí o para un tercero las decisiones que tome frente a distintas alternativas de conducta. Por lo anterior esta prohibido:

1) Recibir remuneración, dádivas o cualquier otro tipo de compensación en dinero o especie por parte de cualquier persona jurídica o natural, en razón del trabajo o servicio prestado a La Compañía o a sus grupos de interés;

2) Otorgar compensaciones no autorizadas por las normas pertinentes;

3) Utilizar indebidamente información privilegiada o confidencial

para obtener provecho o salvaguardar intereses individuales propios o de terceros;

4) Realizar proselitismo político o religioso aprovechando su cargo,

posición o relaciones con La Compañía, no pudiendo comprometer recursos económicos para financiar campañas políticas; tampoco generará burocracia a favor de políticos o cualquier otra persona natural o jurídica.

5) Todas aquellas prácticas que atenten contra la integridad y la

transparencia de la gestión de La Compañía y en contra del buen uso de los recursos públicos.

6) Todo tráfico de influencias para privilegiar trámites.

Es malo enfrentarse a un conflicto de interés? No, si sabemos como actuar. Por eso es importante que en caso de enfrentar un POTENCIAL conflicto de interés, lo REVELEMOS, a nuestro jefe inmediato, talento humano y/o control interno, de esta manera estamos protegiéndonos y protegiendo a POSITIVA. Para mayor detalle al respecto, podemos consultar el código de Ética y buen gobierno. Otra forma como podemos CUIDAR a POSITIVA es estando alertas. Como mencionamos en el capítulo anterior, las denuncias son el principal mecanismo de prevención de fraude.

 

Por lo anterior aseguremos y garanticemos la aplicación de controles al interior de nuestros procesos, estemos atentos a señales de alerta que llamen nuestra atención y denunciemos lo que consideremos conductas sospechosas, a través de los mecanismos definidos por POSITIVA, con el objeto de que órganos especializados den el tratamiento requerido.

Y … ¿QUIEN NO CUIDA LO QUE QUIERE? ...APORTEMOS TODOS PARA PROTEGERNOS.

ESQUEMA DE PREVENCION DEL FRAUDE Y LA CORRUPCION

Semana 4 Sistema de Gestión de Continuidad del Negocio ¿Qué generó la necesidad de implementar esquemas de continuidad? Los desastres naturales, las bajas por enfermedad, los problemas de transporte y la interrupción del suministro eléctrico han estado ahí desde el principio de los tiempos, pero el enorme abanico de tecnologías que empleamos en el siglo XXI y la importancia de los datos digitales acaparan ahora gran parte de la lista de lo que muchos llaman "factores de fallo”. La planificación de la continuidad de negocio no es otra cosa que prever lo que puede hacer la compañía para satisfacer a sus clientes y otras partes interesadas en la peor de las situaciones. La organización necesita saber cómo puede ofrecer el nivel de servicio acordado durante situaciones de crisis y, a continuación, recuperar todos sus sistemas y datos para volver a la normalidad lo más rápido posible. 1                                                                                                                1  http://www.colt.net/es/es/articles/la-­‐continuidad-­‐de-­‐negocio-­‐es-­‐esencial-­‐para-­‐cualquier-­‐empresa-­‐es.htm    

 

Dónde surge la necesidad de implementar esquemas de continuidad.

