Post on 27-Oct-2020
SISTEMA DE GESTIÓN DE LA CALIDAD
PROCEDIMIENTO DE ADMINISTRACIÓN
DE RIESGOS
Código:
GER-3-02-PRO-1
Versión: 3
1. OBJETIVO
Establecer una metodología para la identificación, análisis, evaluación, tratamiento
comunicación, consulta, monitoreo y revisión de los riesgos que pueden afectar de
manera negativa los objetivos de los Subprocesos de la Caja.
2. ALCANCE
Inicia con el establecimiento del contexto interno y externo de la Caja, la
identificación, análisis, evaluación y valoración de los riesgos detectados, para
definir o establecer planes de tratamiento o manejo del riesgo y posteriormente
monitorear y hacer seguimiento de los riesgos para garantizar el cumplimiento de
los objetivos.
3. DEFINICIONES
Para el propósito de este procedimiento, son aplicables los términos y definiciones
dados en la legislación y normas vigentes aplicables a la Caja.
AUTOCONTROL: Capacidad de cada empleado de considerar el control como
inherente e intrínseco a sus responsabilidades, acciones, decisiones, tareas y
actuaciones.
AUTORREGULACIÓN: Capacidad de Cajamag y de su personal para regularse así
mismo, en base al control y monitoreo voluntario, sin intervención de otras instituciones.
AUTOGESTIÓN: Es la capacidad para interpretar, coordinar y aplicar de manera
efectiva, eficiente y eficaz la función administrativa que ha sido delegada.
CONTROL: Es un mecanismo preventivo, detectivo y/o correctivo adoptado por
las personas y una administración de una entidad, para que sus actuaciones se
rijan en cumplimiento de la normatividad, estrategias, procedimientos, políticas,
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 2 de 23
objetivos, metas para evitar que se materialicen los riesgos que afecten a la
organización.
ACTIVIDADES DE CONTROL: Son las políticas y procedimientos establecidos
por la dirección y el personal de la Caja para mitigar los riesgos que inciden en el
cumplimiento de los objetivos del subproceso y a su vez en los objetivos del
proceso y los objetivos estratégicos.
EVENTO, FALLA O CAUSA: Incidente o situación que puede ocurrir durante un intervalo de tiempo determinado y que puede llegar a la materialización del riesgo.
EVENTOS DE PÉRDIDA: Son aquellos incidentes que generan pérdidas por la materialización de un riesgo.
FRAUDE EXTERNO: Actos realizados por una persona externa a la Caja, que buscan defraudar o apropiarse indebidamente de activos o recursos de la misma.
FRAUDE INTERNO: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos o recursos de la Caja, en los que está implicado personal interno de la Caja.
GESTIÓN DE RIESGOS: Es el proceso mediante el cual se identifican, evalúan, se miden y controlan con mecanismos de mitigación los riesgos que puedan llegar a afectar de manera negativa el cumplimiento de los objetivos de la Caja.
MAPA DE RIESGOS: Un Mapa de Riesgos es una representación gráfica de la calificación de probabilidad e impacto de uno o más riesgos, de tal forma que se resalten los riesgos que van desde los más representativos (alta probabilidad y/o impacto hasta aquellos que son menos importantes (baja probabilidad y/o impacto).
RIESGO: Es la incertidumbre de que ocurra un evento interno o externo que pudiera afectar el logro de los objetivos, el riesgo se mide en términos de probabilidad e impacto.
RIESGO INHERENTE: Nivel de riesgo propio de las actividades en los procesos, sin considerar las medidas de mitigación o control.
RIESGO RESIDUAL: Nivel resultante del riesgo que permanece luego de aplicar actividades de control.
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 3 de 23
APETITO DEL RIESGO: Es el nivel de riesgo que la empresa quiere aceptar y la capacidad será el nivel máximo de riesgo que Cajamag acepte en el logro de sus objetivos.
