GESTIÓN DEL RIESGO

MÓDULO 3

TEMA 1 ETAPAS DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Como ya hemos mencionado, los estándares internacionales de gestión de riesgos (ISO 31000:2009) señalan que el proceso tiene siete etapas: • Análisis del contexto • Identificación de riesgos • Análisis de riesgos • Evaluación de riesgos • Tratamiento de riesgos • Comunicación y consulta • Monitoreo y revisión del proceso En Positiva Compañía de Seguros hemos adoptado dicho estándar de Administración de Riesgos para dar cumplimiento a las exigencias normativas que tenemos. ETAPA 1. ANÁLISIS DEL CONTEXTO La primera etapa para la administración de riesgos consiste en entender la organización, sus objetivos, estrategias; así como identificar todas aquellas áreas, procesos y proyectos de la organización a los cuales se podría aplicar un análisis de riesgo. Este análisis se compone de tres niveles: - Contexto interno Es el conocimiento que tenemos de la organización (estructura, capacidades, objetivos y las estrategias para alcanzarlos), en el cual identificamos sus debilidades y fortalezas - Contexto externo Consiste en entender el entorno en el que la organización opera, define las relaciones de la misma y su ambiente externo de negocios, busca identificar sus amenazas y oportunidades - Contexto específico

 

Identifica para cada proceso su objetivo, delimitando claramente su actividad inicial y su actividad final En el caso de Positiva Compañía de Seguros S.A. como resultado del análisis de contexto se resaltan los siguientes aspectos, que determinan la manera como se gestionan los riesgos en nuestra Compañía •Positiva Compañía de Seguros es una Compañía adscrita al Ministerio de Hacienda y Crédito Público. •Es una entidad vigilada por la Superintendencia Financiera de Colombia y los entes de control gubernamental (Contraloría, Procuraduría, entre otros) •Como Compañía de Seguros desarrolla su actividad a través de dos líneas de negocio: Seguros de Vida y Riesgos Laborales. •Es una entidad joven con una política clara de cero tolerancia al fraude y conservadora frente al riesgo, que cuenta con un modelo de negocio altamente tercerizado. •Positiva Compañía de Seguros S.A. se rige bajo la norma GP1000, razón por la cual está estructurada en un modelo de gestión por procesos; actualmente cuenta con 41 procesos; distribuidos en 7 estratégicos, 24 misionales y 10 de apoyo. •Funciona bajo el estándar de gestión de calidad por lo cual cuenta con procesos y procedimientos claramente documentados y definidos. Toda esta información es un insumo vital para la adecuada gestión de los riesgos, particularmente los riesgos operativos, a los que está expuesta la Compañía a través de cada uno de los procesos que la componen. Como resultado de la etapa de análisis de contexto en Positiva Compañia de Seguros, la Junta Directiva definió el siguiente marco de actuación: - Objetivo general La Gestión de Riesgos del Negocio en Positiva Compañía de Seguros S.A. tiene como objetivo que la Entidad cuente con un proceso sistemático, ejecutado por todos los niveles de la Compañía (a partir de la Junta Directiva y de forma descendente) que permita identificar eventos potenciales que puedan afectarla y gestionar sus riesgos dentro de niveles permitidos y aceptables. - Principios de la Gestión de Riesgos del Negocio: La Gestión de Riesgos del Negocio en Positiva Compañía de Seguros está sustentada en cinco principios:

 

Principio de Estandarización La gestión de riesgos cumple con los lineamientos generales y particulares dados por la Superintendencia Financiera de Colombia y busca alinearse con las mejores prácticas y estándares nacionales e internacionales.

Principio de Independencia Tanto la Vicepresidencia de Riesgos como la Gerencia de Riesgos del Negocio y sus funcionarios son independientes, tanto a nivel funcional como organizacional, de las áreas encargadas de las funciones comerciales, de operaciones, financieras, administrativas y de las técnicas en seguros.

Principio de Calidad Positiva Compañía de Seguros S.A. está organizada por procesos. Por lo anterior, todas las funciones y actividades realizadas por sus funcionarios son ejecutadas con estricta sujeción a los documentos que soportan las políticas, procesos y procedimientos previamente definidos y divulgados.

Bajo este principio, se contará con la participación de los gestores, dueños o responsables de los procesos para desarrollar la gestión de riesgos en toda la Compañía. Principio de Información El proceso de gestión de riesgos garantiza que los resultados de la calificación y/o medición de riesgos del negocio de la entidad serán conocidos por los grupos de interés de la Compañía. Principio de Gestión La gestión de riesgos se basa en la auto-gestión, lo que significa que cada funcionario tiene un rol dentro de los procesos que se ejecutan, siendo responsable directo de la adecuada gestión de los riesgos que asume en su labor diaria. - Estructura de Gobierno Corporativo para la Gestión de Riesgos

 

En Positiva Compañía de Seguros se ha definido una estructura de gobierno corporativo para la gestión de riesgos en la que se identifican 8 roles: - Junta directiva - Comité de Auditoría - Presidencia - Comité de Riesgos de Negocio - Vicepresidencia de Riesgos - Todos los Colaboradores - gerencia de Riesgos del Negocio y - Gestores de Riesgo Como podemos observar en la estructura TODOS y CADA UNO de los colaboradores de POSITIVA COMPAÑÍA DE SEGUROS S.A. tenemos un rol en la gestión de riesgos porque, ¿QUIÉN NO CUIDA LO QUE QUIERE? La Junta Directiva debe asegurar la existencia de los recursos e infraestructura necesaria para garantizar la eficaz administración y gestión del riesgo, así como definir las políticas que en la materia debe adoptar la Compañía. El Comité de Auditoria debe hacer seguimiento al Sistema de Administración de Riesgos y proponer acciones para su fortalecimiento.

