SARO

Sistema de
Administración de
Riesgo Operacional
Introducción. El Riesgo Operacional del Banco Caja Social es uno de los riesgos a los que se ve expuesta
la entidad en el desarrollo natural de su misión, su gestión se realiza para de identificar,
medir, controlar y mitigar sus causas en todos los productos, procesos, actividades y
sistemas, en todas las áreas de negocio y en los proveedores.

Esta gestión involucra activamente a los terceros como aliados en la ejecución de integral
de los procesos de la Entidad, por lo que se hace relevante el conocimiento y aplicación de
las definiciones en cada uno de ellos, esta capacitación es uno de los mecanismos que le
permiten a nuestros aliados incorporar el conocimiento y las definiciones en lo procesos
en los que desarrollan los servicios o productos contratados y cuya aplicación será
evaluada y monitoreada.
 Empecemos por definir ¿Qué es riesgo?
Es la posibilidad de que una situación o circunstancia genere pérdidas económicas y por tanto
afecte la creación de valor de la entidad. Algunos riesgos a los que el Banco está expuesto son:

RIESGO DE MERCADO RIESGO DE CRÉDITO RIESGO DE LA/FT RIESGO OPERACIONAL

Posibilidad de pérdidas en Posibilidad de pérdidas por Posibilidad de pérdidas

inversiones por variación
de precios de mercado.
incumplimiento de
clientes en el pago de
créditos.
los por ser usada para
Lavado de Activos o
Financiación
terrorismo
del ?
Entonces ¿Qué es Riesgo Operacional?

Es la posibilidad de incurrir en pérdidas por deficiencias,

fallas o inadecuaciones en los procesos, la tecnología, la
infraestructura y en el recurso humano, o por la
ocurrencia de acontecimientos externos en estos cuatro
factores.
y ¿Qué es el Sistema de Administración del Riesgo Operacional?
Es el conjunto de elementos articulados que permite
identificar, medir, controlar y monitorear la exposición a los
riesgos operacionales de un proceso o actividad.

PRINCIPALES BENEFICIOS
Cultura de Riesgo: facilita el desarrollo de la cultura de riesgo en la cual todos los
funcionarios tienen una responsabilidad.
Apetito de Riesgo: permite definir y monitorear la cantidad de riesgo que la entidad
está dispuesta a asumir.
Mejoramiento Continúo: revisión permanente de los procesos permitiendo identificar
oportunidades de fortalecer la seguridad, la calidad del servicio y la productividad.

Toma de Decisiones: brinda información que facilita a la alta gerencia la toma de

decisiones estratégicas: priorizar mejoras, crecimiento, nuevos productos, etc.
y ¿Qué es el Sistema de Administración del Riesgo Operacional?

IDENTIFICAR MEDIR

Realizar el inventario de los riesgos Dimensionar las pérdidas si se

de sus procesos cada vez que se materializa el riesgo y número de
requiera, mínimo una vez al año, veces al año que se puede
cada vez que modifique el proceso, presentar.
por requerimiento de entes de
control. Valida conjuntamente con el
Valida conjuntamente con el Banco. Banco

Cómo: archivo en Excel propio o suministrado Cómo: archivo en Excel propio o suministrado
por el Banco. por el Banco.

Fuente: Circular Externa 025 de 2020, con vigência a partir de Julio de 2021
 y ¿Qué es el Sistema de Administración del Riesgo Operacional?

CONTROLAR MONITOREAR

Incorpora controles internos

y conjuntos con el Banco a Seguimiento a los controles.
sus procesos para minimizar Reporte de eventos.
las pérdidas o la frecuencia o Análisis conjunto con el Banco.
ambas.
Cómo: archivo en Excel propio o suministrado Cómo: archivo en Excel propio o suministrado
por el Banco. por el Banco.

Fuente: Circular Externa 025 de 2020, con vigência a partir de Julio de 2021
Elementos y recursos para gestionar el riesgo operacional
El objetivo con los proveedores – aliados es construir conjuntamente procesos seguros y
eficientes, para ello es vital la gestión de los riesgos operacionales mediante el desarrollo,
entre otras, las siguientes actividades :

 Definir los controles que mitiguen riesgos significativos y la documentación de los