4. ACTIVIDADES
4.1 ESTABLECIMIENTO DEL CONTEXTO
DESCRIPCION RESPONSABLE REGISTRO
4.1.1 ESTABLECER EL CONTEXTO
ORGANIZACIONAL: El Auditor Interno en
compañía con el Administrador de
Operaciones de Riesgo, tienen en cuenta
el contexto organizacional en el cual se
encuentran establecidos los objetivos
estratégicos de la organización, como de
los procesos y los subprocesos,
establecidos en el Mapa de Proceso de la
Caja y las necesidades y expectativas de
las partes interesadas, definidas en el
submódulo de partes interesadas. Ver
submodulo de partes interesadas del
aplicativo Kawak, Ver Mapa de
Procesos GER-4-01-DE-3.
Para que a través del Subproceso de
Gestión de Riesgos se apoye la
consecución de los objetivos estratégicos
que se han planteado en organización, así
como de los procesos y los subprocesos,
para lograr la misión y visión de CAJAMAG.
El Auditor Interno Administrador de Operaciones de Riesgo
N/A
4.2 VALORACIÓN DEL RIESGO
4.2.1 IDENTIFICACIÓN DEL RIESGO
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 4 de 23
4.2.1.1 IDENTIFICAR LOS RIESGOS: El
Administrador de Operaciones de Riesgo y
el Auxiliar Administrativo I, en conjunto con
los Responsables de Subprocesos
identifican los riesgos a partir de la claridad
de los objetivos estratégicos de la
organización y de su adecuado despliegue
descendente a los objetivos de los procesos
y subprocesos, diferenciando entre el
riesgo que afecta el cumplimiento de los
objetivos y los eventos que lo generan.
Teniendo en cuenta lo siguiente:
✓ Identificar los objetivos del Subproceso. ✓ Identificar “qué puede afectar el
cumplimiento del objetivo” ✓ Nuestra experiencia. ✓ Mucho sentido común.
Una vez establecido el riesgo se procede a
registrar en el formato identificación de
riesgos y controles GER-3-02-FO-01.
Nota: Para efectos de la adecuada asociación
del riesgo al objetivo que está impactando, el
cumplimiento de las políticas y procedimientos
internos de CAJAMAG, en contraposición al
cumplimiento de las leyes y regulaciones
externas tales como las descritas
anteriormente, El Administrador de
Operaciones tiene en cuenta que lo anterior
hace referencia al impacto de los objetivos
operacionales y no de cumplimiento.
Administrador de Operaciones de
Riesgo
Auxiliar Administrativo I
Responsables de Subprocesos
Formato Identificación de Riesgos y controles GER-3-02-FO-01
4.2.1.2 IDENTIFICAR LA CATEGORÍA
DEL RIESGO: De igual manera como Administrador de Formato
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 5 de 23
parte del procedimiento de identificación
los riesgos, el Administrador de
Operaciones de riesgo, determina la
categoría del riesgo, en el formato
Identificación de Riesgos y controles GER-
3-02-FO-01, identificando el tipo de
impacto a los objetivos de la organización,
teniendo en cuenta las siguientes cuatro
categorías:
✓ Estratégicos: Referidos a metas de alto
nivel, alineados y dando soporte a la
misión/visión de la Organización.
✓ Operativos: Referidos a la eficiencia y
eficacia de las operaciones de la
organización, incluido los objetivos de
desempeño, financieros y operativos, y
la protección de sus activos frente a
posibles pérdidas.
✓ Financieros: Referidos a la preparación
de informes útiles para uso de las
organizaciones y partes interesadas.
Pueden estar relacionados tanto con
información financiera como con
información no financiera así como con
información externa o interna.
✓ Cumplimiento/Legal: Referidos al
cumplimiento de las leyes y regulaciones
aplicables a la Caja, las cuales
establecen unas normas mínimas de
Operaciones de Riesgo/Auxiliar Administrativo
I/Responsables de Subprocesos
Identificación de Riesgos y
controles GER-3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 6 de 23
conducta esperables.
4.2.1.3 IDENTIFICAR LOS EVENTOS
(CAUSAS O FALLAS), ORIGEN Y
FACTOR: El Administrador de Operaciones
de Riesgo y el Auxiliar Administrativo I, en
conjunto con los Responsables de
Subprocesos, proceden a determinan los
eventos correspondientes a las fuentes
generadoras de riesgo (causa o falla),
procediendo a determinar su origen y
factor generador, registrando cada uno de
los descritos, en el Formato Identificación
de Riesgos y controles GER-3-02-FO-01,
teniendo en cuanta la siguiente
clasificación: factores internos.
