Código: SISTEMA DE GESTIÓN DE LA CALIDAD GER-3-02-PRO-1 ... · pueda afectar a la manera en la...

SISTEMA DE GESTIÓN DE LA CALIDAD

PROCEDIMIENTO DE ADMINISTRACIÓN

DE RIESGOS

Código:

GER-3-02-PRO-1

Versión: 3

1. OBJETIVO

Establecer una metodología para la identificación, análisis, evaluación, tratamiento

comunicación, consulta, monitoreo y revisión de los riesgos que pueden afectar de

manera negativa los objetivos de los Subprocesos de la Caja.

2. ALCANCE

Inicia con el establecimiento del contexto interno y externo de la Caja, la

identificación, análisis, evaluación y valoración de los riesgos detectados, para

definir o establecer planes de tratamiento o manejo del riesgo y posteriormente

monitorear y hacer seguimiento de los riesgos para garantizar el cumplimiento de

los objetivos.

3. DEFINICIONES

Para el propósito de este procedimiento, son aplicables los términos y definiciones

dados en la legislación y normas vigentes aplicables a la Caja.

AUTOCONTROL: Capacidad de cada empleado de considerar el control como

inherente e intrínseco a sus responsabilidades, acciones, decisiones, tareas y

actuaciones.

AUTORREGULACIÓN: Capacidad de Cajamag y de su personal para regularse así

mismo, en base al control y monitoreo voluntario, sin intervención de otras instituciones.

AUTOGESTIÓN: Es la capacidad para interpretar, coordinar y aplicar de manera

efectiva, eficiente y eficaz la función administrativa que ha sido delegada.

CONTROL: Es un mecanismo preventivo, detectivo y/o correctivo adoptado por

las personas y una administración de una entidad, para que sus actuaciones se

rijan en cumplimiento de la normatividad, estrategias, procedimientos, políticas,

SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE

RIESGOS

Código: GER-3-02-PRO-1

Versión 3

objetivos, metas para evitar que se materialicen los riesgos que afecten a la

organización.

ACTIVIDADES DE CONTROL: Son las políticas y procedimientos establecidos

por la dirección y el personal de la Caja para mitigar los riesgos que inciden en el

cumplimiento de los objetivos del subproceso y a su vez en los objetivos del

proceso y los objetivos estratégicos.

EVENTO, FALLA O CAUSA: Incidente o situación que puede ocurrir durante un intervalo de tiempo determinado y que puede llegar a la materialización del riesgo.

EVENTOS DE PÉRDIDA: Son aquellos incidentes que generan pérdidas por la materialización de un riesgo.

FRAUDE EXTERNO: Actos realizados por una persona externa a la Caja, que buscan defraudar o apropiarse indebidamente de activos o recursos de la misma.

FRAUDE INTERNO: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos o recursos de la Caja, en los que está implicado personal interno de la Caja.

GESTIÓN DE RIESGOS: Es el proceso mediante el cual se identifican, evalúan, se miden y controlan con mecanismos de mitigación los riesgos que puedan llegar a afectar de manera negativa el cumplimiento de los objetivos de la Caja.

MAPA DE RIESGOS: Un Mapa de Riesgos es una representación gráfica de la calificación de probabilidad e impacto de uno o más riesgos, de tal forma que se resalten los riesgos que van desde los más representativos (alta probabilidad y/o impacto hasta aquellos que son menos importantes (baja probabilidad y/o impacto).

RIESGO: Es la incertidumbre de que ocurra un evento interno o externo que pudiera afectar el logro de los objetivos, el riesgo se mide en términos de probabilidad e impacto.

RIESGO INHERENTE: Nivel de riesgo propio de las actividades en los procesos, sin considerar las medidas de mitigación o control.

RIESGO RESIDUAL: Nivel resultante del riesgo que permanece luego de aplicar actividades de control.

RIESGOS

Versión 3

APETITO DEL RIESGO: Es el nivel de riesgo que la empresa quiere aceptar y la capacidad será el nivel máximo de riesgo que Cajamag acepte en el logro de sus objetivos.

