CAPÍTULO 11
Gerencia de Riesgos y Compliance 11.1 Sistema de administración de riesgo 11.2 Sistema de administración de riesgo operativo (SARO) 11.3 Plan de continuidad del negocio (PCN) 11.4 Sistema de gestión de seguridad de la información (SGSI) y ciberseguridad 11.5 Sistema de administración de riesgo de lavado de activos y financiación del terrorismo (SARLAFT) 11.6 Sistema de administración de riesgo de mercado (SARM) 11.7 Sistema de administración de riesgo de crédito (SARC) 11.8 Sistema especial de administración de riesgo de seguros (SEARS) 11.9 Función Compliance
11. GERENCIA DE RIESGOS & COMPLIANCE 11.1. Sistema de administración de riesgo La Equidad Seguros de Vida O.C., ha cumplido con lo estipulado en las normas emitidas por la Superintendencia Financiera de Colombia relacionado con la implementación de los sistemas de administración de riesgos, dando a conocer las políticas y procedimientos utilizados para la gestión integral de los riesgos. Los riesgos están asociados a la cadena de valor de la Aseguradora de tal forma que al consolidar la información permita conocer la concentración del riesgo en forma transversal, por lo anterior todo riesgo se asocia a un proceso, subproceso, área responsable y producto. Manteniendo el análisis es heterogéneo que integra las generalidades asociadas para identificar, valorar, controlar y monitorear los riesgos de la compañía y evaluar la efectividad del ambiente de autocontrol de su administración en la Compañía. Adicionalmente, se presentaron los informes de forma periódica y en el marco de las políticas internas y a la normativa vigente. Logramos fomentar la cultura de Gestión de Riesgos en la organización, desde la Alta Gerencia a cada uno de nuestros colaboradores, se desarrolló la implementación de Gestores de Riesgos los cuales están autorizados para registrar eventos de riesgo operativo en nuestro aplicativo y colaboran en el desarrollo de planes de acción para evitar su recurrencia (cuando se requiera), adicional de apoyar al líder del proceso en la identificación, valoración y control de riesgos. Para realizar correctamente su labor, el Gestor recibió capacitaciones específicas fortaleciendo su perfil profesional. A continuación, se mencionan los principales avances en sistemas relacionados al sistema SAR:
11.2. Sistema de administración de riesgo operativo (saro) La Equidad Seguros de Vida O.C., cuenta con un sistema mediante el cual determina la probabilidad de ocurrencia e impacto que atiende los eventuales riesgos materializados, el cual involucra a todos los colaboradores y procesos de la Entidad. Promoviendo una cultura enfocada en la gestión de riesgos con la finalidad de blindar a la Organización ante la ocurrencia de eventos, que impacten el desarrollo de los objetivos y estrategias, disponiendo de información oportuna y eficiente.
La importancia de establecer y difundir la metodología para la identificación, medición, control y monitoreo de los riesgos operativos permite evidenciar las debilidades a las que se encuentran expuesta nuestra aseguradora logrando generar actividades de control a fin de transferir, compartir, aceptar, mitigar la exposición al riesgo. Permitiendo realizar monitoreos en los procesos, seguimiento a la implementación de circulares, proyectos de la organización, validación de eventos de riesgo y generación de nuevos productos que se reflejan en la Matriz de Riesgos SAR. Se automatizó la metodología del sistema de administración de riesgos para los atributos de medición y diseño de los controles permitiendo blindar los aspectos de medición, obteniendo un resultado acertado en la medición en la eficacia y eficiencia de los controles los cuales se actualizaron en la matriz de riesgo del proceso acompañado de un informe de monitoreo. Con el apoyo de los Líderes de cada proceso en las actividades de monitoreo se logró identificar a nivel de proceso la validación de matrices de riesgo, caracterización del proceso, políticas, soporte documental, informes de entes de control, transmisión a la SFC, proyectos de la organización, indicadores y eventos de riesgo permitiendo evaluar los riesgos desde la correlación de las actividades generadas en la organización, logrando aportar y apoyar en la generación de valor en la entidad lo cual se refleja en los objetivos estratégicos de sostenibilidad en rentabilidad y excelencia operativa, a través de la matriz de riesgos. Al cierre del período se cuenta con un inventario de 426 riesgos, generados por 769 causas y sobre las cuales se tienen implementados 911 controles. Esta información resulta de los monitoreos realizados en los procesos, implementación de circulares, proyectos de la aseguradora y generación de nuevos productos que se adelantan sobre la Matriz de Riesgos SAR, que se complementa con el registro de eventos de riesgo. Para los riesgos materializados (eventos de riesgo operativo) en los procesos de la Aseguradora, se realiza el adecuado registro en nuestro aplicativo que permite gestionar y llevar la trazabilidad permitiendo diseñar e implemento planes de acción robustos que previenen en gran medida la ocurrencia de eventos futuros en la gestión a reportar a los diferentes entes de control. Posterior al registro en nuestra base de eventos, se realizan monitoreos a la implementación de las medidas mitigadoras a fin de validar el perfil residual del proceso. Llevando los parámetros señalados en el numeral 3.2.8.3 de la Circular Externa 041 de 2007. El sistema de Administración de Riesgos Operativos SARO, lleva el registro de la cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención
presentados en el año permitiendo medir las pérdidas generadas en la operación por Generales y Vida.
