Política de Gestión Riesgos.

www.auditool.org

Página 1 de 17 Modelo de Política

www.auditool.org

Página 2 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

Propósito Definir los lineamientos para la gestioí n de riesgos (identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos.) de XYZ en las diferentes lííneas de negocios y ______________ de la organizacioí n, considerando _____________ _____________ riesgos que pueden afectar el cumplimiento de los objetivos de la organizacioí n y por tanto propendiendo por tener una respuesta adecuada frente a los riesgos potenciales La presente políítica es desarrollada considerando el MARCO ERM e ÍSO 31000.

Alcance La políítica debe ser aplicada en todas las filiales, dependencias, niveles y actividades significativas de la organizacioí n, que representen un riesgo en el cumplimiento de los objetivos, asíí como es deber de todos los colaboradores cumplir con los controles establecidos para la gestioí n eficaz de los riesgos.

Marco Normativo La presente políítica se basa en los siguientes principios de Gobierno Corporativo, seguí n el capíítulo _________: 1. 2.

Establecer polííticas y procedimientos para la supervisioí n y gestioí n de riesgo. La administracioí n es responsable de disenñ ar e implementar el programa de gestioí n de riesgos, asíí como debe reportar al Comiteí de _____________________ los resultados de dicha implementacioí n y comportamiento, perioí dicamente. 3. La presente políítica debe ser revisada y actualizada anualmente, o cada vez que los cambios en la regulacioí n lo requieran, dando asíí cumplimiento a la regulacioí n local, financiera y de la industria. 4. ________________________________________________________________________________________________ 5. _________________________________________________________________________________________________ Página 3 de 17 www.auditool.org Modelo de Política

www.auditool.org

Página 4 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

Conceptos Riesgo: La posibilidad de ocurrencia de un evento con impacto negativo sobre el cumplimiento de los objetivos de la organizacioí n, o efecto de la incertidumbre sobre la consecucioí n de los objetivos 1. Riesgo Inherente: Es el riesgo que se genera por el desarrollo de la actividad de la organizacioí n sin la aplicacioí n de controles. Riesgo Residual: Es la exposicioí n al riesgo que tiene la organizacioí n una vez ha aplicado los controles para mitigar los riesgos. Control: Son las acciones o actividades implementadas por la organizacioí n para reducir la probabilidad y el impacto de la materializacioí n de un riesgo. Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organizacioí n con respecto al riesgo2. Apetito de Riesgo: Es el nivel de riesgo que una organizacioí n estaí dispuesta a aceptar.

XXXXXXXXXXX: ______________________________________________________________________________. XXXXXXXXXXXX: ________________________________________________________________________________.

1

Definición ISO 3100 Definición ISO 3100 - conceptos

2

www.auditool.org

Página 5 de 17 Modelo de Política

www.auditool.org

Página 6 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

Directrices 1.

La gestioí n de riesgos si bien es liderada por la administracioí n, es responsabilidad de todos los colaboradores de la organizacioí n identificar y gestionar los riesgos asociados al desempenñ o de sus labores.

2.

La gestioí n de riesgos de la organizacioí n debe orientarse a la creacioí n y proteccioí n de valor, asíí como en todos los casos los riesgos que se asumen, parten de informacioí n suficiente y veraz, asíí como se encuentran dentro del marco del apetito de riesgo de la organizacioí n.

3.

La presente políítica es aprobada por _________________, asíí como revisada anualmente.

4.

Los riesgos considerados con mayor nivel de exposicioí n, deben ser prioridad en la gestioí n de los mismos, propendiendo por el crecimiento, la competitividad y continuidad de la organizacioí n.

5.

La gestioí n de riesgos de la organizacioí n debe estar integrada con todas las polííticas y procesos de la organizacioí n, razoí n por la cual en ninguí n momento se podraí n estructurar los procesos sin considerar la presente políítica, y por tanto los riesgos que pueden afectar el cumplimiento de los objetivos del aí rea y de la organizacioí n.

6.

La administracioí n de los riesgos debe ser oportuna y sistemaí tica, asíí como debe estar alineada con los objetivos estrateí gicos de la organizacioí n y de cada aí rea.

7.

