CIRCULAR EXTERNA 29 DE 2018
( Diciembre 19 )
Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 469 de 20 de diciembre de 2018
Señores
REPRESENTANTES LEGALES DE SOCIEDADES FIDUCIARIAS, SOCIEDADES ADMINISTRADORAS DE FONDOS DE PENSIONES Y CESANTÍAS, SOCIEDADES COMISIONISTAS DE BOLSA DE VALORES, SOCIEDADES ADMINISTRADORAS DE INVERSIÓN Y ENTIDADES ASEGURADORAS.
Referencia: Determinación del factor de ponderación para el cálculo del valor de la exposición por riesgo operacional por parte de las sociedades fiduciarias, sociedades administradoras de fondos de pensiones y cesantías, sociedades comisionistas de bolsa de valores, sociedades administradoras de inversión y entidades aseguradoras.
Respetados señores:
En virtud de la expedición del Decreto 415 de 2018, “por el cual se modifica el Decreto 2555 de 2010 en lo relacionado con el patrimonio adecuado de sociedades fiduciarias, sociedades administradoras de fondos de pensiones y de cesantías, sociedades comisionistas de bolsa de valores, sociedades administradoras de inversión y entidades aseguradoras”, el Gobierno Nacional consideró necesario robustecer las normas existentes para la gestión del riesgo operacional de estas entidades.
En consecuencia, el Decreto 415 de 2018 modificó el Decreto 2555 de 2010, estableciendo el 16% como factor de ponderación para el cálculo del valor de la exposición por riesgo operacional, de acuerdo con lo dispuesto en los artículos 2.5.3.1.8., 2.6.1.1.7., 2.9.1.1.13. y 2.31.1.2.5. Adicionalmente, se determinó la posibilidad de disminuir este factor de manera diferencial hasta un 12%, conforme a los criterios que de manera específica señale la Superintendencia Financiera de Colombia (SFC).
Con el propósito de establecer los mencionados criterios, esta Superintendencia diseñó la “Autoevaluación para Determinar el Factor de Ponderación para el Cálculo del Valor de la Exposición por Riesgo Operacional”, que debe ser aprobada por el Comité de Auditoría Interna de las entidades destinatarias de la presente Circular Externa.
El factor de ponderación obtenido en la Autoevaluación debe ser utilizado para la determinación del valor de la exposición por riesgo operacional a la que se refiere el Decreto 415 de 2018 y, en consecuencia, para la determinación de la relación de solvencia.
El cálculo de la relación de solvencia y la “Autoevaluación para Determinar el Factor de Ponderación para el Cálculo del Valor de la Exposición por Riesgo Operacional” deben estar a disposición de la SFC cuando esta lo requiera.
Para el correcto diligenciamiento de la mencionada Autoevaluación se solicita a las entidades atender lo dispuesto en el instructivo anexo.
Las entidades destinatarias de la presente Circular Externa que requieran hacer algún tipo de adecuación para implementar lo dispuesto en el Decreto 415 de 2018 y dar cumplimiento a lo contenido en esta Circular Externa, pueden hacer uso del término de hasta seis (6) meses señalado en el artículo 8 del mencionado Decreto, para lo cual, deben comunicar a esta SFC dicha determinación.
Se adjunta la “Autoevaluación para Determinar el Factor de Ponderación para el Cálculo del Valor de la Exposición por Riesgo Operacional” y el instructivo correspondiente.
Cordialmente,
JORGE CASTAÑO GUTIERREZ
SUPERINTENDENTE FINANCIERO
DETERMINACIÓN DEL FACTOR DE PONDERACIÓN PARA EL CÁLCULO DEL VALOR DE LA EXPOSICIÓN POR RIESGO OPERACIONAL.