 

La Presidencia debe velar por el cumplimiento de las políticas definidas por la Junta Directiva, propondrá políticas a la Junta Directiva y deberá proveer los recursos autorizados por la Junta Directiva para la administración de los riesgos. El Comité de Riesgos asesora al Presidente en la formulación de políticas para proponer a la Junta Directiva y en la gestión de los riesgos del negocio que debe administrar la empresa. La Vicepresidencia de Riesgos es la líder funcional de la gestión de riesgos en Positiva Compañía de Seguros. La Gerencia de Riesgos del Negocio es el área responsable de la implementación y seguimiento a los sistemas de administración de riesgos del negocio mencionados en el alcance y de asumir las funciones de la URO (Unidad de Riesgo Operativo) Todos los colaboradores debemos CUIDAR a POSITIVA, a través de nuestra participación activa del Sistema Integral de Gestión del Riesgo. Esto lo hacemos a través de:

• Cumplir con la directriz de identificar, medir y controlar los riesgos relacionados en el área a la que pertenecemos y en los procesos en los que participamos.

• Asistir a las capacitaciones relacionadas con el tema, que sean coordinadas por la Gerencia de Riesgos del Negocio o por la Gerencia de Recursos Humanos.

• Ajustar los mapas de riesgo del negocio con las sugerencias dadas por la Gerencia de Riesgos del Negocio.

• Ejecutar los controles dispuestos por la Gerencia de Riesgos del Negocio, así como suministrar al Oficial de Cumplimiento información susceptible de análisis.

Positiva Compañía de seguros cuenta con GESTORES de RIESGO o delegados en cada área de la Compañía, quienes están encargados de describir, analizar, evaluar, autoevaluar y monitorear los diferentes tipos de riesgos que se presentan en los procesos de Positiva Compañía de Seguros. - Nivel de Riesgo Aceptable

 

Como resultado de la etapa de análisis del contexto, en Positiva Compañìa de Seguros nuestra Junta Directiva determinó nuestro apetito de riesgo o nivel de riesgo aceptable que se describe así: “El nivel de riesgo aceptable por Positiva Compañía de Seguros S.A. está definido como aquel nivel de riesgo que puede seguir siendo administrado por cada líder de proceso. Así, los riesgos que después del control se ubiquen en los niveles bajo y/o moderado, harán parte del nivel de riesgo aceptable. Para los riesgos que después del control se ubiquen en los niveles distintos a los mencionados, deberán implementarse planes de tratamiento dirigidos a reducir su nivel de riesgo.” Como podemos observar, nuestro nivel de riesgo aceptable tiene dos componentes: Uno que define que el nivel aceptable corresponde a aquellos riesgos calificados como bajos o moderados y el segundo define que para aquellos riesgos en niveles superiores a los mencionados es OBLIGATORIA la implementación de un plan de tratamiento cuyo objetivo sea reducir el nivel de riesgo asumido. ETAPA 2. Identificación Riesgos El objetivo específico de esta etapa, es identificar los riesgos inherentes a cada proceso.

Entendimiento del proceso: Para efectuar una adecuada identificación de riesgos se debe partir de la definición y conocimiento claro del objetivo del proceso, por lo anterior es importante que la documentación se encuentre actualizada y sea conocida a profundidad por los miembros del equipo de trabajo que llevarán a cabo la identificación de riesgos.

 

Levantamiento de Riesgos Una vez conocido el objetivo del proceso, se procede a identificar todas aquellas situaciones que se han materializado en el proceso o que podrían llegar a ocurrir afectando o impidiendo el logro de los objetivos del mismo. Recordemos que nuestra definición de riesgo estudiada en nuestro primer capítulo señalaque riesgo es “Cualquier situación o circunstancia que de llegar a ocurrir podría impedir el cumplimiento de los objetivos de Positiva, de uno de sus procesos o de una de sus áreas” Veamos con un ejemplo lo importante que es para identificar riesgos, conocer claramente el objetivo del proceso: Considera usted que Tomar un taxi en la calle es un riesgo? ¿Si?, ¿No? Tomese un par de segundo para responder dicha pregunta La respuesta más común es que SI, al menos en una ciudad como Bogotá tratemos de entender la diferencia entre RIESGO, CAUSA DEL RIESGO Y CONSECUENCIA DEL RIESGO. Estaría de acuerdo con la siguiente conclusión? Si su objetivo es llegar sano y salvo a su destino El riesgo es tomar un taxi en la calle, la consecuencia del riesgo es ser víctima de un robo o una paliza y la causa del riesgo es salir en hora pico Teniendo en cuenta que riesgo se define como “Cualquier situación o circunstancia que de llegar a ocurrir podría impedir el cumplimiento de los objetivos”; por favor hágase la siguiente pregunta: TOMAR UN TAXI EN LA CALLE me impide llegar SANO Y SALVO A MI DESTINO? si su respuesta es un SI rotundo, Usted ha identificado el riesgo. Si su respuesta no es SI totalmente convincente, posiblemente Usted no ha identificado el riesgo de manera adecuada;. y deberá probar otra línea, como por ejemplo la siguiente: En este caso el riesgo es ser víctma de un robo, la consecuencia es recibir una paliza y la causa es tomar un taxi en la calle.

 

Por favor, hágase la misma pregunta en la cual combina el riesgo con su objetivo: ¿Ser víctima de un robo, me impide llegar sano y salvo a mi destino? Con seguridad su respuesta es un SI, por lo tanto, ha identificado un riesgo Como observa, pueden darse muchas interpretaciones……realmente sin que ninguna SEA equivocada. En esto radica la importancia de no realizar la identificación sin el acompañamiento de un colaborador de la Gerencia de Riesgos de Negocio, quien le apoyarán en la alineación de los riesgos a los parámetros de la metodología adoptada en POSITIVA. los principales parámetros que deben tenerse en cuenta para identificar riesgos en cada uno de los procesos son: - si no afecta el objetivo, no es un riesgo - La ausencia de control, no es un riesgo - El incumplimiento del objetivo, no es un riesgo Análisis de Causas: Una vez se ha identificado un riesgo se debe llevar a cabo el análisis de sus causas, o aquellos factores o agentes generadores del riesgo identificado. Como vimos en el primer capítulo, en POSITIVA, las causas del riesgo se clasifican: Recurso Humano, procesos, tecnología, infraestructura y factores externos. Para el análisis de causas es válido el uso de cualquier de las distintas metodologías conocidas, tales como lluvia de ideas, espina de pescado o causa-efecto, 5 por que´s, 5W2H (Nombre dado a una metodología de identificación de causas por sus siglas en inglés: 5W + 2H. Las “W” hacen referencia a: What, When, Who, Where y Why. Las “H” hacen referencia a: How y How much.) o cualquier otra metodología mencionada en el “Instructivo de Análisis de causas” de nuestro Sistema de Gestión. Clasificación de riesgos Una vez identificado y descrito el riesgo, se procede a su clasificación. Para tal fin, todos los riesgos operativos deben encontrarse en una de las siguientes categorías: -Fraude Interno -Fraude Externo -Relaciones Laborales y Seguridad en el puesto de trabajo -Prácticas con clientes, productos y negocios -Daños a Activos físicos -Ejecución y administración de procesos

