PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE

RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA

FEBOR ENTIDAD COOPERATIVA

JEINY PIEDAD ESPITIA HERRAN

UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA INDUSTRIAL ALTERNATIVA PRÁCTICA EMPRESARIAL

BOGOTÁ, D.C. 2019

2

PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE

RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA

FEBOR ENTIDAD COOPERATIVA

JEINY PIEDAD ESPITIA HERRÁN

Trabajo de Grado para Optar al Título de Ingeniero Industrial

Director

ALBERTO GONZÁLEZ ACHURY

Ingeniero Industrial

UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA INDUSTRIAL ALTERNATIVA PRÁCTICA EMPRESARIAL

BOGOTÁ, D.C. 2019

3

4

Nota de Aceptación

Aprobado por el comité de grado en cumplimiento de los requisitos exigidos por la Facultad de Ingeniería y la Universidad Católica de Colombia para optar al título de ingeniero Industrial.

________________________________ Director

________________________________

Jurado 1

________________________________ Jurado 2

________________________________ Revisor Metodológico

Bogotá, 27, Noviembre de 2019

5

DEDICATORIA

El presente trabajo esta ́ dedicado

a mi familia por haber sido mi

apoyo a lo largo de toda mi

carrera universitaria y a lo largo de

mi vida. A mi novio, y a todas las

personas especiales que me

acompañaron en esta etapa,

aportando a mi formación tanto

profesional y como ser humano.

6

AGRADECIMIENTOS

En primer lugar quiero expresar un sincero agradecimiento a Dios por brindarme salud, fortaleza y capacidad para concluir mi objetivo, de manera especial a mi tutor de trabajo de grado, por haberme guiado durante el desarrollo del tema; también hago extenso este reconocimiento a todos los maestros de mi educación superior, quienes me han dado las pautas para mi formación profesional; y por último a todos quienes conforman la comunidad de Febor Entidad Cooperativa, por haberme abierto las puertas, permitiendo la accesibilidad a los diferentes documentos.

7

CONTENIDO

Pág. INTRODUCCIÓN 15 1. GENERALIDADES 16 1.1 ANTECEDENTES 16 1.2 PLANTEAMIENTO DEL PROBLEMA 17 1.2.1 Descripción del Problema 17 1.2.2 Formulación del Problema 17 1.3 OBJETIVOS 17 1.3.1 Objetivo General 17 1.3.2 Objetivos Específicos 17 1.4 JUSTIFICACIÓN 18 1.5 DELIMITACIÓN 18 1.5.1 Espacio 18 1.5.2 Tiempo 18 1.5.3 Contenido 18 1.5.4 Alcance 18 1.6 MARCO REFERENCIAL 19 1.6.1 Marco Teórico 19 1.6.1.1 Riesgo 19 1.6.1.2 Gestión del riesgo 20 1.6.1.3 Planeación de los procesos con enfoque en gestión del Riesgo 22 1.6.1.4 Proceso para la Gestión del Riesgo 23 1.6.1.5 Establecimiento del Contexto 24 1.6.1.6 Análisis de Riesgos 25 1.6.1.7 Evaluación del Riesgo 26 1.6.1.8 Tratamiento del Riesgo 27 1.6.1.9 Comunicación y consulta 27 1.6.1.10 Seguimiento y Revisión 27 1.6.1.11 Beneficios de un sistema de gestión de riesgos 28 1.6.1.12 Herramientas para la gestión del riesgo 28 1.6.2 Marco Conceptual 32 1.6.2.1 Aceptación del riesgo 32 1.6.2.2 Activos de información 32 1.6.2.3 Administración del riesgo 32 1.6.2.4 Amenaza 32 1.6.2.5 Análisis cualitativo 32 1.6.2.6 Análisis cuantitativo 32 1.6.2.7 Análisis de riesgo 32 1.6.2.8 Auditoria 32 1.6.2.9 Causa 33 1.6.2.10 Comunicación y Consulta 33 1.6.2.11 Consecuencia 33 1.6.2.12 Control 33 1.6.2.13 Evaluación del riesgo 33

8

1.6.2.14 Evento 33 1.6.2.15 Fuente de riesgo 33 1.6.2.16 Gestión del riesgo 33 1.6.2.17 Identificación del riesgo 33 1.6.2.18 Impacto 33 1.6.2.19 Mapa de riesgos 33 1.6.2.20 Parte interesada 33 1.6.2.21 Política para la gestión del riesgo 34 1.6.2.22 Probabilidad 34 1.6.2.23 Riesgo 34 1.6.2.24 Riesgo de crédito 34 1.6.2.25 Riesgo de mercado 34 1.6.2.26 Riesgo Operativo 34 1.6.2.28 Riesgo de crédito 35 1.6.2.29 Riesgos estratégicos o sistemáticos 35 1.6.2.30 Riesgos financieros 35 1.6.2.31 Riesgos de negocios 35 1.6.2.32 Riesgos políticos 36 1.6.2.33 Riesgo de liquidez 36 1.6.2.34 Riesgos ambientales 36 1.7 METODOLOGÍA 37 1.7.1 Tipo de Estudio 37 1.7.1.1 Fuentes de Información 37 1.7.1.2 Primaria 37 1.8 DISEÑO METODOLÓGICO 37 1.8.1 Fases del proyecto 37 1.8.1.1 Fase I 37 1.8.1.2 Fase II 37 1.8.1.3 Fase III 37 1.8.1.4 Fase IV 37

2. 2. DIAGNÓSTICO DE LA GESTIÓN Y EVALUACIÓN DEL RIESGO PERATIVO DE LA SITUACIÓN ACTUAL DE FEBOR ENTIDAD COOPERATIVA

38

2.1 CONTEXTO GENERAL DE LA ORGANIZACIÓN 38 2.1.1 Historia Febor Entidad Cooperativa 38 2.1.2 Misión 41 2.1.3 Visión 41 2.1.4 Estructura Organizacional 41 2.1.5 Principios y Valores corporativos 42 2.1.6 Resultados de Análisis DOFA organizacional 43 2.2 GESTIÓN POR PROCESOS 44 2.2.1 Mapa de Procesos 44 2.2.2 Alcance de cada uno de los Macro procesos 44 2.2.3 Caracterización del proceso de GRI-gestión de riesgos Operativo 46 2.3 RESPONSABLES DE LOS PROCESOS 46 2.3.1 Responsables 46 2.3.2 Política de gestión del Riesgo 46

9

2.3.3 Generalidades de la Gestión Documental de la organización 47 2.3.4 Gestión documental asociada a la gestión del riesgo operativo 49 2.3.5 Listado maestro de documentos 50 3. IDENTIFICACIÓN DE LOS RIESGOS EN FEBOR ENTIDAD COOPERATIVA 51 3.1 RIESGOS OPERATIVOS EN LOS PROCESOS 51 3.1.1 Análisis de los riesgos en Febor Entidad Cooperativa 51 3.1.2 Valoración de los riesgos de Febor Entidad Cooperativa 53 3.1.3 Análisis y valoración de los riesgos de Febor Entidad Cooperativa 54 3.1.4 Evaluación de controles para los riesgos de Febor Entidad Cooperativa 54 3.1.5 Tratamiento de los riesgos 55 3.1.6 Registro de los riesgos identificados 56 3.1.7 A continuación, se presenta la matriz de riesgos 4. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO EN FEBOR ENTIDAD COOPERATIVA

57

4.1 METODOLOGÍAS DE ANÁLISIS DEL RIESGO 57 4.1.1 Metodologías para la gestión del riesgo 57 4.1.1.1 Administración de Riesgos (AS/NZS 4360) 57 4.1.1.2 Administración del Riesgo Operacional. 57 4.2 PRESENTACIÓN DE LA METODOLOGÍA 58 4.2.1Estructura de la propuesta 58 4.2.1.1 Identificación de los riesgos 59

4.2.1.2 Componentes de la identificación del riesgo. 59

4.2.1.3 Análisis de los riesgos 62

4.2.1.4 Identificación de controles 64 4.2.1.5 Evaluación de los controles 65 4.2.1.6 Tratamiento de los riesgos 66 4.2.1.7 Seguimiento y revisión 68 4.2.1.8 Registro e informe 69 59 5. CONCLUSIONES 70 6. RECOMENDACIONES 71 BIBLIOGRAFÍA 72 ANEXOS 76

10

LISTA DE CUADROS

Pág.

Cuadro 1. Evaluación de Riesgos 26

Cuadro 2. Principios y Valores Corporativos 41

Cuadro 3. Análisis DOFA 41

Cuadro 4. Alcance Macro Procesos 43

Cuadro 5. Responsabilidades política gestión de procesos 46

Cuadro 6. Documentación existente 47

Cuadro 7. Documentos asociados al riesgo Operativo 48

Cuadro 8. Listado maestro de Documentos 49

Cuadro 9. Identificación de riesgos en Febor Entidad Cooperativa 50

Cuadro 10. Niveles de probabilidad de ocurrencia 51

Cuadro 11. Niveles de impacto 52

Cuadro 12. Nivel de severidad del riesgo 52

Cuadro 13. Valoración del riesgo en términos de probabilidad e impacto 52

Cuadro 14. Análisis y valoración de los riesgos en Febor Entidad Cooperativa 53

Cuadro 15. Evaluación de controles para los riesgos de Febor Entidad Cooperativa 54

Cuadro 16. Medidas de tratamiento después de los controles aplicados a los riesgos 55

Cuadro 17. Matriz de riesgos Febor Entidad Cooperativa 56

Cuadro 19. Clasificación de los riesgos 60

Cuadro 20. Formato practico para la identificación de los riesgos 61

Cuadro 21. Ejemplo del 01FPIR Formato práctico para la identificación de los riesgos 61

Cuadro 22. Formato DPAR-001 Análisis de riesgos 62

Cuadro 23. Formato diligenciado DPAR-001 Análisis de riesgos 63

Cuadro 24. Características mínimas para la definición de controles 63

Cuadro 25. Formato EDCPR-001 Evaluación de controles para el riesgo 64

Cuadro 26. Formato EDCPR-001 Evaluación de controles para el riesgo 65

Cuadro 27. Lista de priorización de los riesgos 65

Cuadro 28. Escala de valoración del riesgo 66

Cuadro 29. Resumen plan de tratamiento del riesgo 66

Cuadro 30. Formato FPDTDL-R001 Plan de tratamiento de los riesgos 67

11

LISTA DE FIGURAS Pág.

Figura 1. Ubicación Geográfica Febor Entidad Cooperativa 18

Figura 2. Concepto del riesgo 20

Figura 3. Tratamiento del riesgo 21

Figura 4. Etapas de la planeación de los procesos 22

Figura 5. Planeación con enfoque de gestión del riesgo 22

Figura 6. Esquema del proceso para la gestión del Riesgo 23

Figura 7. Identificación de Riesgos 24

Figura 8. Diagrama de Pareto 28

Figura 9. Diagrama Causa y Efecto 29

Figura 10. Árbol de problemas 29

Figura 11. Organigrama Estructura Organizacional 40

Figura 12. Mapa de procesos Febor Entidad Cooperativa 43

Figura 13. Caracterización proceso GRI-Gestión del Riesgo 45

Figura 14. Administración del riesgo operacional 58

Figura 15. Estructura de la metodología para la gestión del riesgo 58

Figura 16. Componentes para la identificación del riesgo 59

Figura 17. Análisis de causas (Espina de pescado) 59

Figura 18. Descripción de las clases de controles 64

12

LISTA DE ANEXOS Pág.

Anexo A. Caracterización proceso GRI-Gestión del Riesgo 45 Anexo B. Listado maestro de Documentos 48 Anexo C. Matriz de Riesgos en Febor Entidad Cooperativa 49

13

PROPUESTA PARA LA PLANEACIÓN DEL SISTEMA DE GESTIÓN DE

RIESGO OPERATIVO, BASADO EN LA NORMA NTC-ISO 31000:2018 PARA

FEBOR ENTIDAD COOPERATIVA

Resumen

Febor es la Entidad Cooperativa de los empleados y pensionados del Banco de la República, se caracteriza por la honestidad, respeto y compromiso que a lo largo del tiempo ha brindado a sus asociados, es una entidad de interés privado que trabaja bajo la supervisión de la Superintendencia de la Economía Solidaria. Febor cuenta con aproximadamente 4771 asociados y aunque su manejo administrativo y económico la ubica en un lugar privilegiado en el sector cooperativo, la Entidad no cuenta con certificaciones otorgadas por organismos competentes, lo que ocasiona retrasos en el logro de los objetivos, además de generar impactos negativos en la credibilidad e imagen corporativa, es por ello que el sistema de gestión de riesgos se presenta como una herramienta para la identificación, análisis y evaluación de los riesgos que se pueden presentar, con el fin de prevenir, reducir o controlar los riesgos identificados. Para el desarrollo de la propuesta se hace un estudio descriptivo, se utilizan fuentes primaria y secundarias, se lleva a cabo mediante fases de levantamiento de información, diagnóstico que permitió reconocer el alcance de los macro procesos de la organización, la documentación asociada y el nivel de conocimiento general sobre la presencia de los riesgos, identificación y análisis de los riesgos mediante una matriz de riesgos, donde se expresan de manera clara las causas y consecuencias y los controles aplicables a cada riesgo, documentación de la metodología, diseñada para la evaluación y el análisis de los riesgos.

PALABRAS CLAVE: Riesgos, Proceso, Probabilidad, Impacto, Controles, Tratamiento.

14

Febor is the Cooperative Entity of employees and pensioners of the Bank of the Republic is characterized by the honesty, respect and commitment that it has given to its associates over time; it is an entity of private interest that works under the supervision of the Superintendence of the Solidarity Economy. Febor has approximately 4771 associates and although its administrative and economic management places it in a privileged place in the cooperative sector, the Entity does not have certifications granted by competent bodies, which causes delays in achieving the objectives, in addition to generating impacts negative in the credibility and corporate image, that is why the risk management system is presented as a tool for the identification, analysis and evaluation of the risks that may arise, in order to prevent, reduce or control the identified risks . For the development of the proposal a descriptive study is made, primary and secondary sources are used, it is carried out through phases of information gathering, diagnosis that allowed to recognize the scope of the macro processes of the organization, the associated documentation and the level of general knowledge about the presence of risks, identification and analysis of risks through a risk matrix, where the causes and consequences and the controls applicable to each risk are clearly expressed, documentation of the methodology, designed for the evaluation and The risk analysis. KEY WORDS: Risks, Process, Probability, Impact, Controls, Treatment.

15

INTRODUCCIÓN Los procesos de gestión del riesgo en las organizaciones tienen alta importancia dado que permiten atender aquellas fluctuaciones de los procesos que pueden llegar a alterar la continuidad del negocio, para el caso de estudio de este proyecto en Febor Entidad Cooperativa, el sistema de gestión se convierte en una herramienta practica que conlleva prevenir o mitigar los riesgos derivados de las actividades desarrolladas dentro de la entidad. De esta manera se pueden realizar acciones e implementar controles eficaces ante la presencia de un riesgo, para ello es importante que las personas que hacen parte de la entidad, adopten una cultura que potencialice el sentido de pertenencia hacia la organización y el enfoque para la disminución de los riesgos operativos. No gestionar los riesgos genera impactos negativos en la entidad, tales como pérdida de imagen, incumplimiento de objetivos estratégicos, recursos financieros, sanciones legales, entre otros. Por tanto, en primer lugar, se realiza un diagnóstico institucional que identifique las particularidades que existen en torno a la gestión de procesos y de gestión del riesgo asociado, teniendo en cuenta tanto factores internos como externos, de igual forma se integra la caracterización de proceso a fin de reconocer entradas, actividades y salidas, se incluyen principios y valores de la entidad, responsables de los procesos. En segundo lugar bajo la metodología de la norma ISO 31000:2018 de gestión del riesgo, se establecen valores cualitativos para medir la probabilidad y el impacto, se realiza la matriz de riesgos donde se efectúa la identificación de los riesgos operativos por cada procedimiento, a fin de reconocer por cada riesgo el análisis cualitativo de las consecuencias relacionando proporcionalmente la ocurrencia de dicho evento y de esta manera determinar su tipología, con la cual se establecen los controles y el tratamiento correspondiente. A esto se suma, la necesidad de contar con un plan de manejo de los riesgos, con el fin de considerar el tratamiento del riesgo, recomendar acciones, asignar roles y responsables, implementar controles y disponer mecanismos de monitoreo permanente, teniendo en cuenta que los riesgos siempre se encontrarán inmersos en los procesos y actividades que se realizan en el día a día. Finalmente, se documenta una metodología para la identificación y gestión de los riesgos en la organización, esto incluye la incorporación de herramientas, mecanismos y técnicas que permiten el análisis general de los riesgos.