• Infraestructura Física – Decisiones sobre el uso de recursos de capital que pueden afectar a las operaciones y a la disponibilidad continuada de infraestructuras.
• Estructura de la Dirección – Un cambio en las responsabilidades de dirección que pueda afectar a la manera en la que se llevan a cabo determinados controles.
• Recurso Humano – La calidad del personal contratado y los métodos de formación y motivación que pueden influir en el nivel de sensibilidad hacia el control dentro de la Caja.
• Acceso a Activos – La naturaleza de las actividades de la Caja y la accesibilidad de los empleados a los activos que pueden
Administrador de Operaciones de
Riesgo
Auxiliar Administrativo I
Responsables de Subprocesos
Formato Identificación de
Riesgos y controles GER-
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 7 de 23
contribuir a la apropiación indebida de recursos.
• Tecnología – Una interrupción en el procesamiento de los sistemas de información que puedan afectar negativamente al funcionamiento de la Caja.
• Procesos: Actividades para la transformación de elementos de entrada, en productos o servicios para satisfacer una necesidad.
• Corrupción: La acción u omisión en la utilización del poder para un beneficio particular.
Factores externos: • Económicos – Los cambios que pueden afectar la financiación, disponibilidad de capital y barreras de entrada para la competencia.
• Entorno natural – Las catástrofes naturales o desastres causados por el hombre o los continuos cambios a los que se ve sometido el clima pueden provocar cambios en las operaciones de la Caja, reducir la disponibilidad de determinadas materias primas o incluso provocar pérdidas en los sistemas de información, poniendo en manifiesto la necesidad de disponer de planes de contingencia.
• Legal/Regulatorio – Una nueva ley o regulación que pueda exigir información diferente o la aplicación de determinados
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 8 de 23
cambios en las estrategias o políticas operativas.
• Sociales/Cultural – Las expectativas y necesidades cambiantes de los clientes o el entorno donde se encuentra establecida pueden afectar el desarrollo de los productos, al proceso de producción, a la fijación de precios o las garantías concedidas.
• Tecnológicos – Avances que pueden afectar a la disponibilidad y uso de datos a los costos de la infraestructuras y a la demanda de determinados servicios basados en tecnologías.
Nota: Cada factor de riesgo tiene numerosos componentes, cualquiera de los cuales puede dar origen a un riesgo, algunos estarán bajo el control de Cajamag, mientras que otros pueden estar fuera de su control por obedecer a situaciones externas.
4.2.2 ANALIZAR EL RIESGO
4.2.2.1 EFECTUAR ANALISIS DE
RIESGOS: El Administrador de
Operaciones de Riesgo efectúa el análisis
del riesgo, las implicaciones, desarrollo y
comprensión sin considerar la existencia de
controles. En este análisis incluye la
evaluación de las consecuencias (impacto)
negativas del riesgo y la probabilidad de
que tales consecuencias puedan ocurrir. La
forma en la cual las consecuencias
(impacto) y la probabilidad se expresan y la
forma en la cual ellas se combinan teniendo
en cuenta para el impacto los siguientes
El Administrador de Operaciones de
Riesgo
Formato Identificación de
Riesgos y controles GER-
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 9 de 23
niveles: Inferior, Menor, Importante,
Mayor, Critico y para la probabilidad: Muy
baja, Baja, Moderada, Alta, Muy alta
Nota: Cajamag ha establecido de acuerdo a su
apetito de Riesgo, la Matriz de Calificación de
Impacto y probabilidad donde el Administrador
de Operaciones de Riesgo realiza la evaluación
de las consecuencias negativas del riesgo y la
probabilidad de que tales consecuencias
puedan ocurrir y afecten el cumplimiento de los
objetivos del subproceso, la cual tiene una
estructura no lineal, para establecer un mayor
peso a aquellos riesgos en los cuales aunque
la probabilidad es baja su impacto para la Caja
es importante.
