Diplomado de administración y

gestión del riesgo

20 de octubre
Introducir deaquí
título 2017
SISTEMA DE ADMINISTRACIÓN DEL
RIESGO OPERATIVO –
SARO
Sistema de Administración de Riesgo
Operativo SARO

Entendamos el
origen…
Sistema de Administración de Riesgo
Operativo SARO

Que podría
afectar el
cumplimiento de
los objetivos??
 LAFT LIQUIDEZ MERCADO

CREDITO LEGAL

OPERATIVO REPUTACIONAL CONTRAPARTE

Sistema de Administración de Riesgo
Operativo SARO

Cómo enfrentan
las compañías
este flagelo??
 Control Interno
Objetivos
Conjunto de
1. Mejorar la eficiencia y
Políticas, Para eficacia de las operaciones1
procedimientos,
2. Prevenir y mitigar el fraude
normas
proporcionar un grado de 3. Realizar una adecuada
y seguridad razonable en el gestión de riesgos
logro de los siguientes
Mecanismos de
4. Aumentar la confiabilidad y
verificación y
oportunidad de la
evaluación
información2

5. Cumplir las normas legales3

1.Objetivo operativo
2.Objetivo de reporte
3.Objetivo de cumplimiento
Control Interno
CADBURY VIENTO
M
O
D
PETER E COSO

L
O
COCO S MECI
Modelo COSO (Committee of Sponsoring
Organizations of the Treadway Commission)
Principios COSO 2013
Principios COSO 2013
Los elementos del SCI
 Los seis elementos del SCI

1.Ambiente de Los elementos mínimos son:

control 1. Principios básicos que rigen la entidad documentados y divulgados al
personal.
2. Gestión de
Riesgos 2. Código de conducta que incluya los órganos para hacer seguimiento de su
cumplimiento y las sanciones.

3. Actividades de 3. Estándares documentados de las competencias, habilidades, aptitudes e

control idoneidad del personal

4. Políticas para los procesos de selección, inducción, formación, capacitación,

sistemas de remuneración y evaluación de desempeño.
4. Información y 5. Estructura organizacional que soporte el SCI
comunicación
6. Objetivos operativos, de reporte y cumplimiento alineados con la misión,
visión y objetivos estratégicos, como base para formular la estrategia,
difundidos a todo el personal.
5. Monitoreo
 Procedimientos mínimos (recomiendan acudir a la Guía COSO-ERM):
1. Ambiente de 1. Identificar amenazas y sus fuentes
control
2. Autoevaluar, identificar y priorizar los riesgos

2. Gestión de 3. Medir la probabilidad y el impacto. Podrá ser cualitativa o cuantitativa cuando

cuente con datos históricos.
Riesgos
4. Identificar y evaluar con criterio conservador, los controles existentes y su
efectividad
3. Actividades de
control 5. Construir mapas de riesgos

6. Implementar, probar y mantener un proceso para administrar la continuidad de la

operación
4. Información y
7. Divulgar al personal los mapas de riesgos y las políticas para su administración
comunicación
8. Gestionar los riesgos en forma integral

9. Registrar, medir y reportar los eventos de pérdidas

5. Monitoreo
10. Definir las acciones correctivas y preventivas derivadas del seguimiento y
evaluación de los riesgos (planes de mejoramiento)
1. Ambiente de
control Incluye, entre otras, las siguientes actividades:

1. Revisiones de alto nivel

2. Gestión de
Riesgos 2. Gestión directa de funciones

3. Controles generales que rigen para todas las aplicaciones

3. Actividades
de control 4. Controles de aplicación: suficiencia, exactitud, autorización y validez de la
captura y procesamiento de datos.

5. Limitaciones de acceso físico y acompañamiento de visitantes

4. Información y 6. Indicadores de rendimiento

comunicación
7. Segregación de funciones

8. Acuerdos de confidencialidad
5. Monitoreo
9. Difusión de las actividades de control
 Garantizar que la información cumpla con los criterios de:
1. Seguridad (confidencialidad, integridad y disponibilidad)
1. Ambiente de 2. Calidad (efectividad, eficiencia y confiabilidad)
control 3. Cumplimiento

2. Gestión de Los sistemas de información y comunicación son la base para identificar, capturar
Riesgos e intercambiar información que permita:
 Al personal cumplir con sus responsabilidades y
 A los usuarios externos contar con elementos de juicio suficientes para la
toma de decisiones en relación con el Banco.
3. Actividades de
control Incluye, entre otros:
1. Diseñar procedimientos para detectar, reportar y corregir los errores e
irregularidades
2. Clasificar la información en pública, privada o confidencial
4. Información y 3. Establecer parámetros para la entrega de copias.
comunicación 4. Implementar mecanismos para evitar el uso de información privilegiada, en
beneficio propio o de terceros.

