Políticas Institucionales y Sistema de Administración de Riesgos SAR

En InfiValle estamos comprometidos con la satisfacción de nuestros clientes y grupos de interés, brindando atención oportuna y adecuada a sus requerimientos, con servicios financieros y de gestión de proyectos de calidad,  y talento humano competente que trabaja en la mejora continua de los procesos y en el cumplimiento de las normas que regulan el Instituto.

La administración de riesgos es aplicada en todos los niveles jerárquicos de la Institución, entendiéndose como el conocimiento del portafolio de productos y servicios ofrecidos, así como de las políticas y límites relativos a su gestión, de manera que se logre una administración activa y preventiva del riesgo.

Dado que dicha administración es un proceso dinámico, INFIVALLE ha dispuesto recursos humanos, financieros y técnicos que posibiliten realizar una gestión adecuada en este proceso, procurando la adquisición de herramientas tecnológicas, la actualización de sus procedimientos y la formación permanente de su talento humano.

Los Sistemas de Administración de Riesgos del Instituto comprenden:
 

1. Riesgo de Crédito - SARC: el riesgo crediticio se define como la posibilidad que se puedan presentar pérdidas y se disminuya el valor de los activos, como consecuencia que un deudor o contraparte incumpla sus obligaciones en los términos acordados en un contrato.
   
   INFIVALLE en su condición de instituto de fomento y desarrollo, de acuerdo con la normativa vigente, para cumplir su objeto social  y funciones, definió políticas de administración del riesgo de crédito, adoptadas por el Consejo Directivo, estableciendo con claridad y precisión los criterios bajo los  cuales el Instituto debe evaluar, calificar, asumir, controlar y cubrir el riesgo crediticio. Igualmente, el Consejo establece los mecanismos y controles necesarios para asegurar el cumplimiento estricto de las políticas y de las normas que son aplicables al proceso de administración del Riesgo Crediticio.
    
2. Riesgo de Mercado - SARM: el riesgo de mercado se define como la posibilidad que las entidades incurran en pérdidas asociadas a la disminución del valor de sus portafolios, las caídas del valor de las carteras colectivas o fondos de inversión colectiva en que invierten, por efectos de cambios en el precio de los instrumentos financieros en los cuales se mantienen posiciones dentro o fuera del balance.
   
   Para la gestión de este riesgo se adoptó un Sistema de  Administración de Riesgo de Mercado - SARM a través del cual las exposiciones a este tipo de riesgo son identificadas, medidas, controladas y monitoreadas. Este sistema está compuesto por un conjunto de políticas, procedimientos, metodologías de medición y mecanismos de control implementados específicamente para gestionar el riesgo de mercado, con el objetivo de adoptar de forma oportuna las decisiones necesarias para la mitigación de dicho riesgo.
    
3. Riesgo de Liquidez - SARL: el riesgo de liquidez se define como la contingencia de no poder cumplir plenamente, de manera oportuna y eficiente los flujos de caja esperados e inesperados, vigentes y futuros, sin afectar el curso de las operaciones diarias o la condición financiera de la entidad. Esta contingencia (riesgo de liquidez de fondeo) se manifiesta en la insuficiencia de activos líquidos disponibles para ello y/o la necesidad de asumir costos inusuales de fondeo.
   
   Para mitigar este riesgo se cuenta con un modelo el cual establece los límites mínimos de liquidez en diferentes horizontes de tiempo y entornos de mercado, determinando en caso de ser necesario el máximo retiro probable.
    
4. Riesgo Operativo - SARO: el riesgo operativo se define como la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. 
   
   Su gestión incorpora un conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación; mediante los cuales se identifica, mide, controla y monitorea el riesgo operativo con el fin que se puedan mejorar los procesos y optimizar los mecanismos de control.
   
   La administración de este riesgo comprende la adopción de buenas prácticas y el mejoramiento de los procesos, a través de un esquema y cultura orientada a la gestión de los riesgos. INFIVALLE definió su modelo de operación por procesos, donde se identifican y controlan, monitorean permanentemente los riesgos y se asegura la ejecución de los planes de mitigación. Todo lo anterior se enmarca en un Sistema Integrado de Gestión SIG, que apoya la toma de decisiones de la Alta Dirección de manera eficiente y oportuna.
    