16

1. GENERALIDADES 1.1 ANTECEDENTES Febor es la Entidad Cooperativa de los empleados y pensionados del Banco de la República que a lo largo del tiempo ha brindado bienestar a sus asociados y a sus familias a través del ahorro, el crédito y la intermediación de bienes y servicios. Creada el 1 de septiembre de 1936 por 28 empleados del Banco encabezados por el señor Julio Caro Gerente General en ese entonces. El 24 de noviembre de 1938 el Ministerio de Gobierno, reconoció la personería jurídica de dicha entidad. Trabaja bajo la supervisión de la Superintendencia de la Economía Solidaria, A través del tiempo Febor ha demostrado a sus asociados honestidad, respeto y compromiso. Su manejo administrativo y económico la ubica en un lugar privilegiado en el sector cooperativo. La entidad trabaja diariamente con el fin de brindar servicios ágiles y oportunos que beneficien a los asociados y sus familias. Se preocupa por celebrar y mantener convenios comerciales con diferentes empresas, facilitándoles la adquisición de bienes y servicios.1 Febor Entidad Cooperativita, aunque posee un sistema de gestión de calidad, no se encuentra certificado como tal, no lo ven como un requerimiento prioritario en este momento, además no se evidencia un sistema de gestión de riesgos, considerando los múltiples factores que se pueden presentar en el desarrollo de cada una de las actividades a las que se dedica la organización. A lo largo de los años Febor Entidad Cooperativa se ha visto inmerso en diferentes oportunidades, a riesgos que han afectado el rendimiento financiero de la organización, teniendo en cuenta lo anterior se considera importante la implementación de la NTC ISO 31000: 2018, que permita identificar sus riesgos, valorarlos y generar tratamientos para reducir o eliminar efectos y probabilidades de ocurrencia.

1 FEBOR ENTIDAD COOPERATIVA. Acontecimientos [en línea]. Bogotá: La empresa [citado 20 de agosto, 2019]. Disponible en internet: URL< http://www.febor.coop/institucional/resenahistorica/resena-historica >

17

1.2 PLANTEAMIENTO DEL PROBLEMA 1.2.1 Descripción del Problema. En el sector financiero colombiano se presentan numerosos problemas originarios de una mala gestión del riesgo operativo, como fraudes internos y externos, fallas tecnológicas, incumplimiento regulatorio, exposición a pérdidas por causa de procesos inadecuados, cambios en la demanda, oferta o posición competitiva en el sector, entre otros. Aunque hasta ahora no se le ha dado la importancia debida, en este sentido, toma valor que las empresas cuenten con una gestión sistemática de los riesgos, enfocados en la disminución y prevención desde todos los frentes posibles, de aquellos eventos que generen pérdidas en caso de materializarse. Si bien existen los documentos de gestión de los procesos los cuales están soportados en un repositorio documental, la entidad no cuenta con certificaciones otorgadas por organismos competentes. Lo que ocasiona retrasos en el logro de sus objetivos, se han presentado perdidas por operaciones fallidas en el sistema, además de generar un impacto negativo en la credibilidad e imagen corporativa afectando seriamente sus intereses y los de sus asociados, dado que a la fecha se presentan diariamente en promedio 5 PQRSF por inconformidades, además se han retirado en el último año el 1.5 % de los asociados con los que contaba la entidad. 1.2.2 Formulación del Problema. ¿Qué beneficios traería para Febor Entidad Cooperativa la estructuración del sistema de gestión del riesgo? 1.3 OBJETIVOS 1.3.1 Objetivo General. Realizar una propuesta para la planeación del sistema de gestión de riesgo operativo, con base en la norma NTC-ISO 31000:2018 para Febor Entidad Cooperativa. 1.3.2 Objetivos Específicos. A continuación, se mencionan los objetivos específicos

Realizar un diagnóstico de la gestión y evaluación del riesgo operativo de la situación actual de la entidad.

Identificar los riesgos operativos en los procesos que garanticen el cumplimiento de los requisitos establecidos por la NTC ISO 31000:2018.

Documentar la metodología de la gestión del riesgo para Febor Entidad Cooperativa

18

1.4 JUSTIFICACIÓN

Los Sistemas de Gestión de riesgos operativos permiten a las organizaciones mejorar su desempeño a nivel global y proporcionar una base como iniciativa de desarrollo sostenible, además ofrecen la posibilidad de evitar situaciones que podrían causar pérdidas inesperadas y no planificadas en la organización. Con esta finalidad las entidades se ven obligadas a establecer lineamientos encaminados al control y gestión de los recursos, brinda la oportunidad del cumplimiento de las metas y la continuidad de la organización; razón por la cual surgen diversas herramientas que ayudan al desarrollo de una buena gestión. Febor Entidad Cooperativa como garante del desarrollo nacional y de los intereses privados, debe priorizar todas aquellas actividades que contribuyan al cumplimiento de sus propósitos a nivel operativo, financiero, talento humano y demás componentes de la organización, acogiendo los lineamientos establecidos por el Gobierno Nacional, Superintendencia de la Economía Solidaria y los principios básicos para una buena gestión.

1.5 DELIMITACIÓN 1.5.1 Espacio. El presente trabajo se llevará a cabo en las instalaciones de Febor Entidad Cooperativa Calle 42 # 8A – 80 en la ciudad de Bogotá. (véase la Figura 1). Figura 1. Ubicación Geográfica Febor Entidad Cooperativa

Fuente. GOOGLE MAPS. Aplicación satelital [en línea]. Bogotá: [citado 21 de agosto, 2019]. Disponible en internet :<URL https://www.google.com/maps/place/Febor/@4.6297592,- 74.0688726,17z/data=!4m5!3m4!1s0x8e3f9a2892ba9f8b:0x95db3e8986b2b1d8!8m2!3d4.6297592!4d-74.0666839>

19

1.5.2 Tiempo. El tiempo previsto para el desarrollo del presente trabajo es de aproximadamente 3 meses comprendidos entre julio y noviembre de 2019. 1.5.3 Contenido. El primer capítulo contiene los lineamientos básicos para el desarrollo del trabajo, el segundo, tercero y cuatro capitulo hacen referencia al avance de los objetivos planteados, por último, se encuentran las conclusiones, recomendaciones, bibliografía y anexos requerido durante el desarrollo del mismo. 1.5.4 Alcance. El presente documento abarca el establecimiento de, análisis de contexto, enfoque, identificación, análisis, evaluación y tratamiento de los riesgos, comunicación y consulta para el desarrollo de la propuesta del Sistema de Gestión de Riesgos Operativos. 1.6 MARCO REFERENCIAL 1.6.1 Marco Teórico. A continuación, se presenta el marco teórico.

Riesgo. Se consideran los riesgos asociados a las decisiones, pero ¿Qué es el riesgo?, existen muchas definiciones las cuales se pueden detallar:

El comité de Basilea define al riesgo operacional como riesgo de pérdidas resultantes de la falta de adecuación o fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que sean producto de eventos externos. Es el riesgo que incurre un banco por su operatoria, que no está ya clasificado como riesgo de crédito o de mercado o los otros ya tradicionales, y que ha cobrado gran notoriedad dada la mayor participación de operatorias tercerizadas, sistemas tecnológicos complejos, productos derivados y estructurados y una mayor diversidad de negocios financieros2.

Greenfacts lo define como "Daño potencial que puede surgir por un proceso presente o suceso futuro".

Kaplan y Garrick han discutido una infinidad de posibles definiciones de riesgo". Así, “Riesgo es una combinación de incertidumbre y daño”, “Riesgo es una relación de peligros y medidas de seguridad”.

Para Philippe Jorion el riesgo puede ser definido como "la volatilidad que los flujos financieros no esperados, generalmente derivada del valor de los activos y pasivos".

2 Operational risk management in financial institutions: A dead-end journey. [en línea].Bogotá. [citado 25 de septiembre, 2019]. Disponible en internet: URL<https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85025450026&origin=resultslist&sort=plf-f&src=s&st1=Basilea+Committee&st2=&sid=375fa77cabbb4a30bfee808f47620dc8&sot=b&sdt=b&sl=32&s=TITLE-ABS-KEY%28Basilea+Committee%29&relpos=5&citeCnt=0&searchTerm=

20

En ese sentido, según la bibliografía revisada se considera que el análisis de riesgo es inevitable en los procesos de toma de decisiones en general y en las decisiones de inversión en particular. El beneficio de tomar una decisión o de realizar una acción cualquiera, necesariamente debe asociarse con el riesgo inherente a esa decisión o acción. En finanzas, el concepto de riesgo está relacionado con el grado de incertidumbre de rendimientos esperados en el futuro. La medición efectiva y cuantitativa del riesgo está dada por la probabilidad asociada a una pérdida potencial. Por ello, la gestión de riesgos consiste en medir esas probabilidades en contextos de incertidumbre.3

Gestión del riesgo. El objetivo principal de implementar la gestión del riesgo

radica principalmente en la identificación de riesgo de las actividades, definición de

responsabilidades y competencias, criterios de análisis, controles del riesgo y

actividades de verificación y monitoreo, para ello se debe tener claro el enfoque de

riesgo tomándolo como una relación entre consecuencias y ocurrencia de un evento.

(véase la Figura 2).

Figura 2. Concepto del riesgo

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 64 p. De forma más extensa se interpreta que cualquier consecuencia puede generar un impacto positivo o negativo, la ocurrencia depende principalmente de los controles que se tengan establecidos haciendo que el riesgo tome unos valores bajos o muy altos. Sin embargo aunque se llegasen a obtener algunos controles básicos y no se puedan adoptar otros más robustos por su complejidad o inversión económica, se deben generar planes de contingencia a lo que en relación el autor Francisco José López

3 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>

21

Carrizosa destaca4. “la implementación de controles o acciones de contingencia o transferencia del riesgo, buscan modificar el nivel de riesgo inherente de cualquier actividad y a esto se le llama tratamiento del riesgo”. Dichos tratamientos o controles que se tienen para los riesgos luego de ser aplicados nos llevan a un riesgo residual. (véase la Figura 3). No siempre los controles deben ser ejecutados ya que dependen principalmente del riesgo inherente identificado, si tuviéramos que organizar el método de actuar ante un riesgo, en primer lugar, es analizar el nivel del riesgo, en segundo lugar, la ejecución de los controles y en tercer lugar si los controles no fueran suficientes se iniciaría el plan de contingencia. Figura 3. Tratamiento del riesgo

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 65 p.

Planeación de los procesos con enfoque en gestión del Riesgo. La planeación de los procesos para el área de Gestión del riesgo puede observarse como un reajuste de los procesos ya implicados, sin embargo debe establecerse de acuerdo con la norma NTC-ISO 9001:20085, en el numeral 4.1 de requisitos generales donde consiste en la definición de métodos de operación y control, recursos, el seguimiento y medición de los procesos y su mejora continua. Para ello es importante adoptar unas etapas que se muestran a continuación (véase la Figura 4).

4 LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p. 5 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Sistemas de gestión de la calidad. Requisitos: Requisitos Generales. NTC-ISO 9001. Bogotá D.C: El Instituto, 2008. 2 p.

22

Figura 4. Etapas de la planeación de los procesos

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 63 p. A continuación, se observará un esquema basado en el ciclo PHVA de cómo debe ser

la planeación de los procesos con enfoque en gestión del riesgo. (véase la Figura 5).

Figura 5. Planeación con enfoque de gestión del riesgo

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 63 p.

Proceso para la Gestión del Riesgo. El proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. El proceso para la gestión del riesgo se ilustra en (véase la Figura 6)

23

Figura 6. Esquema del proceso para la gestión del Riesgo

Fuente. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Norma técnica colombiana NTC-ISO 31000:2018. Gestión del riesgo. Directrices. 16 p.

Establecimiento del Contexto. Para la determinación del contexto es importante establecer los criterios frente a los cuales se evaluará los riesgos del área de Gestión del Riesgo Operativo, así como las condiciones para la aplicación considerando como lo describe el autor Francisco José López Carrizosa6. “identificación de partes interesadas y sus expectativas, objetivos del proceso con relación a las partes interesadas, criterios para la gestión del riesgo, criterios de análisis y evaluación de riesgos, estructura para la gestión del riesgo”. El contexto estratégico se define de acuerdo a la NTC 5254 de gestión del riesgo como “la relación entre la organización y su entorno. El contexto incluye los aspectos financieros, operacionales, competitivos, políticos (percepciones, imagen del público), sociales, del cliente, culturales y legales de las funciones de una organización”7, para el contexto organizacional se define en la misma norma como “el comprender la organización y sus capacidades, lo mismo que sus metas y objetivos, y las estrategias implementadas para lograrlos”8, mientras que para el contexto de la gestión del riesgo menciona como el “decidir los procesos contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios

6 LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p. 7 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 8 p. 8 Ibid., p. 9.

24

u otros. Con frecuencia, estos dependen de la política interna de una organización, sus metas, objetivos y los interesas de las partes interesadas”9. Para esto se puede utilizar la hoja de análisis o formulario de planificación de Juran, tal

como lo menciona el autor Francisco José López Carrizosa10. “el propósito de esta hoja

de análisis es comparar y calificar relaciones entre ítems; en este caso, las expectativas

del cliente y la sociedad contra las metas de la organización y de las partes

interesadas”.

“El objetivo de la identificación del riesgo es desarrollar una lista amplia de las fuentes de riesgos y eventos que podrían tener impacto en el logro de cada uno de los objetivos o elementos identificados en el contexto”11. La identificación del riesgo puede contemplar los componentes de un riesgo como lo son la fuente del riesgo, causas, eventos, consecuencias y controles actuales. (véase la Figura 7). Figura 7. Identificación de Riesgos

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con

enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto

Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 80 p.

9 TITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 10 p. 10 LOPEZ CARRIZOSA, Francisco José. Planificación estratégica de la calidad. En: ISO 9000 y la planificación de la calidad - Guía para la planificación de la calidad con orientación en la gestión por procesos. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2004. 21 p. 11 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Manual de directrices de gestión del riesgo: complementa la NTC 5254:2006. Bogotá D.C: El instituto, 2008. 41 p.

25

Análisis de Riesgos. Consiste en el desarrollo de la comprensión del riesgo, siendo este el material de entrada para la valoración del riesgo y la toma de decisiones donde se determina si es necesario tratar o no el riesgo; por otro lado de acuerdo con la NTC 5254 indica que analizar riesgos es12. “Determinar los controles existentes y analizar los riesgos en términos de consecuencia y posibilidad en el contexto de estos controles. El análisis debe considerar la gama de consecuencias potenciales y la posibilidad de que estas ocurran. Se pueden combinar la consecuencia y la posibilidad para producir un nivel estimado del riesgo”. Pueden existir diversas técnicas de valoración del riesgo, sin embargo de acuerdo a la NTC.IEC/ISO 31010 se encuentra que13: “la valoración del riesgo se puede emprender en grados diversos de profundidad y detalle y utilizando uno o muchos métodos que van desde lo sencillo hasta lo complejo. La forma de valoración y sus resultados deberían ser consistentes con los criterios del riesgo desarrollados como parte del establecimiento del contexto”. La técnica con enfoque semicuantitativa posee escalas tanto cualitativas como cuantitativas, el objetivo radica en producir una clasificación más alta que la que se obtiene en un análisis cuantitativo; mientras que el análisis cuantitativo puede emplear datos provenientes de diferentes fuentes que pueden acercar más a una exactitud y validez que los demás modelos. Sin embargo si los datos adquiridos en la medición cuantitativa sin imprecisos es necesario la realización de un análisis de sensibilidad para determinar el cambio de los respetivos datos14.

Evaluación del Riesgo. La evaluación de un riesgo consiste principalmente en la determinación de un estado aceptable o de tratamiento, por eso es importante determinar un monitoreo para aquellos riesgos que lo requieran, es decir tras cada revisión verificar si el riesgo merece tal control o puede reducirse a un menor nivel de aceptabilidad15. Los objetivos de la organización y el grado de oportunidad que pudiera resultar de asumir el riesgo.

12 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Elementos Principales. NTC 5254. Bogotá D.C.: El Instituto, 2004. 7 p. 13 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Técnicas de valoración del riesgo. NTC-IEC/ISO 31010. Bogotá D.C.: El Instituto, 2013. 16 p. 14 Managing uncertainty, mitigating risk: Tackling the unknown in financial risk assessment and decision making. [en linea]. Bogota. [citado 23 de agosto, 2019]. Disponible en internet: URL< https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85029704773&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=dff34c90778be88a13278ca968a11429&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28PROBLEM+TREE%29&relpos=12&citeCnt=0&searchTerm=> 15 Ibid., 15 p.