 

-Fallos en sistemas y/o Tecnología -Cumplimiento o Conformidad Legal y -Afectación de la reputación o buen nombre -Fraude Interno: Cualquier tipo de actuación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales en las que se encuentra implicado, al menos, un empleado o administrador de la entidad, en beneficio propio o de un tercero. -Fraude Externo: Cualquier tipo de actuación o situación orientada a defraudar, apropiarse indebidamente de bienes o incumplir normas, leyes o políticas empresariales por parte de una persona externa a la entidad, en beneficio propio o de un tercero. -Relaciones Laborales y Seguridad en el puesto de trabajo: Actuaciones o situaciones incompatibles con la legislación laboral, los acuerdos internos de trabajo en general, la legislación vigente sobre la materia o el pago de reclamaciones por daños personales. -Prácticas con clientes, productos y negocios: actuaciones que conlleven el incumplimiento negligente o involuntario de las obligaciones frente a los clientes, de prácticas comerciales o de obligaciones relacionadas con el diseño de un producto o servicio. -Daños a Activos físicos: actuaciones que conlleven daños o perjuicios a activos físicos de la entidad. -Ejecución y administración de procesos: Actuaciones o situaciones que implican errores en la ejecución y administración de los procesos. -Fallos en sistemas y/o Tecnología: Actuaciones o situaciones asociadas con la capacidad de la compañía para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión. -Cumplimiento o Conformidad Legal: Actuaciones o situaciones que impliquen que la compañía pueda ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales; de igual forma se entiende por riesgo legal actuaciones o situaciones que afecten la formalización o ejecución de contratos o transacciones. -Afectación de la reputación o buen nombre: Cualquier actuación o situación que conlleve al desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la Compañía y sus prácticas de negocio.

 

ETAPA 3. ANÁLISIS DE RIESGOS La etapa de análisis de riesgos busca establecer la calificación del riesgo en términos de su probabilidad de ocurrencia y el impacto de sus consecuencias; con el fin de estimar el nivel de riesgo inherente, así como determinar los controles existentes y su eficiencia para estimar el nivel de riesgo residual. Nivel de Riesgo Inherente Debemos entenderlo como el nivel de riesgo que la Compañía, los procesos o áreas asumen, en ausencia de cualquier acción que la gerencia pueda tomar para cambiar la probabilidad o impacto del riesgo; en otras palabras el riesgo inherente es el nivel de riesgo sin tener en cuenta los controles existentes Nivel de Riesgo Residual Se define como el nivel de riesgo remanente una vez aplicados los controles existentes.

ETAPA 4. EVALUACIÓN DE RIESGOS Esta etapa comprende la comparación del nivel de riesgo residual con el apetito de riesgo establecido por la Junta Directiva de la compañía, con el fin de determinar el grado de exposición de Positiva Compañía de Seguros al riesgo operativo. La evaluación permite establecer los riesgos a los que se les debe dar prioridad para efecto de definir los planes de tratamiento respectivos.

 

El grado de exposición de Positiva Compañía de Seguros al riesgo operativo y su comparación con el apetito de riesgo definido se realizará, como mínimo trimestralmente y será una responsabilidad de la Gerencia de Riesgos del Negocio. Conforme a lo que definió la Junta Directiva como NIVEL DE RIESGO ACEPTABLE O APETITO DE RIESGO, los riesgos que se ubiquen en las zonas Verde y Amarilla son Aceptables. Los riesgos que se ubiquen en las Zonas Naranja y Roja, deben contar OBLIGATORIAMENTE CON UN PLAN DE TRATAMIENTO.

ETAPA 5. TRATAMIENTO DEL RIESGO Esta etapa comprende identificar, registrar, evaluar y elegir el conjunto de opciones para mitigar el riesgo o mejorar el control existente, hasta llevarlo el nivel de riesgo aceptable. Las diferentes opciones de tratamiento que se pueden llevar a cabo y que están definidas en el Manual de Riesgos de Positiva son:

Evitar: no realizar la actividad que genera el riesgo. Mitigar: tomar medidas encaminadas a disminuir la probabilidad y/o el impacto del riesgo.

 

Transferir: reduce el impacto de la materialización del riesgo, a través del traspaso de las pérdidas a otras organizaciones; como en el caso de los contratos de seguros. Aceptar: después de reducir o transferir el riesgo, hay parte del riesgo que se ha retenido (nivel de riesgo aceptable). Para una mejor definición de Plan de Tratamiento, es necesario tener claramente identificadas la causa o causas del riesgo; ya que debe actuar sobre estas, sea a través de un nuevo control, fortaleciendo los controles actuales o llevando a cabo ajuste en recursos que mitigan el riesgo. Los planes de tratamiento definidos para ajustar el nivel de riesgo residual o controlado se constituyen en ACCIONES PREVENTIVAS Y/O CORRECTIVAS del Sistema Integral de Gestión (SIG) por lo que su seguimiento y monitoreo se regirá por las directivas dadas en el SIG ETAPA 6. COMUNICACIÓN Y CONSULTA Es el proceso interactivo de intercambio de información y opiniones, que involucra múltiples mensajes acerca de la naturaleza del riesgo y la gestión del mismo. Positiva Compañía de Seguros, cuenta con una serie de herramientas que permiten comunicar a la organización la información relevante en relación a la gestión de riesgos operativos:

ETAPA 7. MONITOREO Y REVISIÓN DEL PROCESO Pocos riesgos permanecen estáticos, por lo tanto, los riesgos y la efectividad de sus medidas de control necesitan ser monitoreados continuamente, para asegurar que circunstancias cambiantes del entorno no generan nuevos riesgos o los modifican.