5. Sistema de Prevención y Control del Riesgo de  Lavado de Activos y Financiación de Terrorismo - SIPLAFT: su objeto es prevenir que el Instituto sea utilizado para dar apariencia de legalidad a recursos provenientes de actividades delictivas o actividades terroristas.
   
   INFIVALLE adoptó el SIPLAFT aplicando las instrucciones establecidas en la Circular Externa No. 034 de 2013 de la Superintendencia Financiera de Colombia, contribuyendo de esta forma a salvaguardar la inversión de sus clientes y  a la sostenibilidad del Instituto.
   
   El SIPLAFT se adoptó conforme al tamaño de la operación, el volumen de negociación, el tipo de clientes y la complejidad de los productos. De esta forma el Instituto administra aspectos claves como lo referente a listas restrictivas, conocimiento del cliente e histórico de operaciones inusuales. Todo lo anterior con el propósito de protegerse de ser utilizado como instrumento para el lavado de activos y/o la realización de actividades terroristas mediante la prevención, detección y reporte.
   
   El sistema establecido busca prevenir el riesgo LA/FT por medio de la definición de políticas y procedimientos para evitar que los recursos administrados puedan ser utilizados como instrumentos para ocultamiento, manejo, inversión o aprovechamiento en cualquier forma de dineros u otros bienes provenientes o vinculados a actividades delictivas para dar apariencia de legalidad a las mismas o a las transacciones y recursos asociados a estas.
   
   Las políticas y procedimientos establecidos por INFIVALLE en materia de Prevención y Control de Riesgos LA/FT se encuentran enmarcados dentro de la normatividad vigente, como de obligatorio cumplimiento por todos los colaboradores del Instituto, así como de sus clientes.
    
6. Riesgos de Corrupción: adicional a los sistemas de administración de riesgos descritos anteriormente, INFIVALLE dando aplicación al Artículo 73 y 76 de la Ley 1474 de 2011 y al Decreto 2641 de 2012, establece anualmente un Plan Anticorrupción y de Atención al Ciudadano, con el fin de prevenir los riesgos que se pueden presentar en el desarrollo de cada uno de los procesos institucionales, definiendo la política para administrarlos.   En este componente, se elabora el mapa de riesgos de corrupción como una herramienta para fortalecer los mecanismos de prevención de la corrupción al interior del Instituto y es el resultado de la identificación, análisis y valoración de los riesgos en cada uno de los procesos institucionales.

INFIVALLE se compromete en garantizar la continuidad de los procesos, servicios y actividades críticas; en asegurar la confidencialidad, integridad y disponibilidad de la información de sus clientes y demás partes interesadas; en mitigar los riesgos, en reducir los impactos ocasionados por los eventos de continuidad de negocio y seguridad de la información; asi mismo, en la mejora continua y con los estandares de cumplimiento legales y reglamentarios.

Así mismo, implementará planes, procedimientos y programas para promover una cultura de conciencia en seguridad de la información, ciberseguridad y continuidad de negocio; que permitan recuperar, reanudar y normalizar el funcionamiento de los procesos, servicios y actividades críticas, prevaleciendo la salvaguarda, protección, seguridad y salud de las personas, medio ambiente y de los activos de información del Instituto.

Objetivos

• Fortalecer los conocimientos de los colaboradores sobre gestión de seguridad de la información y continuidad de negocio.
• Disminuir el nivel de riesgo inherente a residual.
• Cumplir con la ejecución de los controles existentes y controles nuevo.
• Mantener un nivel de disponibilidad de la plataforma tecnológica.
• Atender los incidentes de Continuidad y Seguridad dentro del tiempo establecido.

Para el Componente de Direccionamiento Estratégico

Corresponde a las guías de acción para hacer frente a la planeación, seguimiento y evaluación de los planes, programas y proyectos institucionales.

