Unidad 3

1 //Escenario
Escenario26
Lectura fundamental
Fundamental

Tipologías
Etapas de un
de riesgo
plan departe
comunicación
IV
estratégica

Contenido

1 Riesgo operacional

2 Herramientas para el control del riesgo operacional

3 Riesgo reputacional y de gobierno corporativo

4 SARLAFT

Palabras clave: riesgo de crédito, provisiones, modelos Logit, modelos Z-Score, pérdidas esperadas, matrices de transición.
Introducción
En la gestión y administración de riesgos se debe distinguir entre las diferentes tipologías de estos. Es
importante tener presente que todos los riesgos se encuentran relacionados, pero para su adecuada
gestión se requieren distintos controles. Las entidades utilizan la clasificación de riesgos para definir
las funciones y actividades en sus respectivas áreas de control.

Desde el punto de vista de la gestión, se identifican al menos siete tipos de riesgo que se clasifican
de la siguiente manera: operacional, estratégico, reputacional, legal, mercado, liquidez y crédito.
Asimismo, estos se encuentran subdivididos en dos subgrupos: no cuantificables y cuantificables.

Los riesgos no cuantificables están asociados a aquellos que, por sus tipologías y características, tienen
limitaciones en la cuantificación de su probabilidad de ocurrencia del evento y en la severidad del impacto.

Esta cuantificación se debe a la complejidad del modelo, acceso y disponibilidad de datos históricos
incluso a pesar de los avances en la tecnología, ya que en realidad se tienen fuertes restricciones
de acceso a sistemas de información y de tecnología en términos de presupuesto y facilidad en el
adecuado procesamiento de datos e información.

1. Riesgo operacional
La inclusión del riesgo operacional en Basilea indica importantes avances en la gestión bancaria,
incluso la dificultad en la cuantificación y modelación está reemplazando el interés científico
tradicional por los riesgos de crédito y mercado.

Debido a un alto componente cualitativo, se dificulta el desarrollo y la implementación de

herramientas estadísticas que garanticen una adecuada y confiable identificación y medición, por
lo cual el sistema financiero se enfrenta a retos constantes en la implementación e innovación de
modelos que permitan mejorar la precisión de estos cálculos.

La Superintendencia Financiera de Colombia (1995) define el riesgo operativo como una posibilidad
de incurrir en pérdidas, debido a deficiencias, fallas o inadecuaciones en los recursos humanos,
procesos, tecnología, infraestructura o incluso por la ocurrencia de acontecimientos externos.

El riesgo operacional se encuentra presente en los mayores escándalos financieros, por lo cual su
adecuada gestión ha elevado el interés e importancia por parte de la industria financiera.

POLITÉCNICO GRANCOLOMBIANO 2
Debido a este interés, se pueden ver en la vida real algunas soluciones simples como poner personal
de seguridad en la entrada de un banco o incluso la implementación de sistemas biométricos
complejos o robustos sistemas que eviten procesos manuales que garanticen minimizar las
probabilidades de error.

Uno de los casos más emblemáticos y famosos en la literatura es la quiebra del banco inglés Barings
Bank, entidad que ya tenía una importancia histórica por su legado de dos siglos de antigüedad; sin
embargo, esta institución se extinguió en 1995 debido a las pérdidas acumuladas por operaciones
fraudulentas en contratos derivados causadas por fallas en los sistemas y controles por parte de un
operador en Singapur, llamado Nick Leeson.

Leeson se enfrentaba a un claro conflicto de intereses, ya que fungía de forma simultánea como jefe
de operaciones y se encargaba de todo el tema contable y de cumplimiento de operaciones, pero
además era el encargado de todos los negocios de Barings en el Intercambio Monetario Internacional
de Singapur (SIMEX), estos dos puestos de trabajo, por su responsabilidad, deberían ser ocupados y
desempeñados por dos empleados de forma independiente. La deficiencia en los controles permitió
que Leeson pudiera presentar informes de manera fraudulenta a un despacho dentro del propio
Banco que él mismo administraba, en este caso se materializó un riesgo operacional, dado que no se
tenía un control efectivo para evitar este conflicto de intereses. Esta falla en el manejo de información
y los controles generó que el sector financiero colocara más importancia en temas asociados a
auditorías internas y externas y además contara con un área independiente y autónoma que se
encargue de la gestión de riesgos.