26

La evaluación se puede realizar con niveles de riesgos enfocados en el nivel de ocurrencia de un evento de acuerdo con criterios preestablecidos y su nivel de consecuencias de la ocurrencia de un evento, siendo este la entrada para las directrices generales de tratamiento (véase el Cuadro 1). Cuadro 1. Evaluación de Riesgos

Fuente. LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos (con enfoque de gestión de riesgos) En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2009. 79 p.

Tratamiento del Riesgo. Tomando como base el análisis previo en cuanto a los riesgos inherentes, el tratamiento del riesgo se puede separar en dos direcciones; la primera por medio de las acciones (controles) y la segunda que ayude a mitigar su impacto (planes de contingencia). Sin embargo la NTC-ISO 31000 permite profundizar un poco más en el tema en cuanto a las medidas que se pueden adoptar dentro de las cuales se tienen16: a) Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo. b) Aceptar o aumentar el riesgo en busca de una oportunidad. c) Eliminar la fuente del riesgo. d) Modificar la probabilidad. e) Compartir el riesgo. f) Retener el riesgo con base en una decisión informada.

Comunicación y consulta. El propósito de la comunicación y consulta es asistir a las partes interesadas pertinentes a comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. La comunicación busca promover la toma de conciencia y la comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. Una coordinación cercana entre ambas debería facilitar un intercambio de información basado en hechos, oportuno, pertinente, exacto y comprensible, teniendo en cuenta la confidencialidad e integridad de la información, así como el derecho a la privacidad de las personas17.

16 INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo directrices: selección de las opciones para el tratamiento del riesgo. UNE-ISO 31000:2018. Bogotá D.C: Disponible en internet, 2018. 22 p. 17 Ibid., p. 17.

27

Dentro de Febor Entidad Cooperativa es importante una buena comunicación en el desarrollo de una “cultura” en la que reconozcan y valoren los impactos del riesgo ya sean positivos o negativos. La comunicación acerca del riesgo ayuda a una organización a establecer su actitud hacia el riesgo y una mejor planificación sobre sus procesos.

Seguimiento y Revisión. El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas18. El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación. Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.

Beneficios de un sistema de gestión de riesgos. Su uso puede generar una mayor eficacia, Estos son los principales beneficios de contar con un sistema de gestión de riesgos operativos:

Permite a la dirección de la empresa tener una visión global del riesgo, contribuyendo en el logro de sus objetivos.

Facilita la toma de decisiones.

Soporta las actividades de planificación estratégica y fortalece el ambiente de control interno.

Permite cumplir con nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.

Fomenta que la administración de riesgos sea un pilar dentro de la cultura de la organización.19

Herramientas para la gestión del riesgo. A continuación, se presentan

algunas herramientas que son necesarias para la gestión del riesgo. Diagrama de Pareto. El diagrama de Pareto es una herramienta utilizada para priorizar los problemas o las causas que lo genera. El nombre de Pareto fue dado por el

18 Ibid., p. 23. 19 GESTION INTEGRAL DEL RIESGO. [en línea] Bogotá. [citado 22 de agosto, 2019]. Disponible en internet: URL: < https://www.pwc.com/co/es/advisory/assets/4-gestion-integral-de-riesgos.pdf>

28

Dr. Juran en honor del economista italiano VILFREDO PARETO (1848-1923). (véase la Figura 8). Figura 8. Diagrama de Pareto

Fuente. Herramientas para la mejora de la calidad. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 30 p. Diagrama Causa y Efecto de ISHIKAWA. El diagrama de Ishikawa es un método gráfico que se usa para efectuar un diagnóstico de las posibles causas que provocan ciertos efectos, los cuales pueden ser controlables. El diagrama de causas-efecto de Ishikawa, así llamado en reconocimiento a Kaouru Ishikawa ingeniero japonés que lo introdujo y popularizó con éxito en el análisis de problemas en 1943 en la Universidad de Tokio durante una de sus sesiones de capacitación a ingenieros de una empresa metalúrgica explicándoles que varios factores pueden agruparse para interrelacionarlos. Este diagrama es también conocido bajo las denominaciones de cadena de causas-consecuencias, diagrama de espina de pescado o “fish-bone”. El diagrama de Ishikawa permite apreciar, fácilmente y en perspectiva, todos los factores que pueden ser controlados usando distintas metodologías. Al mismo tiempo permite ilustrar las causas que afectan una situación dada, clasificando e interrelacionando las mismas.20

20 HERRAMIENTAS PARA LA MEJORA DE LA CALIDAD. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 22 p. [en línea]. Bogotá. [citado 07 de octubre, 2019]. Disponible en internet. URL< https://qualitasbiblo.files.wordpress.com/2013/01/libro-herramientas-para-la-mejora-de-la-calidad-curso-unit.pdf>

29

El diagrama de Ishikawa es un método gráfico que se usa para efectuar un diagnóstico de las posibles causas que provocan ciertos efectos, los cuales pueden ser controlables. (véase la Figura 9). Figura 9. Diagrama Causa y Efecto

Fuente. Herramientas para la mejora de la calidad. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 23 p. Árbol de Problemas. El árbol de problemas es una técnica que se emplea para identificar una situación negativa (problema central), la cual se intenta solucionar analizando relaciones de tipo causa-efecto21. Para ello, se debe formular el problema central de modo tal que permita diferentes alternativas de solución, en lugar de una solución única., esta herramienta nos permite mapear o diagramar el problema. La estructura de un árbol de problemas es: En las raíces se encuentran las causas del problema El tronco representa el problema principal En las hojas y ramas están los efectos o consecuencias

Es una forma de representar el problema logrando de un vistazo entender qué es lo que está ocurriendo (problema principal), por qué está ocurriendo (causas) y que es lo que esto está ocasionando (los efectos o consecuencias), lo que nos permite hacer diversas cosas en la planificación del proyecto, como verás a continuación en las ventajas. (véase la Figura 10). Figura 10. Árbol de problemas

21 UNESCO. Expresiones culturales. [en línea]. Bogotá. [citado 16 de octubre, 2019]. Disponible en internet. URL<http://www.unesco.org/new/es/culture/themes/%20cultural-diversity/diversity-of-cultural%20expressions/tools/policy-guide/planificar/diagnosticar/arbol-de-problemas/>

30

Fuente. El Autor Los Cinco Por Qués (Five Whys). Los Cinco Por Qués, es una técnica sistemática de preguntas utilizada durante la fase de análisis de problemas para buscar posibles causas principales de un problema. Durante esta fase, los miembros del equipo pueden sentir que tienen suficientes respuestas a sus preguntas. Lo anterior, podría resultar en una falla al identificar las causas principales más probables del problema, debido a que el equipo ha fallado en buscar con suficiente profundidad. La técnica requiere que el equipo pregunte “Por Qué” al menos cinco veces, o trabaje a través de cinco niveles de detalle. Una vez que sea difícil para el equipo responder al “Por Qué”, la causa más probable habrá sido identificada.

¿Por qué se averió la máquina?… El fusible se quemó debido a una sobrecarga.

¿Por qué se sobrecargó?… Los cojinetes no contaban con suficiente lubricación.

¿Por qué no tenían suficiente lubricación?… La bomba de lubricación no estaba haciendo circular suficiente aceite

¿Por qué la bomba no estaba circulando suficiente aceite?… La bomba se encontraba obstruida con virutas de metal

¿Por qué se encontraba obstruida con virutas de metal?… Porque la bomba no cuenta con filtro.

Así pues, una suciedad en la bomba debido a la ausencia de filtro generó una sobrecarga en el fusible lo que finalmente ocasionó la avería de la máquina. En este ejemplo cada causa trae su propio efecto, por lo que actuando sobre el quinto porqué, debería solucionar el problema de raíz.22

22 CONSULTORES. Serie técnicas de resolución de problemas. Los 5 por qué´s OP-SG-201401. [en línea] Bogotá. [citado 07 de octubre, 2019]. Disponible en internet. URL< http://www.5consultores.com/wp-content/uploads/2014/06/WP-T%C3%A9cnicas-Resoluci%C3%B3n-de-Problemas-5-Por-Qu%C3%A9.pdf>

EFECTOS

PROBLEMA CENTRAL

CAUSAS

31

1.6.2 Marco Conceptual. A continuación, se presentan una serie de conceptos, argumentos e ideas que se han desarrollado en relación con el tema de gestión de riesgos. 1.6.2.1 Aceptación del riesgo. Decisión generada por la entidad de aceptar las consecuencias y probabilidad de un riesgo en particular, sin adelantar acciones de reducción y control. La aceptación del riesgo también se deriva del nivel de riesgo o umbral en el cual Colciencias acepta el riesgo. 1.6.2.2 Activos de información. Se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización. 1.6.2.3 Administración del riesgo. Es la disciplina que combina los recursos financieros, humanos, materiales y técnicos de una empresa, para identificar o evaluar los riesgos potenciales y establecer acciones que permitan el manejo de los diferentes eventos que afectan negativamente los procesos de la empresa. 1.6.2.4 Amenaza. Es la intención y la capacidad de afectar adversamente un sistema, ocasionando daños o alteraciones. 1.6.2.5 Análisis cualitativo. Consiste en evaluar cuál es el impacto y la probabilidad de ocurrencia de cada uno de los riesgos identificados.

1.6.2.6 Análisis cuantitativo. Análisis probabilístico de los diferentes riesgos para mejorar las oportunidades y reducir las amenazas de la empresa. 1.6.2.7 Análisis de riesgo. Uso sistemático de la información disponible para valorar los riesgos en función de las causas o agentes que los generan, las consecuencias generadas por un incidente y/o evento, su severidad y la posibilidad de ocurrencia del mismo, con el fin de estimar la zona de riesgo inicial (riesgo inherente). 1.6.2.8 Auditoria. Proceso sistemático, documentado para obtener “evidencia de la auditoria” y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoria. 1.6.2.9 Causa. Medios, circunstancias, situaciones o agentes generadores del riesgo. Algunas fuentes de riesgos son: el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. 1.6.2.10 Comunicación y Consulta. Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes interesadas, con respecto a la gestión del riesgo.

32

1.6.2.11 Consecuencia. Resultado de un efecto que afecta a los objetivos 1.6.2.12 Control. Medida que mantiene y/o modifica un riesgo 1.6.2.13 Evaluación del riesgo. Consiste en la clasificación de los resultados de los riesgos con criterios definidos para establecer el grado de exposición de la empresa entre los diferentes riesgos. 1.6.2.14 Evento. Ocurrencia o cambio de un conjunto particular de circunstancias 1.6.2.15 Fuente de riesgo. Son factores o circunstancias del trabajo que pueden generar uno o varios riesgos aisladamente o por su combinación. 1.6.2.16 Gestión del riesgo. La gestión del riesgo es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgos23.

1.6.2.17 Identificación del riesgo. Determinar los riesgos que afectan a la empresa para el cumplimiento de los objetivos. 1.6.2.18 Impacto. Consecuencias de los riesgos que pueden afectar de diferentes formas a la empresa en caso de materialización. 1.6.2.19 Mapa de riesgos. Es una herramienta, basada en los distintos sistemas de información, que pretende identificar las actividades o procesos sujetos a riesgo 1.6.2.20 Parte interesada. Persona u organización que puede afectar, verse afectada o percibirse como afectada por una decisión o actividad. 1.6.2.21 Política para la gestión del riesgo. Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo. 1.6.2.22 Probabilidad. Posibilidad de que algo suceda 1.6.2.23 Riesgo. Efecto de la incertidumbre sobre los objetivos24.

23 Operational risk management and customer complaints the role of product complexity as a moderator [en línea]. Bogotá. [citado 25 de septiembre, 2019] Disponible en internet: URL <http://apps.webofknowledge.com.bdigital.udistrital.edu.co:8080/full_record.do?product=WOS&search_mode=GeneralSearch&qid=2&SID=6D56VwaXMvhlTQ4hQKQ&page=1&doc=1> 24NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. Bogotá. [citado 22 de agosto, 2019]. Disponible en internet: URL< https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf>

33

1.6.2.24 Riesgo de crédito. El riesgo crediticio es la posibilidad de que una entidad incurra en pérdidas y se disminuya el valor de sus activos, como consecuencia del incumplimiento de las obligaciones de un deudor o contraparte25. 1.6.2.25 Riesgo de mercado. El riesgo de mercado, o también conocido como riesgo sistemático, es el riesgo que existe a que se den pérdidas de valor de un activo asociado a la fluctuación de su precio en el mercado. O lo que es lo mismo, el riesgo de mercado es el riesgo a que el valor de un activo disminuya debido a las fluctuaciones en las condiciones del mercado como por ejemplo la variación del precio de los valores, del tipo de interés o del tipo de cambio, así como las fluctuaciones en los precios de las materias primas.26 1.6.2.26 Riesgo Operativo. El riesgo operativo es la posibilidad de ocurrencia de pérdidas financieras, financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos. Esta definición incluye el riesgo legal, pero excluye los riesgos sistemáticos y de reputación, así también no se toma en cuenta las pérdidas ocasionadas por cambios en el entorno político, económico y social. Las pérdidas asociadas a este tipo de riesgo pueden originarse en fallas de los procesos, en la tecnología, en la actuación de los operarios, y también, debido a la ocurrencia de eventos extremos externos27. 1.6.2.27 Riesgo de crédito. El riesgo de crédito se presenta cuando las contrapartes están poco dispuestas o imposibilitadas para cumplir sus obligaciones contractuales. Su efecto se mide por el costo de la reposición del flujo de efectivo si la otra parte incumple. En términos generales, el riesgo de crédito también puede conducir a pérdidas cuando los deudores son clasificados con un mayor nivel de riesgo por las agencias crediticias, generando con ello una caída en el valor de mercado de sus obligaciones. El riesgo de crédito es realmente crítico, ya que el incumplimiento simultáneo de un pequeño número de clientes corporativos puede ocasionar fuertes

25 Finanzas y Política Económica: Valoración y riesgo crediticio en Colombia. [en línea] Bogotá. [citado 20 de agosto, 2019]. Disponible en internet: URL: <https://www.redalyc.org/pdf/3235/323527256006.pdf > 26 Optimization of risk control in financial markets based on particle swarm optimization algorithm [en línea]¨. Bogota [citado 24 de septiembre,2019]. Disponible en internet: URL<https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85073474030&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=6501c493e15db44ea68306cb2a790659&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28risk+management%29&relpos=6&citeCnt=0&searchTerm=> 27 JPMorgan Chase Bank N.A., Sucursal Buenos Aires. Riesgo estratégico. [en línea]. Buenos Aires. [citado 23 de agosto, 2019]. Disponible en internet: URL: < https://www.jpmorgan.com/jpmpdf/1320694345279.pdf>

34

pérdidas, e incluso la total insolvencia de la entidad o fondo de inversión. En la gestión de este riesgo juega un papel importante la normativa interna sobre la diversificación28. 1.6.2.28 Riesgos estratégicos o sistemáticos. El riesgo estratégico se define como el impacto actual y futuro en los ingresos y el capital que podría surgir de las decisiones adversas de negocios, la aplicación indebida de las decisiones, o la falta de capacidad de respuesta a los cambios de la industria29. 1.6.2.29 Riesgos financieros. Son todos aquellos relacionados con la gestión financiera de las empresas. Es decir, aquellos movimientos, transacciones y demás elementos que tienen influencia en las finanzas empresariales: inversión, diversificación, expansión, financiación, entre otros. En esta categoría es posible distinguir algunos tipos: – Riesgo de crédito – Riesgo de tasas de interés– Riesgo de mercado-– Riesgo gestión-– Riesgo de liquidez-– Riesgo de cambio.30 1.6.2.30 Riesgos de negocios. Los riesgos de negocio provienen de las decisiones estratégicas sobre los productos y servicios o sobre la propia organización. También se puede decir que un riesgo de negocio es una circunstancia o factor que puede tener un impacto negativo sobre el funcionamiento o la rentabilidad de una empresa determinada. 31. 1.6.2.31 Riesgos políticos. Este riesgo puede derivarse de cualquier circunstancia política del entorno en el que operen las empresas. Los hay de dos tipos: gubernamentales, legales y extralegales. En el primer caso se engloban todos aquellos que son el resultado de acciones que han sido llevadas a cabo por las instituciones del lugar, por ejemplo, un cambio de gobierno o una modificación en las políticas comerciales. En el segundo caso, se sitúan actos al margen de la ley como acciones terroristas, revoluciones o sabotajes.32

28 Identification and prioritization of factors influencing organization risk tolerance level. [en linea]. Bogota. [citado 23 de agosto, 2019]. Disponible en internet: URL <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0- 85063997102&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=9672b7c6b92271f108847198fe3df1bf&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29&relpos=6&citeCnt=0&searchTerm=> 29 Ibid., p.1. 30 BLOG CALIDAD Y XCELENCIA. Definición del riesgo empresarial y principales tipos. [En línea]. Bogotá [citado 22 de agosto, 2019]. Disponible en internet: URL:< https://www.isotools.org/2019/08/12/definicion-del-riesgos-empresariales-y-principales-tipos/> 31 AEC. Asociación Española para la Calidad. [en línea]. Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: URL: <https://www.aec.es/web/guest/centro-conocimiento/riesgos-de-negocio> 32 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL:

35

1.6.2.32 Riesgo de liquidez. Se refiere a la incapacidad de conseguir obligaciones de flujos de efectivo necesarios, lo cual puede forzar a una liquidación anticipada. Transformando en consecuencia las perdidas en papel en pérdidas realizadas33. 1.6.2.33 Riesgos ambientales. Son aquellos a los que están expuestas las empresas cuando el entorno en el que operan es especialmente hostil o puede llegar a serlo. Tienen dos causas básicas: naturales o sociales. En el primer grupo podemos mencionar elementos como la temperatura, la altitud, la presión atmosférica, las fallas geológicas, entre otros. En el segundo, cuestiones como los niveles de violencia y la desigualdad. Sea como sea, lo cierto es que son riesgos que no dependen de las empresas y que, por tanto, su gestión requiere de planes preventivos más eficaces. 1.7 METODOLOGÍA 1.7.1 Tipo de Estudio. Para llevar a cabo el desarrollo de la propuesta de planeación del sistema de gestión de riesgos operativos en Febor Entidad Cooperativa, corresponde a un estudio descriptivo, logrando así las descripciones necesarias de los riesgos en los procesos y las actividades que se desarrollan, identificando el objeto principal del estudio, centrándose en la recolección de información que permita establecer el estado actual de los procesos, para un posterior análisis de la información.