4. ACTIVIDADES

4.1 ESTABLECIMIENTO DEL CONTEXTO

DESCRIPCION RESPONSABLE REGISTRO

4.1.1 ESTABLECER EL CONTEXTO

ORGANIZACIONAL: El Auditor Interno en

compañía con el Administrador de

Operaciones de Riesgo, tienen en cuenta

el contexto organizacional en el cual se

encuentran establecidos los objetivos

estratégicos de la organización, como de

los procesos y los subprocesos,

establecidos en el Mapa de Proceso de la

Caja y las necesidades y expectativas de

las partes interesadas, definidas en el

submódulo de partes interesadas. Ver

submodulo de partes interesadas del

aplicativo Kawak, Ver Mapa de

Procesos GER-4-01-DE-3.

Para que a través del Subproceso de

Gestión de Riesgos se apoye la

consecución de los objetivos estratégicos

que se han planteado en organización, así

como de los procesos y los subprocesos,

para lograr la misión y visión de CAJAMAG.

El Auditor Interno Administrador de Operaciones de Riesgo

4.2 VALORACIÓN DEL RIESGO

4.2.1 IDENTIFICACIÓN DEL RIESGO

RIESGOS

Versión 3

4.2.1.1 IDENTIFICAR LOS RIESGOS: El

Administrador de Operaciones de Riesgo y

el Auxiliar Administrativo I, en conjunto con

los Responsables de Subprocesos

identifican los riesgos a partir de la claridad

de los objetivos estratégicos de la

organización y de su adecuado despliegue

descendente a los objetivos de los procesos

y subprocesos, diferenciando entre el

riesgo que afecta el cumplimiento de los

objetivos y los eventos que lo generan.

Teniendo en cuenta lo siguiente:

✓ Identificar los objetivos del Subproceso. ✓ Identificar “qué puede afectar el

cumplimiento del objetivo” ✓ Nuestra experiencia. ✓ Mucho sentido común.

Una vez establecido el riesgo se procede a

registrar en el formato identificación de

riesgos y controles GER-3-02-FO-01.

Nota: Para efectos de la adecuada asociación

del riesgo al objetivo que está impactando, el

cumplimiento de las políticas y procedimientos

internos de CAJAMAG, en contraposición al

cumplimiento de las leyes y regulaciones

externas tales como las descritas

anteriormente, El Administrador de

Operaciones tiene en cuenta que lo anterior

hace referencia al impacto de los objetivos

operacionales y no de cumplimiento.

Administrador de Operaciones de

Riesgo

Auxiliar Administrativo I

Responsables de Subprocesos

Formato Identificación de Riesgos y controles GER-3-02-FO-01

4.2.1.2 IDENTIFICAR LA CATEGORÍA

DEL RIESGO: De igual manera como Administrador de Formato

RIESGOS

Versión 3

parte del procedimiento de identificación

los riesgos, el Administrador de

Operaciones de riesgo, determina la

categoría del riesgo, en el formato

Identificación de Riesgos y controles GER-

3-02-FO-01, identificando el tipo de

impacto a los objetivos de la organización,

teniendo en cuenta las siguientes cuatro

categorías:

✓ Estratégicos: Referidos a metas de alto

nivel, alineados y dando soporte a la

misión/visión de la Organización.

✓ Operativos: Referidos a la eficiencia y

eficacia de las operaciones de la

organización, incluido los objetivos de

desempeño, financieros y operativos, y

la protección de sus activos frente a

posibles pérdidas.

✓ Financieros: Referidos a la preparación

de informes útiles para uso de las

organizaciones y partes interesadas.

Pueden estar relacionados tanto con

información financiera como con

información no financiera así como con

información externa o interna.

✓ Cumplimiento/Legal: Referidos al

cumplimiento de las leyes y regulaciones

aplicables a la Caja, las cuales

establecen unas normas mínimas de

Operaciones de Riesgo/Auxiliar Administrativo

I/Responsables de Subprocesos

Identificación de Riesgos y

controles GER-3-02-FO-01

RIESGOS

Versión 3

conducta esperables.

4.2.1.3 IDENTIFICAR LOS EVENTOS

(CAUSAS O FALLAS), ORIGEN Y

FACTOR: El Administrador de Operaciones

de Riesgo y el Auxiliar Administrativo I, en

conjunto con los Responsables de

Subprocesos, proceden a determinan los

eventos correspondientes a las fuentes

generadoras de riesgo (causa o falla),

procediendo a determinar su origen y

factor generador, registrando cada uno de

los descritos, en el Formato Identificación

de Riesgos y controles GER-3-02-FO-01,

teniendo en cuanta la siguiente

clasificación: factores internos.