 

Por lo anterior, Positiva monitorea trimestralmente su perfil de riesgo a través del indicador denominado: Nivel de Riesgo controlado SARO El Nivel de Riesgo controlado SARO, hace parte del Balanced Scorecard de la Compañía como un indicador corporativo. Su objetivo es monitorear el cumplimiento del nivel de riesgo operativo establecido por la Junta Directiva a nivel institucional. Este indicador es estimado por proceso y comunicado trimestralmente a los dueños de los mismos. El Comité de riesgos, en sus reuniones periódicas, monitorea la evolución del nivel de riesgo de la Compañía y de los procesos. Y ... ¿QUIÉN NO CUIDA LO QUE QUIERE? ...LA GESTIÓN DE RIESGOS ES UN COMPROMISO DE TODOS!!!! SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERATIVOS

TEMA 2

SARLAFT

1. Política Institucional SARLAFT

La Política Institucional del Sistema SARLAFT en Positiva Compañía de seguros, se desarrolla sobre cinco pilares fundamentales: 1. CAPACITACIÓN PROCESO DE INDUCCIÓN Brinda una capacitación e instrucción respecto al Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo SARLAFT a los nuevos colaboradores. Esta capacitación se realiza durante el primer mes de ingreso de cada colaborador, y es una responsabilidad de la Gerencia de Talento Humano.

 

PROCESO DE REINDUCCIÓN Se debe realizar como mínimo 1 vez al año. A través de él se busca que todos los colaboradores de Positiva Compañía de Seguros se mantengan actualizados respecto de las modificaciones del Sistema que permanentemente se adoptan para fortalecerlo. Con este curso, Positiva Compañía de Seguros realiza el proceso de reinducción del año 2014. 2. LANZAMIENTO DE NUEVOS PRODUCTOS Este pilar explica la obligatoriedad de realizar un análisis de riesgo de Lavado de Activos y Financiación de Terrorismo frente a: a)El lanzamiento de cualquier producto b)La modificación de sus características, c)La incursión en un nuevo mercado, d)La apertura de operaciones en nuevas jurisdicciones e)El lanzamiento o modificación de los canales de distribución. 3. VINCULACIÓN DE CLIENTES Este pilar explica la obligatoriedad que tenemos frente al conocimiento de nuestros clientes. Recordemos que por clientes definimos: • Tomadores de pólizas • Beneficiarios de pólizas • Intermediarios, • Funcionarios • Proveedores. La responsabilidad de las áreas que mantienen relaciones con clientes es conocer adecuadamente el prospecto de cliente antes de adelantar cualquier tipo de vinculación. Dicho conocimiento inicia con el diligenciamiento del formulario de forma completa con información veraz y confiable; y continúa con la realización de una entrevista cuya evidencia queda consignada en el respectivo formulario. Posteriormente, el superior inmediato de quien realiza la vinculación, tiene a cargo la validación de la información y es un punto de control obligatorio. PROCEDIMIENOS Este pilar alinea el SARLAFT con la política de calidad de Positiva Compañía de Seguros, señalando la necesidad de que todos los controles establecidos en el desarrollo del Sistema, se encuentren documentados.

 

OPERCIONES INUSUALES Este pilar hace referencia a la responsabilidad que tenemos todos los funcionarios de Positiva Compañía de Seguros de reportar al Oficial de Cumplimiento aquella información que consideremos importante respecto a la detección de operaciones inusuales o sospechosas. Este reporte está a cargo de cada uno de los Gerentes de Área, Sucursal o Regional; quienes permanentemente evalúan el comportamiento de las operaciones de sus procesos a cargo, identificando posibles inusualidades que son reportadas al Oficial de Cumplimiento, como mínimo una vez al mes.

2. Estructura Organizacional

Con el fin de garantizar el adecuado funcionamiento del Sistema SARLAFT, describiremos algunos aspectos importantes de la estructura de Gobierno de este sistema:

JUNTA DIRECTIVA: Es el estamento encargado de aprobar las políticas descritas en el Manual de Gestión de Riesgos de Negocio, designar al Oficial de Cumplimiento Principal y Suplente, evaluar y aprobar el perfil de riesgo y de ser necesario pronunciarse frente al comportamiento del sistema.

 

OFICIAL DE CUMPLIMIENTO: La Dra. SARITA ZAMBRANO SEGURA, actual Vicepresidente de Riesgos, tiene el rol de Oficial de Cumplimiento Principal; cuya responsabilidad es velar por el efectivo, eficiente y oportuno funcionamiento del Sistema SARLAFT. PRESIDENTE: El Presidente tiene bajo su responsabilidad la verificación de los procedimientos establecidos para desarrollar las políticas adoptadas por la Junta Directiva, así como prestarle apoyo eficiente, efectivo y oportuno al Oficial de Cumplimiento para el funcionamiento del sistema. FUNCIONARIOS: Los funcionarios son parte fundamental ya que contribuyen identificando y reportando al Oficial de Cumplimiento cualquier operación, actividad o situación, que según su percepción tenga características de inusual. VICEPRESIDENCIA DE RIESGOS: Esta Vicepresidencia cuenta con un equipo de profesionales que brindan el apoyo necesario para monitorear el sistema acorde a la definición de riesgos y controles establecidos para garantizar la protección frente al riesgo de ser utilizados en actividades del Lavado de Activos y Financiación del Terrorismo.