1. El Plan Estratégico Institucional PEI contendrá un componente inicial de diagnóstico que incluya el análisis del contexto y los riesgos estratégicos. Su elaboración debe iniciarse como mínimo, cuatro meses antes de terminar la vigencia del PEI que corresponda al período de gobierno del momento.
2. Cumplida la vigencia del Plan Estratégico Institucional PEI y establecido el diagnóstico para el nuevo proyecto de PEI, se formularán los diferentes objetivos, programas, indicadores y metas que se esperan alcanzar en el período de gobierno entrante, documento preliminar que se debe adoptar mediante Resolución en los primeros 100 días calendario de la nueva administración.
3. Después de aprobado el Plan de Desarrollo Departamental, en un plazo máximo de 45 días calendario, la Gerencia debe presentar para aprobación del Consejo Directivo el Plan Estratégico Institucional PEI Definitivo para el cuatrienio, garantizando su armonización y articulación con el primero.
4. El Plan Estratégico Institucional PEI, se apoya en los siguientes instrumentos: Plan Indicativo y Plan Financiero, documentos que deben ser aprobados con el PEI definitivo. 
5. En el primer año de gobierno, los planes de acción de los procesos serán elaborados y aprobados en los primeros 60 días calendario.
6. Los planes y programas institucionales de vigencia anual tales como: Plan Anual de Adquisiciones, Plan Anticorrupción y de Atención al Ciudadano, Plan Institucional de Capacitación, Plan de Bienestar Social e Incentivos, Plan de Salud y Seguridad en el Trabajo, Programa de Gestión Documental y Programa de Auditoría, responderán a un diagnóstico previo y deben ser elaborados y aprobados según el caso dentro de los plazos fijados por Ley o máximo en los primeros 60 días de cada anualidad.
7. Publicado el documento definitivo del Plan Estratégico Institucional PEI o sus modificaciones posteriores, se revisará si los planes y programas institucionales descritos en los numerales 5 y 6, necesitan ser armonizados con el fin de dar alcance a los objetivos y metas del PEI; actividad de actualización y aprobación que debe realizarse dentro en los 30 días calendario siguientes a la expedición del documento en mención.
8. El Instituto debe documentar la forma como se realizará el seguimiento y evaluación al Plan Estratégico Institucional PEI y a los planes de acción, metodología que debe contener los indicadores con los que se pueda medir su eficacia, eficiencia y efectividad y los criterios con los que se determinará su nivel de cumplimiento.
9.  El seguimiento y evaluación a las metas del PEI y de los planes de acción se debe realizar de forma periódica por cada líder de proceso. Cada cuatro meses, éste elaborará un informe sobre el avance y desempeño del proceso, en el cual se documente el análisis de datos, así como las acciones a tomar para mantener o mejorar los resultados.
10. La instancia que revisa los temas de planeación del Instituto es el Comité de Planeación Estratégica, quien haga sus veces o reemplace sus funciones. Dicha instancia debe actuar conforme al rol establecido y garantizar que se apliquen las políticas de operación del componente Direccionamiento Estratégico, así como revisar su pertinencia por lo menos 1 vez al año.

Para el Componente de Administración del Riesgo Operativo

Corresponde a las guías de acción para identificar, evaluar y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de los objetivos institucionales.

1. La matriz de riesgo de los procesos debe ser revisada por los líderes como mínimo 1 vez al año o cuando las circunstancias lo ameriten debido a cambios sustanciales en el contexto estratégico o en las normativas, cualquier hecho externo o interno que afecte la operación de la entidad, la materialización de un riesgo, entre otros.
2. Los procesos son responsables de mantener los perfiles de riesgo dentro de los límites establecidos en el Instituto, por lo que deben adoptar de los mecanismos adecuados para el seguimiento y control de sus riesgos.
3. Todos los funcionarios deben realizar una gestión adecuada de los riesgos y sus controles, de acuerdo con las responsabilidades y procedimientos asignados, generando evidencia de su monitoreo.
4. Todos los funcionarios deben reportar los eventos de riesgo operativo que se materialicen, dejar registro ante la Oficina Asesora de Riesgo y atender las recomendaciones e implementar soluciones que garanticen la normalización de la situación, subsanen el evento sucedido o eliminen la causa del riesgo identificado.
5. Todos los funcionarios deben asistir a las jornadas de formación y/o capacitación en materia de gestión de riesgos que convoque el Instituto u otras actividades que se adelanten para fortalecer las competencias de en la materia y afianzar la cultura de gestión del riesgo.
6. En las auditorías internas se debe evaluar la efectividad de los controles establecidos a los riesgos e informar a cada líder de proceso sobre riesgos materializados no reportados o su probabilidad de ocurrencia.
7. En concordancia con las políticas mencionadas, el Instituto, en materia de prevención del daño antijurídico, debe prevenir la ocurrencia de cualquier posible situación interna o externa que pueda implicar responsabilidades jurídicas con efectos patrimoniales y/o demandas para la entidad, implementando acciones enfocadas a la observancia permanente de la normatividad vigente y reglada de cada una de las actuaciones de sus funcionarios.