• Infraestructura Física – Decisiones sobre el uso de recursos de capital que pueden afectar a las operaciones y a la disponibilidad continuada de infraestructuras.

• Estructura de la Dirección – Un cambio en las responsabilidades de dirección que pueda afectar a la manera en la que se llevan a cabo determinados controles.

• Recurso Humano – La calidad del personal contratado y los métodos de formación y motivación que pueden influir en el nivel de sensibilidad hacia el control dentro de la Caja.

• Acceso a Activos – La naturaleza de las actividades de la Caja y la accesibilidad de los empleados a los activos que pueden

Riesgo

Auxiliar Administrativo I

Responsables de Subprocesos

Formato Identificación de

Riesgos y controles GER-

3-02-FO-01

RIESGOS

Versión 3

contribuir a la apropiación indebida de recursos.

• Tecnología – Una interrupción en el procesamiento de los sistemas de información que puedan afectar negativamente al funcionamiento de la Caja.

• Procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad.

• Corrupción: La acción u omisión en la utilización del poder para un beneficio particular.

Factores externos: • Económicos – Los cambios que pueden afectar la financiación, disponibilidad de capital y barreras de entrada para la competencia.

• Entorno natural – Las catástrofes naturales o desastres causados por el hombre o los continuos cambios a los que se ve sometido el clima pueden provocar cambios en las operaciones de la Caja, reducir la disponibilidad de determinadas materias primas o incluso provocar pérdidas en los sistemas de información, poniendo en manifiesto la necesidad de disponer de planes de contingencia.

• Legal/Regulatorio – Una nueva ley o regulación que pueda exigir información diferente o la aplicación de determinados

RIESGOS

Versión 3

cambios en las estrategias o políticas operativas.

• Sociales/Cultural – Las expectativas y necesidades cambiantes de los clientes o el entorno donde se encuentra establecida pueden afectar el desarrollo de los productos, al proceso de producción, a la fijación de precios o las garantías concedidas.

• Tecnológicos – Avances que pueden afectar a la disponibilidad y uso de datos a los costos de la infraestructuras y a la demanda de determinados servicios basados en tecnologías.

Nota: Cada factor de riesgo tiene numerosos componentes, cualquiera de los cuales puede dar origen a un riesgo, algunos estarán bajo el control de Cajamag, mientras que otros pueden estar fuera de su control por obedecer a situaciones externas.

4.2.2 ANALIZAR EL RIESGO

4.2.2.1 EFECTUAR ANALISIS DE

RIESGOS: El Administrador de

Operaciones de Riesgo efectúa el análisis

del riesgo, las implicaciones, desarrollo y

comprensión sin considerar la existencia de

controles. En este análisis incluye la

evaluación de las consecuencias (impacto)

negativas del riesgo y la probabilidad de

que tales consecuencias puedan ocurrir. La

forma en la cual las consecuencias

(impacto) y la probabilidad se expresan y la

forma en la cual ellas se combinan teniendo

en cuenta para el impacto los siguientes

El Administrador de Operaciones de

Riesgo

3-02-FO-01

RIESGOS

Versión 3

niveles: Inferior, Menor, Importante,

Mayor, Critico y para la probabilidad: Muy

baja, Baja, Moderada, Alta, Muy alta

Nota: Cajamag ha establecido de acuerdo a su

apetito de Riesgo, la Matriz de Calificación de

Impacto y probabilidad donde el Administrador

de Operaciones de Riesgo realiza la evaluación

de las consecuencias negativas del riesgo y la

probabilidad de que tales consecuencias

puedan ocurrir y afecten el cumplimiento de los

objetivos del subproceso, la cual tiene una

estructura no lineal, para establecer un mayor

peso a aquellos riesgos en los cuales aunque

la probabilidad es baja su impacto para la Caja

es importante.