3. Etapas del SARLAFT

El sistema SARLAFT está compuesto por 2 etapas o fases: Prevención y Control. Al interior de cada una de ellas, Positiva desarrolla las distintas actividades del ciclo de administración de riesgos

 

Identificación En esta etapa se hace una lista de los riesgos de LA/FT inherentes al desarrollo de las actividades propias del negocio. La identificación de riesgos de LA/FT se hace teniendo en cuenta los cuatro factores de riesgo explicados en el primer capítulo de esta capacitación sobre SARLAFT: Cliente, Canal, Jurisdicción y Producto. Teniendo en cuenta que la gestión de riesgo de LA/FT está muy ligada al comportamiento y prácticas comerciales, es necesario que para una adecuada identificación de riesgos se realice un ejercicio de segmentación de operaciones de nuestros clientes. Dicha segmentación tiene como objetivo la identificación de “grupos homogéneos a su interior y heterogéneos entre sí”, de tal forma que para cualquier factor de riesgos sea fácilmente identificable una operación que se sale del comportamiento normal del grupo específico. La etapa de identificación de riesgos es una responsabilidad de cada dueño de proceso, con el acompañamiento de la Gerencia de Riesgos del Negocio. MEDICIÓN En esta etapa se tiene como objetivo detectar operaciones inusuales y/o sospechosas. La etapa de monitoreo es una responsabilidad de cada dueño de proceso. Las distintas gerencias deben reportar aquellas operaciones que consideren inusuales al Oficial de Cumplimiento, como mínimo una vez al mes.

 

¿Cómo la materialización de un riesgo operativo puede generar un riesgo de LA/FT? Por ejemplo, si en la vinculación de un proveedor, no ejecutamos correctamente los procedimientos de conocimiento del mismo, tales como el diligenciamiento adecuado del formulario o la consulta de listas restrictivas, podríamos iniciar relaciones comerciales con personas naturales o jurídicas que busquen usarnos para lavar o blanquear dinero. De llegar a suceder lo anterior, estaríamos ante un Evento de Riesgo Operativo relacionado con un error humano por no cumplir el procedimiento definido. Ese error nos genera el riesgo de ser utilizados para el lavado de dinero. Para analizar la variable de impacto en la materialización de un riesgo de lavado de activos y financiación del terrorismo es importante mencionar que sus consecuencias siempre están atadas a la materialización de un riesgo legal (es decir el Pago de sanciones por falta de implementación de adecuados controles) o riesgo reputacional (es decir Deterioro de la imagen como resultado de una percepción negativa). De acuerdo a lo anterior, se concluye que el Riesgo de lavado de activos y financiación del terrorismo tiene riesgos asociados, que como ya vimos son: el riesgo operativo, el riesgo de contagio, el riesgo reputacional y el riesgo legal. Se concluye que el Riesgo de LA/FT tiene riesgos asociados, que como ya vimos son: el riesgo operativo, el riesgo de contagio, el riesgo reputacional y el riesgo legal. CONTROL En Positiva Compañía de Seguros contamos con un inventario de 42 controles relacionados con el riesgo de LA/FT. Dichos controles se encuentran concentrados principalmente en aquellos procesos de cara a la vinculación de clientes •Proceso de canales •Proceso de Gestión Integral del riesgo •Proceso de Recursos humanos •Proceso de Recaudo y Cartera •Proceso de compras y contratación •Proceso de cuentas por pagar •Proceso de contabilidad •Proceso de suscripción y expedición •Proceso de mantenimiento de pólizas La etapa de control es una responsabilidad de cada dueño de proceso, quien debe velar por que los mismos sean eficientes como mitigador del riesgo de LA/FT.

 

MONITOREO Etapa de Monitoreo. En esta etapa se tiene como objetivo detectar operaciones inusuales y/o sospechosas. Para lo anterior, el ejercicio de segmentación mencionado en la etapa de identificación es de vital importancia, ya que es la base para ejecutar un monitoreo adecuado y selectivo de operaciones. La etapa de monitoreo es una responsabilidad de cada dueño de proceso. Como se mencionó anteriormente las distintas gerencias deben reportar aquellas operaciones que consideren inusuales al Oficial de Cumplimiento, como mínimo una vez al mes. En resumen, EL SARLAFT en Positiva Compañía de Seguros incluye múltiples componentes, que es importante conocer. El adecuado funcionamiento del Sistema es una responsabilidad de TODOS. ¿Y quién no cuida lo que quiere? Recuerda que la gestión de riesgos somos todos y es para el beneficio de todos, ¡Contamos contigo! Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo

TEMA 3

Esquema de Prevención de Fraude y Corrupción GESTIÓN DE SEÑALES DE ALERTA DE FRAUDE En este tercer capítulo sobre el Esquema de Prevención de Fraude y Corrupción en Positiva Compañía de Seguros S.A., continuaremos con la generación de conocimiento acerca de su funcionamiento. Por lo anterior, abordaremos las etapas del modelo operativo que permiten desarrollar de manera secuencial y eficiente, la atención oportuna de alertas sobre posibles eventos de fraude y corrupción que se puedan materializar en la Organización.

 

Dichas etapas son: Etapa de Captura Etapa de Filtro Etapa de Planeación Etapa de Investigación y Etapa de Resolución Etapa de Captura Consiste en la recepción de todas las denuncias tanto internas como externas, reportadas a través de los diferentes medios de notificación dispuestos por la Compañía (Línea Ética, Correo Ético y página web). Esta etapa está bajo la responsabilidad de la Gerencia de Riesgos del Negocio quien archiva y custodia toda la documentación de alertas recibidas por canales formales e informales, así como las pruebas documentales que se alleguen como soporte de los posibles actos de fraude perpetrados contra la compañía, a favor propio o de terceros. En esta etapa también incluye la obtención de información relevante sobre el evento, actividad que se desarrolla con absoluta reserva. Es importante recordar que Positiva Compañía de Seguros S.A. tiene dispuestos 3 canales de comunicación para la recepción de alertas de fraude y corrupción: Línea Ética 01-8000-112-870 Correo Ético Lineaetica@positiva.gov.co Página Web: www.positiva.gov.co Etapa de Filtro Esta etapa está a cargo del Oficial de Ética, con el apoyo de la Gerencia de Riesgos del Negocio. Consiste en realizar un análisis preliminar de la razonabilidad de la alerta que fue recibida en el momento de la captura. Todas las alertas recibidas son presentadas al Comité de Ética para su evaluación. Actualmente el Dr. Eduardo Hofmann Pinilla, Secretario General de la Compañía, desempeña el rol de Oficial de Ética.