El aí rea de ________________________es responsable de disenñ ar e implementar los documentos modelo bajo los cuales las aí reas deben reportar la gestioí n de riesgos, asíí como es responsable del disenñ o de la matriz y el mapa de riesgos de la organizacioí n (ver mapa de riesgos en _____________).

www.auditool.org

Página 7 de 17 Modelo de Política

8.

Los riesgos de la organizacioí n deben ser clasificados de acuerdo a su impacto y probabilidad sobre las utilidades de la organizacioí n. La calificacioí n establecida es alta, media y baja.3

3

La clasificación y calificación de los riesgos debe partir de la actividad de la organización, así como del mapa de riesgos que establezca la administración

www.auditool.org

Página 8 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

9.

El proceso de gestioí n de riesgos de XYZ, deberaí contener las siguientes etapas, de las cuales se deberaí n desarrollar todos los procedimientos y manuales requeridos para su cumplimiento: a. Comunicacioí n: Las políítica y procedimientos de gestioí n de riesgos deben ser divulgadas a todos los niveles de la organizacioí n, asíí como se deberaí contar un link en la paí gina web de la organizacioí n. b. Evaluacioí n: La gestioí n de riesgos debe considerar una vez se han identificado los riesgos, la evaluacioí n del impacto y probabilidad de dichos riesgos, el riesgo residual, la priorizacioí n en la respuesta a los riesgos, la construccioí n y actualizacioí n de la matriz de riesgos y el desarrollo del plan de accioí n para el tratamiento del riesgo residual. c. Tratamiento de los riesgos: Establecimiento de acciones (controles) para mitigar los riesgos, de acuerdo a su calificacioí n (alta media y baja). d. Seguimiento y reporte a la gestioí n de riesgos: Registrar y actualizar los riesgos y su calificacioí n, cada vez que se presenta un nuevo evento, asíí como informar perioí dicamente los resultados sobre la gestioí n de riesgo que realiza cada direccioí n a ________________________________.

10. Al menos ______ veces al anñ o se deberaí realizar una evaluacioí n de los riesgos de la organizacioí n, partiendo de los objetivos estrateí gicos de la organizacioí n, asíí como se deberaí n establecer las acciones para mitigar el impacto de dichos riesgos. 11. Perioí dicamente los colaboradores de la organizacioí n deben ser capacitados en la gestioí n de riesgos. 12. Todos los nuevos colaboradores y proveedores deben recibir en la induccioí n capacitacioí n sobre el sistema de gestioí n de riesgos de la organizacioí n.

www.auditool.org

Página 9 de 17 Modelo de Política

www.auditool.org

Página 10 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

Apetito de Riesgo

13.

La definicioí n y cuantificacioí n del apetito de riesgo seraí revisada perioí dicamente por el aí rea de ________________ y aprobado por el Comiteí de ___________________, quienes deberaí n considerar los siguientes riesgos y/o causas de riesgos que la organizacioí n no se encuentra dispuesta a asumir: a. b. c. d. e.

Violar o incumplir las leyes Afectar negativamente la reputacioí n. Comprometer la continuidad de la organizacioí n Comprometer la seguridad de todos los colaboradores La seguridad de los accionistas

Clasificación de los Riesgos

14. Partiendo de los principios de COSO ÍÍ, asíí como de la actividad realizada por XYZ, se debe considerar la siguiente clasificacioí n de riesgos, en la gestioí n de los mismos: a. b. c. d. e. f. g.

Reputacional Seguridad y Medio Ambiente Estrateí gico Financiero Operacional Legal __________________________________________________

La anterior clasificacioí n debe ser considerada al momento de estructurar los procesos y por tanto la matriz de riesgos de cada uno de los procesos debe incluir dicha clasificacioí n. Indicadores de Riesgo

15. Cada Unidad de Negocio y proceso de la organizacioí n, deberaí definir y disenñ ar los indicadores de riesgos asociados para los eventos con mayor impacto en el www.auditool.org

Página 11 de 17 Modelo de Política

cumplimiento de sus objetivos, y los cuales seguí n la periodicidad de sus resultados, deberaí n ser presentados a ________________________________________.