Fuentes de Información. A continuación, se presentan las diferentes fuentes de información.

Primaria. Se utilizan fuentes primarias como Formatos, Procedimientos y documentos de Febor Entidad Cooperativa.

Secundaria. Se utilizan herramientas de investigación como Normas Técnicas Colombianas NTC ISO 31000, artículos, páginas web y libros relacionados con la Planificación del SGRO.

https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html> 33 UNIVERSIDAD NACIONAL. metodología para la gestión del riesgo operativo. [en línea] Bogotá. [citado 23 de agosto, 2019]. Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>

36

1.8 DISEÑO METODOLÓGICO 1.8.1 Fases del proyecto. El presente proyecto se realiza mediante las siguientes fases. 1.8.1.1 Fase I. Se realiza el levantamiento de información concerniente a los procesos que se estudian en Febor Entidad Cooperativa. 1.8.1.2 Fase II. Realizar un diagnóstico general mediante un análisis interno y externo que permita gestionar el riesgo operativo, el cual permitirá establecer la situación actual de la entidad. 1.8.1.3 Fase III. Identificar y evaluar los riesgos operativos en los procesos con el fin de verificar que cumplan con los parámetros establecidos por la norma. 1.8.1.4 Fase IV. Documentar la metodología de la gestión del riesgo para Febor Entidad Cooperativa

37

2. DIAGNÓSTICO DE LA GESTIÓN Y EVALUACIÓN DEL RIESGO OPERATIVO

DE LA SITUACIÓN ACTUAL DE FEBOR ENTIDAD COOPERATIVA

2.1 CONTEXTO GENERAL DE LA ORGANIZACIÓN

2.1.1 Historia Febor Entidad Cooperativa. A continuación, se presentan los principales hechos históricos que permiten contextualizar la historia de Febor Entidad Cooperativa.

El 1 de septiembre de 1936, 28 empleados del Banco de la República encabezados por Julio Caro, gerente general de ese entonces, constituyeron formalmente el Fondo de Empleados del Banco de la República. El patrimonio inicial del Fondo fue de $85. 960. El 24 de noviembre de 1938, el Ministerio de Gobierno reconoció la personería jurídica de dicha entidad. En 1950, las utilidades de Febor ascendieron a la suma de $64.792.68. Varios años después, en la década de los cincuenta, el Fondo abrió supermercados en Bogotá con el fin de beneficiar a sus afiliados con la política de precios favorables, y en 1962, atendiendo la directriz del presidente de la República, Guillermo León Valencia, los servicios de los almacenes se abrieron al público. Entre 1967 y 1968, gracias al crecimiento del Fondo, se adquirieron dos grandes inmuebles: el primero, un edificio ubicado en la calle 16 con carrera 63, y el segundo, un lote en la carrera 13 con calle 47. Para esta misma época, el 4 de octubre de 1968, la Superintendencia Nacional de Cooperativas estipuló la nueva razón social del Fondo, quedando establecida como Fondo de Empleados del Banco de la República, Febor. Febor se consolidó como una institución de servicio, ya que tenía prestado a sus asociados más del 90% del capital social, y la rentabilidad de los almacenes se dedicaba a mantener los auxilios y servicios, razón por la cual recibió elogios de diferentes sectores del país. En 1975 contaba con cinco almacenes en Bogotá, doce almacenes privados en diferentes regiones del país, y más de 400 empleados. No obstante, durante ese año enfrentó una crisis económica que se prolongó por algún tiempo. En 1979, año en que la junta directiva aprobó el reglamento interno que incluía funciones, composición, reelección de la junta y del comité ejecutivo, entre otros, fue inaugurado un gran almacén en la localidad de Kennedy, el cual brindó a los residentes del sector excelentes alternativas en productos y precios. Debido a la crisis de los años anteriores, se llevó a cabo en 1980 un estudio de las actividades de Febor, el cual concluyó que debía reorganizarse en tres áreas: Administrativa-Comercial-Servicios. El área comercial orientó sus esfuerzos en mejorar la variedad de productos, con la ampliación de la sección de electrodomésticos. También se ampliaron los almacenes de Marly, San Diego, Chicó y Restrepo, y se adquirió una bodega de 5.000 metros cuadrados para el mejoramiento de la distribución interna. Adicionalmente, los empleados recibieron programas de formación sobre servicio al cliente para mejorar la atención a los asociados.

38

Con motivo del cuadragésimo cuarto aniversario de Febor, en 1980, se creó el concurso La Tómbola Febor, en todos los almacenes se rifaban numerosos artículos, lo cual incrementó significativamente las ventas. Pero en noviembre, una fuerte granizada afectó la sucursal de la Avenida Caracas, entre calles 47 y 48, ocasionando el deterioro de mercancías por $10.315.000, valor que fue cubierto por la compañía de seguros. Al cierre de 1980, los ahorros voluntarios de los asociados sumaban $664.052.000 y a partir de 1981, la junta directiva aumentó sus aportes: por cada empleado $15 y por cada socio $40, es decir: $55 mensuales. El primer computador de Febor, comprado a Proexpo, originó la creación del Departamento de Sistemas, con un director y un analista quienes tenían como función ejecutar el proyecto de mecanización. Durante los siguientes años, el fondo se recuperó de la crisis y consiguió hacer mejoras en los almacenes de la Avenida Jiménez y del Restrepo. También se abrieron nuevas sucursales, destacándose el supermercado y droguería de Chapinero, ubicado en la carrera 13 entre calles 56 y 57. En 1983, el área de Recursos Humanos se fortaleció y el número de asociados llegó a 4.448, de los cuales 2.682 se encontraban en Bogotá y 1.766 en el resto del país. Al año siguiente se estableció el Departamento de Promoción Social cuyo fin era capacitar a los afiliados en la creación de microempresas, de modo que en 1985 se otorgaron 14.750 préstamos por valor de $454.187.926, suma que representó un gran crecimiento en programas de crédito. Dicha estabilidad generó confianza, a tal punto que ingresaron 792 nuevos socios, al finalizar dicho año, el número total de asociados fue de 6.059. Febor también se solidarizó con la tragedia de Armero: los empleados de la Cooperativa donaron un día de sueldo con destino a los damnificados, por valor de $292.285. La cooperativa por su parte aportó un auxilio de $500.000 y participó en algunas campañas con el suministro de medicamentos. En los cincuenta años del Fondo, la celebración contempló cerca de 56 actividades enfocadas a la educación, la recreación y el turismo, entre otras. Luego, en 1987, los asociados decidieron convertir el Fondo en cooperativa, y en mayo el Departamento Administrativo Nacional de Cooperativas, Dancoop, aprobó dicha transformación, adoptando la sigla Febor. La buena gestión de la Cooperativa la hizo merecedora, por tres años consecutivos (1991-1993), del premio de excelencia otorgado por Colgate Palmolive, hecho que se destacó en los diferentes medios de comunicación de todo el país. En 1995 empezó a cambiar el panorama, pues el área de mercadeo arrojaba resultados negativos debido al incremento de la competencia. Almacenes como Éxito, Pomona, Olímpica y Makro, eran cada vez más fuertes. El incendio del almacén modelo en 1995 también produjo cuantiosas pérdidas ya que era un punto con gran proyección. Así mismo se presentó la pérdida de mercado en el área de medicamentos por menores ventas institucionales, entre otras razones por el efecto de la Ley 100 de 1993, cuya repercusión negativa en la gestión comercial incidió en dicha línea, con ventas inferiores a las esperadas, en una cifra cercana a los $2.500.000. Por otra parte la Cooperativa sufrió las consecuencias por la aplicación de nuevas políticas de manejo de la Entidad y de tecnología moderna, por lo que Dancoop ordenó utilizar el nuevo Plan Único de Cuentas que obligó al rediseño e implementación de un nuevo sistema de información contable, el cual ocasionó inconvenientes en el registro de las operaciones, con el consecuente atraso de la información.

39

Al cumplir sus 60 años, Febor tenía dificultades para competir eficazmente dentro del sector cooperativo y se reconoció que la Cooperativa no estaba preparada para enfrentar a la competencia, pues aquello demandaba una inversión de miles de millones de pesos. A su vez aseguró, que la Entidad tenía fortalezas que debían ser consideradas antes de una decisión de política comercial. A todo esto se sumaba la actualización tecnológica que debía tenerse en cuenta para poder continuar en el mercado. En 1996, la Cooperativa analizó las debilidades, oportunidades, fortalezas y amenazas, se plantearon entonces varias estrategias de enfoque, crecimiento y reflotamiento para sacarla adelante. Esta última opción planteaba un proceso de mejoramiento, reubicación de algunos puntos de venta e impulso de las estrategias publicitarias y de comunicación, pero lamentablemente los resultados no fueron los esperados; por el contrario, se generó un fuerte decrecimiento de asociados. A pesar de los esfuerzos realizados, Febor no logró recuperarse y en 2002 entró en su peor crisis, por lo que la Asamblea de Delegados tomó la decisión de poner en venta el área de consumo. A finales de ese año, la cadena de supertiendas Olímpica presentó ante la Superintendencia de Industria y Comercio la solicitud de autorización para la compra de los supermercados, siendo aprobada el 21 de diciembre cuando comenzaron a operar los almacenes que la Cooperativa tenía en Bogotá. En julio de 2004 fue el cierre definitivo del negocio de compraventa de la unidad de mercadeo. Después de la venta de los supermercados, la entidad se concentró en la prestación de servicios de crédito, ahorro e intermediación de bienes y servicios para los cooperados. La Superintendencia de la Economía Solidaria intervino a la Cooperativa mediante la toma de posesión para administrar los bienes, haberes y negocios, en razón de las dificultades económicas en las que estaba inmersa, ya que las pérdidas acumuladas ascendían a $19.500 millones, aproximadamente. Durante su intervención, el agente especial de ese momento, Andrés Ordoñez Plata, presentó el Plan de Reactivación Económica de la Cooperativa, pero fue Enrique Valencia Montoya, agente asignado por la Superintendencia de Economía Solidaria el encargado de ejecutarla y superar las dificultades por la que estaba atravesando la Cooperativa, en él recaía toda la responsabilidad. Su buena gestión permitió que Febor saliera a flote y no se liquidara como sucedía generalmente con cualquier entidad que era intervenida. El pasado queda enmarcado en los 75 años de historia de Febor y junto a ellos, los más de 8 años de intervención forzosa que ejecutó la Superintendencia de la Economía Solidaria hasta febrero de 2011. Gracias a esa intervención, hoy la Cooperativa vive un presente exitoso y avizora un futuro promisorio donde toda la familia que hace parte de la Entidad le apuesta al desarrollo y al crecimiento de la institución. La tarea no fue fácil: adecuación y ajuste del nuevo esquema de administración, confección de reglamentos, ajuste de los mismos a las necesidades de la Cooperativa, proceso que debió ajustarse dadas las nuevas exigencias y condiciones en que debe basarse el nuevo modelo: primero, sin intervención y adicionalmente su transición a Cooperativa de ahorro y Crédito34.

34 FEBOR ENTIDAD COOPERATIVA. Reseña histórica [en línea]. Bogotá. La empresa [citado

27 de agosto, 2019]. Disponible en internet: <URL: http://www.febor.coop/institucional/resenahistorica/resena-historica>

40

2.1.2 Misión. Somos Febor una entidad cooperativa, de empleados y pensionados del Banco de la República, especializada en ahorro y crédito, que satisface las necesidades económicas, sociales y culturales de sus asociados, familias comunidad, de manera integral para el mejoramiento de su calidad de vida. 2.1.3 Visión. En 2021 nos consolidaremos como la primera opción de solución a las necesidades educativas, sociales, culturales y económicas de nuestros asociados, siendo una cooperativa innovadora y referente del sector, con énfasis en la cohesión y formación solidaria, a través del uso de recursos tecnológicos, operativos y humanos calificados”35. 2.1.4 Estructura Organizacional. A continuación, se presenta la estructura organizacional de Febor Entidad Cooperativa. (véase la Figura 11). Figura 11. Organigrama Estructura Organizacional

Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Organigrama estructura organizacional

35 EBOR ENTIDAD COOPERATIVA. Misión y visión [en línea]. Bogotá. La empresa [citado 26 de agosto, 2019]. Disponible en internet: <URL: http://www.febor.coop/institucional/misionyvision>

41

2.1.5 Principios y Valores corporativos. Febor Entidad Cooperativa se rige por

principios y valores los cuales se sustentan a continuación. (véase el cuadro 2).

Cuadro 2. Principios y Valores Corporativos

PRINCIPIOS VALORES

Adhesión libre y voluntaria Sentido de pertenencia

Gestión Democrática por parte de los asociados

Autoayuda

Participación económica de los asociado Democracia

Autonomía e Independencia Equidad

Educación, Formación e Información Solidaridad

Cooperación entre Cooperativas Trabajo en equipó

Interés por la Comunidad Compromiso

Fuente. El Autor

2.1.6 Resultados de Análisis DOFA organizacional. A continuación, se presenta un

ejercicio realzado en el año 2017 por la alta dirección donde se reconocen las

principales fortalezas y oportunidades para la organización en torno a la gestión

administrativa, De esto es importante señalar que una de las oportunidades principales

se identificó la necesidad de disponer de un Sistema de gestión del riesgo operativo.

(véase el cuadro 3).

Cuadro 3. Análisis DOFA

ANÁLISIS DOFA - DEBILIDADES - OPORTUNIDAES - FORTALEZAS Y AMENAZAS

FACTORES EXTERNOS

OPORTUNIDADES AMENAZAS

O1. Segmentación del mercado (identificación del asociado por diferente variables) para desarrollo de atención personalizada - Desarrollo CRM Administración basada en la relación con los clientes - Convenios regionales (que apliquen en otras ciudades diferentes a Bogotá)

A1. Disminución de base social por fallecimiento

O2. Fortalecer los requerimientos y mejoras tecnológicas - mejoramiento en sistema de seguridad de la información

A2. Normatividad Supersolidaria - Ley de libranza - competencia basada en tasas inferiores a las de la cooperativa

42

Cuadro 3. (Continuación)

O3. Generar políticas basadas en el enfoque cooperativo con el apoyo de las agremiaciones

A3. Disminución capacidad de ahorro y endeudamiento

O4. Aumentar la base social - Promover permanentemente la cultura cooperativa

A4. Programas sustitutos que den atención y servicios de acuerdo a las necesidades de los asociados y que la cooperativa no detecta a tiempo

O5. Desarrollo de CRM - Administración basada en la relación con los clientes

A5. Otras entidades tienen una fuerza comercial muy competitiva la cual tienen información a la mano y capturan al cliente en poco tiempo, vinculándolo de manera integral.

O6. Desarrollo de sistema de gestión de riesgos, sistema de gestión de calidad, sistema de gestión de seguridad y salud en el trabajo

A6. La Ley de Cooperativas ha sufrido modificaciones pero aún mantiene vacíos legales y no hay un texto único ordenado vigente.

O7. Participación sectorial - Agremiaciones interesadas en reforzar y proponer políticas adecuadas al sector

A7. Limitada participación de las entidades locales y regionales en el desarrollo cooperativo, principalmente en zonas rurales.