4.2.2.2 CALIFICAR PROBABILIDAD Y

SOPORTE DE OCURRENCIA: En esta

etapa el Administrador de Operaciones de

Riesgo indaga con los responsables de

Subprocesos la posibilidad de que un riesgo

se materialice. Teniendo en cuenta los

niveles de probabilidad establecidos,

registrando la calificación, en el formato

3-02-FO-01. Posteriormente registra en

dicho formato, el soporte de la probabilidad

teniendo en cuenta las siguientes dos

opciones de escala:

• Casuística: Escala que determina la probabilidad de ocurrencia de un riesgo basada en datos históricos. (Ej. 3 de 50 casos, 5% de los casos).

• Periodicidad: Escala relacionada con la

Riesgo

3-02-FO-01

RIESGOS

Versión 3

frecuencia con la que un riesgo se materializa en un periodo determinado de tiempo. (Ej.: una vez al mes, una vez cada año).

Establecidos en la siguiente manera:

Muy Alta: Nos ocurre con cierta

periodicidad (1 vez cada mes) o se espera

la ocurrencia del evento en más del 20%

de los casos.

Alta: Se presenta con alguna frecuencia (1

vez cada trimestre) o el evento ocurrirá

entre el 15 y el 20% de los casos.

Moderada: Se presenta por lo menos una

vez cada semestre o el evento puede

ocurrir entre el 10 y 14.99% de los casos.

Baja: Se presenta por lo menos una vez

cada año o El evento puede ocurrir entre el

3 y el 9.99% de los casos.

Muy Baja: Se ha presentado una vez en la

Entidad o en el sector en los últimos años o

el evento puede ocurrir en menos del 3%

de los casos.

Nota. El uso de las escalas es excluyente, esto es, se debe identificar si el riesgo a evaluar tiene datos históricos de ocurrencia (casuística), de no ser así, si se puede determinar su ocurrencia en un periodo de tiempo (periodicidad).

4.2.2.3 CALCULAR LA MAGNITUD DEL

IMPACTO Y SOPORTE: El Administrador

de Operaciones de Riesgo teniendo en

cuenta lo indagado con el Responsable del

Subproceso, realiza la evaluación del efecto

El Administrador de Operaciones

formato Identificación de

RIESGOS

Versión 3

y la consecuencia producida al

materializarse un riesgo al interior de

Cajamag, la cual efectúa teniendo en

cuenta los niveles de impacto establecidos,

en el formato Identificación de Riesgos y

controles GER-3-02-FO-01 teniendo en

cuenta las Subvariables del impacto

teniendo en cuenta los siguientes dos

grupos:

- Cuantitativos: Aquellos criterios que miden el impacto de los riesgos desde el punto de vista financiero.

- Cualitativos: Aquellos criterios que miden el impacto de los riesgos intangibles, que generalmente no son fáciles de medir desde el punto de vista financiero (Ej. La reputación (imagen), temas legales, pérdida de clientes, actividad de la compañía que no permita alcanzar el logro de los objetivos, factores humanos, entre otros.).

Establecidas de la siguiente manera:

Subvariable Económico: Impacto Inferior que reduzca las utilidades en un valor menor al 0,5% o Perdida inferior a $5 millones de pesos- Impacto Menor que reduzca entre 0,5% y 0.99% las utilidades netas o Perdida menor entre $5 y $19.9 millones de pesos- Impacto Importante que reduzca entre 1% y 1,99% las utilidades netas y Perdida importante entre $20 y $39.9 millones de pesos- Impacto mayor que reduzca entre un 2% y 2,99% las utilidades netas O Perdida mayor entre $40 y $66,9 millones de pesos - Impacto critico que reduzca en 3% o más las

3-02-FO-01

RIESGOS

Versión 3

utilidades netas o Perdida critica superior a $67 millones de pesos.

Subvariable Legal: Inferior: No genera sanciones económicas y/o administrativas- Menor: Investigación administrativa interna- Importante: Llamados de atención o Requerimientos realizados por los entes reguladores- Mayor: Sanciones económicas por incumplimiento de las normas establecidas (operaciones / obligaciones contractuales)- Critico: Intervención a la Caja por parte de la Superintendencia de Subsidio Familiar por Incumplimientos legales y/o contractuales.