Las fallas administrativas en el interior del banco reflejaron una ausencia de adecuada supervisión y
control de riesgos, situación que permite a un funcionario asumir posiciones excesivamente riesgosas
en el mercado de derivados. Adicionalmente, debido a la ausencia de controles Leeson pudo disfrazar
sus pérdidas y las reportó contablemente como ganancias al Barings en Londres.

Leeson pudo hacer actuaciones fraudulentas al modificar una cuenta de errores de la sucursal, este
suceso se hizo famoso a nivel mundial dado que esta cuenta sería conocida por su número 88888 o más
conocida como la "cuenta de los cinco ochos", este fraude se hizo para evitar que la oficina de Londres
pudiera notificarse de los reportes diarios y por ende no se pudiera dar cuenta de las verdaderas pérdidas. Al
respecto, Nick Leeson argumentó que las pérdidas se elevaron y se tornaron excesivas porque uno de sus
colegas adquirió contratos de futuros cuando en realidad se debían liquidar.

POLITÉCNICO GRANCOLOMBIANO 3
Las actividades fraudulentas de Leeson generaron pérdidas totales de 827 millones de libras (1200
millones de USD), siendo este monto el doble del capital disponible del banco, por lo cual lo dejó
prácticamente insolvente. El Banco de Inglaterra intentó un rescate, pero no se pudo concretar nada
y por esta razón Barings fue declarado en banca rota el 26 de febrero de 1995.

1.1. Factores de riesgo operacional y categorías de pérdidas

Los factores potenciales de riesgo operacional se pueden agrupar en cuatro categorías. La primera se
refiere a los procesos, los cuales están asociados a las actividades habituales o de rutina, necesarias
para el adecuado funcionamiento del establecimiento bancario, no obstante, estas actividades
son susceptibles a tener inconvenientes como fallas o errores en el adecuado registro en las
transacciones, imprecisiones en la contabilidad, inconsistencias en pagos.

Los factores de riesgo operativo derivados de fallas en los sistemas o tecnología se afectan por las
herramientas necesarias que mantienen y garantizan el adecuado funcionamiento de los procesos.
Dentro de esta categoría se incluyen fallas o daños en hardware o software, problemas de acceso a
la información o acceso no autorizado a esta, que ponga en peligro la idoneidad de este recurso, así
mismo se evidencia la vulneración a controles asociados con la seguridad de la información.

En cuanto a los factores de riesgo operacional vinculados con talento humano, se destaca el de
personas que no sean idóneas o tengan el perfil profesional asociado al cargo y además tengan bajo
su responsabilidad la ejecución y operación de los procesos en donde se puedan cometer de forma
persistente inconsistencias, fallas o errores y además se tenga acceso a información vulnerable como
negocios no autorizados, manejo inadecuado de datos confidenciales y de carácter privilegiado,
fraudes, entre otros.

Por último, existen factores de riesgo asociados a eventos externos que no dependen de la entidad
y su probabilidad de ocurrencia es baja, pero su severidad en cuanto impacto es alta, el ejemplo más
común son los desastres naturales o actos violentos como vandalismo o terrorismo. En la Figura 1 se
encuentra la información relacionada con los factores de riesgo operacional más comunes.

POLITÉCNICO GRANCOLOMBIANO 4
 Incumplimiento de los mandatos.
* Incorrecta captura, ejecución, y registro de la transacción.
* Pérdida de activos del cliente.
Conjunto interrelacionado de
* Equivocación en la tasación de los productos.
actividades para la
* Asignación incorrecta del activo, asuntos de cumplimiento.
Procesos transformación de elementos
* Errores de acciones corporativos.
de entrada en productos
* Errores en las reservas de préstamos.
o servicios.
* Errores de la contabilidad y en los impuestos.
* Inadecuada contabilización de registros contables.
* Errores en abonos y liquidaciones

Fallas en el hardware o software.

Herramientas empleadas para
* Indisponibilidad e integridad dudosa de los datos.
Sistemas y soportar los procesos de la
* Acceso no autorizado a la seguridad de la información.
equipos técnicos entidad (software, hardware y
* Fallas en las telecomunicaciones.
telecomunicaciones).
* Interrupción de los sistemas, piratería o virus.

Negocios no autorizados. Abuso de información privilegiada.

Personas vinculadas directa o
indirectamente con la
Recursos humanos
ejecución de los procesos de
una entidad.
* Fraude, enfermedades y lesiones de los empleados.
* Demandas por discriminación.
* Remuneración, beneficio y terminación de contrato.
* Problemas de reclutamiento o retención del personal.
* Actividades laborales desorganizadas.
* Otros asuntos legales.