4.2.2.2 CALIFICAR PROBABILIDAD Y
SOPORTE DE OCURRENCIA: En esta
etapa el Administrador de Operaciones de
Riesgo indaga con los responsables de
Subprocesos la posibilidad de que un riesgo
se materialice. Teniendo en cuenta los
niveles de probabilidad establecidos,
registrando la calificación, en el formato
Identificación de Riesgos y controles GER-
3-02-FO-01. Posteriormente registra en
dicho formato, el soporte de la probabilidad
teniendo en cuenta las siguientes dos
opciones de escala:
• Casuística: Escala que determina la probabilidad de ocurrencia de un riesgo basada en datos históricos. (Ej. 3 de 50 casos, 5% de los casos).
• Periodicidad: Escala relacionada con la
Administrador de Operaciones de
Riesgo
Formato Identificación de
Riesgos y controles GER-
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 10 de 23
frecuencia con la que un riesgo se materializa en un periodo determinado de tiempo. (Ej.: una vez al mes, una vez cada año).
Establecidos en la siguiente manera:
Muy Alta: Nos ocurre con cierta
periodicidad (1 vez cada mes) o se espera
la ocurrencia del evento en más del 20%
de los casos.
Alta: Se presenta con alguna frecuencia (1
vez cada trimestre) o el evento ocurrirá
entre el 15 y el 20% de los casos.
Moderada: Se presenta por lo menos una
vez cada semestre o el evento puede
ocurrir entre el 10 y 14.99% de los casos.
Baja: Se presenta por lo menos una vez
cada año o El evento puede ocurrir entre el
3 y el 9.99% de los casos.
Muy Baja: Se ha presentado una vez en la
Entidad o en el sector en los últimos años o
el evento puede ocurrir en menos del 3%
de los casos.
Nota. El uso de las escalas es excluyente, esto es, se debe identificar si el riesgo a evaluar tiene datos históricos de ocurrencia (casuística), de no ser así, si se puede determinar su ocurrencia en un periodo de tiempo (periodicidad).
4.2.2.3 CALCULAR LA MAGNITUD DEL
IMPACTO Y SOPORTE: El Administrador
de Operaciones de Riesgo teniendo en
cuenta lo indagado con el Responsable del
Subproceso, realiza la evaluación del efecto
El Administrador de Operaciones
formato Identificación de
Riesgos y controles GER-
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 11 de 23
y la consecuencia producida al
materializarse un riesgo al interior de
Cajamag, la cual efectúa teniendo en
cuenta los niveles de impacto establecidos,
en el formato Identificación de Riesgos y
controles GER-3-02-FO-01 teniendo en
cuenta las Subvariables del impacto
teniendo en cuenta los siguientes dos
grupos:
- Cuantitativos: Aquellos criterios que miden el impacto de los riesgos desde el punto de vista financiero.
- Cualitativos: Aquellos criterios que miden el impacto de los riesgos intangibles, que generalmente no son fáciles de medir desde el punto de vista financiero (Ej. La reputación (imagen), temas legales, pérdida de clientes, actividad de la compañía que no permita alcanzar el logro de los objetivos, factores humanos, entre otros.).
Establecidas de la siguiente manera:
Subvariable Económico: Impacto Inferior que reduzca las utilidades en un valor menor al 0,5% o Perdida inferior a $5 millones de pesos- Impacto Menor que reduzca entre 0,5% y 0.99% las utilidades netas o Perdida menor entre $5 y $19.9 millones de pesos- Impacto Importante que reduzca entre 1% y 1,99% las utilidades netas y Perdida importante entre $20 y $39.9 millones de pesos- Impacto mayor que reduzca entre un 2% y 2,99% las utilidades netas O Perdida mayor entre $40 y $66,9 millones de pesos - Impacto critico que reduzca en 3% o más las
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 12 de 23
utilidades netas o Perdida critica superior a $67 millones de pesos.
Subvariable Legal: Inferior: No genera sanciones económicas y/o administrativas- Menor: Investigación administrativa interna- Importante: Llamados de atención o Requerimientos realizados por los entes reguladores- Mayor: Sanciones económicas por incumplimiento de las normas establecidas (operaciones / obligaciones contractuales)- Critico: Intervención a la Caja por parte de la Superintendencia de Subsidio Familiar por Incumplimientos legales y/o contractuales.