Subvariable Imagen: Impacto Inferior No afecta las relaciones con los clientes -Impacto Menor Incremento entre el 10% y el 49.9% del número de reclamos formulados por los clientes -Impacto importante que afecta negativamente la imagen de la caja con los clientes- Impacto mayor que afecte negativamente la imagen de la Caja en el mercado relacionada con el servicio al cliente- Impacto critico que afecte la imagen de la Caja negativamente en el mercado relacionada con prÃ¡cticas inseguras y/o irregulares

Subvariable Operación: Inferior: No hay interrupción de las operaciones de la Caja - Menor Interrupción de las operaciones de la Caja por algunas horas- Importante: Interrupción de las operaciones de la Caja entre 1 y menos de 2 días o Reproceso de actividades y aumento de la carga operativa (ejecutar nuevamente actividades de los procesos por errores operativos) - Mayor: Interrupción de las operaciones de la Caja por más de 4 días.

Subvariable Información: Inferior: No

afecta la oportunidad de la información -

RIESGOS

Versión 3

Menor: No afecta la oportunidad de la

información de manera significativa, no altera

el funcionamiento de las áreas receptoras y

procesadoras de información - Importante:

Inoportunidad de la información ocasionando

retrasos en las labores de las áreas y/o en la

respuesta a los entes reguladores- Pérdida de

información Mayor de la Caja o de terceros que

no se pueda recuperar fácilmente- Pérdida de

información crítica de la Caja o de terceros que

no se pueda recuperar.

4.2.3 EVALUAR EL RIESGO

4.2.3.1 EFECTUAR EVALUACION AL

RIESGO: El Administrador de Operaciones

de Riesgo efectúa la evaluación del riesgo

facilitando la toma de decisiones, basada

en los resultados de los análisis del riesgo

inherente (propio de la actividad sin

considerar los controles), para poder

determinar cuáles riesgos necesitan

tratamiento y la prioridad para la

implementación de su tratamiento, que de

acuerdo al nivel de apetito de riesgo de la

Caja para los riesgos inherentes que su

impacto y probabilidad sea muy alto, altos

y medio, la cual registra en el formato

3-02-FO-01, teniendo en cuenta los

siguientes aspectos

➢ Compartir: Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo de cualquier otra manera una parte del riesgo; las técnicas que se utilizan más habitualmente incluyen la

Riesgo

3-02-FO-01

RIESGOS

Versión 3

suscripción de seguros, el establecimiento de negocios conjuntos, la cobertura de transacciones o la externalización de una actividad. Al compartir el riesgo se deben generar las acciones de tratamiento para los riesgos secundarios relacionados con el tercero.

➢ Reducir: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general, puede conllevar cualquiera de las múltiples decisiones de negocio que se adoptan en el día a día de la Caja. ➢ Evitar: Se abandona las actividades que den lugar al riesgo; esto puede conllevar que se abandone una línea de producción, que se reduzca el grado de expansión en un nuevo mercado geográfico o que se venda una división. Esta opción deberá ser seleccionada cuando las acciones para su tratamiento no son efectivas en costo y el retorno no es atractivo en relación al riesgo involucrado ➢ Aceptar: Para los riesgos inherentes

(sin controles) que por su impacto y

probabilidad quede en niveles de riesgos

Bajo o Nulo pueden ser aceptados o

asumidos ya que el tratamiento de los

mismos puede llegar a hacer más costoso

que los beneficios o retornos potenciales

4.2.4 DAR TRATAMIENTO AL RIESGO

RIESGOS

Versión 3

4.2.4.1 DAR TRATAMIENTO AL

RIESGO: El Administrador de Operaciones

de Riesgo, Auxiliar Administrativo I y el

Responsable del Subproceso, identifican los

controles que permitan dar adecuado

tratamiento del riesgo, la cual involucra la

selección de una o más actividades de

control para disminuir sus consecuencias

(impacto) o la probabilidad y así establecer,

si el nivel de riesgo residual (después de

controles), está en los niveles de

aceptación por parte de Cajamag. Teniendo

cuenta lo siguiente:

• El efecto potencial que pueda tener

sobre la importancia del riesgo y qué

dichas respuesta para el tratamiento del

riesgo, estén alineadas con la tolerancia

al riesgo de la Caja.

• La segregación de funciones que permita

que la respuesta adoptada logre la

reducción prevista de la importancia del

riesgo.

• El análisis costo / beneficio de las

posibles repuestas.