O8. Desarrollo de mayor número de actividades que involucren directamente al asociado (ferias, campañas y promociones, convenios que enfaticen en sus necesidades)

A8. Débil aprovechamiento de las tecnologías de la comunicación por parte de la cooperativa.

O9. Gestión basada en la Responsabilidad social.

A9. Faltan mejores canales de comunicación.

FACTORES INTERNOS

FORTALEZAS DEBILIDADES

F1. Solidez financiera – alta liquidez D1. Falta de comunicación asertiva con los asociados

F2. Control permanente y seguimiento a indicadores financieros

D2. No hay agilidad en respuestas ni tramites

F3. Reconocimiento y compromiso de los asociados - Referente en el sector

D3. Poca promoción y divulgación de servicios

F4. Buenas tasas de interés en ahorro y crédito

D4. Falta de análisis de información y calidad de la información (asociados)

F5. Permanencia en el tiempo - estabilidad D5. Falta de planeación - apropiación de los procesos

F6. Participación activa e influyente de órganos de control

D6. Falta mayor desarrollo del talento humano, capacitación y medición por competencias

F7. Desarrollo de plataforma para educación cooperativa

D7. Falta de medición y análisis de indicadores financieros y sociales

Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Matriz DOFA

43

2.2 GESTIÓN POR PROCESOS 2.2.1 Mapa de Procesos. En Febor entidad cooperativa se han identificado 10 procesos relevantes para el cumplimiento en la atención a los asociados y que se identifican así. (véase la Figura 12). Figura 12. Mapa de procesos Febor Entidad Cooperativa

Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Mapa de procesos 2.2.2 Alcance de cada uno de los Macro procesos. A continuación, se presenta el alcance de cada uno de los macro procesos de la entidad. (véase el cuadro 4). Cuadro 4. Alcance Macro Procesos

PROCESO ALCANCE

PR

OC

ES

OS

ES

TR

AT

ÉG

ICO

S DE

Dirección Estratégica

Planeación de los procesos, productos y servicios hasta la revisión del desempeño de cada área de la Cooperativa para generar y delegar acciones de mejoramiento.

GCA Gestión de

Calidad

Desde el análisis de las directrices establecidas en materia de la gestión de calidad determinadas por la alta dirección hasta la identificación e implementación de mejoras en los diferentes procesos de la Entidad.

44

Cuadro 4. (Continuación) P

RO

CE

SO

S

MIS

ION

AL

ES

SAS Servicio al Asociado

Desde la primera asesoría para el asociado y/o vinculación del asociado potencial hasta el otorgamiento de productos y servicios, procesos de recaudo, fidelización del asociado o retiro del mismo.

GSO Gestión Social

Desde la divulgación de beneficios y programas en el ámbito social y de bienestar hasta la ejecución de las actividades incluidas en los programas.

PR

OC

ES

OS

DE

AP

OY

O

COM Comunicaciones

Desde la gestión de canales de información, transformación y dominio de la comunicación interna y externa hasta la adecuada logística que involucra la identidad e imagen de la Cooperativa.

ATH Administración y Talento Humano

Desde la recepción de necesidades referentes a temas administrativos y de talento hasta garantizar plenamente la disposición de éstos recursos.

CYF Contabilidad y

Finanzas

Desde la identificación y captura de información Contabilidad y Finanzas de los hechos económicos hasta el análisis e interpretación del resultado de los estados financieros, la planeación y seguimiento al presupuesto anual de la Cooperativa

TI Tecnologías de la

información

Todos los requerimientos tecnológicos desde la identificación hasta la solución e implementación del mismo.

JUR Gestión Jurídica

Desde la asesoría y acompañamiento de todos los trámites legales de la Cooperativa a partes interesadas internas y externas, la gestión de recuperación de cartera y seguimiento a los procesos jurídicos de la Cooperativa

GRI Gestión de

Riesgos

Desde el análisis de los riesgos identificados hasta la identificación e implementación de controles y planes de acción

Fuente. El Autor 2.2.3 Caracterización del proceso de GRI-gestión de riesgos Operativo. Como parte de la planificación del Sistema de Gestión de riesgos, Febor Entidad Cooperativa desarrolla un modelo de procesos del área mediante caracterización donde se puedan visualizar las diferentes entradas y salidas del proceso con un enfoque de PHVA e interacción entre procesos (véase el Anexo A).

45

Figura 13. Caracterización proceso GRI-Gestión del Riesgo

Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. 2019 Caracterización de procesos 2.3 RESPONSABLES DE LOS PROCESOS 2.3.1 Responsables. A continuación, se presentan las responsabilidades que tienen los diferentes cargos asociados con la gestión del riesgo operativo dentro de la entidad, estos están compuestos de acuerdo con el nivel y alcance de cada uno de sus procesos. 2.3.2 Política de gestión del Riesgo. La política de gestión de riesgos trazada por la dirección, establece los principales protagonistas del proceso, y sus responsabilidades, las cuales van encaminadas al cumplimiento de los objetivos. (véase el cuadro 5).

46

Cuadro 5. Responsabilidades política gestión de procesos

CARGO RESPONSABILIDADES

Coordinador Gestión del riesgo

Implementar, actualizar y consultar la política de gestión de riesgos

Orientar a la construcción y actualización de los procesos de la entidad

Identificar los riesgos que se puedan presentar en los procesos intervenidos

Identificar y acompañar la implementación de oportunidades de mejora en los procesos

Dueños de proceso (jefe de

área)

Asegurar que todos los procedimientos, políticas y documentos asociados a los procesos del área se encuentren vigentes en el sistema de gestión de riesgos operativos.

Participar activamente en las sesiones de validación y aprobación de los procesos a fin de gestionar la aprobación de los documentos.

Revisar y aprobar o rechazar los procesos enviados por el área de gestión de riesgos en un tiempo no superior a 10 días hábiles.

Garantizar para todos los miembros del área, el acceso a la consulta de los documentos asociados a los procesos.

Gestor de Riesgos y Calidad

Gestionar bajo la metodología del sistema de gestión de riesgos operativos (SGI) la documentación, aprobación y publicación de los procedimientos de su área.

Realizar la evaluación de conocimiento, enviada por el área de gestión del riesgo, para evidenciar el entendimiento del mismo con respecto al contenido de los procesos divulgados.

Fuente. El Autor

2.3.3 Generalidades de la Gestión Documental de la organización. Febor Entidad Cooperativa soporta la realización de nuevos lineamientos mediante los documentos contemplados a continuación. (véase el cuadro 6).

47

Cuadro 6. Documentación existente

TIPO DE DOCUMENTOS

HALLAZGOS DESCRIPCIÓN

Políticas Febor cuenta con registro de políticas de calidad

Declaración de intenciones

Manuales

Manual de atención al asociado

Manual de calidad

Manual de gestión documental

Manual de seguridad de la información

Manual Riesgo de Liquidez

Manual de compras

Manual SARLAFT

Para cada uno de estos procesos existe un manual que se presenta como guía de instrucciones que sirve para el establecimiento de procedimientos de trabajo.

Formatos

Febor cuenta con formatos estipulados para cada procedimiento, por ejemplo formatos de tesorería como formato de libranza, formato de declaración de fuente de fondos, formatos de autorización de descuento de nómina, formatos de solicitud de continuidad como asociado, formatos de solicitud de tarjetas débito etc.

Formatos para guiarse en los datos requeridos más no son válidos para uso legal, debe acercarse a la Cooperativa para diligenciarlos.

Procedimientos Todos los procesos cuentan con procedimientos

Es el conjunto de acciones u operaciones que tienen que realizarse de la misma forma, para obtener siempre el mismo resultado bajo las mismas circunstancias.

Cartillas

Febor cuenta con cartillas didácticas para que sus asociados puedan entender con facilidad lo que en ellas se propone

se presentan de forma informativa

Formularios Se tienen formularios para el 50% de los procedimientos

Se presentan como requisito para inscripción a programas o solicitud de créditos

Fuente. El Autor

48

2.3.4 Gestión documental asociada a la gestión del riesgo operativo. Una vez reconocida la tipología de documentos que se manejan en la organización, a continuación, se presentan los documentos que tienen directa relación con el proceso de gestión del riesgo operativo. (véase el cuadro 7). Cuadro 7. Documentos asociados al riesgo Operativo

PROCEDIMIENTOS

CÓDIGO NOMBRE

GRI-PR-01 Procedimiento de conocimiento Asociado-Proveedor-Colaborador

GRI-PR-02 Procedimiento Manejo de listas Vinculantes y Restrictivas

GRI-PR-03 Procedimiento Manejo de Documentación-Actualización y Conservación

GRI-PR-04 Procedimiento Para Requerimiento y Reserva de información

GRI-PR-05 Procedimiento Manejo de Efectivo

GRI-PR-06 Procedimiento Operación inusual y sospechosa

GRI-PR-07 Procedimiento para Identificación, medición y monitoreo de Riesgos LAFT

GRI-PR-08 Procedimiento para la generación de reportes

GRI-PR-09 Procedimiento de segmentación

GRI-PR-10 Procedimiento de países de mayor riesgo

GRI-PR-11 Procedimiento sobre nuevos productos y mercados

MANUALES

GRI-MA-001

Manual de políticas SARLAFT

GRI-MA-002

Manual de políticas riesgo de liquidez

GRI-MA-001

Manual de políticas para manejo de inversiones

Fuente. El Autor

49

2.3.5 Listado maestro de documentos. El listado maestro de documentos y registros es el índice de documentos establecidos por Febor Entidad Cooperativa que apoyan el control y la operación de los procesos garantizando su actualización, disponibilidad y su uso (véase el Anexo B). Cuadro 8. Listado maestro de Documentos

Fuente. Febor Entidad Cooperativa [CD-ROM]. [Bogotá]. Listado maestro de Documentos.

50

3. IDENTIFICACIÓN DE LOS RIESGOS EN FEBOR ENTIDAD COOPERATIVA

3.1 RIESGOS OPERATIVOS EN LOS PROCESOS A continuación se realiza el proceso de identificación de riesgo operativo en Febor Entidad Cooperativa, teniendo en cuenta los parámetros establecidos en la norma ISO 9001:2018, para éste caso los riesgos se identifican por áreas teniendo en cuenta el proceso y subproceso, vale la pena mencionar que se ilustra un apartado de la totalidad de la matriz específicamente para el procesos de servicio al asociado, la totalidad de los procesos y subprocesos para la identificación de los 114 riesgos de la entidad se encuentran en (véase el Anexo C). Cuadro 9. Identificación de riesgos en Febor Entidad Cooperativa

Fuente. El Autor 3.1.1 Análisis de los riesgos en Febor Entidad Cooperativa. A partir de la información recolectada y los riesgos identificados en la etapa anterior, para determinar la probabilidad de ocurrencia y los niveles de impacto se utilizan los siguientes parámetros:

51

Es importante mencionar que los riesgos operativos en cada uno de los procesos y el establecimiento de las escalas de probabilidad de ocurrencia, impacto y nivel de severidad fueron definidas a partir de un modelo predefinido36. (véase el cuadro 10). Cuadro 10. Niveles de probabilidad de ocurrencia

PROBABILIDAD DE OCURRENCIA

Nivel Probabilidad

Criterios Probabilidad Matemática

Frecuencia

Cierto

El evento se espera que ocurra en la mayoría de las circunstancias, ya que hay una historia de ocurrencia regular en la entidad o empresas similares.

Mayor al 80%

El evento ocurra una

vez por semana

Probable

Existe una fuerte posibilidad de que ocurra el evento, ya que hay una

historia de ocurrencia frecuente en la entidad o empresas similares.

Entre el 50% y el 80%

El evento ocurra una

vez por mes

Posible

El evento puede ocurrir en algún momento ya que hay un historial de

ocurrencia casual en la entidad o empresas similares.

entre el 15% y el 50%

El evento curra una vez cada 6 meses

Improbable No se espera, pero hay una posibilidad

leve de que puede ocurrir en algún momento.

Entre el 5% y el 15%

El evento ocurra una vez cada 9

meses

Excepcional

Muy improbable, pero puede ocurrir en circunstancias excepcionales. Podría

suceder, pero probablemente nunca lo hará.

Menor al 5% El evento

ocurra una vez por año

Fuente. El Autor

36 Activa Conocimiento. Progreso Personal y Profesional en Gestión y Liderazgo. [en línea]. Bogotá [citado 04 de octubre, 2019]. Disponible en internet: URL:< http://activaconocimiento.es/matriz-probabilidad-impacto/>

52

Cuadro 11. Niveles de impacto

IMPACTO

Nivel Impacto Criterios

Catastrófico Ocurrirá con alto nivel de certeza

Crítico Muy posible que ocurra en un año

Moderado Es posible que ocurra en un año

Marginal Poco probable que ocurra en un año

Despreciable Prácticamente imposible que ocurra en un año

Fuente. El Autor

3.1.2 Valoración de los riesgos de Febor Entidad Cooperativa. La valoración respectiva se realiza atendiendo la siguiente información. (véase el cuadro 11). Cuadro 12. Nivel de severidad del riesgo

Fuente. El Autor Cuadro 13. Valoración del riesgo en términos de probabilidad e impacto

Fuente. El Autor

Nivel de Severidad

Extremo

Alto

Moderado

Bajo

IMPACTO

PR

OB

AB

ILID

AD

Despreciable Marginal Moderado Crítico Catastrófico

Cie

rto

Moderado Alto Extremo Extremo Extremo

Probable

Moderado Alto Extremo Extremo Extremo

Posible

Bajo Moderado Alto Extremo Extremo

Improbable

Bajo Moderado Moderado Alto Alto

Excepcional

Bajo Bajo Bajo Moderado Moderado

53

3.1.3 Análisis y valoración de los riesgos de Febor Entidad Cooperativa. A continuación, se presenta el análisis de los riesgos en Febor Entidad Cooperativa. (véase el cuadro 14). Cuadro 14. Análisis y valoración de los riesgos en Febor Entidad Cooperativa

Fuente. El Autor Teniendo en cuenta los parámetros de la norma ISO 9001:2018 donde la valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecido para determinar cuándo se requiere una acción, la valoración conduce a tomar las siguientes decisiones. • No hacer nada más; • Considerar opciones para el tratamiento del riesgo; • Realizar un análisis adicional para comprender mejor el riesgo; • Mantener los controles existentes; • Reconsiderar los objetivos. Es necesario que las decisiones cuenten con un contexto más amplio y detallado sobre las consecuencias reales consideradas por las partes interesadas externas e internas. 3.1.4 Evaluación de controles para los riesgos de Febor Entidad Cooperativa. A continuación, se presenta la respectiva valoración a cada uno de los riesgos identificados. (véase el cuadro 15).

VALORACIÓN

CÓDIGO

DEL

RIESGO

PROBABILIDAD

INHERENTE

IMPACTO

INHERENTE

SEVERIDAD DEL

RIESGO INHERENTE

R17 Improbable Moderado Moderado

R18 Posible Crítico Extremo

R19 Improbable Despreciable Bajo

R20 Posible Despreciable Bajo

R21 Probable Despreciable Moderado

ANÁLISIS

54

Cuadro 15. Evaluación de controles para los riesgos de Febor Entidad Cooperativa

Fuente. El Autor 3.1.5 Tratamiento de los riesgos. Una vez se cuenta con los resultados obtenidos en la etapa de evaluación de riesgos es pertinente realizar el tratamiento del riesgo enfocado a las acciones a tomar, a definir, a conservar o mejorar en los controles impuestos respecto a los riesgos. De igual forma, es importante establecer los responsables de las acciones y contar con mecanismos de supervisión y monitoreo, y de esta manera garantizar una adecuada gestión de riesgos. De acuerdo con lo establecido en la norma ISO 31000:2018, dentro de las opciones más apropiadas para el tratamiento del riesgo que debe contemplar la organización están: • Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el

riesgo; • Aceptar o aumentar el riesgo en busca de una oportunidad; • Eliminar la fuente de riesgo; • Modificar la probabilidad; • Modificar las consecuencias; • Compartir el riesgo (por ejemplo: a través de contratos, compra de seguros); • Retener el riesgo con base en una decisión informada.

Las selecciones de las opciones para el tratamiento de los riesgos deben realizarse de acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos

CÓDIGO

DEL

RIESGO

CÓDIGO DEL

CONTROL NOMBRE DEL CONTROL DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL REDUCE ESTADO DEL CONTROL

R17 C17 Manual de funciones

Febor cuenta con un manual de funciones que es

asignado a todos los colaboradores, se debe revisar

permanentemente

Preventivo-Detectivo Probabilidad Documentado

R18 C18 Evaluación de desempeño

Los líderes de cada proceso deben realizar evaluaciones

periódicas a los colaboradores y establecer acciones

correctivas en caso de que se este afectando la

operación - retroalimentar y notificar todos los cambios

o procesos implementados

Correctivo Impacto Parcialmente Documentado

R19 C19 Sistemas de protección de datos

Crear un sistema de gestión documental, en el cual

repose toda la documentación digital, y crear copias

periódicamente.