Subvariable Imagen: Impacto Inferior No afecta las relaciones con los clientes -Impacto Menor Incremento entre el 10% y el 49.9% del número de reclamos formulados por los clientes -Impacto importante que afecta negativamente la imagen de la caja con los clientes- Impacto mayor que afecte negativamente la imagen de la Caja en el mercado relacionada con el servicio al cliente- Impacto critico que afecte la imagen de la Caja negativamente en el mercado relacionada con prácticas inseguras y/o irregulares
Subvariable Operación: Inferior: No hay interrupción de las operaciones de la Caja - Menor Interrupción de las operaciones de la Caja por algunas horas- Importante: Interrupción de las operaciones de la Caja entre 1 y menos de 2 días o Reproceso de actividades y aumento de la carga operativa (ejecutar nuevamente actividades de los procesos por errores operativos) - Mayor: Interrupción de las operaciones de la Caja por más de 4 días.
Subvariable Información: Inferior: No
afecta la oportunidad de la información -
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 13 de 23
Menor: No afecta la oportunidad de la
información de manera significativa, no altera
el funcionamiento de las áreas receptoras y
procesadoras de información - Importante:
Inoportunidad de la información ocasionando
retrasos en las labores de las áreas y/o en la
respuesta a los entes reguladores- Pérdida de
información Mayor de la Caja o de terceros que
no se pueda recuperar fácilmente- Pérdida de
información crítica de la Caja o de terceros que
no se pueda recuperar.
4.2.3 EVALUAR EL RIESGO
4.2.3.1 EFECTUAR EVALUACION AL
RIESGO: El Administrador de Operaciones
de Riesgo efectúa la evaluación del riesgo
facilitando la toma de decisiones, basada
en los resultados de los análisis del riesgo
inherente (propio de la actividad sin
considerar los controles), para poder
determinar cuáles riesgos necesitan
tratamiento y la prioridad para la
implementación de su tratamiento, que de
acuerdo al nivel de apetito de riesgo de la
Caja para los riesgos inherentes que su
impacto y probabilidad sea muy alto, altos
y medio, la cual registra en el formato
Identificación de Riesgos y controles GER-
3-02-FO-01, teniendo en cuenta los
siguientes aspectos
➢ Compartir: Se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo de cualquier otra manera una parte del riesgo; las técnicas que se utilizan más habitualmente incluyen la
Administrador de Operaciones de
Riesgo
Formato Identificación de
Riesgos y controles GER-
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 14 de 23
suscripción de seguros, el establecimiento de negocios conjuntos, la cobertura de transacciones o la externalización de una actividad. Al compartir el riesgo se deben generar las acciones de tratamiento para los riesgos secundarios relacionados con el tercero.
➢ Reducir: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general, puede conllevar cualquiera de las múltiples decisiones de negocio que se adoptan en el día a día de la Caja. ➢ Evitar: Se abandona las actividades que den lugar al riesgo; esto puede conllevar que se abandone una línea de producción, que se reduzca el grado de expansión en un nuevo mercado geográfico o que se venda una división. Esta opción deberá ser seleccionada cuando las acciones para su tratamiento no son efectivas en costo y el retorno no es atractivo en relación al riesgo involucrado ➢ Aceptar: Para los riesgos inherentes
(sin controles) que por su impacto y
probabilidad quede en niveles de riesgos
Bajo o Nulo pueden ser aceptados o
asumidos ya que el tratamiento de los
mismos puede llegar a hacer más costoso
que los beneficios o retornos potenciales
4.2.4 DAR TRATAMIENTO AL RIESGO
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 15 de 23
4.2.4.1 DAR TRATAMIENTO AL
RIESGO: El Administrador de Operaciones
de Riesgo, Auxiliar Administrativo I y el
Responsable del Subproceso, identifican los
controles que permitan dar adecuado
tratamiento del riesgo, la cual involucra la
selección de una o más actividades de
control para disminuir sus consecuencias
(impacto) o la probabilidad y así establecer,
si el nivel de riesgo residual (después de
controles), está en los niveles de
aceptación por parte de Cajamag. Teniendo
cuenta lo siguiente:
• El efecto potencial que pueda tener
sobre la importancia del riesgo y qué
dichas respuesta para el tratamiento del
riesgo, estén alineadas con la tolerancia
al riesgo de la Caja.
• La segregación de funciones que permita
que la respuesta adoptada logre la
reducción prevista de la importancia del
riesgo.