Fallas operacionales con proveedores o con el outsourcing.

Aquellos sobre los cuales la
* Incendios o desastres naturales.
entidad no tiene control, por
Eventos externos * Terrorismo.
ejemplo, desastres naturales,
* Vandalismo, hurto, robo.
actos terroristas, etc.

Figura 1. Factores de riesgo operacional

Fuente: elaboración propia

En la Figura 2 se identifican de manera detallada algunos eventos o situaciones de riesgo, los cuales
pueden representar posibles pérdidas para la entidad financiera. El análisis del riesgo operacional
conlleva a una categorización de eventos que se pueden materializar como posibles pérdidas.

POLITÉCNICO GRANCOLOMBIANO 5
 Errores intencionados en la información sobre posiciones, robos por parte de
Fraude interno
empleados, utilización de información confidencial en beneficio del empleado.

Atraco, falsificación, circulación de cheques en descubierto, daños por intrusión

Fraude externo
en los sistemas informáticos, etc.

Solicitud de indemnizaciones por parte de los empleados, infracción de las

Relaciones laborales
normas laborales de seguridad e higiene, acusaciones de discriminación.

Abusos de confianza, abuso de información confidencial sobre el cliente,

Prácticas de clientes,
negociación fraudulenta con las cuentas del banco, lavado de activos,
productos y negocios
ventas no autorizadas.

Daños a activos físicos Terrorismo, vandalismo, terremotos, incendios, inundaciones.

Alteración de la actividad Fallos del hardware o del software, problemas en las telecomunicaciones,
y fallas de sistemas interrupción en la prestación de servicios públicos.

Errores en la introducción de datos, fallos en la administración del colateral,

Ejecución, entrega y
documentación jurídica incompleta, concesión de acceso no autorizado a las
procesamiento
cuentas de clientes, prácticas inadecuadas de contrapartes no clientes, litigios.

Figura 2. Categorías de pérdidas en riesgo operacional

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 6
La gestión del riesgo ha tomado gran importancia en las entidades financieras, las cuales se
caracterizaban por la preocupación tradicional de los riesgos de crédito (asociado a la incertidumbre
derivada de los pagos y la recuperación de la cartera) y de mercado (cambios no esperados en los
precios que afectan a los portafolios de la entidad). Desde los años 90 esta importancia e interés se
ha desplazado hacia la gestión y administración del riesgo operacional.

Los factores más comunes y cotidianos de riesgo operacional pasaron de ser eventos pequeños y
fortuitos que eran totalmente predecibles (errores de procesos, fallos técnicos, fallas en servicios
públicos y de redes de comunicación) a protagonizar el colapso inesperado de entidades bancarias
emblemáticas y volverse el foco de atención de las noticias y documentales, generando una creciente
preocupación por parte de los reguladores.

Estas grandes pérdidas tenían en común que la fuente de origen era por problemas normativos,
dificultades en auditorías por parte del área de control interno, fraudes externos e internos. Estos
factores de riesgo operacional motivaron el desarrollo y la innovación tecnológica asociada a
minimizar los errores humanos en las operaciones, la diversificación de productos, tercerización de
personal y procesos por medio de outsourcing, entre otros.

La definición de riesgo operacional excluye el riesgo estratégico y de reputación, así mismo se tiene
como referente la emitida por el Comité de Basilea, la cual considera que el riesgo operacional es una
potencial pérdida explicada por la inadecuación de controles que permiten fallos en los procesos, el
personal y los sistemas internos.

En adición, otra definición que recoge las posibles fuentes de origen de riesgo operacional es la siguiente:
procesos o procedimientos que se ejecutan en el interior de la organización, fallas en el manejo de recursos
humanos o sistemas (tecnología) y eventos externos que no dependen de la organización.

Para propósitos de cálculo del capital regulatorio, no se incluyen las pérdidas indirectas dado que son
difíciles de valorar y cuantificar.

Para entender los retos y desafíos en la gestión del riesgo operacional es importante tener una
diferenciación entre los riesgos de crédito y mercado, los cuales son cuantificables con técnicas o
modelos estadísticos. El riesgo operacional se encuentra asociado a los procesos y no al producto,
por lo cual no siempre surge por medio de transacciones y no se refleja en el estado de resultados
de forma recurrente dada esta dificultad, el riesgo operacional es difícil de calcularlo o gestionarlo
y tampoco es posible reducirlo mediante una diversificación, por lo cual muchas organizaciones lo
asumen o retienen de forma obligatoria e inevitable como parte del negocio de la empresa.

