GESTIÓN DE RIESGOS

SEARS

2020
CURSO NORMATIVO
SARO
SARLAFT
SARit
 ¿QUÉ ES RIESGO?
Riesgo es que a la organización en la
de sus objetivos.

INCERTIDUMBRE PROBABILIDAD IMPACTO

El riesgo ocurre cuando hay una El riesgo se concibe como una amenaza, y
probabilidad de incurrir en pérdidas por otra parte, una oportunidad. Quiere
financieras y/o daño físico debido a que no decir que el efecto realizado de una
se alcanza un objetivo dado en una actividad dada puede parecer mejor o peor
actividad. que el efecto esperado.

Sistema Especial de Administración de Riesgos en Seguros - SEARS

ETAPAS DE GESTIÓN DE RIESGOS:
1 2 3 4
IDENTIFICAR MEDIR CONTROLAR MONITOREAR
los riesgos a los en términos de implementando medidas mediante un proceso
que Global Seguros probabilidad de para mitigar el riesgo de seguimiento
se ve expuesta ocurrencia e inherente con el fin de efectivo para
teniendo en impacto en caso de disminuir la probabilidad de facilitar la detección
cuenta los factores materializarse el ocurrencia y/o el impacto y corrección de las
de riesgo riesgo. RIESGO en caso de que dicho riesgo deficiencias del
definidos. INHERENTE se materialice. RIESGO SISTEMA.
RESIDUAL

Riesgo Inherente Controles Riesgo Residual

Sistema Especial de Administración de Riesgos en Seguros - SEARS

 La gestión Integral de Riesgo,
consiste en detectar
oportunamente los riesgos que
pueden afectar a Global, para
generar estrategias que
se anticipen a ellos y los
conviertan en oportunidades de
rentabilidad para la empresa

Sistema (Sistema
Integral
SEARS
de Administración de Riesgos de Seguros
especial de administración de riesgos de Seguros)
SEARS

SARI SARO SARLAFT SARC SARit SARS

Sistema Especial de Administración de Riesgos en Seguros - SEARS

 Riesgo Operativo SARO
Es la posibilidad de incurrir en pérdidas por
deficiencias, fallas o inadecuaciones, en el recurso
Evento de Riesgo
humano, los procesos, la tecnología, la infraestructura
o por la ocurrencia de acontecimientos externos. Esta
Operativo (ERO)
definición incluye el riesgo legal y reputacional,
asociados a tales factores. Un evento es el acontecimiento que
materializó el riesgo

Factor de Riesgo
RECURSO HUMANO

PROCESO

TECNOLOGÍA

El riesgo es algo que no ha ocurrido,

INFRAESTRUCTURA
mientras el evento ya ocurrió, por lo
cual se le puede describir en qué lugar
sucedió y a qué horas
ACONTECIMIENTOS EXTERNOS

Sistema de Administración de Riesgos Operativos- SARO

 Riesgo LA/FT SARLAFT
El riesgo de lavado de activos y la financiación del Tipos de Operaciones
terrorismo, es la posibilidad en que puede incurrir la
Compañía por pérdida o daño al ser utilizada
directamente o a través de sus operaciones como
instrumento para el lavado de activos y/o canalización
de recursos hacia la realización de actividades
terroristas, o cuando se pretenda el ocultamiento de
activos provenientes de dichas actividades.

Factor de Riesgo
CLIENTES / USUARIOS

Operación Sospechosa: son aquellas que habiendo

PRODUCTOS sido detectadas como inusuales, se presumen
procedencia de alguna actividad ilicita.

JURISDICCIONES Operación Inusual: son aquellas que se salen de

los parámetros de normalidad en el que se
desenvuelve el cliente, sin fundamente evidente

CANALES DE DISTRIBUCIÓN
Repórtela a su jefe directo o al Oficial
de Cumplimiento

Sistema de Administración de Riesgos de Lavado de Activos y Financiación al Terrorismo - SARLAFT

 Riesgo LAFT: Por Jurisdicción

El índice de Riesgo se construyó a partir

de la Revista de Criminalidad de la
Policía, población 2017 del DANE,
Información de Cultivos ilícitos de la
UNODC, índice de Transparencia
Municipal – Gobernaciones y
Departamentos Sometidos a Control
Especial y Parcial.

