• METODOLOGÍA DE ADMINISTRACIÓN DE RIESGOS

  

ALAMBRES Y MALLAS S.A.S.

 

AGOSTO DE 2019

CONFIDENCIALIDAD DEL DOCUMENTO

 

Toda la información contenida en el presente documento deberá mantenerse en forma estrictamente confidencial. Por favor abstenerse de realizar copias y/o reproducir parcial o totalmente este documento sin la autorización formal de ALAMBRES Y MALLAS S.A.S.

 

                                                     TABLA DE CONTENIDO

1.    GLOSARIO

2.    INTRODUCCIÓN

3.    ALCANCE

4.    OBJETIVOS

4.1 OBJETIVO GENERAL

4.2 OBJETIVOS ESPECÍFICOS

5.    DOCUMENTOS RELACIONADOS

6.    METODOLOGÍA

6.1.    MARCO METODOLÓGICO

6.2.    IDENTIFICACIÓN

5.3    MEDICIÓN

5.3.1    ESTIMACIÓN DE PROBABILIDAD DE OCURRENCIA

5.3.2    ESTIMACIÓN DE LA MAGNITUD DE IMPACTO

5.4    CONTROL

5.4.1 PERFIL DE RIESGO

5.4.2 NIVEL DE TOLERANCIA AL RIESGO

5.5    MONITOREO

5.5.1 TRATAMIENTO DEL RIESGO RESIDUAL

5.5.2 AUDITORIA BASADA EN RIESGOS

 

  

1.     GLOSARIO

 

·       Análisis de Riesgo: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.

 

·       Autocontrol: Capacidad de los Directores, Jefes, Coordinadores y/o Analistas para detectar, controlar y gestionar de manera eficiente y eficaz, los riesgos a los que está expuesta ALAMBRES Y MALLAS S.A.S.

·       Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

 

·       B.I.A: (I) análisis que permite determinar el impacto generado por la no disponibilidad de los procesos de negocio. (II) Proceso diseñado para priorizar las funciones críticas de negocio a través de la evaluación de los impactos cuantitativos y cualitativos que puede generar en la organización la no operación de sus procesos de negocio.

 

·       Canal de Comunicación: Herramientas de comunicación usadas por la entidad para transmitir un mensaje a una o más audiencias. Algunos mecanismos para la transmisión pueden ser: Página Web, conferencias de prensa, comunicados informativos, correo interno, intranet, líneas de atención de audiencias, reuniones informativas, publicidad impresa, entre otros.

·       Causa Potencial: Causa que no se ha presentado, pero puede llegar a presentarse en las actividades del proceso.

 

·       Causa Real: Causa que se ha presentado durante las actividades del proceso.

·       Confidencialidad: Propiedad que determina la condición de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

·       Control: Conjunto de medidas que toma la organización con el fin de disminuir la probabilidad de ocurrencia e impacto ante los riesgos a los cuales se ve expuesta.

·       Contrabando: Es la entrada, la salida y la venta clandestina de mercancías prohibidas o sometidas a derechos en el que se defrauda a las autoridades locales. También se puede entender como la compra o venta de mercancías evadiendo los aranceles, es decir evadiendo los impuestos.

·       Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada cuando esta la requiera.

·       Estupefaciente: Los estupefacientes, también conocidos como psicotrópicos son aquellas sustancias que actúan sobre el sistema nervioso central, ya sea excitando o deprimiendo. En general son opioides (derivados del opio) y también se pueden conocer como narcóticos al ser negociados en el mercado negro con fines de lucro para usos distintos a los propios de un medicamento. Un estupefaciente tiene la característica de ser una sustancia psicotrópica de carácter, o con potencial, altamente adictivo y con un perfil similar a la morfina o incluso a la marihuana debido a sus efectos (La morfina es el estupefaciente por excelencia mientras que la marihuana es un psicotrópico).

 

·       Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

 

·       Evento de pérdida: Aquellos incidentes que generan pérdidas por riesgo a las entidades. La clasificación de los riesgos se genera a partir de los siguientes eventos de pérdida:

-       Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos.

 

-       Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de la compañía.

-       Ejecución y Administración de procesos: Pérdidas derivadas de incidentes por fallas tecnológicas.

 

-       Fallas Tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.

-       Fraude Externo: Actos, realizados por una persona externa a la compañía, que busca defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.

 

-       Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la compañía o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la compañía.

 

-       Relaciones Laborales: Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia.

 

·       Factores de Riesgo: Fuentes generadoras de riesgos que pueden o no generar pérdidas. Son factores de riesgo:

          

-       Acontecimientos Externos: Situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa u origen al control de la entidad.

 

-       Infraestructura: Conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros incluye: edificios, espacios de trabajo, almacenamiento y transporte.

-       Procesos: Conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

-       Recurso Humano: Conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la compañía.