POLITÉCNICO GRANCOLOMBIANO 7
 1.2. Cuantificación y medida del riesgo operacional

Para la valoración del riesgo operacional se recomienda, de manera inicial, un proceso asociado de
autoevaluación, el cual se suele representar en un mapa de riesgos como el que se ilustra en la Figura 3.

Perfil de riesgo

Muy
Probabilidad de ocurrencia

A A E E E
frecuente

Probable M A A E E

Puede B M A E E
ocurrir
E Riesgo extremo
Eventualmente B B M A E A Riesgo alto
M Riesgo moderado
Rara vez B B M A A
B Riesgo bajo

Insignificante Menor Moderado Mayor Catastrófico

Severidad

Figura 3. Ejemplo de mapa o matriz de riesgos

Fuente: elaboración propia

Este mapa se construye combinando dos variables: la frecuencia o probabilidad de ocurrencia de

una posible pérdida derivada de riesgos operacionales y la severidad en términos monetarios en caso
de que dicha pérdida ocurra. El tipo de riesgo total resultante se deberá gestionar con base en estas
características que resultan de la combinación de frecuencia y severidad.

POLITÉCNICO GRANCOLOMBIANO 8
Dado que los riesgos de menor probabilidad se asumen como parte del negocio y por ende se reflejan
en el precio de los productos y servicios que ofrece la organización, los riesgos menos frecuentes y
que además se clasifican como de mayor impacto representan circunstancias poco probables y que
ocurren de forma nula, por lo cual el enfoque en la gestión se concentra en los riesgos valorados
como medio y alto, los cuales podrían impactar de forma negativa la entidad en caso de ocurrencia.

La gestión de riesgos clasificados como medios y altos se facilita en caso de que la organización
disponga de datos históricos suficientes y estadísticas sobre los eventos de riesgo más frecuentes
y que se clasifiquen como de pequeña severidad. Esta información permite entender su
comportamiento aplicando herramientas estadísticas paramétricas. Dentro de los eventos más
comunes se encuentran los siguientes: el fraude en desembolsos bancarios o suplantaciones con
tarjetas de crédito, fallas e inconsistencias contables o en desembolsos o liquidaciones. Como estos
errores generan pérdidas predecibles o esperadas, estas se cubren por medio de provisiones.

En contraste, es poca la frecuencia y disponibilidad de datos o información de riesgos externos

como desastres naturales, terremotos, incendio, fraudes o pleitos, por lo cual, las entidades deben
buscar datos externos y encuestas a expertos para el diseño de escenarios, con el fin de completar la
información que es escasa. Según la severidad del riesgo operacional, en algunas ocasiones, se recurre
al mercado de los seguros.

Para la cuantificación de riesgos operacionales, lo expertos plantean varios enfoques, los cuales
se clasifican de la siguiente manera: modelos top-down (de arriba-abajo) que se conocen como
descendentes y bottom-up (de abajo-arriba) que sería ascendentes:

Los enfoques top-down se caracterizan por determinar el monto mínimo de capital que debe tener
la organización para luego distribuirla a través de todas sus líneas de negocio. Entre las metodologías
más comunes se destaca el cálculo basado en un indicador que asume una relación directa entre el
riesgo operacional asumido y un indicador monetario que sirva como referencia de importancia, este
tipo de indicador suele ser el patrimonio, ingresos, activos.

En los modelos bottom-up se parte de los cálculos individuales en cada unidad de negocio para luego
agregar las cifras y poder sacar el monto global de capital. En este tipo de enfoques también se
utiliza el método de panel de expertos para la generación de escenarios en caso de que no se tenga
información histórica válida para hacer métodos estadísticos.

POLITÉCNICO GRANCOLOMBIANO 9
2. Herramientas para el control del riesgo operacional
Las entidades realizan esfuerzos relevantes para producir herramientas cuantitativas y cualitativas
de control del riesgo operacional. Las técnicas cuantitativas se utilizan para simular el posible
comportamiento que pueden tener las pérdidas y a la vez el impacto de eventos extremos. La utilidad
de las metodologías cualitativas está en la facilidad de identificar y reconocer los factores de riesgos,
con el fin de poder apoyar el desarrollo de metodologías de gestión internas más robustas que sirvan
de insumo para la construcción de modelos avanzados.