Sistema de Administración de Riesgos de Lavado de Activos y Financiación al Terrorismo - SARLAFT

Conozca su Cliente “KYC” Se deben realizar las diligencias debidas
para mantener actualizada la información
de los clientes como mínimo anualmente

PREVIA DURANTE TODA LA RELACIÓN

VINCULACIÓN CONTRACTUAL

INFORMACIÓN CRUCE EN LISTAS

FINANCIERA Y RESTRICTIVAS Y
ACTIVIDAD CAUTELARES
ECONOMICA

MONITOREO
RIESGO POR TRANSACCIONAL
JURISDICCIÓN

CONSOLIDACIÓN
CRUCE EN LISTAS ELECTRONICA DE
RESTRICTIVAS Y OPERACIONES
CAUTELARES

ENTREVISTA DE IDENTIFICACIÓN DE
CONOCIMIENTO SEÑALES DE ALERTA

MONITOREAR LA
RELACIÓN COMERCIAL

Sistema de Administración de Riesgos de Lavado de Activos y Financiación al Terrorismo - SARLAFT

 Conozca su Cliente “KYC”
Vinculación solo es aprobada por
Representante Legal

Cúmulos
Países de Mayor Pep´ s Superiores/ Mayor Documentación
riesgo Riesgo Requerida
Activos Altos

Lista Roja: Cuando el/los Aquellos que por

Corea del Norte seguros solicitados o su perfil ó las
el cúmulo sea igual señales de alerta
Lista Negra: ó exceda la suma de en el momento
Decreto 1674 del conocimiento
Irán 846 s.m.l.m.v
de 2016 del cliente,
Personas Naturales suscripción y/o
Lista gris: Circular 055 de
ó su Activo sea renovación
Bahamas, Bostwana, 2016
superior a 3.388 infieran un mayor
Camboya, Etiopia,
s.m.l.m.v riesgo-
Ghana, Pakistán,
Listas de
Panamá. Siria, Sri
Chequeo
Lanka, Trinidad y
Tobago, Túnez,
Yemen

Sistema de Administración de Riesgos de Lavado de Activos y Financiación al Terrorismo - SARLAFT

 Conozca su Cliente “KYC”: Personas Públicamente Expuestas

PEP´S Vínculos con PEP´s Personas Jurídicas

• Personas expuestas2 años
políticamente (Decreto • Sociedad • Beneficiario Final
1674 de 2016), Hecho/Conyugal • Administradores (PJ)
• Representantes legales • 2°Grado de
de organizaciones consanguinidad
internacionales
2° Grado de afinidad
• Gocen de
reconocimiento público. 1° Grado de civil

✓ Formulario de Solicitud totalmente

diligenciado

✓ Copia legible del documento de identidad

✓ Soportes Financieros:
▪ Asalariados: Declaración de renta, Si no
es declarante Certificación Laboral o los
últimos 3 desprendibles de nómina o
Certificado de ingresos y retenciones

▪ Independientes: Declaración de renta, si

no es declarante Certificación de
ingresos emitidas por contador público.

Sistema de Administración de Riesgos de Lavado de Activos y Financiación al Terrorismo - SARLAFT

 LISTAS DE
CONTROL
Detecte Señales de
Resultado positivo
Alerta
de world
Compliance INFORMACIÓN
(BRIDGER)
FINANCIERA

Activos, ingresos o Información financiera de la

PERSONAS egresos iguales a
Egresos mayores a solicitud inconsistente con los
los ingresos totales
CATEGORÍA PEP cero soportes financieros

Preguntas positivas Pasivos mayores a Activos mayores a Código CIIU diferente a la

PEP en la solicitud y activos 2.500 MM actividad económica
en el sistema SISE

Resultado positivo Valor de la prima Diferencia de

de world información Inconsistencia en información de
pagada de contado
compliance para financiera (mayor origen de fondos frente a la
es mayor o igual al
personas con al 15% vs. información financiera y
80% del patrimonio
vinculo con el documentos actividad económica principal
tomador soporte
 Seguridad de la SARit
Información
Es el conjunto de políticas, estrategias, metodologías,
Incidentes
recursos, soluciones informáticas, prácticas y
competencias para proteger, asegurar y preservar la
Incidentes materializados, cuyo
confidencialidad, integridad y disponibilidad de la
información que se almacene, reproduzca o procese en los propósito fundamental es garantizar
sistemas informáticos de la aseguradora. que se tomen las acciones para
evitar o disminuir nuevamente su
ocurrencia

Ciberseguridad
Es el desarrollo de capacidades empresariales para
defender y anticipar las amenazas cibernéticas con el fin
de proteger y asegurar los datos, sistemas y aplicaciones
en el ciberespacio que son esenciales para la operación de
la aseguradora.