Para el Componente de Información y Comunicación

Corresponde a las guías de acción para garantizar la interacción del Instituto con los clientes y partes interesadas, además de la comunicación de la gestión y los resultados; cometido que el Instituto cumple a través de la estrategia de lucha contra la corrupción y de atención al ciudadano .

1. El Instituto debe caracterizar  a las entidades clientes y grupos de interés y mantener actualizada dicha información, de tal forma que se cuente con datos relevantes y precisos que sirvan de insumo para el diseño, rediseño o ajuste de los productos y servicios de InfiValle y presentarlos de manera focalizada para responder satisfactoriamente a sus necesidades y expectativas, así́ como para obtener retroalimentación sobre el servicio.
2. El Instituto debe solicitar a las entidades clientes, la actualización de su información financiera y garantizar que esto se cumpla en cada vigencia.
3. El Instituto debe definir el lenguaje (formal, informal, técnico, cotidiano) y los canales de comunicación (físico, telefónico, virtual) que se utilizarán para dirigirse o interactuar con cada grupo de interés (clientes, proveedores, entes de control, ciudadanos) con el fin de garantizar que la información sea clara, útil y adecuada según el tipo de destinario.
4. El Instituto debe divulgar los canales de atención para peticiones, quejas, reclamos, sugerencias y denuncias que se tengan implementados, con el fin que se conozca por parte de clientes, grupos de interés y ciudadanos, la forma en que pueden presentar sus solicitudes, requerimientos y consultas a InfiValle. 
5. El Instituto debe mantener actualizada y publicada en su página web, la información sobre la administración, gestión y resultados de la entidad, con el fin de garantizar el acceso a la información de clientes, partes interesadas y ciudadanos. 
6. El Instituto debe obtener retroalimentación con los clientes y partes interesadas sobre el nivel de satisfacción y la percepción acerca del servicio que se presta, cuya muestra debe ser como mínimo la mitad más uno de los clientes activos de InfiValle y la publicación de los resultados debe realizarse mínimo 1 vez al año.   
7. El Plan de Comunicaciones del Instituto debe responder a un diagnóstico previo, el cual incluya las fuentes oficiales de información interna y externa en las que se consultaran los datos y hechos relevantes para la elaboración de los informes de gestión, plan que debe ser aprobado dentro de los primeros 60 días de cada anualidad.
8. El Informe Anual de Gestión del Instituto, debe contener un contexto estratégico, la gestión misional, financiera y administrativa, la gestión de los riesgos y los resultados de la evaluación y seguimiento interno y externo del rendido, y su elaboración y publicación debe realizarse dentro de los primeros 90 días de cada anualidad. 
9. En el segundo semestre de cada anualidad, el Instituto elaborará un informe de gestión sobre el avance en el cumplimiento de las metas institucionales, documento que tendrá plazo máximo de publicación el 31 de agosto de cada anualidad.
10. InfiValle como ente adscrito a la Secretaría de Hacienda Departamental, debe atender las convocatorias de rendición pública de cuentas de la Gobernación del Valle del Cauca, así como también implementar mecanismos adicionales a través de los cuales se comunique la información sobre los programas institucionales, la ejecución presupuestal y la contratación, entre otros.    
11. El vocero oficial del Instituto es el representante legal, y en todos los casos será quien emita los comunicados a los medios locales, nacionales e internacionales, presida las ruedas de prensa, responda a entrevistas y en general quien debe comunicar las situaciones importantes relacionadas con la entidad y sus funcionarios.     
12. El Instituto debe divulgar a través de la página web, la política para el tratamiento de datos personales y obtener autorización de los titulares de los datos e informar el uso que InfiValle le dará, garantizando que se rectifique o actualice los datos cada vez que el titular lo solicite.