Preventivo Probabilidad Documentado

R20 C20Crear alertas de pagos próximos a

vencer

Se deberán elaborar, conservar y revisar regularmente

los registros acerca de actividades a realizar,

excepciones, fallas y eventos de seguridad de la

información.

Preventivo Probabilidad Parcialmente Documentado

R21 C21 Control de redesLas redes se deberían gestionar y controlar para

proteger la información en sistemas y aplicaciones.Preventivo Probabilidad No Documentado

EVALUACIÓN DE CONTROLES PARA EL RIESGO

55

disponibles, por lo que es importante contar con la participación de todas las partes interesadas externas e internas en la toma de decisiones y en la elaboración del plan de manejo de riesgos. (véase el cuadro 16). Cuadro 16. Medidas de tratamiento después de los controles aplicados a los riesgos

Fuente. El Autor 3.1.6 Registro de los riesgos identificados. A continuación, se presenta la matriz de riesgos. (véase el cuadro 17).

Cuadro 17. Matriz de riesgos Febor Entidad Cooperativa

Fuente. El Autor

IDENTIFICACIÓN DE RIESGOS VALORACIÓN

PROCESO PROCEDIMIENTO

CÓDIGO

DEL

RIESGO

RIESGO CAUSAS CONSECUENCIAS RESPONSABLES DEL

RIESGO

PROBABILIDAD

INHERENTE

IMPACTO

INHERENTE

SEVERIDAD DEL

RIESGO

INHERENTE

CÓDIGO

DEL

CONTROL

NOMBRE DEL CONTROL DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL REDUCE ESTADO DEL CONTROL PROBABILIDA

D RESIDUAL

IMPACTO

RESIDUAL

SEVERIDAD DEL

RIESGO

RESIDUAL

OPCIÓN DE TRATAMIENTO

PRINCIPAL

(ISO 31000:2018)

RESPONSABLES

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR1

Ingreso de recursos ilícitos a la

Entidad

No tener controles previos durante la vinculación de los asociados

vinculación de personas que hayan obtenido sus recursos a través de la

ejecución de actividades delictivas

Por la entrega de datos o documentos falsos o por errores en el

diligenciamiento del formulario de vinculación

Exposición a acciones civiles,

administrativas, disciplinarias y/o penales

por parte de la supersolidaria

Pérdida de imagen y credibilidad

Director SAS Improbable Moderado Moderado C1 Base de datos Banco de la República

Mantener la base de datos actualizada con la

información de empleados y pensionados del Banco de

la República y el registro histórico

Preventivo-Detectivo Probabilidad Parcialmente Documentado Improbable Despreciable Bajo Evitar el riesgo Coordinador Comercial

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR2

Incumplimiento de los requisitos

legales

Vincular personas catalogadas como PEPS (Personas expuestas publica o

políticamente) sin la debida diligencia, por no realizar proceso de

verificación de documentos y consulta en centrales de riesgo debido a

desconocimiento de normatividad relacionada con PEPS

Sanciones disciplinarias, acciones

constitucionales en contra de la entidad

Pérdida de imagen y credibilidad Director SAS Improbable Moderado Moderado C2 Consulta en listas

El Servicio al Asociado al momento de la vinculación,

debe realizar la consulta en listas de las personas que

quieren vincularse a la Cooperativa y dejar evidencia de

la consulta

Preventivo-Detectivo Probabilidad Documentado Posible Marginal Moderado Modificar la probabilidad Coordinador Operativo

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR3

Recibir dineros provenientes de

actividades ilícitas

No verificar procedencia de los dineros, se pueden presentar casos en los

cuales algunos asociados abren cuentas de ahorro con dineros ilícitos.Pérdida de credibilidad.

Deterioro de la imagen institucional.Director SAS Improbable Crítico Alto C3

Verificación diaria de movimientos de

ahorros

El oficial de cumplimiento diariamente verifica

movimientos cuando estos superan los $10,000,000 y

los canales a través de los cuales ingresa el dinero

Preventivo Probabilidad Documentado Improbable Marginal Moderado Evitar el riesgo Oficial de cumplimiento

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOS

SAS-PR-02 AHORRO

R4 Inadecuadas salidas de dinero

Consignación de dineros a personas cuya documentación no es real.

Suplantación de identidad de asociados por facilidad en acceso a bases de

datos por parte de funcionarios

Pérdida de recursos Director SAS Posible Marginal Moderado C4 Llamadas de verificación de identidadAntes de realizar el traslado de un ahorro se establece

comunicación con el asociado para confirmar procesoPreventivo-Detectivo Probabilidad Documentado Posible Despreciable Bajo Modificar la probabilidad Asesor comercial

Servicio al

Asociado

SAS

SAS-MA-01 MANUAL DE

ATENCIÓN Y CALIDAD

DEL SERVICIO AL

ASOCIADO

R5

Reclamaciones y/o demandas de

un cliente por extravío de

información

Debido a fallas en el manejo de la comunicación y cumplimiento de tiempos

de entrega de productos y serviciosAumento de las PQRSF Director SAS Posible Moderado Alto C5 Seguimiento a actividades de servicio

La Dirección de SAS realiza diariamente un seguimiento

a las metas y requerimientos de asociadosPreventivo Probabilidad Documentado y Divulgado Improbable Moderado Moderado Aceptar o aumentar el riesgo Director SAS

Servicio al

Asociado

SAS

SAS-PR-05 CRÉDITO R6Malversación de los activos de la

compañía

Debido a hurto de dinero a través de medios electrónicos para beneficio

propio del empleado o un tercero

Pérdida de imagen Institucional

Sanciones disciplinarias y legales

Investigaciones a Funcionarios y despidos

Jefatura Operativa Posible Marginal Moderado C6

Seguimiento diario de movimientos,

manejo de firmas y niveles de

autorización

En Febor existen diferentes niveles de autorización para

garantizar el control de las operacionesPreventivo-Detectivo Probabilidad Documentado y Divulgado Improbable Marginal Moderado Modificar la probabilidad Gerencia - Sistemas

Servicio al

Asociado

SAS

SAS-MA-01 MANUAL DE

ATENCIÓN Y CALIDAD

DEL SERVICIO AL

ASOCIADO

R7

Manipulación o incumplimiento

voluntario de los términos

establecidos para atender una

PQRS (Petición, Queja, Reclamo,

Omisión en la atención y respuesta de PQRSF dentro de los tiempos

establecidos Debido a no priorizar estas condiciones que afectan de manera

directa a la entidad

Insatisfacción de los usuarios Director de Riesgos - Director SASProbable Despreciable Moderado C7 Archivo drive PQRSF

Todos los casos que llegan de PQRSF se canalizan a

través de un correo, se tiene designados responsables

de la atención y seguimiento

Detectivo-Correctivo Impacto Documentado y Divulgado Excepcional Marginal Bajo Aceptar o aumentar el riesgoDirector SAS

Director de Riesgos

Servicio al

Asociado

SAS

SAS-PR-05 CRÉDITO R8

Errores Humanos al momento de

diligenciar la solicitud y la

información para el otorgamiento

de crédito

Falta de capacitación

Distracción por parte de l responsable de la operación

Desconocimiento del formato

Pérdida de clientes

Altos costos operativos

Reclamaciones por incumplimiento

Demora en el desembolso de los créditos

Coordinador de Gestión Social Posible Despreciable Bajo C8 Verificar información

Llevar a cabo la verificación de los datos del asociado

en el momento de hacer la consignación, y así evitar

reprocesos y perdidas para la entidad

Preventivo-Detectivo Probabilidad Parcialmente Documentado Posible Despreciable Bajo Modificar la probabilidad Jefe de gestión social

Servicio al

Asociado

SAS

CYF-PR-01 CAJA

CYF-PR-04 FONDO DE

LIQUIDEZ E

INVERSIONES

R9Falta de disponibilidad

presupuestal

Debido a la inadecuada planeación estratégica y presupuestal de la

Entidad.

Pérdida de oportunidad para el desarrollo

de la entidadCoordinador de Gestión Social Probable Moderado Extremo C9 Contabilidad controle los gastos

Llevar una revisión periódica de los gastos de la

Entidad, para saber con cuanto dinero dispone y poder

limitar los gastos según el presupuesto

Preventivo-Detectivo Probabilidad Documentado Posible Marginal Moderado Modificar la consecuencia Jefe de gestión social

Servicio al

Asociado

SAS

TODOS LOS

PROCEDIMIENTOS SASR10

Daños o modificaciones en los

datos o programas

Manipulación inadecuada de la información

Sabotaje Informático

Filtración de información.

Eliminación o modificación de los sistemas

de información y tecnológicos

Coordinador de Gestión Social Probable Despreciable Moderado C10Ubicación y protección de la

información

Se deberán controlar los puntos de acceso tales como

áreas de documentación, y otros puntos en donde

pueden entrar personas no autorizadas, para evitar el

acceso no autorizado.

Preventivo Probabilidad Parcialmente Documentado Improbable Despreciable Bajo Modificar la probabilidad Jefe de gestión social

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR11 Perdida de Asociados

Retiro de asociados Debido a la falta de conocimiento y atención por parte

de los asesores

Inadecuada prestación de los servicios y atención a los asociados

Emisión de información errónea

Pérdidas económicas para la entidad Coordinador de Gestión Social Posible Marginal Moderado C11

Revisión de la información

suministrada en los informes

presentados por las áreas

Sensibilizar al personal vinculado a las áreas de

comunicación y gestión social frente al uso adecuado de

la información que se debe suministrar

Preventivo Probabilidad Documentado Improbable Marginal Moderado Modificar la consecuencia Jefe de gestión social

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR12

Pérdida de un requerimiento

realizado por un ciudadano /

usuario

Entrega de requerimientos sin ser radicado en el control de PQRSF

Desconocimiento de los procesos de la entidad

Demora en los tiempos de respuesta

Incumplimiento de términos de ley

Sanciones Demandas

Coordinador de Gestión Social Posible Moderado Alto C12 Revisión de PQRSF

Revisión constante de los PQRS radicadas en la entidad

Lineamientos y socialización de las funciones y procesos

en la entidad al responsable del proceso

Preventivo Probabilidad Parcialmente Documentado Posible Marginal Moderado Modificar la probabilidad Jefe de gestión social

Servicio al

Asociado

SAS

SAS-PR-01 AFILIACIÓN Y

RETIRO DE ASOCIADOSR13

Migración de asociados Perdida histórica de contenidos en la página virtual, por la no actualización

en el programa Moodle por la falta de claridad en el objeto del contrato por

no tener establecido el soporte técnico

Perdida de imagen y credibilidad Coordinador de Gestión Social Improbable Marginal Moderado C13 Actualizar programa Moodle Realizar actualización periódica del programa Moodle Preventivo Probabilidad Parcialmente Documentado Excepcional Moderado Bajo Modificar la probabilidad Jefe de gestión social

ComunicacionesTODOS LOS

PROCEDIMIENTOS R14

Pérdida de posicionamiento de

imagen por comunicar información

inexacta o errónea

Entrega de insumos no confiables por parte de los procesos o una mala

interpretación por parte del responsable del área de comunicaciones

Falta de compromiso de los asesores comerciales que son los encargados de

proporcionar la información a los asociados

Insatisfacción en los clientes Jefe de comunicaciones Posible Marginal Moderado C14Verificación de comunicados antes de

publicar

Los comunicados son revisados y aprobados en la

Jefatura de ComunicacionesPreventivo-Detectivo Probabilidad Documentado Improbable Marginal Moderado Modificar la probabilidad

Comunicaciones

Sistemas

ComunicacionesPROCEDIMIENTOS DE

COMUNICACIONES R15

Detrimento de la imagen de la

entidad

Poca comunicación entre los dirigentes de la entidad se trasladan las

decisiones y comunicaciones

Desarticulación de las comunicaciones entre dirigentes y directivos, y entre

directivos y colaboradores

Pérdida de credibilidad y posicionamiento

de la entidad.

Mayor desconocimiento de la ciudadanía de

la oferta de la entidad.

Pérdida de veracidad de la información

Consejo de

administración,

Gerencia,

Direcciones,

Jefaturas,

Posible Moderado Alto C15 Comités de gerencia y de áreasMensualmente y cada vez que se requiere se realiza el

comité y se levanta el acta de la mismaPreventivo-Detectivo Probabilidad Parcialmente Documentado Excepcional Moderado Bajo Modificar la probabilidad Lideres de procesos

ComunicacionesPROCEDIMIENTOS DE

COMUNICACIONES R16

Falta de posicionamiento en la

mente de los pensionados

Empleados y dirigentes del Banco de la República, ya sean asociados o no

ya que no se establece una comunicación cercana

Debido a la falta de acercamiento por parte de la Cooperativa al Banco.

Dejar de tener oportunidades de nuevos

socios y nuevos proveedores.

Pérdida de alcance geográfico

Gerencia, comunicaciones Posible Moderado Alto C16Cronograma de actividades Febor -

Banrep - Reuniones

Febor realiza acercamientos con el Banco de la

República a fin de acompañar y apoyar las actividades

que este realiza

Preventivo-Detectivo Probabilidad Parcialmente Documentado Improbable Moderado Moderado Modificar la probabilidadComunicaciones

Gerencia

Gestión

administrativa y

del talento

humano

PROCEDIMIENTOS DE

GESTIÓN

ADMINISTRATIVA Y DE

TALENTO HUMANO

R17 Fallas operativas

Debido a las acciones de la gestión diaria

Descarga de documentos inadecuados

bases de datos con alto contenido

Daños en el sistema Lideres de procesos Improbable Moderado Moderado C17 Manual de funciones

Febor cuenta con un manual de funciones que es

asignado a todos los colaboradores, se debe revisar

permanentemente

Preventivo-Detectivo Probabilidad Documentado Excepcional Marginal Bajo Modificar la consecuencia Jefe Talento Humano

Gestión

administrativa y

del talento

humano

PROCEDIMIENTOS DE

GESTIÓN

ADMINISTRATIVA Y DE

TALENTO HUMANO

R18 Atraso operativo y reprocesos

Debilidad a no ejercer con responsabilidad y compromiso el cambio de

metodologías Resistencia del personal al cambio y actualización de

procesos, negligencia en la realización de actividades

Incumplimiento de metas estratégicas

Ineficiencia en la operación

Perdida de las Certificaciones del Sistema

No alineación estratégica

Jefe de Talento Humano Posible Crítico Extremo C18 Evaluación de desempeño

Los líderes de cada proceso deben realizar evaluaciones

periódicas a los colaboradores y establecer acciones

correctivas en caso de que se este afectando la

operación - retroalimentar y notificar todos los cambios

o procesos implementados

Correctivo Impacto Parcialmente Documentado Posible Marginal Moderado Modificar la probabilidadLideres de procesos

Talento Humano

Gestión

administrativa y

del talento

humano

PROCEDIMIENTOS DE

GESTIÓN

ADMINISTRATIVA Y DE

TALENTO HUMANO

R19Perdida parcial o total en la

infraestructura de la Entidad

Se refiere a las ocurrencias que se pueden presentar en las instalaciones

generando pérdida total de soportes documentales debido a Catástrofes,

terremotos, incendios o inundaciones.

Pérdida de información Desastres Naturales Improbable Despreciable Bajo C19 Sistemas de protección de datos

Crear un sistema de gestión documental, en el cual

repose toda la documentación digital, y crear copias

periódicamente.

Preventivo Probabilidad Documentado Improbable Despreciable Bajo Compartir el riesgo Jefe Talento Humano

Gestión

administrativa y

del talento

humano

PROCEDIMIENTOS DE

GESTIÓN

ADMINISTRATIVA Y DE

TALENTO HUMANO

R20Sanciones por no pago de

parafiscales

Debido a la alta carga laboral o negligencia.

No cumplimiento en el pago de seguridad social.

Olvido de afiliación inicial del funcionario a la EPS o ARL.

Pérdida de imagen por el no pago de los

parafiscales Jefe de Talento Humano Posible Despreciable Bajo C20

Crear alertas de pagos próximos a

vencer

Se deberán elaborar, conservar y revisar regularmente

los registros acerca de actividades a realizar,

excepciones, fallas y eventos de seguridad de la

información.