• El análisis costo / beneficio de las
posibles repuestas.
Al momento de Para lo cual, el
Administrador de Operaciones de Riesgo y
el Auxiliar Administrativo I, detallan las
medidas de tratamiento (actividades de
control) para los eventos que puede llegar
El Administrador de Operaciones de Riesgo, Auxiliar
Administrativo I y el Responsable del
Subproceso,
Formato Identificación de
Riesgos y controles GER-
3-02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 16 de 23
a la materialización del riesgo que afecta el
cumplimiento de los objetivos del
subproceso, considerando las siguientes
variables en su diseño:
✓ Responsable – Quien lleva a cabo el
control.
✓ Objetivo del Control – Que busca hacer
el control.
✓ Procedimiento – Como se lleva a cabo el
control.
✓ Evidencia – Soportes de la ejecución del
control, una firma no es evidencia.
✓ Periodicidad – Cada cuanto se realiza el
control.
Registrando así, cada control, en el formato
Identificación de Riesgos y controles GER-
3-02-FO-01.
Nota: Las actividades de control se llevan a cabo en todos los niveles de CAJAMAG, en las diferentes etapas de los procesos del negocio, y en el entorno tecnológico, según su naturaleza, estos pueden ser preventivos o de detección y pueden abarcar una amplia gama de actividades manuales y automatizadas, tales como autorizaciones y aprobaciones, verificaciones, conciliaciones, y revisiones de desempeño que deben estar integradas con una adecuada segregación de funciones.
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 17 de 23
4.2.4.2 INGRESAR AL APLICATIVO
KAWAK LOS RIESGOS Y CONTROLES
IDENTIFICADOS: Una vez identificados,
analizados y evaluados los riesgos y
controles del subproceso en el formato de
Identificación de Riesgos y controles GER-
3-02-FO-01, son ingresados al aplicativo
Kawak en el módulo de riesgos, donde se
consolida la matriz y el Mapa de Riesgo.
Nota: El ingreso de la información en el
módulo se efectúa teniendo en cuenta lo
establecido en el Procedimiento Para el Ingreso
de los Riesgos al Módulo. Ver Instructivo
Para el Ingreso de los Riesgos al Módulo
GER-3-02-INS-1.
Administrador de Operaciones de Riesgo/Auxiliar Administrativo I
Ver en el Aplicativo
Kawak Módulo Riesgos-Mapa
de Riesgo-Matriz de Riesgo
4.2.4.3 VERIFICAR EL NIVEL DE
RIESGOS RESIDUALES: una vez
ingresada la información al aplicativo
Kawak en el módulo de riesgos, el Software
automáticamente teniendo en cuenta la
calificación individual de los controles,
asigna la calificación al riesgo residual y su
ubicación en el Mapa, luego la
Administradora de operaciones de Riesgo,
revisa en el módulo la ubicación del riesgo
residual arrojada por el aplicativo,
verificando si estos se encuentran en los
niveles de tolerancia establecidos por la
Corporación, si identifica algún riesgo
ubicado por encima, notifica a la Auditora
Interna con la finalidad de reevaluar el
riesgo.
Administrador de Operaciones de
Riesgo
Ver en el Aplicativo
Kawak Módulo Riesgos-Mapa
de Riesgo
4.2.5 COMUNICACIÓN Y CONSULTA
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 18 de 23
4.2.5.1 NOTIFICAR RIESGOS
IDENTIFICADOS: El Administrador de
Operaciones de Riesgo, cada vez que se
efectúa valoración de riesgos, entrega al
responsable del proceso y/o subproceso, el
formato identificación de Riesgos y
controles código: GER-3-02-FO-01, para
firma y conocimiento, la matriz de riesgo
levantada, además procede a mostrarle a
través del módulo de riesgo del aplicativo
kawak, la ubicación de los riesgos en el
mapa y cómo puede monitorearlos,
dejando registro en lista de asistencia a
capacitación APO-2-02-FO-4.
Nota: Cuando se identifiquen riesgos en las
actualizaciones se envía correo electrónico
como notificación.