A partir de que los administradores de centros de cómputo comenzaron a reconocer la dependencia de sus organizaciones con sus sistemas computarizados y posteriormente con el rápido crecimiento del Internet en los noventas y la década del 2000, las organizaciones de todos los tamaños se volvieron mucho más dependientes de la disponibilidad de sus sistemas informáticos. Este incremento de la dependencia con los sistemas de TI, así como la conciencia de posibles desastres a gran escala, como el del "11 de septiembre", contribuyeron al crecimiento de las diversas industrias relacionadas a la recuperación ante desastres y a la consolidación de la disciplina de continuidad de negocios.2 ¿Cómo llega la necesidad de continuidad a Colombia? En Colombia a partir de la tragedia de Armero ocurrida en el año 1985 se logró la conciencia de la sociedad y el Gobierno Nacional sobre la vulnerabilidad de la población frente a eventos de tipo catastrófico, éste evento en especial hizo que se crearan instituciones como la Dirección de Prevención y Atención de Desastres. Eventos posteriores de orden nacional e internacional, como los atentados terroristas del 11 de septiembre, fueron un factor clave y determinante para que las regulaciones gubernamentales, comenzaran a exigir que las organizaciones de los diversos sectores de la economía contaran con un sistema de gestión de la continuidad del negocio (SGCN).En Colombia específicamente en el año 2007 a partir de las circulares 041 y 052, la Superfinanciera plasma y exige explícitamente a las entidades vigiladas la adopción de esquemas de continuidad. Ejemplo: Telefónica Movistar de Colombia, es una de las empresas operadoras del servicio de telecomunicaciones del país y que también tiene presencia en casi la mayoría de países de nuestra región. Telefónica Movistar Colombia tiene implementado un programa de continuidad del negocio considerando la priorización de procesos urgentes de recuperar, una evaluación de riesgos de las principales sedes del país, la implementación de estrategias de recuperación, establecimiento de la gestión de crisis y sus planes de continuidad operativos, la realización de pruebas y ejercicios además de programas

                                                                                                                                                                                                                                                                                                                                     2  http://businesscontinuity-­‐pe.blogspot.com/2012/07/antecedentes-­‐historicos-­‐de-­‐la.html#!/2012/07/antecedentes-­‐historicos-­‐de-­‐la.html  

 

de sensibilización y capacitación. Telefónica Movistar Colombia puso en práctica sus planes de continuidad del negocio debido a los incidentes disruptivos presentados por la ola invernal que afectó Colombia en los últimos años. (SELA, 2013)3 Cómo llega la necesidad de continuidad a Positiva.

Tras llevarse a cabo el convenio para la cesión de activos, pasivos y contratos entre la Administradora de Riesgos Profesionales del ISS a la Previsora Vida S.A, el Ministerio de Hacienda y Crédito Público a través del decreto No. 3147 de 2008 establece la estructura de la Previsora Vida S.A. Compañía de Seguros, donde se determinan las funciones de sus dependencias, dependencias dentro de las cuales se encontraba la Oficina de Gestión Integral del Riesgo, que cinco año después, a través del decreto 1527 de 2013, pasó a ser la Vicepresidencia de Riesgos. Para ese entonces, 2008, la Oficina de Gestión de Riesgos fue la encargada de la implementación de la circular 041 de 2007 de la Superintendencia Financiera de Colombia, circular que dentro de su contenido establece los lineamientos en tema de riesgo operativo y continuidad del negocio para las entidades vigiladas. Ejemplo: Banco de la Republica como Referente Latinoamericano en Continuidad del Negocio.

En la actualidad el Banco de la República de Colombia ha implementado uno de los esquemas de continuidad más avanzados a nivel de Latinoamérica; sus avances en continuidad del negoció lo han convertido en un referente en temas de continuidad para la región.

Normatividad y Autorregulación:

Marco Normatividad Colombiano:

Para el sector asegurador los temas de continuidad del negocio se regulan a través de las siguientes circulares:

Circular Externa 100 de 1995 - Circular Básica Contable y Financiera.

                                                                                                               3  La  continuidad  de  negocios  y  operaciones  frentea  situaciones  de  desastre  en  América  Latina  y  el  Caribe.  Balance  y  recomendaciones  –  2013.  

 

Recopila en un solo documento las normas e instructivos vigentes a la fecha de su publicación. En la circular externa 100/95 encontramos el capítulo XXIII referido a las Reglas relativas a la Administración del Riesgo Operativo y dentro de este capítulo lo relacionado con continuidad del negocio.