Preventivo Probabilidad Parcialmente Documentado Excepcional Marginal Bajo Aceptar o aumentar el riesgo Jefe Talento Humano

Gestión

administrativa y

del talento

humano

PROCEDIMIENTOS DE

GESTIÓN

ADMINISTRATIVA Y DE

TALENTO HUMANO

R21Perdida temporal o definitiva de

información física o magnética

Debido al mal manejo de bases de datos que disponen de alto contenido o

perdida de información por manejo inadecuado de la información, mal

manejo de virus informático o sobrecarga

Daños a terceros y sus respectivas

consecuencias legales y fiscales

Deterioro de la confianza de los servidores

en la Entidad

Apertura de investigaciones y posibles

sanciones

Jefe de Talento

Humano

Jefe de Sistemas

Probable Despreciable Moderado C21 Control de redesLas redes se deberían gestionar y controlar para

proteger la información en sistemas y aplicaciones.Preventivo Probabilidad No Documentado Improbable Moderado Moderado Modificar la probabilidad Jefe Talento Humano

DATOS DEL RIESGO MEDIDAS DE TRATAMIENTO DESPUES DE LOS

CONTROLES DEL RIESGO EVALUACIÓN DE CONTROLES PARA EL RIESGO

MATRIZ DE RIESGO OPERATIVO

ANÁLISIS

4. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO EN FEBOR ENTIDAD

COOPERATIVA

4.1 METODOLOGÍAS DE ANÁLISIS DEL RIESGO Dado que los riesgos no tienen el mismo origen ni la misma naturaleza, se pueden utilizar varias herramientas para su gestión. Sin embargo, otros factores que inciden significativamente son el tamaño de las empresas, su número de integrantes, su estructura, la actividad de producción y el sector en el que operan. Esto ha propiciado que se desarrollen metodologías de análisis propias de un sector o especialidad. Su objetivo es la identificación, evaluación, tratamiento y monitorización de los riesgos asociados a una actividad, función o proceso. Es decir, es lo que da forma a la implementación del sistema de gestión en sí mismo.37 4.1.1 Metodologías para la gestión del riesgo. Son aquellos documentos que están orientados a la identificación, evaluación y el posterior tratamiento de los riesgos derivados de una actividad. Entre ellas esta, la norma ISO 31000:2019 y 2018, también se encuentran otros estándares, por ejemplo AS/NZS 4360:1999 Estándar Australiano de Administración de Riesgos, método del ARO (Administración del Riesgo Operacional).

4.1.1.1 Administración de Riesgos (AS/NZS 4360). Este Estándar provee una guía genérica para el establecimiento e implementación el proceso de administración de riesgos involucrando el establecimiento del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos. La administración de riesgos es reconocida como una parte integral de las buenas prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales, cuando son ejecutados en secuencia, posibilitan una mejora continua en el proceso de toma de decisiones38.

37 METODOLOGÍAS PARA LA GESTIÓN DEL RIESGO [en línea]. Bogotá. [citado 30 de septiembre, 2019]. Disponible en internet: <URL: https://capacitacioncgr.jovenclub.cu/wp-content/uploads/2018/05/Metodologia-para-la-Gestion-del-Riesgo.pdf> 38 ADMINISTRACIÓN DE RIESGOS. AS/NZS 4360: 1999. Estándar Australiano [en línea]. Bogotá. [citado 30 de septiembre, 2019]. Disponible en internet: URL< https://www.edesaesp.com.co/wp-content/uploads/2013/05/ASNZ-4360-de-1999.pdf>

58

4.1.1.2 Administración del Riesgo Operacional. Método de análisis inductivo para identificar peligros asociados a tareas y actividades no rutinarias o eventuales. Esto permite establecer los sistemas de eliminación, control o barrera necesarios para el desempeño de un trabajo en condiciones seguras para los trabajadores, ambiente y el entorno. (Véase la figura 14). Figura 14. Administración del riesgo operacional

Fuente. El Autor

4.2 PRESENTACIÓN DE LA METODOLOGÍA

Básicamente la metodología busca mejorar la gestión de los riesgos de los procesos en Febor Entidad Cooperativa, lo que traerá a la empresa mayores posibilidades de éxito. 4.2.1 Estructura de la propuesta. La metodología que se propone para la gestión de los riesgos está estructurada de la siguiente manera. (véase la figura 15). Figura 15. Estructura de la metodología para la gestión del riesgo

Fuente. El Autor

Identificación de los riesgos

Análisis de riesgos

Evaluación del riesgo

Valoración de los riesgos

Identificación de controles

Evaluación de controles

Tratamiento de los riesgos

Seguimiento y revisión

Registro e informe

AR

O Materiales Equipos o

herramienta

Personas y

acciones

Condiciones

ambientales

59

4.2.1.1 Identificación de los riesgos. Este proceso se hace con el fin de conocer los eventos potenciales, ya sea que estén o no bajo el control de la entidad, y que de una u otra manera ponen en riesgo el logro de los objetivos, para lo cual se establecen las causas y las consecuencias, adicionalmente se realiza la clasificación del riesgo. (véase la figura 16). Figura 16. Componentes para la identificación del riesgo

Fuente. El Autor

4.2.1.2 Componentes de la identificación del riesgo. A continuación, se mencionan detalladamente los componentes para la identificación de riesgos en Febor Entidad Cooperativa. Causa del riesgo. Las causas son uno de los aspectos a mitigar o eliminar con el fin de que el riesgo no se materialice, la definición de controles efectivos hace que esto se consiga, para realizar el análisis de las causas se utiliza la técnica que será expuesta a continuación. Diagrama Causa-Efecto (Espina de pescado). Este método permite visualizar de manera estructurada todas las causas posibles del riesgo. (véase la figura 17). Figura 17. Análisis de causas (Espina de pescado)

Fuente. El Autor

Causas

Son los medios o

circunstancias que

generan riesgos

Riesgo

Evento que tendrá

un impacto sobre

los objetivos

institucionales o

del proceso

Consecuencias

Efectos que se

pueden presentar

cuando un riesgo

se materializa

Clasificación

De acuerdo con

las características

del riesgo, se

clasifica según las

clases

establecidas

Identificación

del riesgo

Descripción

adecuada de los

60

Consecuencias. Las consecuencias son los efectos que se generan o pueden generarse en caso de que el riesgo se llegue a materializar; generalmente se dan sobre los bienes materiales, sanciones, pérdidas económicas, de la información, de bienes, de credibilidad y confianza, interrupción del servicio y pérdida de imagen. Las consecuencias del riesgo para este caso se determinan en orden descendente; definiendo cual podría ser el efecto mayor que puede causar la materialización del riesgo hasta llegar al efecto menor generado. Clasificación de los riesgos. Para este caso en la etapa de identificación, se lleva a cabo la clasificación de los riesgos, según sus características, con el fin de orientar la formulación de un tratamiento adecuado que posibilite la mitigación del riesgo para Febor Entidad Cooperativa. Vale la pena mencionar que para esta metodología se identifican riesgos de tipo operativo, pero la estructura es la misma en caso de querer identificar todas las clases de riesgos. (véase el cuadro 18). Cuadro 19. Clasificación de los riesgos

CLASES DE RIESGO

DEFINICIÓN

Estratégico Son los riesgos relacionados con la misión y el cumplimiento de los objetivos estratégicos, la definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Operativo Relacionados con el funcionamiento y operatividad de los sistemas de información de la entidad: definición de procesos, estructura de la entidad, articulación entre dependencias.

Financieros Relacionados con el manejo de los recursos de la entidad: ejecución presupuestal, elaboración estados financieros, pagos, manejos de excedentes de tesorería y manejo de los bienes.

Cumplimiento Capacidad de cumplir requisitos legales, contractuales, ética pública y compromiso con la comunidad.

Tecnología Capacidad para que la tecnología disponible satisfaga las necesidades actuales y futuras y el cumplimiento de la misión.

Imagen Tienen que ver con la credibilidad, confianza y percepción de los usuarios de la entidad.

Fuente. El Autor Desarrollo practico de Identificación de riesgos. Se deben tener en cuenta las ideas establecidas para cada uno de los factores internos y externos de la entidad, las cuales se utilizarán para determinar las causas de los riesgos identificados, de igual forma se debe mencionar el riesgo y las posibles consecuencias de su materialización. (véase el cuadro 19).

61

Cuadro 20. Formato practico para la identificación de los riesgos

FORMATO PRÁCTICO PARA LA IDENTIFICACIÓN DE RIESGOS

PROCESO:

OBJETIVO:

FECHA:

CODIGO DEL RIESGO

PUEDE OCURRIR QUE

(riesgo)

DEBIDO A (una o más causas)

LO QUE PODRÍA GENERAR (uno o más

consecuencias)

Fuente. El Autor A continuación, se presenta un ejemplo de diligenciamiento del 01FPIR Formato práctico para la identificación de los riesgos. (véase el cuadro 20). Cuadro 21. Ejemplo del 01FPIR Formato práctico para la identificación de los riesgos

FORMATO PRÁCTICO PARA LA IDENTIFICACIÓN DE RIESGOS

PROCESO: Gestión administrativa y del talento humano

OBJETIVO: Identificar todos los riesgos que se pueden presentar en el proceso de gestión administrativa y talento humano

FECHA: 03 de octubre de 2019

CODIGO DEL RIESGO

PUEDE OCURRIR

QUE (riesgo)

DEBIDO A (una o más causas)

LO QUE PODRÍA GENERAR (uno o más

consecuencias)

R17 Atraso operativo y reproceso

-Debilidad a no ejercer con responsabilidad y compromiso el cambio de metodologías -Resistencia del personal al cambio y actualización de procesos -Negligencia en la realización de actividades

-Incumplimiento de metas estratégicas -Ineficiencia en la operación -Pérdida de las Certificaciones del Sistema

R18

Pérdida parcial o total en la infraestructura de la Entidad

Ocurrencias que se pueden presentar en la instalación generando pérdida total de soportes documentales debido a Catástrofes, terremotos, incendios o inundaciones

-Pérdida de información

Fuente. El Autor 4.2.1.3 Análisis de los riesgos. Mediante el análisis del riesgo se busca establecer la probabilidad de ocurrencia y sus consecuencias, calificándolos y evaluándolos con el fin de obtener información y con ella poder establecer el nivel del riesgo.

62

Para la presente metodología se han establecido dos aspectos importantes a tener en cuenta en el análisis de riesgos identificados, los cuales son la probabilidad y el impacto. Se entiende como probabilidad como la posibilidad de ocurrencia del riesgo; la cual puede ser medida con criterios de frecuencia, y el impacto que son las consecuencias que puede generar a la Entidad la materialización del riesgo. Esta etapa se divide en:

Calificación del riesgo. La calificación del riesgo se logra mediante la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Es importante mencionar que la primera se refiere al número de veces que el riesgo se ha presentado en un determinado tiempo o puede presentarse, y la segunda hace referencia a la magnitud de los efectos que pueden presentarse39. Para determinar la calificación del riesgo, con base a la probabilidad y el impacto se debe tener en cuenta. (véase Cuadro 8. Niveles de probabilidad y ocurrencia). Valoración de los riesgos. Permite comparar los resultados de la calificación, mediante los criterios definidos para implantar medianamente el grado de exposición al riesgo, de esta forma se define la zona de ubicación del riesgo antes de la asignación de controles. Dicha evaluación se realiza con base a variables cuantitativas o cualitativas. (véase el Cuadro 11. Valoración del riesgo en términos de probabilidad e impacto). Desarrollo práctico – Análisis. En Febor Entidad Cooperativa, se establece el formato DPAR-001 Análisis de riesgos, donde se debe relacionar la siguiente información. (véase el cuadro 21).

Cuadro 22. Formato DPAR-001 Análisis de riesgos

ANÁLISIS DEL RIESGO

PROCESO:

OBJETIVO:

FECHA:

Riesgo Calificación Clasificación del

riesgo

Valoración

Probabilidad Impacto

Fuente. El Autor

A continuación, se presenta un ejemplo de diligenciamiento del formato DPAR-001 Análisis de riesgos. (véase el cuadro 22).

39 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. República de Colombia. Guía de Administración del Riesgo. [En línea]. Bogotá. [citado 23 de septiembre, 2019]. Disponible en internet: URL<http://www.Guia-Administración-Del-Riesgo-DAFP(7).pdf-AdobeAcrobatReaderDC>

63

Cuadro 23. Formato diligenciado DPAR-001 Análisis de riesgos

ANÁLISIS DEL RIESGO

PROCESO: Gestión administrativa y del talento humano

OBJETIVO: Identificar todos los riesgos que se pueden presentar en el proceso de gestión administrativa y talento humano

FECHA: 03 de octubre de 2019

Riesgo Calificación Clasificación

del riesgo Valoración

Probabilidad Impacto

Atraso operativo y reproceso

Posible Critico Operativo Zona de riesgo

Extrema

Pérdida parcial o total en la

infraestructura de la Entidad

Improbable Despreciable Operativo Zona de riesgo Baja

Fuente. El Autor

4.2.1.4 Identificación de controles. Los controles son acciones que orientan a la organización a minimizar la probabilidad de ocurrencia o el impacto de los riesgos, dichas acciones deben estar directamente relacionadas con las causas o las consecuencias y de esta manera poder eliminarlas o mitigarlas, la administración del riesgo contribuirá a la gestión de Febor Entidad Cooperativa, en la medida en que los controles se identifiquen, documenten, apliquen y sean efectivos para prevenir o mitigar los riesgos. A continuación, se presentan las características mínimas que se deben tener en cuenta para la definición de los controles. (véase el cuadro 23).

Cuadro 24. Características mínimas para la definición de controles CARACTERÍSTICA DESCRIPCIÓN

Objetivos No dependen del criterio de quien lo define y/o ejecute, sino de los resultados que se esperan obtener

Pertinentes Están directamente orientados a atacar las causas o consecuencias del riesgo

Realizables Se deben definir controles que la entidad o el proceso esté en capacidad de llevar a cabo

Medibles Permiten el establecimiento de indicadores para verificar el cumplimiento de su aplicación y/o efectividad

Periódicos Tienen frecuencia de aplicación en el tiempo

Efectivos Eliminan o mitigan las causas o consecuencias y evitan la materialización del riesgo

Asignables tienen responsables definidos para su ejecución

Fuente. El Autor

64

Se deben describir todos los controles pertinentes, existentes y por definir, los cuales deben estar orientados a combatir las causas y consecuencias del riesgo, una vez se hayan identificado y descrito se debe determinar la clase de control, un control puede ser de tipo preventivo o correctivo, como se puede visualizar a continuación. (véase la figura 18). Figura 18. Descripción de las clases de controles

Fuente. El Autor

4.2.1.5 Evaluación de los controles. Dicha evaluación permite establecer en qué medida los controles están aportando para disminuir los niveles de probabilidad e impacto del riesgo, Se evalúan de la siguiente manera. (véase el cuadro 25). Cuadro 25. Formato EDCPR-001 Evaluación de controles para el riesgo

Fuente. El Autor

PROCESO:

FECHA:

CÓDIGO DEL

CONTROL

NOMBRE

DEL

CONTROL

DESCRIPCIÓN

DEL CONTROL

TIPO DE CONTROL

(Preventivo

Preventivo-Detectivo

Detectivo-Correctivo

Correctivo )

REDUCE

(Probabilidad

o Impacto)

ESTADO DEL CONTROL

(Documentado

Documentado y divulgado

Parcialmente documentado

No documentado)

EVALUACIÓN DE CONTROLES PARA EL RIESGO

Preventivo

Acción o conjunto de

acciones que eliminan

o mitigan las causas

del riesgo

Orientado a disminuir

la probabilidad de

ocurrencia del riesgo

Clases

de

controles

Orientado a disminuir

el nivel de impacto del

riesgo

Acción o conjunto de

acciones que eliminan

o mitigan las

consecuencias del

riesgo

Correctivo

65

A continuación, se presenta un ejemplo de diligenciamiento del formato EDCPR-001 Evaluación de controles para el riesgo. (véase el cuadro 26). Cuadro 26. Formato EDCPR-001 Evaluación de controles para el riesgo

Fuente. El Autor

4.2.1.6 Tratamiento de los riesgos. Con base en la valoración del riesgo se

determinan las medidas a tener en cuenta, a continuación, se relacionan.