Administrador de Operaciones de Riesgo
Identificación de Riesgos y
controles GER-3-02-FO-01
Asistencia a capacitación
APO-2-02-FO-4
Correo electrónico
4.2.5.2 REALIZAR ACTUALIZACIÓN DE
MATRICES DE RIESGOS DE CADA
SUBPROCESO: de acuerdo al
cronograma, el Auxiliar Administrativo I
anualmente junto con el responsable del
proceso y/o subproceso realizan
actualización de la matriz de Riesgos,
efectuando los ajustes requeridos a los
riesgos, controles, causas, calificación y
ejecución del control, diligenciando los
cambios en el Formato de Actualización de
Matrices GER-3-02-FO-04. Así mismo, si en
la actualización se identifica un nuevo
riesgo, además del formato anterior, se
diligencia digitalmente, el formato
Identificación de Riesgos y controles GER-
Auxiliar Administrativo
I. Responsables de
Procesos y/o
Subprocesos.
Actualización de
Matrices GER-3-
02-FO-04
Identificación de
Riesgos y
controles GER-3-
02-FO-01
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 19 de 23
3-02-FO-01, el cual es guardado en la
carpeta de Revisión que hace parte de la
carpeta compartida de riesgos, para la
revisión por parte del Administrador de
Operaciones de Riesgos.
Nota: Cuando se requiera el Administrador de Operaciones de Riesgo podrá realizar actualizaciones de las Matrices de los subprocesos.
4.2.5.3 REVISAR E INGRESAR AL
APLICATIVO MATRICES
ACTUALIZADAS: Una vez realizada la
actualización, el Administrador de
Operaciones de Riesgo procede a revisar
los formatos diligenciados, si requiere
ajustes lo efectúa, una vez correcto, se
imprime el formato Actualización de
Matrices GER-3-02-FO-04, para revisión y
firma del responsable del subproceso.
Posteriormente se ingresa la información de
los formatos Actualización de Matrices GER-
3-02-FO-04 y/o Identificación de Riesgos y
controles GER-3-02-FO-01 al módulo de
riesgos en kawak.
Una vez ingresada la información al módulo, el Auxiliar Administrativo I/ Administrador de Operaciones de Riesgo, envía por correo electrónico al responsable del subproceso la disponibilidad de la información actualizada, en el Modulo de riesgos para su consulta. Nota: Si durante las auditorías basadas en riesgos se identifican riesgos materializados o
Administrador de
Operaciones de
Riesgo
Auxiliar
Administrativo I
Formato
Actualización de
Matrices GER-3-
02-FO-04
Identificación de
Riesgos y
controles GER-
3-02-FO-01
Correo
electrónico
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 20 de 23
falla en los controles, en el proceso o Subproceso, el Administrador de Operaciones de Riesgo procede a realizar análisis referente y recalificación de los controles registrándolo en el formato Actualización de Matrices GER-3-02-FO-04. Además, si en auditorías internas basadas en riesgos, se identifican riesgos nuevos, nuevas causas, controles que no están documentados, nuevos controles o cualquier novedad por cambios en los subprocesos, se efectúa el análisis y se deja registro del cambio en el formato actualización de la matriz. Otro insumo que se tiene en cuenta es la información suministrada por los responsables de los subprocesos a través del formato para la Notificación Trimestral del Estado de Riesgos y Controles GER-3-02-FO-06.
4.2.5.4 PRESENTAR REPORTE
INTERNO Y EXTERNO DE LOS
RESULTADOS DEL PROCESO DE
GESTIÓN DE RIESGOS: el Auditor
Interno, genera reporte interno
trimestralmente sobre el comportamiento
de los riesgos, reportando a la Dirección
Administrativa y al Comité Independiente
de Auditoría.
El reporte externo, es emitido anualmente por la Dirección Administrativa y el Consejo Directivo, a la asamblea de afiliados sobre el comportamiento de la administración del Sistema de Gestión de Riesgo en la Caja. Tal como se establece en la caracterización de Gestión de Riesgos. INTERACIÓN SUBPROCESO DE PLANEACIÓN ESTRATÉGICA GER-1-01.
Auditor Interno
Director Administrativo y el Consejo Directivo
Ver registros generados en la caracterización de gestión de
riesgos.
4.2.6 MONITOREO Y REVISIÓN
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 21 de 23
4.2.6.1 MONITOREAR Y REVISAR LOS
RIESGOS: El monitoreo y la revisión en
Cajamag del proceso de gestión de riesgos,
se lleva a cabo de dos maneras, a través de
evaluaciones continuas y evaluaciones
independientes.