www.auditool.org

Página 12 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

Para la definicioí n de los indicadores se deberaí considerar, que incluyan los siguientes aspectos:  Ser definido para los riesgos con mayor impacto en la Unidad o Proceso.  Contribuir en la gestioí n de las causas generadoras de los riesgos.  Contar con unos míínimos y/o maí ximos en sus resultados, seguí n corresponda, y los cuales en todos los casos deben estar alineados con el apetito de riesgo.  Contar con una periodicidad para su seguimiento y reporte.  Definir especííficamente las fuentes de informacioí n con las cuales se construye el indicador. Roles y Responsabilidades en la Gestión de Riesgos

16. El presente numeral describe la generalidad de las responsabilidades de las aí reas o cargos involucrados en la gestioí n de riesgos, sin embargo, el detalle de las mismas deben ser entregadas por medio de _________________________ a cada responsable, asíí como su descripcioí n completa se encuentra en los procedimientos de riesgos denominado ______________________________________________. a. Junta Directiva:      

Aprobar la estrategia de la organizacioí n. Aprobar el perfil y apetito de riesgo. Aprobar la estructura de la organizacioí n. Aprobar el modelo de gestioí n de riesgos. _____________________________________________ _____________________________________________

b. Comiteí de Riesgos:       www.auditool.org

Proyectar el enfoque de gestioí n de riesgos. Sugerir la Políítica de Gestioí n de Riesgos. Monitorear el perfil de riesgo frente al apetito de riesgo Monitorear el cumplimiento de las Polííticas asociadas a los riesgos. Monitorear la implementacioí n de los controles Emitir informes perioí dicos al Comiteí de Auditoríía y ________________. Página 13 de 17 Modelo de Política

www.auditool.org

Página 14 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

c. Unidades de ________:     

Aplicar el marco de gestioí n de riesgos de la organizacioí n. Ídentificar, evaluar y gestionar los riesgos a los cuales se encuentra expuesta la Unidad en cada uno de sus procesos. Monitorear si las actividades realizadas son acordes al nivel de tolerancia del riesgo. Validar perioí dicamente si el perfil de riesgo se encuentra alineado con el apetito de riesgo. ______________________________________________________________________________________

d. CEO de _____________:  Definir, actualizar y solicitar la aprobacioí n de la Políítica de Gestioí n de Riesgos por parte de ______________________.  Presentar para aprobacioí n de ______________________, el apetito de riesgo de la ______________________.  Garantizar si la gestioí n de los riesgos de mayor impacto en la organizacioí n, son tratados adecuadamente.  ___________________________________________________________________________________. e. Gerencia de Riesgos:  Definir y divulgar las herramientas y metodologíía utilizadas por la organizacioí n para gestionar los riesgos.  Apoyar a ________________________ en la implementacioí n y aplicacioí n de las herramientas y metodologíías para la gestioí n de riesgos.  Asesorar a los lííderes de procesos en la gestioí n de riesgos, asíí como supervisar dicha gestioí n.  Coordinar la entrega de los informes correspondientes a la gestioí n de riesgos.  Liderar las capacitaciones en Gestioí n de Riesgos.  Presentar perioí dicamente a _____________________________, los resultados sobre la gestioí n de riesgos.  ____________________________________________________________________________________ Página 15 de 17 www.auditool.org Modelo de Política

www.auditool.org

Página 16 de 17 Modelo de Política

NOMBRE DE LA COMPANÑ ÍÍA XYZ Políítica de Gestioí n de Riesgos

f. Auditoríía Ínterna 



Desarrollar una evaluacioí n independiente con base al marco de gestioí n de riesgos de la organizacioí n, validando el cumplimiento de las polííticas, procedimientos y controles establecidos, para la gestioí n de los riesgos identificados. Emitir los correspondientes informes sobre sus evaluaciones al Comiteí de Auditoríía.

g. Auditoríía Externa 

Presentar en sus informes las debilidades identificadas frente a la gestioí n de riesgos y control.

Otras disposiciones 

Cualquier modificacioí n de la presente políítica, seraí ________________________________________.



Entra en vigencia la presente políítica a partir del ________.



El documento original de la presente políítica se encuentra firmado.

www.auditool.org

Página 17 de 17 Modelo de Política

aprobada por