Priorizar riesgos según valoración individual

Determinar lista de priorización de los riesgos A continuación, se indica propuesta de lista de priorización de los riesgos y escala definida de valoración. (véase el cuadro 27). Cuadro 27. Lista de priorización de los riesgos

LISTA DE PRIORIZACIÓN DE LOS RIESGOS POR ÁREA

Riesgos de baja prioridad

Riesgos que requieren respuesta a mediano

plazo

Riesgos que requieren respuesta

a corto plazo

Riesgos que requieren respuesta

inmediata

Fuente. El Autor

PROCESO:

FECHA:

17

Evaluación

de

desempeño

Los líderes de cada proceso deben

realizar evaluaciones periódicas a

los colaboradores y establecer

acciones correctivas en caso de

que se esté afectando la

operación

Retroalimentar y notificar todos

los cambios o procesos

implementados

Correctivo ImpactoParcialmente

Documentado

EVALUACIÓN DE CONTROLES PARA EL RIESGO

04 de Octubre de 2019

Gestión administrativa y del talento humano

66

Cuadro 28. Escala de valoración del riesgo

COLOR ZONA DE RIESGO OPCIONES DE MANEJO

E Zona de riesgo extrema

Eliminar la fuente de riesgo Evitar el riesgo

Compartir el riesgo

A Zona de riesgo alta

Reducir el riesgo Evitar el riesgo

Compartir o transferir el riesgo

M Zona de riesgo moderada

Aceptar o aumentar el riesgo Modificar la probabilidad

Modificar las consecuencias

B Zona de riesgo baja Aceptar o aumentar el riesgos Retener el riesgo

Fuente. El Autor Se debe elaborar tabla de tratamiento de los riesgos teniendo en cuenta la lista de

priorización indicando todas las características de los riesgos por procesos. (véase el

cuadro 29).

Cuadro 29. Resumen plan de tratamiento del riesgo

Fuente. El Autor

Códig

o

Rie

sgo

Cla

sific

ació

n

Causas

Pro

babili

dad

Impacto

Rie

sgo R

esid

ual

Opción

manejo Actividad Control Soporte Responsable Tratamiento del riesgo

FORMATO PLAN DE TRATAMIENTO DE LOS RIESGOS

FECHA:

OBJETIVO:

PROCESO:

67

A continuación, se presenta un ejemplo de diligenciamiento del formato FPDTDL-R001 Formato plan de tratamiento de los riesgos. (véase el cuadro 30). Cuadro 30. Formato FPDTDL-R001 Plan de tratamiento de los riesgos

Fuente. El Autor

Códig

o

Rie

sgo

Cla

sific

ació

n

Causas

Pro

babilid

ad

Impacto

Rie

sgo R

esid

ual

Opción

manejo Actividad Control Soporte Responsable Tratamiento del riesgo

Desactualiza

ción de la

base de

datos

Reducir

Adquirir software

para mantener

actualizada la base

de datos de

proveedores

Contrato y

factura

software

Jefe de

Sistemas

Aceptar o aumentar el

riesgo

Modificar la probabilidad

Modificar las

consecuencias

Insuficiente

capacitación

del personal

de contratos

Reducir

Realizar convenios

con entidades para

capacitar al

personal

Convenios

firmados

Jefe Talento

Humano

Aceptar o aumentar el

riesgo

Modificar la probabilidad

Modificar las

consecuencias

Cambios en

la regulación

contable y

presupuestal

Reducir

Establecer mayor

frecuencia de

reuniones para

actualizar al

personal ante los

cambios normativos

Actas de

inducción

Jefe Talento

Humano

Aceptar o aumentar el

riesgos

Retener el riesgo

Hackeo Reducir

Fortalecer los

Firewall en la red de

la organización para

detectar posibles

incursiones

Reporte

cumplimient

o firewall

fortalecido

Jefe de

Sistemas

Reducir el riesgo

Evitar el riesgo

Compartir o transferir el

riesgo

Ausencia de

comités

Acción de

contingencia

Convocar de forma

extraordinaria un

comité institucional

de coordinación de

control interno para

analizar y aplicar

medidas inmediatas

que, dentro de la

legalidad, permitan

el reabastecimiento

inmediato de bienes

y servicios

Acta de

comité de la

entidad de

control

interno

firmado

Jefe

financiero

Aceptar o aumentar el

riesgo

Modificar la probabilidad

Modificar las

consecuencias

FORMATO PLAN DE TRATAMIENTO DE LOS RIESGOS

FECHA:

OBJETIVO:

PROCESO:

Opera

tivo

Impro

bable

Mayor

Modera

do

1

Desabaste

cim

iento

de b

ienes y

serv

icio

s r

equeridos p

or

la e

ntidad

68

4.2.1.7 Seguimiento y revisión. El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.40 Febor Entidad Cooperativa, debe realizar como mínimo una vez al año, el seguimiento y revisión del plan de administración de los riesgos, con el fin de asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. La finalidad de este seguimiento es aplicar y sugerir los correctivos y ajustes necesarios

para asegurar un efectivo manejo del riesgo. La oficina de Gestión del riesgo y calidad

asesorará, comunicará y presentará luego del seguimiento y evaluación sus resultados

y propuestas de mejoramiento y tratamiento a las situaciones detectadas.

Los responsables de llevar a cabo el seguimiento y la revisión son los líderes de

procesos y oficina de gestión de riesgo y calidad, y de esta manera hacer el informe de

seguimiento y la actualización del mapa de riesgos.

4.2.1.8 Registro e informe. Es necesario que Febor Entidad Cooperativa realice un

informe con el fin de incrementar las medidas de control para la prevención del riesgo,

se plasma en un documento práctico que debe contener como mínimo:

Que actividades se hicieron Procesos involucrados Resultados y hallazgos Riesgos existentes Nuevos riesgos encontrados Actividades de mejora

Todas estas pautas deben contener el informe que se deberá entregar consolidado cada año por los líderes de cada proceso y debe ser de pleno cumplimiento para el mejoramiento de la entidad, el mismo deberá ser reportado a la Gerencia.

40 NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. Bogotá. [citado 07 de octubre, 2019]. Disponible en internet: URL< https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf>

69

5. CONCLUSIONES

El diagnóstico desarrollado permitió reconocer el alcance de los macro procesos de la organización, la tipificación básica de los riesgos, la documentación asociada que soporta la gestión del riesgo y los responsables generales que intervienen tanto en los procesos como en la gestión del riesgo, esto conllevó a identificar el nivel de conocimiento general que existe sobre la presencia de los riesgos en Febor Entidad Cooperativa.

Al realizar la matriz de riesgos asociada a los procesos de Febor Entidad Cooperativa, permitió determinar de manera clara las causas, consecuencias y los controles que se pueden aplicar a los riesgos identificados. Esto fue base fundamental para poder adoptar las escalas de valoración de probabilidad, impacto y severidad del riesgo, y constituir las directrices básicas para las mediciones de los riesgos en la empresa. De los riesgos identificados se estima que aproximadamente el 70 % de los riesgos son de carácter operativo, los cuales se presentan debido a la mala gestión en los procesos.

La metodología diseñada para la evaluación y análisis de riesgos se convierte en una herramienta de reconocimiento clara, que genera oportunidad para elevar los niveles de cultura en torno a los riesgos, mejorar la percepción individual y de grupo y el comportamiento que determina como la organización identifica, entiende, habla y actúa sobre el riesgo.

70

6. RECOMENDACIONES

Realizar un ejercicio que fortalezca el diagnóstico de la gestión documental que soporta los procesos de gestión del riesgo, para identificar posibles falencias o necesidades de actualización que se requieran a fin de mantener actualizado el soporte documental de dicha gestión y ser valor agregado para el manejo de la organización.

Evaluar periódicamente el alcance de los procesos establecidos en la organización, para realizar una lectura completa del sistema, establecer como fuente de capacitación, inducción y retroalimentación para personal nuevo y antiguo del área, los procedimientos generados y los riesgos contemplados a través de cada uno de ellos, con el ánimo de concientizar al personal, conducir a la identificación de nuevos riesgos en la operación y que no sean previstos a simple vista lo cual podría llevar a influir de manera negativa. Considerar la implementación del manual de riesgos, a modo de guía para que las áreas de la entidad tengan conocimiento de los posibles riesgos y peligros, a los cuales está expuesta la Entidad. Es importante mantener la participación de todas las partes interesadas externas e internas de la entidad para que en el momento de la toma de decisiones se haga aún más pertinente el tratamiento a los riesgos identificados y que en la elaboración del plan de manejo de riesgos se incluya de forma coherente el alcance de los objetivos de la entidad, los criterios del riesgo y los recursos disponibles.

71

BIBLIOGRAFÍA

ACTIVA CONOCIMIENTO. Progreso Personal y Profesional en Gestión y Liderazgo. [en línea]. < http://activaconocimiento.es/matriz-probabilidad-impacto/> [citado 04 de octubre, 2019].

ADMINISTRACIÓN DE RIESGOS. AS/NZS 4360: 1999. Estándar Australiano [en línea] < https://www.edesaesp.com.co/wp-content/uploads/2013/05/ASNZ-4360-de-1999.pdf> [citado 30 de septiembre, 2019].

AEC. Asociación Española para la Calidad. [en línea]. <https://www.aec.es/web/guest/centro-conocimiento/riesgos-de-negocio> [citado 23 de agosto, 2019].

BLOG CALIDAD Y XCELENCIA. Definición del riesgo empresarial y principales tipos. [En línea]< https://www.isotools.org/2019/08/12/definicion-del-riesgos-empresariales-y-principales-tipos/> [citado 22 de agosto, 2019].

CONSULTORES. Serie técnicas de resolución de problemas. Los 5 por qué´s OP-SG-201401. [en línea]. http://www.5consultores.com/wp-content/uploads/2014/06/WP-T%C3%A9cnicas-Resoluci%C3%B3n-de-Problemas-5-Por-Qu%C3%A9.pdf> [citado 07 de octubre, 2019].

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA. República de Colombia. Guía de Administración del Riesgo. [En línea]. URL<http://www.Guia-Administración-Del-Riesgo-DAFP(7).pdf-AdobeAcrobatReaderDC> [citado 23 de septiembre, 2019].

FEBOR ENTIDAD COOPERATIVA. Acontecimientos [en línea]. http://www.febor.coop/institucional/resenahistorica/resena-historica>[citado 20 de agosto, 2019].

FEBOR ENTIDAD COOPERATIVA. Misión y visión [en línea]. http://www.febor.coop/institucional/misionyvision> [citado 26 de agosto, 2019].

FEBOR ENTIDAD COOPERATIVA. Reseña histórica [en línea]. http://www.febor.coop/institucional/resenahistorica/resena-historica> [citado 27 de agosto, 2019].

FINANZAS Y POLÍTICA ECONÓMICA: Valoración y riesgo crediticio en Colombia. [en línea] Bogotá. <https://www.redalyc.org/pdf/3235/323527256006.pdf > [citado 20 de agosto, 2019].

72

GESTION INTEGRAL DEL RIESGO. [en línea] https://www.pwc.com/co/es/advisory/assets/4-gestion-integral-de-riesgos.pdf> [citado 22 de agosto, 2019].

HERRAMIENTAS PARA LA MEJORA DE LA CALIDAD. UNIT (Instituto uruguayo de Normas Técnicas), 2009. 22 p. [en línea] < https://qualitasbiblo.files.wordpress.com/2013/01/libro-herramientas-para-la-mejora-de-la-calidad-curso-unit.pdf> [citado 07 de octubre, 2019].

IDENTIFICATION AND PRIORITIZATION OF FACTORS INFLUENCING ORGANIZATION RISK TOLERANCE LEVEL. [en linea]. <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85063997102&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=9672b7c6b92271f108847198fe3df1bf&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29&relpos=6&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Sistemas de gestión de la calidad. Requisitos: Requisitos Generales. NTC-ISO 9001. Bogotá D.C: El Instituto, 2008. 2 p.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 8 p.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Manual de directrices de gestión del riesgo: complementa la NTC 5254:2006.Bogotá D.C: El instituto, 2008. 41 p.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Elementos Principales. NTC 5254. Bogotá D.C.: El Instituto, 2004. 7 p.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Técnicas de valoración del riesgo. NTC-IEC/ISO 31010. Bogotá D.C.: El Instituto, 2013. 16 p.

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo directrices: selección de las opciones para el tratamiento del riesgo. UNE-ISO 31000:2018. Bogotá D.C: Disponible en internet, 2018. 22 p.

73

JPMORGAN CHASE BANK N.A., SUCURSAL BUENOS AIRES. RIESGO ESTRATÉGICO. [en línea] < https://www.jpmorgan.com/jpmpdf/1320694345279.pdf> [citado 23 de agosto, 2019].

LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos con enfoque de gestión de riesgos En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p.

LOPEZ CARRIZOSA, Francisco José. La planeación de los procesos con enfoque de gestión de riesgos En: El Sistema de Gestión Integrado. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación – ICONTEC-. 2009. 64 p.

LOPEZ CARRIZOSA, Francisco José. Planificación estratégica de la calidad. En: ISO 9000 y la planificación de la calidad - Guía para la planificación de la calidad con orientación en la gestión por procesos. Bogotá: Instituto Colombiano de Normas Técnicas y Certificación –ICONTEC-. 2004. 21 p.

MANAGING UNCERTAINTY, MITIGATING RISK: TACKLING THE UNKNOWN IN FINANCIAL RISK ASSESSMENT AND DECISION MAKING. [en línea].< https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85029704773&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=dff34c90778be88a13278ca968a11429&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28%28%28%28%28%28%28risk+management%29%29+AND+%28LIQUIDITY+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28ENVIRONMENTAL+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28CREDIT+RISK%29%29+AND+%28PROBLEM+TREE%29&relpos=12&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].

METODOLOGÍAS PARA LA GESTIÓN DEL RIESGO [en línea]. https://capacitacioncgr.jovenclub.cu/wp-content/uploads/2018/05/Metodologia-para-la-Gestion-del-Riesgo.pdf> [citado 30 de septiembre, 2019].

NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf> [citado 22 de agosto, 2019].

NORMA TÉCNICA COLOMBIANA. NTC-ISO 31000. Gestión del riesgo principios y directrices. [en línea]. <https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf> [citado 07 de octubre, 2019].

OPERATIONAL RISK MANAGEMENT IN FINANCIAL INSTITUTIONS: A DEAD-END JOURNEY. [en linea].https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-

74

85025450026&origin=resultslist&sort=plf-f&src=s&st1=Basilea+Committee&st2=&sid=375fa77cabbb4a30bfee808f47620dc8&sot=b&sdt=b&sl=32&s=TITLE-ABS-KEY%28Basilea+Committee%29&relpos=5&citeCnt=0&searchTerm= [citado 25 de septiembre, 2019].

OPERATIONAL RISK MANAGEMENT AND CUSTOMER COMPLAINTS THE ROLE OF PRODUCT COMPLEXITY AS A MODERATOR [en línea]. <http://apps.webofknowledge.com.bdigital.udistrital.edu.co:8080/full_record.do?product=WOS&search_mode=GeneralSearch&qid=2&SID=6D56VwaXMvhlTQ4hQKQ&page=1&doc=1> [citado 25 de septiembre, 2019].

OPTIMIZATION OF RISK CONTROL IN FINANCIAL MARKETS BASED ON PARTICLE SWARM OPTIMIZATION ALGORITHM [en linea] <https://www-scopus-com.ucatolica.basesdedatosezproxy.com/record/display.uri?eid=2-s2.0-85073474030&origin=resultslist&sort=plf-f&src=s&st1=risk&nlo=&nlr=&nls=&sid=6501c493e15db44ea68306cb2a790659&sot=b&sdt=sisr&sl=19&s=TITLE-ABS-KEY%28risk%29&ref=%28risk+management%29&relpos=6&citeCnt=0&searchTerm=> [citado 23 de agosto, 2019].

STANDARDS AUSTRALIA/STANDARDS NEW ZEALAND. Risk Management: Main Elements. AS/NZS 4360:2004. 3 ed. Sidney, Australia: Standards Australia Internacional Ltd, 2004. 9 p.

THE IMPACT OF OPERATIONAL RISK INCIDENTS AND MODERATING INFLUENCE OF CORPORATE GOVERNANCE ON CREDIT RISK AND FIRM PERFORMANCE. [en línea] https://www.emerald.com/insight/content/doi/10.1108/IJAIM-05-2017-0070/full/html [citado 25 de septiembre, 2019].

TITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN (ICONTEC). Gestión Del Riesgo: Proceso de Gestión del Riesgo. NTC 5254. Bogotá D.C.: El Instituto, 2004. 10 p.

UNESCO. Expresiones culturales. [en línea] <http://www.unesco.org/new/es/culture/themes/%20cultural-diversity/diversity-of-cultural%20expressions/tools/policy-guide/planificar/diagnosticar/arbol-de-problemas/> [citado 16 de octubre, 2019].

UNIVERSIDAD NACIONAL. Metodología para la gestión del riesgo operativo. [en línea] https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html>[citado 23 de agosto, 2019].

75

UNIVERSIDAD NACIONAL. Metodología para la gestión del riesgo operativo. [en línea] Disponible en internet: <URL: https://ingenieria.bogota.unal.edu.co/es/formacion/maestria/maestria-en-ingenieria-industrial.html> [citado 23 de agosto, 2019].

76

ANEXOS