Al momento de Para lo cual, el

Administrador de Operaciones de Riesgo y

el Auxiliar Administrativo I, detallan las

medidas de tratamiento (actividades de

control) para los eventos que puede llegar

El Administrador de Operaciones de Riesgo, Auxiliar

Administrativo I y el Responsable del

Subproceso,

3-02-FO-01

RIESGOS

Versión 3

a la materialización del riesgo que afecta el

cumplimiento de los objetivos del

subproceso, considerando las siguientes

variables en su diseño:

✓ Responsable – Quien lleva a cabo el

control.

✓ Objetivo del Control – Que busca hacer

el control.

✓ Procedimiento – Como se lleva a cabo el

control.

✓ Evidencia – Soportes de la ejecución del

control, una firma no es evidencia.

✓ Periodicidad – Cada cuanto se realiza el

control.

Registrando así, cada control, en el formato

3-02-FO-01.

Nota: Las actividades de control se llevan a cabo en todos los niveles de CAJAMAG, en las diferentes etapas de los procesos del negocio, y en el entorno tecnológico, según su naturaleza, estos pueden ser preventivos o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas, tales como autorizaciones y aprobaciones, verificaciones, conciliaciones, y revisiones de desempeño que deben estar integradas con una adecuada segregación de funciones.

RIESGOS

Versión 3

4.2.4.2 INGRESAR AL APLICATIVO

KAWAK LOS RIESGOS Y CONTROLES

IDENTIFICADOS: Una vez identificados,

analizados y evaluados los riesgos y

controles del subproceso en el formato de

3-02-FO-01, son ingresados al aplicativo

Kawak en el módulo de riesgos, donde se

consolida la matriz y el Mapa de Riesgo.

Nota: El ingreso de la información en el

módulo se efectúa teniendo en cuenta lo

establecido en el Procedimiento Para el Ingreso

de los Riesgos al Módulo. Ver Instructivo

Para el Ingreso de los Riesgos al Módulo

GER-3-02-INS-1.

Administrador de Operaciones de Riesgo/Auxiliar Administrativo I

Ver en el Aplicativo

Kawak Módulo Riesgos-Mapa

de Riesgo-Matriz de Riesgo

4.2.4.3 VERIFICAR EL NIVEL DE

RIESGOS RESIDUALES: una vez

ingresada la información al aplicativo

Kawak en el módulo de riesgos, el Software

automáticamente teniendo en cuenta la

calificación individual de los controles,

asigna la calificación al riesgo residual y su

ubicación en el Mapa, luego la

Administradora de operaciones de Riesgo,

revisa en el módulo la ubicación del riesgo

residual arrojada por el aplicativo,

verificando si estos se encuentran en los

niveles de tolerancia establecidos por la

Corporación, si identifica algún riesgo

ubicado por encima, notifica a la Auditora

Interna con la finalidad de reevaluar el

riesgo.

Riesgo

Ver en el Aplicativo

Kawak Módulo Riesgos-Mapa

de Riesgo

4.2.5 COMUNICACIÓN Y CONSULTA

RIESGOS

Versión 3

4.2.5.1 NOTIFICAR RIESGOS

IDENTIFICADOS: El Administrador de

Operaciones de Riesgo, cada vez que se

efectúa valoración de riesgos, entrega al

responsable del proceso y/o subproceso, el

formato identificación de Riesgos y

controles código: GER-3-02-FO-01, para

firma y conocimiento, la matriz de riesgo

levantada, además procede a mostrarle a

través del módulo de riesgo del aplicativo

kawak, la ubicación de los riesgos en el

mapa y cómo puede monitorearlos,

dejando registro en lista de asistencia a

capacitación APO-2-02-FO-4.

Nota: Cuando se identifiquen riesgos en las

actualizaciones se envía correo electrónico

como notificación.

Administrador de Operaciones de Riesgo

Identificación de Riesgos y

controles GER-3-02-FO-01

Asistencia a capacitación

APO-2-02-FO-4

Correo electrónico

4.2.5.2 REALIZAR ACTUALIZACIÓN DE

MATRICES DE RIESGOS DE CADA

SUBPROCESO: de acuerdo al

cronograma, el Auxiliar Administrativo I

anualmente junto con el responsable del

proceso y/o subproceso realizan

actualización de la matriz de Riesgos,

efectuando los ajustes requeridos a los

riesgos, controles, causas, calificación y

ejecución del control, diligenciando los

cambios en el Formato de Actualización de

Matrices GER-3-02-FO-04. Así mismo, si en

la actualización se identifica un nuevo

riesgo, además del formato anterior, se

diligencia digitalmente, el formato

Auxiliar Administrativo

I. Responsables de

Procesos y/o

Subprocesos.