 

-       Tecnología: Conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye, hardware, software y telecomunicaciones.

·       Financiación del Terrorismo: En Colombia es un delito definido como: “el que directamente provea, recolecte, entregue, reciba, administre, aporte, custodie o guarde fondos, bienes o recursos, o realice cualquier otro acto que promueva, organice, apoye, mantenga, financie o sostenga económicamente a grupos armados al margen de la ley o terroristas nacionales o extranjeros.

 

·       Fuentes de Riesgo: Agentes generadores del riesgo de Lavado de Activos y Financiación del Terrorismo. Son fuentes de riesgo de LA/FT:

-       Canales de Distribución: Medios que utiliza la empresa para ofrecer y comercializar sus bienes y servicios, como por ejemplo establecimientos comerciales, venta puerta a puerta, internet o por teléfono.

-   Contraparte: Personas naturales o jurídicas con las cuales la empresa tiene vínculos de negocios, contractuales o jurídicos de cualquier orden. Es decir, accionistas, socios, empleados, clientes y proveedores de bienes o servicios.

-       Jurisdicción territorial: Zonas geográficas identificadas como expuestas al riesgo de LA/FT en donde el empresario ofrece o compra sus productos.

-       Productos: Bienes y servicios que ofrece o compra una empresa en desarrollo de su objeto social.

·       Identificación: Procedimiento que permite determinar los riesgos a los cuales se ven expuestos los procesos de la compañía teniendo en cuenta los factores de riesgo.

 

·       Impacto: Conjunto de posibles efectos negativos que puede ocasionar el riesgo en caso de materializarse.

 

·       Lavado de Activos: En Colombia es un delito que consiste en dar apariencia de legalidad a bienes o recursos provenientes de actividades ilegales como: narcotráfico, secuestro, extorsiones, trata de personas, delitos contra la administración pública, el sistema financiero y tráfico de armas.

 

·       Ley de Protección de Datos Personales (L.P.D.P): Ley 1581 de 2012 que permite desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales.

 

·       Líderes de Riesgo: Son los Directores, Jefes, Coordinadores y/o Analistas encargados de los procesos de la compañía, designados para ser los responsables de la implementación de la Metodología de Administración de Riesgos.

·       Listas Restrictivas: Son aquellas listas frente a las cuales la empresa se abstendrá o buscará terminar relaciones jurídicas o de cualquier otro tipo con las personas naturales o jurídicas que en ellas figuren. Tienen esta característica las listas de las Naciones Unidas, las listas OFAC y las otras listas que por su naturaleza generen un alto riesgo que no pueda mitigarse con la adopción de controles.

 

·       Matriz de Riesgos: Registro que permite evidenciar el resultado de la metodología de riesgos aplicada por ALAMBRES Y MALLAS S.A.S.

·       Medición: Procedimiento que establece el nivel de riesgo inherente al cual están expuestos los procesos de ALAMBRES Y MALLAS S.A.S. en relación con los sistemas de Riesgos, teniendo en cuenta la probabilidad de ocurrencia y la magnitud del impacto en caso de materializarse dicho riesgo.

 

·       Monitoreo trimestral a riesgos y controles: Procedimiento que realiza el seguimiento a los perfiles de riesgo inherente y residual de la compañía. El monitoreo lo realizará trimestralmente la Dirección de Riesgos y el Oficial de Cumplimiento, quién hará el seguimiento permanente sobre la implementación de los planes de acción de aquellos riesgos que superen los niveles de tolerancia, la calificación de los controles e identificación de nuevos riesgos para posteriormente actualizar su medición.

 

·       Narcotráfico: Es el comercio de sustancias tóxicas y/o ilícitas, que engloba la fabricación, distribución, venta, control de mercados y reciclaje de estupefacientes, adictivos o no, potencialmente dañinos para la salud (conocidos comúnmente como drogas y/o sustancias psicoactivas).

·       Operación Intentada: Se configura cuando se tiene conocimiento de la intención de una persona natural o jurídica de realizar una operación sospechosa, pero no se perfecciona por cuanto quien intenta llevarla a cabo desiste de la misma o porque los controles establecidos o definidos no permitieron realizarla. Estas operaciones también deberán reportarse a la UIAF.

 

·       Operación Inusual: Todas aquellas transacciones que cumplen, cuando menos, con las siguientes características: no guarda relación con la actividad económica del cliente o se salen de los parámetros adicionales fijados por la entidad y respecto de la cual la entidad no ha encontrado explicación o justificación que se considere razonable.

·       Oportunidad: Se deriva principalmente de las fortalezas (internas) y posibilidades de mejora del control. Y que serán acciones concretas con cuya puesta en marcha se pretenda conseguir un beneficio (como por ejemplo que tenga una repercusión positiva en aspectos relacionados con la satisfacción del cliente, resultados económicos, mejora del producto, optimización del control, etc.)