11.3. Plan de continuidad del negocio (PCN) La Equidad Seguros de Vida O.C., comprendiendo la importancia de estar preparado para responder ante eventos que interrumpan la prestación del servicio y los procesos del negocio, cuenta con un plan de continuidad del negocio (SGCN) como parte integral del sistema de administración de riesgo, que a partir de la detección de riesgos y vulnerabilidades, permite el establecimiento de las medidas necesarias tendientes a asegurar el cumplimiento de la promesa de servicio, la normatividad, las expectativas de los proveedores y grupos de interés, así como la protección de las personas, la información y la infraestructura. Para el desarrollo de este sistema se desarrollaron actividades entre las que se destacan la definición y ejecución de ejercicios de contingencia para colaboradores y proveedores críticos, priorización en recuperación de aplicativos según el impacto en el core a través del análisis de impacto al negocio y fortalecimiento de los centros de datos principal y alterno, minimizando los tiempos de indisponibilidad ante un evento bajo las líneas de respuesta ante emergencias, plan de recuperación de desastres, comunicación en crisis y continuidad de las operaciones soportados en la NTC 22301 y la Circular Externa 041 de 2007.
Dentro del plan de pruebas realizado en el 2018 se tuvo la ejecución de cuatro pruebas a nivel tecnológico con la participación de colaboradores a nivel nacional de diferentes canales de venta y proveedores, y dos pruebas a nivel de emergencias tanto en las instalaciones principales como en cada una de las agencias, con el fin de establecer mejoras frente a las estrategias de contingencia planteadas.
11.4. Sistema de gestión de seguridad de la información (SGSI) y ciberseguridad Contamos con un Sistema de gestión de Seguridad de la información el cual se desarrolla a través de la implementación de políticas, lineamientos de seguridad y el monitoreo de los controles establecidos, con base en la aplicación de las buenas prácticas, el cumplimiento de requisitos del estándar ISO27001:2013 y la normatividad legal vigente. Presentamos los principales resultados del año 2018.
Continuamos con la gestión propia relativa a la seguridad de la información, para ello en el I trimestre del año actualizamos los activos de información identificando 292 activos críticos para la compañía. A su vez empleamos la metodología del SAR evaluamos los riesgos de Seguridad de la información en los 18 procesos y como resultado se obtiene un perfil de riesgo aceptable para la compañía. Durante el II y III trimestre del año realizamos la revisión interna del SGSI mediante el desarrollo del programa de Auditoría del SIG, evaluando el cumplimiento de las políticas, los controles de Seguridad de la información y los procedimientos establecidos para la operación. En total se efectuaron 14 auditorías en Dirección General y Agencias, se identificaron 34 hallazgos para Seguridad de la Información entre incumplimientos totales (No conformidades) y Oportunidades de mejora, presentando una disminución del 15% respecto al año 2017. De acuerdo a los resultados concluimos que el sistema cuenta con elementos adecuados que permiten fortalecer su gestión en aspectos procedimentales, tecnológicos, físicos y de recurso humano. Teniendo en cuenta la entrada en vigencia de la Circular 007 de 2018 emitida por la Superintendencia Financiera de Colombia se destaca la definición de lineamientos para la Gestión de la Ciberseguridad, que incluyó: • • •
Creación de la unidad de Seguridad de la información y Ciberseguridad bajo la Gerencia de Riesgos & Compliance. Definición de políticas, roles, responsabilidades y funciones de todos los actores que intervienen en la gestión del riesgo cibernético. Modificación de procedimientos de Seguridad de la información.