 

Etapa de Planeación Esta etapa está a cargo del Comité de Ética y consiste en realizar la validación del alcance y expectativas de las investigaciones que se requieran realizar con el propósito de evaluar las denuncias recibidas y filtradas por el Oficial de Ética. El proceso de planeación es muy ágil, con el fin de asignar los recursos necesarios y asegurar la información en los casos que aplique. La priorización de las investigaciones se hace con base en la criticidad de las alertas de fraude. En esta etapa se determina la estimación del presupuesto asignado para las investigaciones, se Identifican los recursos que participan (internos, áreas de soporte, externo) y se selecciona y asigna el equipo investigador. Etapa de Investigación Esta etapa puede estar a cargo de la Oficina de Control Interno o de un equipo externo de investigadores, conforme a la decisión que adopte el Comité de Ética al respecto. En esta etapa se busca el aseguramiento de información crítica, el levantamiento de evidencias y análisis de información, la confirmación de hipótesis y la construcción de papeles de trabajo y reporte de resultados. Se debe tener en cuenta que en el proceso de investigación se respetará la presunción de inocencia, los principios de privacidad y los derechos fundamentales de las personas relacionadas, directa o indirectamente, con dichas denuncias. Para finalizar el esquema de prevención de fraude, todos los resultados de las investigaciones relacionadas a eventos de fraude, serán remitidos por el equipo investigador al Oficial de Ética y éste los someterá a consideración del Comité de Ética, que es la instancia encargada de resolver los casos presentados con base en los resultados de las investigaciones realizadas. Etapa de Resolución Esta etapa se encuentra a cargo del Comité de Ética. En ella se toman las decisiones alrededor de los resultados de la investigación; los cuales se remiten a las instancias competentes para los efectos legales, laborales, disciplinarios, fiscales y penales a que haya lugar. De igual manera se recomiendan los planes de acción para el cierre de brechas identificadas.

 

TEMA 3

Sistema de Gestión de Continuidad del Negocio Primero que todo recordemos que es la continuidad del negocio: La continuidad del negocio (conocida en inglés como Business Continuity) describe los procesos y procedimientos que una organización pone en marcha para garantizar que las funciones esenciales de su operación puedan continuar antes, durante y después de un desastre. En pocas palabras, El Plan de Continuidad del Negocio (BCP) trata de mitigar el impacto de la interrupción de los servicios de misión crítica y restablecer el pleno funcionamiento de la organización de la forma más rápida y fácil que sea posible. ¿Cuáles son las etapas del proceso de construcción del Plan de Continuidad de Negocio? las etapas del proceso de construcción del Plan de Continuidad de Negocio son 7:

1) Análisis de Impacto al Negocio o BIA 2) Análisis de Riesgos o RA 3) Desarrollo y Definición de Estrategias de Continuidad del Negocio 4) Documentación de los Planes de Continuidad del Negocio 5) Capacitación del Recurso Humano 6) Realización de ejercicios o pruebas de contingencia 7) Mantenimiento y Actualización del Plan de Continuidad del Negocio

Análisis de Impacto al Negocio El Análisis de Impacto al Negocio es un proceso administrativo por medio del cual la organización analiza todos los impactos, tanto cuantitativos (financieros) como cualitativos (no financieros), los efectos y pérdidas que pueda sufrir la organización provocados por un incidente o evento imprevisto que afecte la continuidad del negocio. Convencionalmente a este análisis se le llama por su sigla en inglés: BIA, Business Impact Analysis. Tiene como porpósitos

v Identificar operaciones, activos y recursos que requieren un nivel mayor de atención y protección.

v Identificar el momento(s) en el que el negocio se encuentra más expuesto y vulnerable a sufrir impactos.

 

v Proporcionar herramientas y criterios de priorización para la definición de estrategias de recuperación y

v Estimar los impactos potenciales de pérdida, causados por una interrupción.

Dentro del Análisis de Impacto al Negocio, se resaltan dos conceptos que ayudan a cumplir con los propósitos mencionados. Estos son el RTO y el RPO.

El RTO (Recovery Time Objective) o Tiempo Objetivo de Recuperación, se define como el tiempo máximo o límite que debe transcurrir entre el momento del evento que compromete la disponibilidad de un servicio y el momento en que reinicia su disponibilidad en un estado de contingencia.

El RPO (Recovery Point Objective) o Punto Objetivo de Recuperación, se define como el punto en el tiempo en el que los datos deben ser recuperados.

Para explicar los conceptos de RTO y RPO suponga lo siguiente: Asuma que Usted está realizando un informe en Excel y se presenta una falla eléctrica que conlleva que su computador se apague y por lo tanto no pueda continuar trabajando. Pregúntese:

 

Cuanto tiempo podría estar detenido su trabajo, de tal forma que no afecte el objetivo de su proceso? La respuesta que obtenga a dicha pregunta se conoce como RTO. Cuanta información está dispuesto a perder? La última hora? Media hora? El tiempo transcurrido entre el momento de la última grabación y el momento del apagón es el RPO, ya que es el punto en el tiempo en el que quedó el informe.. En la definición del Plan de Continuidad de Negocio estos dos conceptos son CLAVE, ya que señalan en gran parte, el tipo de estrategia necesaria, y por ende el costo de implementación de la misma. A menores RTO y RPO, mayor nivel de exigencia en la respuesta ante un evento de contingencia y posiblemente mayor nivel de inversión. Suponga que en el ejemplo propuesto, tiene dos respuestas: Concepto Respuesta 1 Respuesta 2 RTO 1 día 1/2 hora RPO 3 horas 5 minutos En cuál de las dos opciones considera Usted que hay un mayor nivel de exigencia en términos de la reacción que debe darse en caso de una falla eléctrica? Seguramente en la opción 2. Que opciones tendría como estrategia de continuidad de negocio, para que en caso de que se presente una falla eléctrica, su trabajo NO se detenga más de ½ hora? Seguramente pensaríamos en una planta eléctrica que se active rápidamente en caso de una falla eléctrica. Sería la misma estrategia de continuidad si su situación fuera la descrita en la opción 1? Posiblemente no. En este caso, Usted podría esperar 1 día a que el servicio eléctrico se reestablezca sin tener que invertir en la planta eléctrica y podría pensar en otras estrategias de continuidad, como por ejemplo trasladarse a otra zona de la ciudad donde no haya falla eléctrica; lo que posiblemente no le implique una inversión económica alta. Análisis de Riesgos, RA El Análisis de Riesgos consiste en el proceso sistemático que identifica la naturaleza y las causas de los riesgos de interrupción a los que la organización