 

·       Operación Sospechosa: Operación que resulta de la confrontación de la operación detectada como inusual, con la información acerca de los clientes o usuarios y de los mercados, conforme las razones objetivas establecidas por la entidad.

·       Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo, así como los gastos derivados de su atención.

 

·       Perfil de Riesgo: Resultado consolidado de la medición permanente de los riesgos a los cuales se ve expuesta la entidad.

·       Personas Públicamente Expuestas (PEP´S): Son personas nacionales o extranjeras que por su perfil o por las funciones que desempeñan pueden exponer en mayor grado a la entidad al riesgo de LA/FT, tales como: personas que por razón de su cargo manejan recursos públicos, detentan algún grado de poder público o gozan de reconocimiento público.

                            

·       Plan de acción: Conjunto de acciones encaminadas a mitigar los riesgos que sobrepasan el nivel de tolerancia definido por ALAMBRES Y MALLAS S.A.S.

 

·       Plan de Continuidad del Negocio (P.C.N): Conjunto detallado de acciones que describe los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupciones.

·       Probabilidad de ocurrencia: Es la posibilidad de que un riesgo se materialice. Es un criterio de frecuencia expresado como la cantidad de ocurrencias de un evento en un tiempo dado.

·       Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

 

·       Riesgo: Posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de los objetivos

 

·       Riesgo de Contagio: Es la posibilidad de pérdida que una entidad puede tener directa o indirectamente, por una acción o experiencia de un vinculado.

·       Riesgo de Lavado de Activos y Financiación del Terrorismo: Es la posibilidad de pérdida o daño que puede sufrir una empresa al ser utilizada para cometer los delitos de lavado de activos y/o financiación del terrorismo.

·       Riesgo Económico: Probabilidad de que acontecimientos diversos, como errores de administración económica, produzcan cambios drásticos en el entorno de negocios de un país que perjudiquen las utilidades y otras metas de una empresa comercial.

 

·       Riesgo Inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles

 

·       Riesgo Legal: Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

·       Riesgo Operativo: Es la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

 

·       Riesgo Reputacional: Es la posibilidad de pérdida en que puede incurrir una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

·       Riesgo Residual: Nivel resultante del riesgo después de aplicar los controles.

·       Riesgos asociados: Son los riesgos a través de los cuales se puede materializar los riesgos de los sistemas de gestión, estos son: Reputacional, Legal, operativo, contagio, económico.

 

·       Señal de Alerta: Una señal de alerta es simplemente un hecho, información o circunstancia particular que rodea la realización de una transacción o actividad (vinculación, comportamiento o transacción) de un cliente, usuario o funcionario de una entidad reportante, que supera lo normal y podría ser susceptible de catalogarse como sospechoso de lavado de activos o financiación del terrorismo.

·       Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (S.A.G.R.L.A.F.T): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, reporte de operaciones inusuales, órganos de control, plataforma tecnológica, divulgación de la información y capacitación mediante los cuales las empresas vigiladas identifican, miden, controlan y monitorean el riesgo de Lavado de Activos y Financiación del Terrorismo.

 

·       Sistema de Administración del Riesgo Operativo (S.A.R.O): Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de la información y capacitación mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

 

·       Terrorismo: Según el Código Penal Colombiano, en su artículo 343, es: El que provoque o mantenga en estado de zozobra o terror a la población o a un sector de ella, mediante actos que pongan en peligro la vida, la integridad física o la libertad de las personas o las edificaciones o medios de comunicación, transporte, procesamiento o conducción de fluidos o fuerzas motrices, valiéndose de medios capaces de causar estragos, incurrirá en prisión de diez (10) a quince (15) años y multa de mil (1.000) a diez mil (10.000) salarios mínimos legales mensuales vigentes, sin perjuicio de la pena que le corresponda por los demás delitos que se ocasionen con esta conducta. Si el estado de zozobra o terror es provocado mediante llamada telefónica, cinta magnetofónica, video, casete o escrito anónimo, la pena será de dos (2) a cinco (5) años y la multa de cien (100) a quinientos (500) salarios mínimos legales mensuales vigentes.

 

·       Tráfico de Estupefacientes: Según el código penal Colombiano, en su artículo 376, es, El que sin permiso de autoridad competente, salvo lo dispuesto sobre dosis para uso personal, introduzca al país, así sea en tránsito o saque de él, transporte, lleve consigo, almacene, conserve, elabore, venda, ofrezca, adquiera, financie o suministre a cualquier título droga que produzca dependencia (Estupefaciente), incurrirá en prisión de ocho (8) a veinte (20) años y multa de (1.000) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes.  