Actualización de

Matrices GER-3-

02-FO-04

Identificación de

Riesgos y

controles GER-3-

02-FO-01

RIESGOS

Versión 3

3-02-FO-01, el cual es guardado en la

carpeta de Revisión que hace parte de la

carpeta compartida de riesgos, para la

revisión por parte del Administrador de

Operaciones de Riesgos.

Nota: Cuando se requiera el Administrador de Operaciones de Riesgo podrá realizar actualizaciones de las Matrices de los subprocesos.

4.2.5.3 REVISAR E INGRESAR AL

APLICATIVO MATRICES

ACTUALIZADAS: Una vez realizada la

actualización, el Administrador de

Operaciones de Riesgo procede a revisar

los formatos diligenciados, si requiere

ajustes lo efectúa, una vez correcto, se

imprime el formato Actualización de

Matrices GER-3-02-FO-04, para revisión y

firma del responsable del subproceso.

Posteriormente se ingresa la información de

los formatos Actualización de Matrices GER-

3-02-FO-04 y/o Identificación de Riesgos y

controles GER-3-02-FO-01 al módulo de

riesgos en kawak.

Una vez ingresada la información al módulo, el Auxiliar Administrativo I/ Administrador de Operaciones de Riesgo, envía por correo electrónico al responsable del subproceso la disponibilidad de la información actualizada, en el Modulo de riesgos para su consulta. Nota: Si durante las auditorías basadas en riesgos se identifican riesgos materializados o

Administrador de

Operaciones de

Riesgo

Auxiliar

Administrativo I

Formato

Actualización de

Matrices GER-3-

02-FO-04

Identificación de

Riesgos y

controles GER-

3-02-FO-01

Correo

electrónico

RIESGOS

Versión 3

falla en los controles, en el proceso o Subproceso, el Administrador de Operaciones de Riesgo procede a realizar análisis referente y recalificación de los controles registrándolo en el formato Actualización de Matrices GER-3-02-FO-04. Además, si en auditorías internas basadas en riesgos, se identifican riesgos nuevos, nuevas causas, controles que no están documentados, nuevos controles o cualquier novedad por cambios en los subprocesos, se efectúa el análisis y se deja registro del cambio en el formato actualización de la matriz. Otro insumo que se tiene en cuenta es la información suministrada por los responsables de los subprocesos a través del formato para la Notificación Trimestral del Estado de Riesgos y Controles GER-3-02-FO-06.

4.2.5.4 PRESENTAR REPORTE

INTERNO Y EXTERNO DE LOS

RESULTADOS DEL PROCESO DE

GESTIÓN DE RIESGOS: el Auditor

Interno, genera reporte interno

trimestralmente sobre el comportamiento

de los riesgos, reportando a la Dirección

Administrativa y al Comité Independiente

de Auditoría.

El reporte externo, es emitido anualmente por la Dirección Administrativa y el Consejo Directivo, a la asamblea de afiliados sobre el comportamiento de la administración del Sistema de Gestión de Riesgo en la Caja. Tal como se establece en la caracterización de Gestión de Riesgos. INTERACIÓN SUBPROCESO DE PLANEACIÓN ESTRATÉGICA GER-1-01.

Auditor Interno

Director Administrativo y el Consejo Directivo

Ver registros generados en la caracterización de gestión de

riesgos.

4.2.6 MONITOREO Y REVISIÓN

RIESGOS

Versión 3

4.2.6.1 MONITOREAR Y REVISAR LOS

RIESGOS: El monitoreo y la revisión en

Cajamag del proceso de gestión de riesgos,

se lleva a cabo de dos maneras, a través de

evaluaciones continuas y evaluaciones

independientes.