Las evaluaciones continuas son realizadas por todos los empleados, en las actividades rutinarias, están integradas en los procesos de CAJAMAG y son llevadas a cabo en tiempo real para asegurar el logro de los objetivos, además, se encuentra el monitoreo de los riesgos y controles realizado trimestralmente, por los responsables de subproceso, a través del indicador de eficacia de controles y el formato de Notificación Trimestral del Estado de Riesgos y Controles GER-3-02-FO-06. Las evaluaciones independientes, son las llevadas a cabo periódicamente por parte de la Auditoria Interna, cumpliendo lo establecido en el Plan y/o ejecución de las auditorias de riesgo GER-3-01-FO-05 y el programas de auditorías de calidad aplicativo kawak, evaluando los controles periódicamente y registrando su evaluación en el formato Informe Auditorias de riesgo GER-3-01-FO-09 o los informes emitidos por las auditoras de calidad en el aplicativo kawak. INTERACION CON EL SUBPROCESO DE AUDITORIA INTERNA Nota: Dentro del monitoreo y revisión de los riesgos, también se encuentra la aplicación de
Todos los empleados
Responsables de subproceso
Auditores Internos
Ver Módulo de Indicadores Aplicativo Kawak
Notificación Trimestral del
Estado de Riesgos y Controles GER-
3-02-FO-06
Informe Auditorias de riesgo formato
GER-3-01-FO-09
Informe auditorias de
calidad aplicativo KAWAK
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 22 de 23
los principios de las tres (3) Aes.
5. REGISTROS
IDENTIFICACIÓN RESPONSABLE MEDIO SITIO DE
ARCHIVO ACCESO
TIEMPO DE
CONSERVACIÓN
MÉTODO DE
DESCARTE
GER-3-02-FO-01
Identificación de
Riesgo y controles
Administradora
de Operaciones
de Riesgo
Físico
Digital
Auditoría
Interna/Archivador /Gaveta
1/carpeta Identificación de
Riesgos.
Computador
Administradora de Operaciones
de Riesgo y Auxiliar
Administrativo I/
Carpeta en red AGOREO
Auditor
Interno y Administrad
ora de Operaciones
de Riesgo y
Auxiliar administrati
vo
Funcionario
Responsable de
Gestión de
Riesgo.
Archivo de Gestión: 1
Año.
Archivo Central: 2
años
Eliminar
SISTEMA DE GESTIÓN DE LA CALIDAD PROCEDIMIENTO DE ADMINISTRACIÓN DE
RIESGOS
Código: GER-3-02-PRO-1
Versión 3
Página 23 de 23
GER-3-02-FO-04
Formato de Actualización de
Matrices de Riesgos
Administradora
de Operaciones de Riesgo y
Auxiliar
Administrativo I
Físico
Digital
Auditoría
Interna/Archivador /Gaveta 1/A-Z
Formato de
actualización
Computador Administradora
de Operaciones de Riesgo y
Auxiliar
Administrativo I/ Carpeta en red
AGOREO
Auditor
Interno y Administrad
ora de
Operaciones de Riesgo y
Auxiliar administrati
vo I
Archivo de Gestión: 1
Año.
Archivo Central: 2
años
Eliminar
GER-3-02-FO-06 Formato Para
Notificación
Trimestral del Estado de Riesgos y
Controles
Administradora de Operaciones
de Riesgo y
Auxiliar
Administrativo I
Físico
Auditoría Interna/Archivado
r de
Riesgos/Gaveta 1/ A-Z formato de
notificación
trimestral
Auditor Interno y
Administrad
ora de Operaciones
de Riesgo y Auxiliar
administrati
vo I
Archivo de Gestión: 1
Año.
Archivo Central: 2
años
Eliminar
S.I Correo electrónico
Administradora de Operaciones
de Riesgo y Auxiliar
Administrativo I
Digital Correo electrónico
Administradora de Operaciones
de Riesgo y
Auxiliar
Administrativo I
Auditor Interno y
Administradora de
Operaciones
de Riesgo y Auxiliar
administrativo I
N.A N.A