Capacitación Riesgo Operativo 5/May/10 Unidad de Riesgo Operativo Vicepresidencia Bancaria

Superintendencia Financiera Introducción Responsabilidades Institucionales Superintendencia Financiera de Colombia SFC. Mejoramiento continuo. Efectividad (Eficiencia y Eficacia). Control Interno. Estándares de competitividad nacionales e internacionales. Administración del Riesgo. Cumplimiento de normatividad. CE 048 22/Dic./06. CE 049 27/Dic./06. CE 041 29/Jun./07. Cap. 23 Circular Básica Contable y Financiera. CE 052 25/Oct./07. CE 014 19/May./09. CE 038 19/Sep./09. Numeral 7º del Capítulo IX Título Primero - Control Interno - Circular Básica Juridica. Unidad de Riesgo Operativo Vicepresidencia Bancaria

Riesgo Operativo Riesgo Legal Riesgo Reputacional Posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en: El Recurso Humano. Los Procesos. La Tecnología. La Infraestructura. Ocurrencia acontecimientos externos. Esta definición incluye: Riesgo Legal y Riesgo Reputacional, asociados a tales factores. Posibilidad de pérdidas en que incurre la entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de: Normas o regulaciones. Obligaciones contractuales. Riesgo Reputacional Posibilidad de pérdidas en que incurre la entidad por : Desprestigio. Mala imagen. Publicidad negativa Unidad de Riesgo Operativo Vicepresidencia Bancaria

Gestión de RO Factores de Riesgo Operativo Recurso Humano Procesos Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad. Vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. Vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo. Es una secuencia de acciones o conjunto de actividades encadenadas, mediante las cuales unos insumos iniciales (entradas), se transforman, agregándoles valor, en productos o servicios finales (salidas), con un sentido especifico (satisfacción) para un cliente. Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. Son situaciones asociados a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad. Recurso Humano Procesos Factores de Riesgo Operativo Tecnología Infraestructura Eventos Externos Unidad de Riesgo Operativo Vicepresidencia Bancaria

Gestión de RO Eventos de Riesgo Operativo Fraude Interno Fraude Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos propiedad de la institución, o incumplir normas o leyes o políticas del banco, en los que está implicado, al menos, un empleado (directo o indirecto) o administrador de la entidad. Fraude Interno Fraude Externo Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos del mismo o incumplir normas o leyes. Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia, los cuales resultan en reclamaciones por daños personales o reclamaciones relacionadas con la discriminación o falta de diversidad laboral. Relaciones Laborales Eventos de Riesgo Operativo Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. Clientes Daños a Activos Físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad. Ejecución y Administración de Procesos Pérdidas derivadas de errores en la ejecución y administración de los procesos. Fallas Tecnológicas Pérdidas derivadas de incidentes por fallas en la infraestructura tecnológica. Unidad de Riesgo Operativo Vicepresidencia Bancaria

Canje por fuera de compensación en ciudades Ejemplos de RO Riesgo Factor Evento de Riesgo Venta de Bases de Datos Externo Interno Fraude Externo Fraude Interno Recurso Humano Proceso Externo Pago de cheques falsificados Fraude Externo Daño en comunicaciones por infraestructura externa Externo Fallas Tecnológicas Fraude Interno Fraude Externo No encriptamiento información Procesos Interno Externo Fraude Interno Fraude Externo Falsedad de documentos Caída de línea Externo Fraude Externo Fallas tecnológicas Canje por fuera de compensación en ciudades Procesos Ejecución y administración de Procesos Unidad de Riesgo Operativo Vicepresidencia Bancaria

Gestión del Riesgo Operativo Superintendencia Financiera de Colombia - SFC Desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO) acorde con su estructura, tamaño, objeto social y actividades de apoyo, que permita Identificar, Medir, Controlar y Monitorear eficazmente este riesgo. Metodología Norma Australiana de Administración de Riesgos AS/NZS 4360:1999 Norma Técnica Colombiana de Gestión de Riesgo NTC 5254:2004 El Modelo Sistémico de Gestión por Procesos Principios del Comité de Basilea para la Administración de Riesgos Marco de referencia y normatividad - AS/NZS 4360 Australian and New Zealand Standard on Risk Management Unidad de Riesgo Operativo Vicepresidencia Bancaria

Gestión del Riesgo Operativo Misión Políticas Objetivos Procesos Estructura - AS/NZS 4360 Australian and New Zealand Standard on Risk Management Unidad de Riesgo Operativo Vicepresidencia Bancaria

Objetivos estratégicos Proceso de RO ENTRADAS PROCESO SALIDAS DOCUMENTACION Objetivos estratégicos MATRICES DE R.O. Cadena de valor Monitoreo o Seguimiento Identificación PLANES DE ACCIÓN Procesos Misionales Procesos Apoyo CONTROLES Control para Mitigar Medición Contratos Servicio MONITOREO REPORTE EVENTOS Normatividad INFORMES Base Datos Unidad de Riesgo Operativo Vicepresidencia Bancaria

Proceso para reportar eventos RO Area donde ocurre el evento de RO Unidad de Riesgo Operativo Empleados Inicio Identificar el evento Informar al Gestor de RO de área correspondiente Recibir la información, analizar y clasificar la información del evento de RO Exchange Levantar y documentar la información del evento Carpetas Públicas/Todas las carpetas públicas/Uro Riesgo Operativo Informar muy rápidamente al Buzón URO y a la Vicepresidencia respectiva Unidad de Riesgo Operativo Vicepresidencia Bancaria

Su Responsabilidad frente al RO Identificar y Reportar los eventos de Riesgo Operativo que le sucedan y que impacten al Banco, Fiduciaria, Cayman y G y C. Leer el Manual SARO. Carpetas Públicas/Todas las carpetas públicas/Uro Riesgo Operativo Realizar el curso Virtual Cazadores del Riesgo Operativo. http://10.1.1.24:8080/ekp/index.html Explorar\Cursos disponibles\Temas de Cumplimiento Certificarse como Cazador del Riesgo Operativo Explorar\Cursos disponibles\Evaluación Final Saro Unidad de Riesgo Operativo Vicepresidencia Bancaria

ADMINISTRADORES DE RIESGO ¡ EVIDENCIE Y REPORTE ! TODOS SOMOS ADMINISTRADORES DE RIESGO URO PARA TODOS – TODOS PARA URO GRACIAS POR SU ATENCION Unidad de Riesgo Operativo Vicepresidencia Bancaria