En INFIVALLE, reconocemos la importancia de proteger los datos personales de los titulares (ciudadanos, funcionarios, contratistas, proveedores, clientes, entre otros.) que se gestionan en la entidad garantizando su seguridad, privacidad y tratamiento adecuado en todas las actividades relacionadas.
La presente política de tratamiento de datos personales establece las directrices y procedimientos que sigue la entidad para garantizar el cumplimiento de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales.”, la Ley 1266 de 2008 “por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones y lo establecido en la Constitución Política Colombiana relacionado a los datos personales.
Nuestro compromiso es asegurar que todos los datos personales sean tratados de manera segura y confidencial, respetando los derechos de los individuos y minimizando los riesgos asociados con el manejo de dicha información. 

Descargue la Política de Tratamiento de Datos Personales 

La información, archivos físicos, sistemas de información, aplicaciones, herramientas, servicios, equipos de cómputo, impresoras, redes, Internet, correo electrónico, entre otros, los cuales se proporcionan a los funcionarios y terceros autorizados para cumplir con los objetivos de la entidad, se consideran propiedad de INFIVALLE. Estos activos deben ser utilizados de forma ética y en cumplimiento de las leyes y reglamentos vigentes, con el fin de garantizar la integridad, confidencialidad y disponibilidad, evitando daños, pérdidas de información o afectaciones a la imagen del instituto.

Derechos de Propiedad Intelectual

• No está permitido el uso de material documental físico o digital que tenga protección de derechos de autor, incluyendo patentes, marcas registradas y diseños, sin las debidas autorizaciones y licencias.
• No está autorizada la instalación o uso de programas sin las debidas licencias.
• Los programas sin licencia serán eliminados, y de la misma manera se procederá con la música, imágenes y videos protegidos por derechos de autor. La infracción puede acarrear un proceso disciplinario.
• Los equipos informáticos utilizados por terceros para labores de la entidad y/o para acceder servicios de información de INFIVALLE deben contar con software legal y las licencias para el software instalado.
• Está prohibido realizar copias no autorizadas de material protegido por derechos de autor mediante digitalización o distribución de fotografías, revistas, libros, música u otras fuentes.
• Está prohibido infringir los derechos de autor de cualquier persona o empresa, secretos comerciales, patentes u otros derechos de propiedad intelectual al instalar o distribuir piratería u otros productos no autorizados para los cuales INFIVALLE, o el usuario final, no tenga una licencia legalmente adquirida.
• Los productos, servicios, desarrollos y aplicaciones innovadores que desarrolle INFIVALLE deben ser debidamente protegidos del uso no autorizado por terceros; así mismo se debe realizar el registro de su propiedad intelectual.
• Los contratos de desarrollo tercerizado de aplicaciones a la medida contienen cláusulas sobre derechos de autor que definen la propiedad intelectual y patrimonial de los desarrollos. Para desarrollos relacionados con la misión de INFIVALLE estos derechos deben ser a favor de INFIVALLE.
• INFIVALLE lleva el control del inventario de las licencias de software, son gestionadas en el área de TIC.

Tomado de la Política de Uso Aceptable de la Información y Activos Asociados.

Uso de la Información Pública y Contenidos Digitales

La información, documentos y contenidos publicados en el portal web institucional de INFIVALLE son de carácter público y pueden ser consultados, reproducidos o utilizados por cualquier persona, siempre que se cite la fuente y no se haga un uso comercial indebido.
Está prohibida la alteración, manipulación o utilización de la información oficial para fines contrarios a la ley o que afecten la integridad de los datos.
Los datos abiertos que publique INFIVALLE podrán ser reutilizados bajo las condiciones de la licencia establecida, en cumplimiento de lo dispuesto en la Ley 1712 de 2014, la Ley 23 de 1982, la Decisión Andina 351 de 1993, la Ley 1915 de 2018 y la Resolución 1519 de 2020 del MinTIC.