 

se encuentra expuesta. El análisis de riesgo es el proceso total de identificación, análisis y evaluación de riesgos que afectan la continuidad del negocio. Convencionalmente a este análisis se le llama por su sigla en inglés: RA, Risk Assesment. El análisis de riesgos ayuda a preparar a Positiva Compañía de Seguros S.A., para responder y recuperarse de eventos no planeados (riesgos) de interrupción, que puedan afectar la imagen y reputación de la compañía, así como las actividades de los procesos claves de negocio. El análisis de riesgos se hace por activo. Esto significa que se busca conocer el nivel de vulnerabilidad al que están expuestos los principales activos de la compañía, ante la materialización de riesgos que afecten la continuidad de negocio. Los activos que genéricamente se incluyen dentro de este análisis son: La infraestrcutura Física El Centro de Cómputo Las bases de datos Recurso Humano. Por cado activo mencionado se hace un análisis de 12 categorías de riesgo a saber:

 

1. Acceso a la Edificación 2. Administración y Entorno Tecnológico 3. Construcción del Edificio y Materiales 4. Información y Administración del Edificio 5. Oficina y Estaciones de Trabajo 6. Perímetro y Estacionamiento 7. Protección Anti-incendios 8. Riesgos Entorno Geográfico 9. Riesgos Naturales 10. Riesgos Potencia Eléctrica 11. Riesgos Telecomunicaciones 12. Centro de datos

Desarrollo y Definición de Estrategias de Continuidad del Negocio Con base en los resultados del análisis de riesgos (RA) y los impactos identificados en el análisis de impacto (BIA) se analizan distintas alternativas de respuesta, hasta seleccionar la más apropiada para cada producto o servicio CRITICO que se ofrezca.

 

Dependiendo del activo que se vea afectado por la materialización de un riesgo de continuidad, las estrategias más utilizadas y generales a cualquier sistema de gestión de continuidad de negocio, más no las únicas, son: - El centro de operación de contingencia – COC para la infraestructura física - El centro de datos alterno para la infraestructura tecnológica EL presonal de Back up para los recursos humanos - Los proveedores alternos y los acuerdos de niveles de servicio para los proveedores - Y la replicación en línea o batch hacia bases de datos alternas para las bases de datos Es necesario que tengamos presente que las estrategias definidas e mplementadas para la recuperación de la operación JAMÁS buscan recuperarla al 100%. Su objetivo es alcanzar un nivel de SOBREVIVENCIA en la operación por un período de tiempo previamente definido. De acuerdo a lo anterior, los recursos requeridos como personal, infraestructura, entre otros serán un número reducido y seleccionado, que se concentrarán en las actividades críticas y prioritarias de cara al cliente. Activo Afectado Estrategia comúnmente utilizada

  Infraestructura  Física

Centro  de  Operación  en  Contingencia  –  COC.

 Infraestructura  Tecnológica

Centro  de  Datos  Alterno.

  Recursos  Humanos

Personal  de  Back  Up

 

Documentación de los Planes de Continuidad del Negocio Y ¿qué se debe hacer una vez seleccionada e implementada la estrategia? se procede a detallar por medio de documentos denominados planes de continuidad de negocio; los pasos, responsabilidad y actividades que los integrantes de los equipos de continuidad deben seguir antes, durante y después de un incidente, para mantener o restaurar las operaciones y garantizar la continuidad. Los planes de continuidad de Negocio, son documentos que consolidan un conjunto de actividades críticas, cuyo objetivo principal es permitir a la compañía seguir operando bajo condiciones adversas, el implementar estrategias adecuadas, objetivos de recuperación, planes de gestión de crisis y estrategias de gestión de riesgos. Responden a preguntas como: ¿Quien debe actuar en caso de que se materialice un riesgo de continuidad? ¿Qué hacer en caso de que se materialice un riesgo de continuidad? ¿Dónde hacer lo que debo hacer? ¿Cuándo hacerlo? ¿Cómo hacerlo?

Proveedores  Alternos.    

Acuerdos  de  Niveles  de  Servicio.  

Proveedores  

 Bases  de  Datos    Replicación  en  línea  o  en  batch  hacia  bases  de  

datos  alternas.  

 

Cuando el Plan está relacionado con temas tecnológicos se denomina Plan de Contingencia Tecnológico o DRP por sus siglas en inglés (Disaster Recovery Plan), cuando el plan está relacionado con eventos de falla en activos distintos a tecnología se denomina comúnmente Plan de Continuidad de Negocio o BCP por sus siglas en inglés (Business Continuity Plan) Capacitación del Recurso Humano La continuidad de negocio no tendría mayor utilidad si la Organización desconoce su rol, responsabilidades, los esfuerzos, los recursos y la preparación que la compañía ha realizado en este campo. Por lo tanto, existe un programa anual de Divulgación, Sensibilización y Capacitación dirigido a toda la organización y que tiene como objetivo convertir la gestión de la continuidad del negocio en parte de los valores, hábitos y confianza de la organización y todas sus partes interesadas. Los medios utilizados son:

• Capacitaciones presenciales. • Capacitaciones virtuales. • Artículos en revista virtual • Artículo en revista física • Correo Interno Comunicándonos • Salvapantallas • Cartelera Electrónicas • Radar Positiva • Entre otros.