2.1. Indicadores de riesgo

Se validan variables que sean relevantes y además que estén asociadas al funcionamiento de la
entidad en situaciones cotidianas que puedan generar posibles pérdidas operacionales, con el fin de
anticiparlas mediante una descripción que permita un adecuado seguimiento del riesgo. Además, se
recomienda analizar la evolución de los indicadores y la fijación de límites que se deben aprobar por
la alta dirección de la entidad, los cuales sirvan de control y revelen el apetito que tiene esta entidad
sobre los riesgos identificados.

2.2. Redes causales

Son gráficos que representan la relación entre variables tomando como principio el conocimiento
previo, este tipo de métodos utiliza unas probabilidades subjetivas, es decir, no usan una formulación
matemática, además, este tipo de enfoque es dinámico dado que se modifican a través del análisis y
observaciones que permitan definir o ajustar estas probabilidades de forma a posteriori con el objeto
de que estos resultados sean más objetivos.

POLITÉCNICO GRANCOLOMBIANO 10
 2.3. Transferencia del riesgo mediante seguros

Los seguros permiten transferir el riesgo a un tercero, el cual sería el asegurador, para mitigar
las potenciales pérdidas, con el fin de que la entidad no tenga que gestionar de forma interna la
incertidumbre. No todos los riesgos son asegurables y la decisión de contratar un seguro está sujeto al
valor agregado que pueda mitigar el asegurado.

La contratación de un seguro puede generar valor monetario adicional para los accionistas, pero
impartiría tranquilidad con la cobertura por medio de prevención y mitigación de catástrofes
financieras, las cuales en ausencia del seguro requieren de mayor supervisión y control por parte de la
alta dirección, así como la gestión integral del riesgo. La entidad puede tomar la decisión de contratar
un seguro para trasladar a un tercero sus posibles o potenciales pérdidas operacionales solo en el
caso que la prima de dicho producto sea menor al uso de utilizar recursos propios mediante el cálculo
contable de provisiones que permitan minimizar esta exposición.

En la práctica es muy normal observar que las entidades utilizan estos productos en los riesgos que
ocurren con baja frecuencia, pero que su severidad implica un gran impacto para la organización,
sobre los cuales no se dispone de conocimiento suficiente para su gestión interna o de datos
históricos. Adicionalmente, los riesgos de bajo impacto monetario no se aseguran por el alto costo
que implica la suscripción de dichas pólizas, por lo cual se recomienda usar provisiones o implementar
controles que minimicen la ocurrencia de estos eventos administrativos.

2.4. La regulación del Nuevo Acuerdo de Basilea

El Acuerdo de Capitales de Basilea de 1988 se había quedado obsoleto por no ajustarse a los nuevos
requerimientos del sector financiero. Por lo anterior, el acuerdo de Basilea-II incorporó una categoría
para la valoración del capital regulatorio. El Acuerdo se estructura en tres pilares y en todos ellos
se tiene en cuenta el riesgo operacional. El pilar 1 está asociado a los requisitos necesarios que sean
los mínimos de capital y patrimonio para determinar los recursos que debe tener la entidad para
gestionar el riesgo operacional; el pilar 2 establece la necesidad de una revisión supervisora que
permita verificar que el capital requerido sea apropiado y se ajuste al perfil y apetito de riesgo de la
organización; por último, el pilar 3 está enfocado en buenas prácticas sobre disciplina y transparencia
de mercado al exigir que se revele de forma pública la información relativa del capital y método
aplicado para obtenerlo.

POLITÉCNICO GRANCOLOMBIANO 11
El primer pilar considera tres métodos para el cálculo de capital, los cuales tienen como diferencia la
complejidad de su estimación:

a. Método del indicador básico: El capital a mantener, como mínimo, se obtiene en un

porcentaje fijo de 15% sobre el monto promedio de los ingresos brutos obtenidos en los tres
últimos años, en el caso de tener pérdidas o ingresos nulos se deben omitir del cálculo.

b. Método estándar: El capital mínimo necesario se obtiene de forma agregada con base en la
cifra calculada a partir de un porcentaje fijo para las ocho líneas de negocio preestablecidas,
a las que cada organización se encuentre interesada en adaptar¹. Los ingresos brutos son un
indicador de referencia.

c. Métodos de medición avanzada: Permiten cuantificar el capital regulatorio mínimo necesario

por riesgo operacional, por medio de modelos estadísticos y matemáticos que deben ser
desarrollados, implementados, ajustados y calibrados de forma autónoma por la entidad,
tomando como fuente sus datos internos o información histórica.