1. SARO
| 1.1 | ¿Qué tan activa es la participación de la Junta Directiva en la gestión del riesgo operativo? |
| 1.2 | Califique la gestión de los comites de riesgo operativo (tenga en cuenta la frecuencia de las reuniones y la efectividad de las desiciones tomadas) |
| 1.3 | ¿Se tiene definido un apetito de riesgo operativo y éste es acorde con la estrategia de la entidad? |
| 1.4 | ¿Qué tan adecuada es la identificación de los riesgos operativos? |
| 1.5 | ¿Son apropiados los controles establecidos para la mitigación de los riesgos operativos? |
| 1.6 | ¿Qué tan apropiados son los procedimientos para analizar los eventos de riesgo operativo? (tenga en cuenta si los resultados del análisis de los eventos se consideran para mejorar el sistema de administración del riesgo operativo) |
| 1.7 | ¿Qué tan adecuadas son las herramientas tecnológicas para gestionar el riesgo operativo? |
| 1.8 | ¿Qué tan adecuados son los indicadores definidos por la entidad para medir la gestion del riesgo operativo? (tenga en cuenta si los resultados indicadores se consideran para mejorar el sistema de administración del riesgo operativo) |
| 1.9 | ¿Qué tan adecuados son los procedimientos de administración de cambios en la gestión de riesgo operativo? |
| 1.10 | ¿Qué tan adecuados son los procedimientos para realizar el monitoreo del perfil de riesgo operativo de la entidad? (tenga en cuenta si los procedimientos se consideran para mejorar el sistema de riesgo operativo) |
| 1.11 | ¿Qué tan calificado y capacitado se encuentra el personal de la entidad en la gestión del riesgo operativo? |
| 1.12 | ¿Qué tan adecuada es la gestión del personal encargado de la administración del riesgo operativo? |
| PROMEDIO | |
2. PLAN DE CONTINUIDAD DEL NEGOCIO (PCN)
| 2.1 | ¿Se contemplan normas internacionales para la elaboración del PCN? |
| 2.2 | ¿El PCN está alineado con la planeación estratégia de la entidad? |
| 2.3 | ¿Qué tan adecuada es la definición de los roles de la Alta Gerencia, la Junta Directiva y los responsables de los procesos para la gestión del PCN? |
| 2.4 | ¿Qué tan apropiado es el presupuesto y el alcance del PCN respecto de la misión, los objetivos y las operaciones de la entidad? |
| 2.5 | ¿Se cuenta con grupos de trabajo que apoyan efectivamentela gestión del PCN? |
| 2.6 | ¿EL BIA se actualiza regularmente y para ello se ha establecido un procedimiento? |
| 2.7 | ¿Las estrategias de continuidad son conocidas y aprobadas por la Junta Directiva y la Alta Gerencia? |
| 2.8 | ¿Se cuenta con procedimientos efectivos para la respuesta a eventos de riesgo operativo? |
| 2.9 | ¿Se cuenta con procedimientos efectivos para la gestión de crisis? |
| 2.10 | ¿Qué tan adecuadas son las pruebas realizadas al PCN? (tenga en cuenta si en las pruebas realizadas se incluyen, entre otros, ataques cibernéticos y eventos catastróficos) |
| 2.11 | ¿Dentro de las pruebas se involucran proveedores y entidades externas relacionadas con los procesos críticos de la entidad? |
| 2.12 | ¿Qué tan apropiados son los programas de concientización y entrenamiento del PCN? |
| 2.13 | ¿Qué tan ajustado se encuentra el RTO de los procesos críticos frente a las promesas del servicio realizadas a los consumidores financieros? |
| 2.14 | ¿El CPD está certificado en estándares reconocidos internacionalmente, tales como ANSI/TIA 942 TIER 3 o superior, ICREA u otro, que confirme, al menos, un nivel de disponibilidad del 99.95%? |
| 2.15 | ¿El CAPD está certificado en estándares reconocidos internacionalmente como ANSI/TIA 942 TIER 3 o superior, ICREA u otro, que confirme, al menos, un nivel de disponibilidad del 99.95% |
| 2.16 | ¿Se ha operado desde el CAPD durante periodos que permitan verificar la adecuada ejecución de los procesos asociados a los servicios críticos de la organización? |
| 2.17 | ¿Se ha operado desde el CAO durante periodos que permitan verificar la adecuada ejecución de los procesos asociados a los servicios críticos de la organización? |
| 2.18 | ¿Cómo ha sido la prestación del servicio durante los eventos que afectaron a la entidad por más de una hora, en el ultimo año? |
| PROMEDIO | |
4. TERCERIZACIÓN
| 4.1 | ¿Qué tan idóneos son los criterios y procedimientos para la selección de los terceros y los servicios que serán atendidos por estos? |
| 4.2 | ¿Qué tan apropiado es el seguimiento y monitoreo a los servicios prestados por los terceros? |
| 4.3 | ¿Cómo es la evaluación de riesgos operativos que se realiza frente a los servicios prestados por los terceros? |
| 4.4 | ¿Qué tan efectivos son los planes de contingencia y de continuidad del negocio de los terceros respecto de las condiciones requeridas por la entidad? |
| 4.5 | ¿Qué tan adecuada es la verificación realizada por el Comité de Auditoría Interna respecto de las condiciones de prestación de servicios de los terceros contratados por la entidad? |
| PROMEDIO | |
| PROMEDIO GESTIÓN DE RIESGO OPERATIVOS | |
| TOTAL | |
| VeRRO | |