Así mismo se destaca la creación de políticas asociadas a la gestión de los activos de información y los controles criptográficos. Llevamos a cabo el monitoreo de los controles asociados a los requisitos de la norma ISO 27001:2013, se evaluaron los controles técnicos para determinar su efectividad e identificar incumplimientos u oportunidades de mejora que permitan optimizar la ejecución del mismo. Los controles monitoreados se relacionan con: •
Políticas de Seguridad de la información.
•
Organización de la seguridad de la información.
•
Gestión de activos.
•
Control de acceso.
•
Criptografía.
•
Seguridad física y del entorno.
•
Seguridad de las operaciones.
•
Seguridad de las comunicaciones.
•
Relaciones con los proveedores.
•
Cumplimiento.
Complementamos las actividades del SGSI con el desarrollo de la campaña de sensibilización bajo el lema Proteger nuestra información... Una labor de todos a fin de fomentar en los colaboradores la cultura de protección de los activos de información de la Equidad Seguros, allí se impartieron temas de Ingeniería Social, Malware, Custodia y almacenamiento de la información entre otros. Finalmente, desde el sistema de Gestión de Seguridad de la información se realizaron tareas diarias de control y gestión que contribuyeron a la excelencia operativa.
11.5. Sistema de administración de riesgo de lavado de activos y financiación del terrorismo (SARLAFT) El Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo busca prevenir que la Aseguradora sea utilizada como instrumento para el ocultamiento y manejo de activos provenientes de organizaciones delictivas, de igual manera garantiza el cumplimiento de la normativa local en materia de LA/FT, implementando políticas, procedimientos y metodologías aprobados por la Junta de Directores. Mediante las etapas de identificación, medición, control y monitoreo, la Aseguradora gestiona el riesgo en: la vinculación y/o renovación de clientes y terceros, la segmentación de los clientes por los diferentes factores de riesgo, el análisis y reporte de operaciones inusuales o sospechosas, la calidad de los datos de la base única de clientes y la identificación de riesgos LA/FT que afectan los diferentes procesos de la Aseguradora, entre otros. Durante el 2018, el análisis de riesgos realizado en el Proceso de Conocimiento del Cliente, permitió que la calidad de la información recaudada en la base única de clientes, contara con la solidez necesaria para generar la clasificación de cada uno de los grupos obtenidos en la segmentación en donde pudimos determinar: nivel poblacional por tipo de
persona, las actividades económicas con mayor participación, los porcentajes de ubicación de cliente por nivel de riesgo en la jurisdicción, así como los productos más comprados por los asegurados. El fortalecimiento continuo del proceso mediante la socialización y capacitación del sistema, mantienen una constante interacción con los canales de atención de la Organización en donde se trabaja mancomunadamente por la mejora continua del proceso.
11.6. Sistema de administración de riesgo de mercado (SARM) La ejecución de las actividades del Sistema de Administración de Riesgo de Mercado, en el transcurso del año 2018 fueron orientadas al cumplimiento de las instrucciones detalladas en el Capítulo XXI de la C.E. 100 de 1995, de la Superintendencia Financiera de Colombia (en adelante SFC) y a la generación de valor, por medio de modelos de medición de los riesgos de mercado a los cuales están expuestos los portafolios de inversión. La SFC a través del anexo 2, del Capítulo XXI, de la C.E. 100 de 1995, establece los lineamientos para calcular el valor en riesgo (en adelante VeR) los lineamientos para calcular el VeR del portafolio de libre inversión. La Gerencia de Riesgos & Compliance en cumplimiento de normatividad vigente, realizó el cálculo y reportó los resultados obtenidos de VeR normativo a la SFC dentro de los tiempos establecidos por este ente regulador.
Ilustración 131: Comportamiento de VeR normativo 2018
Ilustración 132: Comportamiento de VeR normativo 2017
Parte de la gestión, la aseguradora monitorea y controla diariamente los portafolios de inversión, con la finalidad de asegurar el cumplimiento del régimen de inversiones de la compañía La Equidad Seguros de Vida, así como los límites internos establecidos por la Junta de Directores de La Equidad Seguros de Vida O.C., Durante el 2018, la Gerencia de Riesgos & Compliance fortaleció los modelos de medición de riesgo de mercado, permitiendo obtener informes que facilitan conocer de una manera oportuna a la dirección general, el desempeño y la exposición al riesgo de los portafolios de inversión. A continuación, se resaltan los modelos internos más relevantes implementados: •
Informe de riesgo de mercado, este informe se reporta diariamente a la dirección general e incluye temas relacionados con: indicadores económicos, composición de los portafolios, aportes en cooperativas asociadas, máxima pérdida admitida, límites del régimen de inversiones, calce de las reservas técnicas, operaciones diarias y vencimientos futuros de los títulos que componen los portafolios de inversión.