 

·       Tráfico de sustancias para el procesamiento de narcóticos: Según el código penal Colombiano, en su artículo 382, es: El que ilegalmente introduzca al país, así sea en tránsito, o saque de él, transporte, tenga en su poder elementos que sirvan para el procesamiento de cocaína o de cualquier otra droga que produzca dependencia, tales como éter etílico, acetona, amoníaco, permanganato de potasio, carbonato liviano, ácido clorhídrico, ácido sulfúrico, diluyentes, disolventes u otras sustancias que según concepto previo del Consejo Nacional de Estupefacientes se utilicen con el mismo fin, incurrirá en prisión de seis (6) a diez (10) años y multa de dos mil (2.000) a cincuenta mil (50.000) salarios mínimos legales mensuales vigentes.

 

Cuando la cantidad de sustancias no supere el triple de las señaladas en las resoluciones emitidas por la Dirección Nacional de Estupefacientes, la pena será de cuatro (4) a seis (6) años de prisión y multa de diez (10) a cien (100) salarios mínimos legales mensuales vigentes.

 

·       Tráfico de Armas: Según el código penal Colombiano, es El que sin permiso de autoridad competente importe, trafique, fabrique, transporte, almacene, distribuya, venda, suministre, repare o porte armas de fuego de defensa personal, municiones o explosivos, incurrirá en prisión de uno (1) a cuatro (4) años. La pena mínima anteriormente dispuesta se duplicará cuando la conducta se cometa en las siguientes circunstancias: 1. Utilizando medios motorizados. 2. Cuando el arma provenga de un delito. 3. Cuando se oponga resistencia en forma violenta a los requerimientos de las autoridades, y 4. Cuando se empleen máscaras o elementos similares que sirvan para ocultar la identidad o la dificulten 

·       Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

 

2.     INTRODUCCIÓN

 

El Sistema de Administración del Riesgo Operativo (S.A.R.O), el Sistema de Autocontrol y Gestión del Riesgo de Lavado de Activos y Financiación del Terrorismo (S.A.G.R.L.A.F.T) y el Plan de Continuidad del Negocio (P.C.N) de ALAMBRES Y MALLAS S.A.S. buscan gestionar los riesgos que se puedan presentar en los procesos estandarizados de la Compañía y que puedan afectar el desarrollo de las actividades de la misma.

La Metodología de Riesgos permite identificar, medir, controlar y monitorear el manejo de los riesgos, para así apoyar el cumplimiento de los objetivos del negocio; la gestión de los riesgos por parte de los Lideres de Riesgo hace más efectiva la implementación de la metodología y las acciones de mejora.

La metodología planteada para la valoración del riesgo está basada en la normatividad vigente aplicable a cada Sistema de Riesgos (S.A.R.O, S.A.G.R.L.A.F.T y P.C.N). La probabilidad de ocurrencia y la magnitud del impacto de los riesgos fueron definidas por la Dirección de Riesgos y Oficial de Cumplimiento de ALAMBRES Y MALLAS S.A.S.

  

3.     ALCANCE

Esta metodología inicia con la identificación y medición de los riesgos de cada sistema (S.A.R.O, S.A.G.R.L.A.F.T y P.C.N) con el fin de definir el nivel de riesgo inherente, luego se implementa la etapa de control para determinar el nivel de riesgo residual, la efectividad de los controles existentes y la implementación de nuevos controles. Finaliza con el monitoreo a los riesgos y al desarrollo de las actividades que se llevaron a cabo en las etapas de identificación, medición y control.

 

 

4.     OBJETIVOS

 

4.1 OBJETIVO GENERAL

 

Realizar de manera integral las etapas de identificación, medición, control y monitoreo de los riesgos presentes en los procesos estandarizados de la compañía.

 

4.2 OBJETIVOS ESPECÍFICOS

 

·       Identificar los riesgos a los cuales se ven expuestos los procesos de la compañía, teniendo en cuenta los factores y la clasificación de dichos riesgos.

 

·       Analizar los riesgos identificados teniendo en cuenta las causas que los generan, la probabilidad de ocurrencia y la magnitud de impacto.                                                                                                                                            

 

·       Medir la probabilidad de ocurrencia de los riesgos y la magnitud del impacto en caso de materializarse para establecer el nivel de riesgo inherente.

 

·       Determinar medidas de control preventivas, detectivas y/o correctivas sobre cada uno de los riesgos identificados con el fin disminuir la probabilidad de ocurrencia y la magnitud del impacto en caso de materializarse.

 

·       Evaluar los controles determinados y definir si se deben implementar nuevos controles y/o planes de acción.

 

·       Realizar el monitoreo al perfil de riesgo y el seguimiento a los riesgos que superen los niveles de tolerancia aceptados por la alta dirección de ALAMBRES Y MALLAS S.A.S.

 

DESCARGUE EL DOCUMENTO COMPLETO AQUÍ