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

 INTERNOS Taxonomía de
Incidentes
Manejo
inadecuado de EXTERNOS
los datos

Uso inadecuado Negación de

de credenciales Intrusión
Servicio

Violaciones a Ingeniería Vulnerabilidad

políticas de Social Crítica
seguridad

Malware: Virus, Mecanismo

Gusanos, Troyanos,
Acceso no Spyware, para ataque:
autorizado Ransomware,
Rootkits, PHISHING
Cryptominner)

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

 Es la técnica o modalidad de estafa que consiste en la

QUÉ ES EL suplantación de una entidad legítima con el fin de

hurtar a las víctima: contraseñas, datos personales,
cuentas bancarias y toda la información.

PHISHING? El término phishing proviene del término pesca, el cual

hace alusión al intento de hacer que la víctima muerda
el anzuelo.

¿CÓMO SE REALIZA EL PHISHING?

Modalidad Descripción
SMS (Smishing) El atacante redirige al usuario a una pagina web fraudulenta con el propósito
de obtener información personal, robar datos bancarios o infectar el
dispositivo móvil con algún tipo de virus.
Llamada Telefónica (Vishing) El atacante a través de llamadas telefónicas, se hacen pasar por una empresa
o entidad pública para obtener información de los usuarios.
Sitio Web falso El atacante, manipula el diseño de un sitio web fraudulento para lograr que
parezca legítimo de la organización por la cual se hace pasar el impostor y así
poder robar la información.
Correos Falsos El atacante en los correos falsos, manipula el diseño del correo electrónico
para lograr que un enlace parezca una ruta legítima de la organización por la
cual se hace pasar el impostor y así poder robar la información.

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

 Recomendaciones durante el
ingreso de sus credenciales
Leer la página de inicio: tómese unos minutos
para revisar la página web. No caiga en los trucos
de los formularios de solicitud antes de leer el
texto completo. A veces, incluso informan que el
sitio no es el oficial.

https vs http: aunque no siempre es una

garantía, se puede comprobar el "http" que
aparece al principio de la dirección del sitio web.
Si está introduciendo información personal,
"https" sirve como forma de encriptación para
proteger sus datos personales.

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Ejemplo real

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Ejemplo real

El enlace no
corresponde a
la entidad
bancaria

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Ejemplo real

Dominio
Falso

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Ejemplo real

Este portal
bancario es
falso

El enlace que
posee el
correo no
corresponde al
original

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Ejemplo real

El remitente es
sospechoso, no
corresponde a
Mensaje de una cuenta
texto falso con bancaria.
enlace
sospechoso,
para que la
victima visite el
portal y roben
luego sus datos

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

Recomendaciones Finales
Verifique los links escribiéndolos directamente en el navegador.

Procure no dar clic en los enlaces que vienen en los correos

electrónicos ni en mensajes de texto sospechosos.

Tenga en cuenta que la mayoría de entidades bancarias o comerciales

nunca solicitan información personal por correo electrónico.

Se debe estar muy atento al momento de ingresar los datos

bancarios; dado que, después de hacerlo, puede arrojar un aviso de
error que redirecciona a otro sitio aparentemente legítimo.

Si tiene dudas, verifique la identidad de quien envía el mensaje.

Sistema de Administración de Riesgos de Seguridad de la Información y Ciberseguridad - SARit

FELICITACIONES
Ha concluido el 100% del curso GESTIÓN DE RIESGOS:
✓ Por favor cierre PowerPoint y de clic en Home para salir
del curso.
✓ Presione el botón SALIDA para volver a la plataforma
✓ De clic en la pestaña EVALUACIONES para afianzar sus
conocimientos