SARM
Fecha de corte 31/12/2018 INTRODUCCIÓN Nuestros portafolios de inversión están expuestos al riesgo de mercado, en la medida en que los tipos de interés, las tasas de cambio, el precio de las acciones y de los fondos de inversión, presenten variaciones que impacten negativamente sobre el valor de los títulos y/o valores adquiridos. Este informe se realiza con la finalidad de prevenir la materialización del riesgo de mercado y facilitar a los miembros del comité de inversiones información clave que permita tomar decisiones estratégicas de manera oportuna, orientadas a la optimización de la rentabilidad de los portafolios de inversión.
1. 2. 3. 4. 5. 6. 7. 8.
INDICADORES ECONÓMICOS COMPOSICIÓN DE LOS PORTAFOLIOS APORTES EN COOPERATIVAS ASOCIADAS MÁXIMA PÉRDIDA ADMITIDA -STOP LOSS MONITOREO A LOS LÍMITES ESTABLECIDOS EN EL RÉGIMEN DE INVERSIONES DE LAS ASEGURADORAS MONITOREO AL CALCE DE LAS RESERVAS TÉCNICAS OPERACIONES DIARIAS VENCIMIENTOS FUTUROS DE LOS TÍTULOS DE QUE COMPONEN LOS PORTAFOLIOS DE INVERSIÓN
Ilustración 133: información de riesgo del mercado
•
Informe de monitoreo a los cupos de inversión, este informe consolida los cupos de inversión utilizados en las operaciones diarias, mostrando el detalle por emisor, cupo emisor, cupo utilizado y cupo disponible. El modelo genera alertas cuándo el cupo está a punto de llegar a su máximo autorizado y periódicamente se actualizan los cupos de inversión de cada emisor, basado en sus resultados financieros y noticias que impacten su reputación en el mercado.
MONITOREO CUPOS DE INVERSIÓN SISTEMA DE ADMINISTRACIÓN DE RIESGOS Fecha de corte domingo, 30 de diciembre de 2018
Señales de alerta Cupo disponible >1500 mn
$
1,600
0 < Cupo disponible < $1500 mn
$
1,400
Cupo disponible < 0
-$
1
ESTABLECIMIENTOS BANCARIOS CORPORACIONES FINANCIERAS COMPAÑIAS DE FINANCIAMIENTO COMERCIAL COOPERATIVAS FINANCIERAS COOPERATIVAS ASOCIADAS OTRAS ENTIDADES FINANCIERAS EXTRANJERAS SECTOR REAL FONDOS DE INVERSIÓN Y PATRIMONIOS AUTÓNOMOS EMISIONES ESTRUCTURADAS POR LA TITULARIZADORA COLOMBIANA HITOS S.A.
Ilustración 134: monitoreo cupos de inversión
sarm
11.7. Sistema de administración de riesgo de crédito (SARC) El Sistema de Administración de Riesgo Crédito, busca mediante etapas y mecanismos de consulta, medición, estudio y reporte en centrales de riesgo, disminuir la posibilidad de incurrir en pérdidas por el incumplimiento de la contraparte en sus obligaciones. A través del SARC se realizan análisis de probabilidad de impago de todas las obligaciones a favor de La Equidad Seguros de Vida O.C., en beneficio de la aseguradora y de sus asociados, los terceros que puedan representar riesgo de crédito para la aseguradora son analizados y calificados con la finalidad de prevenir o mitigar la posibilidad de pérdidas económicas derivadas de las relaciones comerciales. En caso de estimar posibles incumplimientos en el recaudo de la cartera, se procede a constituir un deterioro que tiene con objetivo proteger la continuidad de la organización, y estabilizarán los resultados financieros. De otro lado, el riesgo de crédito de la aseguradora lo constituye la financiación de primas, mecanismo que durante el 2018 se ha fortalecido basado en modelos de matriz de transición, de acuerdo con las políticas establecidas por La Equidad Seguros de Vida O.C., para el desarrollo de su actividad. También, existen fuentes adicionales de riesgo de crédito que son gestionadas por la aseguradora. Una de ellas es la generada por la línea de crédito ofrecidas a las Franquicias y al análisis previo de la capacidad de endeudamiento del solicitante. En cuanto al personal que ya no está vinculado con la organización, su comportamiento crediticio ha sido adecuado y aunque se ha constituido un deterioro considerando retrasos esporádicos en el cumplimiento de las obligaciones, el valor del mismo no representa riesgo significativo para La Equidad Seguros de Vida O.C. (bajo los principios de las NIIF, aunque la obligación esté al día debe integrarse el historial de cumplimiento para la constitución de reservas). El control sobre la misma, permiten afrontar un riesgo mínimo en este sentido, que periódicamente es informado a la Junta de Directores.