resultados de la evaluación de esos controles.
 El reporte periódico de los eventos relacionados con los factores de riesgo.
 La actualización anual de los riesgos de los procesos.
 El reporte de los cambios en sus procesos, infraestructura o tecnología que impacten los
procesos contratados.
 Soportes de la ejecución de los controles.
 Verificación en sitio de la ejecución de controles.
Elementos y recursos para gestionar el riesgo operacional
PROCESOS
Es el conjunto de actividades que realiza la entidad,
directamente o a través de proveedores, para la
transformación de elementos de entrada en productos
o servicios, que satisfagan necesidades precisas.
La administración adecuada de los procesos de la
entidad exige su estructuración y organización en
función del cliente, la misión, visión objetivos
estratégicos. Comprender que la entidad está
conformada por un conjunto de procesos nos permite:
• Tener una visión integral y sistemática de las
actividades de la entidad.
• Racionalizar las operaciones .
• Prevenir errores.
•Mejorar la calidad y valor percibido por el cliente.
PROCESOS Y RIESGO
OPERACIONAL
La ejecución de las actividades, contenidas en los
procesos, expone a la organización a riesgos
operacionales. La definición y categorización de
procesos facilita la identificación y gestión de los riesgos
operacionales asociados a estos.
 Identificación de procesos.
 Identificación de riesgos ocurridos o potenciales de
cada actividad.
 Medición de riesgos a partir de la probabilidad de
ocurrencia e impacto económico.
 Identificación y valoración de los controles
existentes para cada riesgo.
 Monitoreo del comportamiento del Riesgo
Operacional a través de indicadores y reportes.
Elementos y recursos para gestionar el riesgo operacional
TAXONOMÍA
Es el catálogo de riesgos
operacionales a los que está
expuesta el Banco en el
desarrollo de sus procesos, y
son los que el proveedor
debe verificar si existe o no
exposición a ellos. Está
compuesto por siete riesgos
de primer nivel:
1. Fraude Interno: actos que de forma intencionada buscan defraudar o apropiarse indebidamente de
bienes indebidamente o incumplir regulaciones, leyes o políticas empresariales vigentes en los que se
encuentra implicado, un empleado o un tercero contratado para ejecutar procesos a nombre de la
entidad:
2. Fraude Externo: actos realizados por una persona externa a la entidad, que buscan defraudar o
apropiarse indebidamente de activos de la misma o incumplir normas o leyes, en los que se encuentra
implicado un tercero ajeno a la entidad. Se incluyen los ciber riesgos que atentan contra la
confidencialidad, integridad, trazabilidad y disponibilidad de la información en el ciber espacio.
3. Relaciones Laborales y Seguridad Laboral: actos u omisiones que son incompatibles con la legislación
laboral o con acuerdos relacionados con el higiene o la seguridad en el trabajo, o que versen sobre el
pago de reclamaciones por daños personales o casos relacionados con la diversidad o discriminación en
el ámbito laboral.
4. Clientes, Productos y Prácticas Empresariales: incumplimiento involuntario o negligente de una
obligación profesional/empresarial frente a clientes o eventos derivados de la naturaleza o diseño de un
producto.
Elementos y recursos para gestionar el riesgo operacional
TAXONOMÍA
Es el catálogo de riesgos
operacionales a los que está
expuesta el Banco en el
desarrollo de sus procesos, y
son los que el proveedor
debe verificar si existe o no
exposición a ellos. Está
compuesto por siete riesgos
de primer nivel:
5. Daños a Activos Físicos: daños o perjuicios a activos físicos de la entidad como consecuencia de
desastres naturales, actos de terrorismo, vandalismo u otros acontecimientos que afecten el proceso
contratado.
6. Fallas Tecnológicas: hechos originados por fallas del hardware, software, telecomunicaciones o
servicios públicos que puedan afectar, además de la operación interna de la entidad, la prestación del
servicio a los clientes.
7. Ejecución y Administración de Procesos: errores en el procesamiento de operaciones o en la gestión
de procesos, así como en las relaciones con contrapartes comerciales y proveedores. Dentro de estas
tenemos como ejemplo:
 Errores o duplicidad en la captura de datos en transacciones u operaciones o la entrada o cargue de
información para el procesamiento de datos.
 Deficiencias involuntarias en el procesamiento o administración de información.
 Inadecuaciones en la definición, administración y ejecución de procesos (manuales, entrenamiento,
competencia, controles, responsabilidades y atribuciones, capacidad, etc.).
 Incumplimiento de la regulación.
 Errores en la custodia de documentos.
 Incumplimiento en derechos de propiedad intelectual, registro, documentos técnicos, patentes y
marcas, etc.
Materialización de Riesgo Operacional

Cuando se presenta una

deficiencia, o una falla o una Genera pérdida y
inadecuación en el recurso Tipo A afecta el estado de
humano, los procesos, la tecnología resultados.
o la infraestructura se dice que un
riesgo se materializó. Es un evento No genera pérdida o
de riesgo operacional que debe ser Tipo B no afecta el estado de
reportado al Banco en el formato resultados.
establecido, independientemente
que haya o no pérdidas.
Dependiendo las pérdidas los
eventos se clasifican en:
Materialización de Riesgo Operacional

Tecnología Infraestructura

• Fallas o indisponibilidad de los

sistemas por mal funcionamiento • Daños y afectaciones en las
de la infraestructura tecnológica. instalaciones que afecten la
operación: fallas de máquinas y
• Ataques informáticos. equipos, inundaciones, etc.

• Borrado de información

• Fallas en la red de
comunicaciones.
Materialización de Riesgo Operacional

Recurso Humano Procesos

• Errores, omisiones o inoportuna • Ejecutar procesos por fuera de

ejecución de las operaciones las políticas establecidas por la
asignadas. entidad.
• Sobornos, conflictos de interés
para la ejecución de actividades • Establecer relaciones con
proveedores por fuera de las
• Manipular procedimientos o políticas definidas.
requisitos con el fin de favorecer
a un tercero. • Extralimitación de atribuciones.
• Fuga de información.
• Incumplimiento de la regulación.
• Capacidad insuficiente o sin
capacitar.
Materialización de Riesgo Operacional
Acontecimientos Externos

• Robo o fraude.
• Vandalismo.
• Desastres naturales.
Ejemplos de Materialización de Riesgo Operacional
Protección de datos
En julio de 2019 la Superintendencia de Industria y Comercio multó a Comcel S.A y
Avantel por consultar sin previa autorización, el historial crediticio de sus clientes,
“violando así lo establecido por la Ley de Habeas Data Financiero (Ley 1266 de 2008)”

En el mismo mes, la SIC multó a DirectTV “por enviar información de un cliente a un

tercero, infringiendo así la Ley 1581 de 2012”. Estas multas ascienden a $864 millones
de pesos .

Seguridad de la información
En junio de 2020 la Superintendencia Financiera multó a una entidad “por algunos
aspectos asociados al Sistema de Administración de Riesgo Operativo y medidas para
la seguridad de la información” por total de $760 millones de pesos.

En marzo de 2018 la Superintendencia Financiera multó a una entidad por “Riesgos

Operativos, requerimiento mínimo de seguridad y calidad en el manejo de la
información a través de medios y canales de distribución y productos y servicios para
clientes y usuarios”
Gracias