Método del indicador básico

No avanzadas

Método estándar

Metodologías de
medición del riesgo
operacional
Modelo de medición interna

Avanzadas Modelo de distribución de pérdida

Cuadros de mando

Figura 4. Metodologías de medición.

Fuente: elaboración propia

1. Las líneas de negocio son las siguientes: financiación empresarial; negociación y ventas; banca minorista; banca comercial; pagos y liquidación;
servicios de agencia; administración de activos e intermediación minorista.

POLITÉCNICO GRANCOLOMBIANO 12
A partir de las diferentes líneas de negocio y la clasificación de los riesgos, los cálculos se hacen mediante la
combinación de las dos categorías. Tanto el modelo estándar como las metodologías internas necesitan para
su correcta implementación que se cumplan los requisitos que el supervisor exige.

Los tipos de riesgo se clasifican en fraude interno, fraude externo, relaciones laborales y seguridad
en el puesto de trabajo, prácticas irregulares con clientes, productos y negocios, abuso de confianza,
daños a activos materiales y fallos de sistemas. En resumen, las metodologías de medición de riesgos
operacionales no avanzadas se detallan a continuación:

• Modelo del Indicador Básico (BIA): El cálculo se realiza multiplicando por un factor fijo y
determinado en 15% por el promedio de los ingresos netos con frecuencia anual resultantes en
los últimos tres años, se exige que estos deben ser positivos.

• Método Estándar (STDAOp): Se categorizan los activos por la línea de negocio y se les pondera por
un factor que se denomina β el cual generalmente oscila entre 12%, 15% o 18%. El factor elegido se
debe multiplicar por el promedio de los ingresos netos obtenidos en los últimos tres años.

• Estándar Alternativo (ASA): Se obtiene de manera similar o análoga que el STDAOp a

excepción de dos líneas de negocio las cuales son la banca comercial y la minorista. En el
caso puntual de estas líneas de negocio, se debe aclarar que los préstamos y los anticipos se
multiplican por un factor de ponderación fijo que se denomina m = 0.035, este resultado puede
reemplazar a los ingresos brutos que se utilizan como indicador de riesgo.

Por otro lado, los Métodos de Medición Avanzada (AMA) contemplan las siguientes características:

a. Se divide a la organización por línea de negocio y además se deben considerar las diferentes
tipologías de riesgo.

b. Capital teniendo en cuenta la valoración de las pérdidas esperadas e inesperadas.

c. Utiliza dos funciones distribución de probabilidad: frecuencia y severidad.

d. Combinando funciones se obtiene la distribución de pérdidas por riesgo operacional.

POLITÉCNICO GRANCOLOMBIANO 13
 Distribución de frecuencias
Pérdidas anuales agregadas
Datos
Pérdidas Pérdidas
esperadas inesperadas
Fallo 1

SIMULACIÓN MONTECARLO
Fallo 2
Baja frecuencia
Alto impacto
Número de sucesos
Fallo 3
Distribución de severidad

Media Percentil Percentil

00.0 % 99.97 %
Fallo n-1 BIS II analizado
VaR
Fallo n
Alta frecuencia
Bajo impacto
Tamaño de las pérdidas ($)

Figura 5. Métodos de Medición Avanzada (AMA).

Fuente: elaboración propia

Con respecto a la medición y estimación de la frecuencia de los eventos, esta se encuentra asociada a la
periodicidad en términos de tiempo en la que ocurre determinado evento que genera potenciales fallas o
errores operacionales. Las funciones de distribución de probabilidad más utilizadas para este ejercicio son las
discretas, entre ellas se destacan: Binomial, Poisson, Binomial Negativa e Hipergeométrica.

La severidad tiene que ver con una posible pérdida en términos monetarios que se ocasiona por
errores operacionales, para este desarrollo es muy común emplear distribuciones de probabilidad
continuas como gamma, exponenciales, normales, lognormales entre otras.

Para la determinación de las distribuciones de probabilidad se recomienda tener presente la siguiente

información:

• La ausencia de datos e información es un fenómeno persistente en la valoración, cuantificación

y modelación del riesgo operacional.