Circular 041 de 2007 – SARO Modifica el capítulo XXIII de la circular Básica Contable y Financiera, (capítulo que había sido adicionado a la circular Básica Contable y Financiera mediante la Circular Externa 048 de 2006). La circular 041/2007 establece el deber que tienen las entidades vigiladas de desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo. Dentro de la circular en el numeral 3.1.1.1 se establece los relacionados con la Administración de la continuidad del negocio. Circular 038 de 2009 - Instrucciones a revisión y adecuación del Sistema de Control Interno (SCI). Circular referida a las Instrucciones relativas a la revisión y adecuación del Sistema de Control Interno (SCI), en su numeral 7.5.2 Gestión de Riesgos, específicamente en el numeral VI establece: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad, que incluya elementos como: prevención y atención de emergencias, administración de crisis, planes de contingencia para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la operación normal.

Circular 042 de 2012 - Requerimientos de seguridad y calidad para la realización de operaciones. Modifica circular 052/2007, imparte instrucciones relacionadas en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones. Específicamente en su numeral 3.2 Tercerización – Outsourcing, sub-numeral 3.2.3, se expresa: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las

 

entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas.

¿En qué consiste la Autorregulación? La autorregulación se refiere a la capacidad de una entidad para regularse a sí misma, en base al control y monitoreo voluntario; denota un nivel avanzado de madurez al que ha llegado una compañía en la concepción de su propia organización. En Positiva existen varios aspectos en los que se ha desarrollado esquemas de autorregulación, como lo son el Código de Ética y Buena Gobierno o la adopción de normas y estándares internacionales que permitan desarrollar sus sistemas de gestión. Dentro de estos estándares y específicamente para el tema de continuidad del negocio, la organización ha adoptado el estándar ISO 22301. Línea de Tiempo con las normas que han regido los SGCN. En materia de estándares relacionados con el tema de continuidad del negocio, podemos ver la evolución a través de la siguiente línea de tiempo:

4 BSI y DRII

                                                                                                               4  Alberto  Alexander Servat, Ph.D. por la University of Kansas, M.A. por la Northern Michigan University y Licenciado en Administración por la Universidad de Lima - NUEVO ESTÁNDAR INTERNACIONAL EN CONTINUIDAD DEL NEGOCIO - ISO 22301:2012

 

Además del estándar internación, existen instituciones internacionales dedicadas al desarrollo de los temas de continuidad del negocio, que es importante conocer, estos institutos establecen lineamientos internacionales acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha materia. BSI: British Standards Institution.

DRI: Disaster Recovery Institute. Americano.

BCI: Business Continuity Institute. Británico

Institución británica que desarrolla, informa y certifica estándares nacionales e internacionales.

Institutos que establecen lineamientos internacionales acerca de las mejores prácticas de continuidad del negocio y certifica personas en dicha materia.

ISO 22301 y NTC 5722.

En Colombia el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, como organismo nacional de normalización, plasmó por medio de la Norma Técnica Colombiana 5722 una adopción idéntica (IDT) por traducción de la norma ISO 22301:2012.

Fases esquema de continuidad del negocio:

Los esquemas de continuidad de manera general se estructuran en tres fases:

ANTES - PREPARACIÓN: fase en la que la organización se prepara, implementa y mejora un esquema de continuidad que le permita hacer frente a un posible incidente.

DURANTE - ACTUAR: en esta fase se llevan a cabo las acciones diseñadas en planes, procedimientos y protocolos previamente establecidos, que permite controlar las consecuencias de los incidentes que afecten a la organización.

DESPUÉS - VERIFICACIÓN: una vez se superada la contingencia que dio origen a la detención o falla en la operación, se realiza un retorno a la normalidad que debe ser planeado, progresivo y organizado.

 

Y … ¿QUIEN NO CUIDA LO QUE QUIERE?

...APORTEMOS TODOS PARA PROTEGERNOS.

ESQUEMA DE PREVENCION DEL FRAUDE Y LA CORRUPCION

ANTES   DURANTE     DESPUÉS