11.8. Sistema especial de administración de riesgo de seguros (SEARS)
Durante el año 2018, el SEARS monitoreo permanentemente la evolución desde diversos escenarios como: la evolución del mercado de seguros, comportamiento de los indicadores técnicos, análisis de siniestralidad, etc. Teniendo como referencia dichas variables, se realiza estudio comparativo analizando nuestra posición en el mercado asegurador, así como el desempeño interno por líneas de negocio. Adicionalmente con el fin de fortalecer nuestras políticas para mitigar el aumento de siniestralidad. Se realizó monitoreo a la calificación de fortaleza financiera al pool de reaseguradores manejados actualmente por la compañía, observando la buena práctica que tienen para cumplir con sus obligaciones de seguros en curso. La aseguradora en el periodo 2018 realizó monitoreo al tablero de control de indicadores técnicos, permitiendo hacer seguimiento continuo de los diferentes tipos de riesgo de seguros, especialmente a los indicadores de Tasa Neta de Riesgos y Tasa Bruta de Riesgos, los cuales presentaron un efecto óptimo que permitió tomar mejores decisiones.
Fuente: Propia.
Ilustración 135: monitoreo tablero de control
De acuerdo con el Marco de Apetito de Riesgos (MAR) en la aseguradora se monitorea de manera permanente la exposición al riesgo, alineado a los objetivos de la compañía. Durante el 2018, el apetito definido por La Equidad Seguros de Vida se mantuvo dentro de los niveles de tolerancia.
Ilustración 136: marco de apetito de riesgo
Fuente: Propia.
11.9. Función Compliance En línea con el Marco Integral de Supervisión de la Superintendencia Financiera de Colombia, La Equidad Seguros de Vida O.C., designa al Gerente de Riesgos como líder de la Función de Cumplimiento, alineando dicha labor con el Sistema de Administración de Riesgos de la Organización. Sobre esa base, la Gerencia de Riesgos & Compliance en el periodo 2018 realizó las siguientes actividades: Fortalecimiento función de Compliance La función de cumplimiento es parte de la segunda línea de defensa de la entidad, por lo cual como Gerencia de Riesgos & Compliance estableció los mecanismos necesarios para que la función de cumplimiento sea independiente de la operación del negocio y definió procedimientos para realizar el monitoreo al cumplimiento de la legislación aplicable. Fortalecimiento estructura comité de Compliance. El comité de Compliance es el ente encargado de velar por el cumplimiento de las leyes, reglas y directrices normativas tanto internas como externas, todo ello forma parte de la cultura como de la gestión
empresarial en la aseguradora, y por lo tanto, los valores de la organización son la base para la gestión de la función de Compliance. Esta estructura se ha definida teniendo en cuenta el desarrollo de la operación, funciones y responsabilidades: Comité de Riesgos
Junta de Directores
Comité de Compliance (Gerente de Riesgos & Compliance y Vicepresidente Legal Corporativo)
Gerente de Compliance
Coordinador SARO
Riesgos
&
Coordinador SEARS
Auditoría Interna
Vicepresidente Legal Corporativo
Directora Legal Corpo rativa
Línea de responsabilidad y autoridad. Línea de reporte especial.
Analista SARO
Abogada
Documentación Procedimiento La Gerencia de Riesgos & Compliance, expide el procedimiento Compliance dentro del cual se incorporan directrices para el efectivo y oportuno funcionamiento. Manual de Manejo de Conflicto de Intereses Aprobación de manual de Manejo de Conflicto de Intereses, el cual tiene como objeto establecer las bases de los procedimientos de actuación que deberán seguirse en la Aseguradora en materia de prevención o tratamiento de los conflictos de intereses en los que pudieran encontrarse los asociados, miembros de la Junta de Directores, Junta de Vigilancia, Representantes Legales, miembros de la Alta Gerencia de La Aseguradora y los colaboradores, así como respecto de los conflictos que puedan
plantearse con clientes, proveedores y terceros en general, de conformidad con lo dispuesto en la normativa y el Gobierno Corporativo de La Equidad. La Gerencia de Riesgos & Compliance, realiza seguimiento permanente a las normas que nos aplica, con especial atenciรณn aquellas normas que generan un mayor impacto a la organizaciรณn.