Las evaluaciones continuas son realizadas por todos los empleados, en las actividades rutinarias, están integradas en los procesos de CAJAMAG y son llevadas a cabo en tiempo real para asegurar el logro de los objetivos, además, se encuentra el monitoreo de los riesgos y controles realizado trimestralmente, por los responsables de subproceso, a través del indicador de eficacia de controles y el formato de Notificación Trimestral del Estado de Riesgos y Controles GER-3-02-FO-06. Las evaluaciones independientes, son las llevadas a cabo periódicamente por parte de la Auditoria Interna, cumpliendo lo establecido en el Plan y/o ejecución de las auditorias de riesgo GER-3-01-FO-05 y el programas de auditorías de calidad aplicativo kawak, evaluando los controles periódicamente y registrando su evaluación en el formato Informe Auditorias de riesgo GER-3-01-FO-09 o los informes emitidos por las auditoras de calidad en el aplicativo kawak. INTERACION CON EL SUBPROCESO DE AUDITORIA INTERNA Nota: Dentro del monitoreo y revisión de los riesgos, también se encuentra la aplicación de

Todos los empleados

Responsables de subproceso

Auditores Internos

Ver Módulo de Indicadores Aplicativo Kawak

Notificación Trimestral del

Estado de Riesgos y Controles GER-

3-02-FO-06

Informe Auditorias de riesgo formato

GER-3-01-FO-09

Informe auditorias de

calidad aplicativo KAWAK

RIESGOS

Versión 3

los principios de las tres (3) Aes.

5. REGISTROS

IDENTIFICACIÓN RESPONSABLE MEDIO SITIO DE

ARCHIVO ACCESO

TIEMPO DE

CONSERVACIÓN

MÉTODO DE

DESCARTE

GER-3-02-FO-01

Identificación de

Riesgo y controles

Administradora

de Operaciones

de Riesgo

Físico

Digital

Auditoría

Interna/Archivador /Gaveta

1/carpeta Identificación de

Riesgos.

Computador

Administradora de Operaciones

de Riesgo y Auxiliar

Administrativo I/

Carpeta en red AGOREO

Auditor

Interno y Administrad

ora de Operaciones

de Riesgo y

Auxiliar administrati

Funcionario

Responsable de

Gestión de

Riesgo.

Archivo de Gestión: 1

Archivo Central: 2

Eliminar

RIESGOS

Versión 3

GER-3-02-FO-04

Formato de Actualización de

Matrices de Riesgos

Administradora

de Operaciones de Riesgo y

Auxiliar

Administrativo I

Físico

Digital

Auditoría

Interna/Archivador /Gaveta 1/A-Z

Formato de

actualización

Computador Administradora

de Operaciones de Riesgo y

Auxiliar

Administrativo I/ Carpeta en red

AGOREO

Auditor

Interno y Administrad

ora de

Operaciones de Riesgo y

Auxiliar administrati

Archivo Central: 2

Eliminar

GER-3-02-FO-06 Formato Para

Notificación

Trimestral del Estado de Riesgos y

Controles

de Riesgo y

Auxiliar

Administrativo I

Físico

Auditoría Interna/Archivado

Riesgos/Gaveta 1/ A-Z formato de

notificación

trimestral

Auditor Interno y

Administrad

ora de Operaciones

administrati

Archivo Central: 2

Eliminar

S.I Correo electrónico

Administrativo I

Digital Correo electrónico

de Riesgo y

Auxiliar

Administrativo I

Auditor Interno y

Administradora de

Operaciones

administrativo I

N.A N.A

Código: SISTEMA DE GESTIÓN DE LA CALIDAD GER-3-02-PRO-1 ... · pueda afectar a la manera en la...

Documents

Transcript of Código: SISTEMA DE GESTIÓN DE LA CALIDAD GER-3-02-PRO-1 ... · pueda afectar a la manera en la...

Presentacion ger final

Hardware yessenia ger 3

GER - definicion de "Forma"

GER Hipotiroidismo

Apuntes de Clase Ger

Ger cxncer cervicouterino

GER Tiña y Onicomicosis

Caf34 Ger Web

Ger Emp Sesion 1

Ger Hipertension

Ger sindrome de_fragilidad

Plan Ger Plasticos 170112

Ger enfermedad vascularcerebralisquemica

Ardora ejercitacion Ger

Hardware yessenia ger 1

Ger dolor neuropatico

GER Preeclampsia

positiva ger yubi

Informe Ger 2005

GER Diabetes Gestacional