En el aspecto de comunicaciones:
5. Monitoreo Los administradores deben adoptar procedimientos para:
• Garantizar la calidad, oportunidad, veracidad, suficiencia y en general el
cumplimiento de todos los requisitos que incidan en la credibilidad y utilidad
de la información revelada al publico.
1. Ambiente de
control

2. Gestión de El SCI no puede ser estático, sino dinámico, ajustándose a las nuevas
Riesgos situaciones del entorno. Por lo tanto requiere:

1. Establecer controles o alarmas en lo sistemas computarizados y

3. Actividades de manuales, para que permanentemente se valore la calidad y el
control desempeño del sistema y realicen las actividades de
mejoramiento.

2. El “monitoreo” se debe realizar en todas las etapas de los procesos

4. Información y y en tiempo real.
comunicación
Las deficiencias de control interno deben:
 Ser identificadas y comunicadas de manera oportuna a las partes
5. Monitoreo responsables de tomar acciones correctivas
 Cuando resulten materiales, informarse a la junta directiva.
Principios propuestos por Deloitte para TM

conformar una empresa inteligente frente al riesgo

Definición Común de Riesgos

Marco Común

Gobierno del
Riesgo Supervisión Junta Directiva
Roles y responsabilidades

Mensaje desde
Responsabilidad de los la dirección
cuerpos de Gobierno

Infraestructura Común Infraestructura

Común de Riesgo
Responsabilidad de la
Infraestructura y
Gerencia
Gerencia manejo del
riesgo
Personas Procesos Tecnología
Aseguramiento de Objetivos y
Monitoreo

Proceso de Riesgos
Responsabilidad de las
unidades de Negocio Unidades de
Analizar
Diseñar,
Monitorear,
negocio y
Propiedad del Identif icar
y Ev aluar
Integrar Responder implementar
asegurar y funciones de
riesgo Riesgos Riesgos a Riesgos y probar
Soporte de las funciones Riesgos
controles
escalar soporte
comunes
Tipología de Riesgos

Gobierno Estrategia Operaciones / Cumplimiento Reporte

y planeación Infraestructura

20
 LAFT LIQUIDEZ MERCADO

CREDITO LEGAL

OPERATIVO REPUTACIONAL CONTRAPARTE

 Que es el
riesgo
operativo???
 Es la posibilidad de
incurrir en pérdidas por
Que es el deficiencias, fallas o
inadecuaciones, en el
riesgo recurso humano, los
procesos, la tecnología, la
operativo??? infraestructura o por la
ocurrencia de
acontecimientos externos
Factores del Riesgo Operativo
Factores
Internos

Riesgo
Operativo

Factores
Externos
Factores del Riesgo Operativo

1. Recurso Humano
Factores 2. Procesos
Internos 3. Tecnología
4. Infraestructura
Factores del Riesgo Operativo

Son situaciones asociadas a

la fuerza de la naturaleza u
Factores ocasionadas por terceros,
Externos que escapan en cuanto a su
causa y origen al control de
la entidad.
Eventos del Riesgo Operativo

Incidente o situación que

ocurre en un lugar
Eventos de
particular durante un
Riesgo intervalo de tiempo
determinado.
Clasificación del Riesgo Operativo

1. Fraude Interno
2. Fraude Externo
3. Relaciones Laborales
Clasificación 4. Clientes
5. Daños a activos
6. Fallas tecnológicas
7. Ejecución y admon de procesos
Clasificación del Riesgo Operativo
1. Fraude Interno: Actos que de forma intencionada buscan defraudar o
apropiarse indebidamente de activos de la entidad.
2. Fraude Externo: Actos, realizados por una persona externa a la entidad, que
buscan defraudar, apropiarse indebidamente de activos de la misma.
3. Relaciones Laborales: Actos que son incompatibles con la legislación laboral,
con los acuerdos internos de trabajo.
4. Clientes: Fallas negligentes o involuntarias de las obligaciones frente a los
clientes y que impiden satisfacer una obligación profesional frente a éstos.
5. Daños a activos: Pérdidas derivadas de daños o perjuicios a activos físicos de la
entidad.
6. Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.
7. Ejecución y admon de procesos: Pérdidas derivadas de errores en la ejecución
y administración de los procesos
Sistema de Administración de Riesgo
Operativo SARO