Realización de ejercicios o pruebas de contingencia Buscan a través de los proceso de auditoría, mediciones, revisiones y realización de ejercicios de continuidad, demostrar que el alcance y aplicabilidad de la estrategia y planes propuesto son los adecuados, así como verificar la vigencia de la estrategia y de los planes e identificar oportunidades de mejora. En esta etapa es sumamente importante contar con un programa de Ejercicios a través del cual podamos validar que los planes definidos son funcionales. Adicionalmente la realización de pruebas periódicas permite mantener actualizados los Planes definidos. Existen diversos tipos de ejercicios de continuidad; desde los más sencillos, que son los ejercicios de escritorio, hasta los más complejos y completos que son las pruebas integrales.

 

Los ejercicios se pueden clasificar en dos grupos: ejercicios basados en discusión y ejercicios basados en operación Ejercicios basados en discusión Escritorio: Involucra a los participantes claves donde se discuten escenarios simulados que incluyen eventos de interrupción en un ambiente no formal (Alrededor de una mesa). Es una herramienta para desarrollar competencias y soporte para un plan o procedimiento existente. Este ejercicio puede hacerse con tiempos definidos o abiertos para propiciar discusiones más profundas. Juego: Es una simulación de las operaciones en el cual se involucran dos o más equipos, usualmente en un ambiente competitivo, usando reglas, datos y procedimientos diseñados para representar una situación real. Ejercicios basados en la operación Ejercicio funcional: Examina y/o valida la coordinación y control entre varios agentes. Un ejercicio funcional simula un ambiente de operación real usando problemas complejos que requieren respuestas rápidas y efectivas. Este tipo de ejercicio es usado usualmente para evaluar personal entrenado bajo presión y con tiempos controlados. Ejercicio a escala completa: Este ejercicio involucra las agencias, dependencias y disciplinas que integran las acciones de respuesta tanto de los equipos funcionales como de agentes externos. Este es el método más complejo de ejercicios, conducidos en tiempo real, bajo situaciones de presión y con tiempos determinados, orientados a reflejar la realidad Los ejercicios son una importante herramienta con los cuales es posible:

• Construir confianza en el Sistema de Gestión de Continuidad del Negocio, en los programas y las competencias de la organización para proteger sus activos (humanos, físicos, ambientales e intangibles) desarrollando e implementando programas de ejercicios efectivos y eficientes como parte de las actividades para gestión de riesgos de la Compañía.

• Identificar problemas y soluciones • Medir las competencias de la organización para alcanzar sus objetivos.

 

Mantenimiento del sistema Su objetivo es mantener el plan actualizado para reflejar las condiciones cambiantes de la Compañía. Dicho mantenimiento debe realizarse mínimo una vez al año o cuando se presenten cambios importantes en la Compañía. 3. La Continuidad de Negocio en Positiva Compañía de Negcocios S.A. Las estrategias de continuidad definidas en Positiva Compañía de Seguros S.A., tienen las siguientes carácterísticas: Quienes participan?, Dónde se ejecutan la estrategia de continuidad del negocio?, Cómo se estructura el Plan de Continuidad del Negocio? Y Cuándo se activan los planes de continuidad del negocio? - ¿Quienes participan? La estructura de recuperación en cascada es la estructura organizacional diseñada específicamente para actuar en caso de contingencia. Ésta se encuentra compuesta por: - El equipo gerencial de crisis, - El equipo de análisis y atención de incidentes, - Los equipos gerenciales y - Los equipos funcionales. A través de esta estructura se realiza el escalamiento de las notificaciones del incidente, se difunden las decisiones tomadas para la contingencia y en términos generales se logra la recuperación de la operación crítica de la compañía. - Dónde se ejecuta la estrategia de continuidad de Negocio? Positiva Compañía de Seguros S.A., cuenta con dos sitios alternos para enfrentar escenarios de contingencia: El Data Center Alterno (DCA) y el Centro de Operación en Contingencia (COC) Data Center Alterno (DCA)

Lugar donde se encuentra el respaldo de la infraestructura tecnológica y de la información crítica de la Compañía, y se recurrirá a él en caso de fallas en el data center principal.

 

El Data center alterno de POSITIVA se encuentra ubicado en la ciudad de Bucaramanga Centro de Operación en Contingencia (COC) Lugar donde se cuenta con las instalaciones e insumos necesarios para el desarrollo de las operaciones críticas de negocio en caso de no tener disponibilidad del sitio principal de trabajo en la Casa Matriz. El COC del Edificio de Casa Matriz se encuentra ubicado en la ciudad de Bogotá y cuenta con la configuración mínima requerida en términos de hardware, software, conexiones, y registros vitales para la recuperación de las actividades de misión crítica. Es importante anotar que por nuestra característica de una alta dependencia de proveedores externos, éstos también hacen parte de nuestra Estrategia de continuidad de negocio. Lo anterior se materializa a través de los respectivos contratos, en donde se incluye una obligación de los proveedores críticos relacionada con que deben contar y mantener un Plan de Continuidad de Negocio funcional para soportar los servicios prestados a nuestra compañía. Los colaboradores de POSITIVA que asuman el rol de supervisores de contrato tienen la obligación de velar porque el respectivo proveedor cuente y mantenga durante la vigencia del contrato un Plan de continuidad de negocio.” - Cuándo se activan los planes de continuidad de Negocio? El cuándo activar un Plan, se encuentra establecido a través de los conceptos de RTO y RPO. Entre menor sea el RTO de un proceso más pronto se deberá activar el respectivo plan de continuidad En POSITIVA, cada uno de los procesos clasificados como críticos cuenta con un RTO y RPO definido, los cuales marcan la estrategia a utilizar en caso de contingencia. En resumen, una adecuada gestión de la continuidad del negocio, incluye múltiples componentes, que no solo se limitan al diseño e implementación de estrategias y planes de continuidad. Un Sistemas de Gestión de Continuidad permite a las organizaciones analizar de forma holística la entidad, identificar riesgos que puedan poner en riesgo su operación, permear e influir en la cultura organizacional de la gestión de riesgos y enfocar los esfuerzos y recursos destinados, dentro de un proceso de mejora continua.

 

Y ... ¿QUIÉN NO CUIDA LO QUE QUIERE? Recuerda que la continuidad del negocio somos todos y es para el

beneficio de todos, contamos contigo.