Y que deben
realizar las
compañías??
Sistema de Administración de Riesgo
Operativo SARO
Etapas

Sistema
de Riesgo
Operativo

Elementos
Sistema de Administración de Riesgo
Operativo SARO

1. Identificación
2. Medición
Etapas
3. Control
4. Monitoreo
Etapas del Sistema de Riesgo
Operativo
Las entidades deben identificar los riesgos operativos
Identificación a que se ven expuestas, teniendo en cuenta los
factores de riesgo. Debe realizarse previamente a la
implementación o modificación de cualquier proceso.

Una vez concluida la identificación, las entidades

deben medir la probabilidad de ocurrencia de los
Medición riesgos operativos y su impacto en caso de
materializarse. Esta medición podrá ser cualitativa y,
cuando se cuente con datos históricos, cuantitativa.

Las entidades deben tomar medidas para controlar los

riesgos inherentes a que se ven expuestas con el fin
Control de disminuir la probabilidad de ocurrencia y/o el
impacto en caso de que se materialicen.

Monitoreo Las entidades deben hacer un monitoreo periódico

del perfil de riesgo y de la exposición a pérdidas.
Sistema de Administración de Riesgo
Operativo SARO

1. Políticas
2. Procedimientos
3. Documentación
Elementos 4. Estructura Organizacional
5. Registro de eventos
6. Órganos de control
7. Plataforma tecnológica
8. Divulgación de información
9. Capacitación
Elementos del Sistema de Riesgo
Operativo
Son los lineamientos generales que las entidades
1. Políticas deben adoptar en relación con el SARO.

Aplicables para la adecuada implementación y

funcionamiento de SARO: Instrumentar las
2. Procedimientos etapas y elementos, identificar cambios y
evolución de controles, medidas por
incumplimiento.

Incluye el Manual SARO, documentos que

3. Documentación evidencien el funcionamiento, Informes a la
Junta.

4. Estructura Establecer y asignar funciones en relación con

Organizacional las distintas etapas y elementos del SARO..
Estructura organizacional del Sistema
de Riesgo Operativo
Junta Directiva Establece políticas; Aprueba el manual, Hace
seguimiento y se pronuncia, establece el
perfil de riesgo, proveer recursos.
Diseña y somete aprobación de la JD el
manual, velar por cumplimiento de políticas,
Alta Dirección
hace seguimiento de etapas y elementos,
adopta medidas para cumplir con el perfil de
riesgos.
Define las metodologías, administra el
Unidad de Riesgo registro de eventos, evalúa la efectividad de
Operativo los controles, Monitorea el perfil de riesgo,
desarrolla programas de capacitación
Elementos del Sistema de Riesgo
Operativo
Construir registro de eventos de RO : a) Generan pérdidas y
5. Registro de afectan el P&G. b) Generan pérdidas y no afectan el P&G. c)
eventos No generan pérdidas.

6. Órganos de
1) Revisoría Fiscal y 2) Auditoría Interna
control

7. Plataforma Contar con la tecnología y los sistemas necesarios para

tecnológica garantizar el adecuado funcionamiento del SARO.

Diseño de un sistema adecuado de reportes tanto internos

8. Divulgación de
como externos, que garantice el funcionamiento de sus
información propios procedimientos.

Diseñar, programar y coordinar planes de capacitación sobre

9. Capacitación el SARO dirigidos a todas las áreas y funcionarios.
Algunas definiciones
Posibilidad de incurrir en pérdidas por deficiencias, fallas o
Riesgo Operativo inadecuaciones, en el recurso humano, los procesos, la
tecnología, la infraestructura o sucesos externos.

Resultado consolidado de la medición permanente de los

Perfil de Riesgo riesgos a los que se ve expuesta la entidad.

Fuentes generadoras de riesgos operativos que pueden o no

Factores de riesgo generar pérdidas.

Incidente o situación que ocurre en un lugar particular

Evento durante un intervalo de tiempo determinado.

Aquellos incidentes que generan pérdidas por riesgo

Eventos de pérdida operativo a las entidades.
¿Cuáles situaciones de riesgo operativo han tenido que afrontar en sus
organizaciones?
Sistema de Administración de Riesgo
Operativo SARO

Y ahora sí que
hay que
hacer???
MUCHAS GRACIAS