• Para dar una solución inicial al problema, mientras se generan estadísticas propias para la
implementación de metodologías estadísticas internas, se puede emplear un proceso de auto
valoración.

POLITÉCNICO GRANCOLOMBIANO 14
 • El panel de expertos puede servir para la asignación de una función de distribución, en esta
actividad es usual el método Delphi.

En el caso del Método Delphi, este se desarrolla por etapas las cuales se resumen a continuación:

a. En la primera, los expertos comparten su opinión y con base en esta información se realiza el primer
análisis de estadísticas descriptivas que consolida de forma agregada la opinión del grupo.

b. En la segunda etapa, luego de consolidar y conocer los resultados de la primera etapa, los
expertos deben retroalimentar la información recopilada con el fin de consolidar de nuevo y
emitir un nuevo concepto.

c. El proceso se debe repetir las veces necesarias con el fin de eliminar opiniones extremas
y poder consolidar de forma agregada una opinión que represente las principales ideas del
grupo de expertos la cual se suele representar por medio de una función de distribución
triangular o uniforme.

Variables que
Variables que miden la
miden la
probabilidad de fallo
exposición

Modelos de Modelos de
severidad frecuencia

Parámetros Modelo de
Modelos del
que describen medición del
el proceso proceso
riesgo
operacional

Figura 6. Ajuste distribuciones de probabilidad de frecuencia y severidad

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 15
Riesgo legal

El riesgo legal se puede materializar por incumplimientos o desconocimiento de la normatividad,

reglas y prácticas, o también en el caso que se vulneren derechos y obligaciones legales de las partes
en una transacción. Dada la diversidad de actividades actuales referentes a banca electrónica, en
varias ocasiones las transacciones y reglamentos sobre el cumplimiento de estas en algunas ocasiones
no están bien definidas.

Otra fuente de riesgo legal muy conocida se encuentra asociada con la protección de datos y
privacidad. Por lo cual, en el caso de clientes que no han sido informados e incluso notificados sobre
sus derechos y obligaciones tienen la posibilidad de tomar medidas en contra del banco.

Probabilidad de pérdida o sanción por un

incumplimiento en disposiciones legales
y reglamentarias.

Imposibilidad de exigir el cumplimiento de un

Riesgo legal
contrato por vicios en su celebración.

Deficiente estructuración de garantías y seguridades,

o imposibilidad de adelantar las acciones tendientes
a su cumplimiento.

Figura 7. Riesgo Legal

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 16
3. Riesgo reputacional y de gobierno corporativo
El gobierno corporativo refleja las relaciones de poder y eventualmente conflictos de interés entre
socios o accionistas, la junta directiva y la gerencia. Para garantizar la continuidad y estabilidad
financiera de una empresa se requiere de un buen gobierno corporativo que garantice una
gerencia transparente en la cual se respeten los derechos de los socios sin relajar las funciones y
responsabilidad que tiene la junta directiva, dado que se debe garantizar la información y buenas
relaciones con todos los grupos que tienen un interés en la organización (Stakeholders). A nivel de
gestión se recomienda lo siguiente:

• Existencia de una junta directiva idónea que con su participación defina estrategias que
agreguen valor y sean relevantes para que la organización pueda cumplir con sus objetivos.

• Estrategia definida y enfocada en el cumplimiento de los objetivos de la organización.

• Crecimiento estable y sostenible de la empresa alineada con los principios de buen gobierno.

• Cuantificar los riesgos y posibles contingencias que pueden ocurrir en la organización.

• Procesos de control interno asociado con los procesos y procedimientos de la organización.

En principio, los riesgos asociados a gobierno corporativo están relacionados con fallas o ausencia
de controles y mecanismos internos de la entidad que garanticen una adecuada gestión por parte
de la gerencia, al igual que una junta directiva que asuma las responsabilidades y tome las mejores
decisiones para garantizar las alianzas con grupos de interés en la compañía. Este riesgo es transversal
a los demás y por ende los controles de supervisión establecidos en los demás riesgos son requeridos
para garantizar una buena administración y gestión del gobierno corporativo.

3.1. Riesgo reputacional

La Circular Externa 41 de la Superintendencia Financiera establece el riesgo reputacional como la

probabilidad de pérdida en la cual puede incurrir una entidad debido a malas prácticas internas que
generen un desprestigio, mala imagen, publicidad negativa asociada a la organización y a sus prácticas
de negocios que puedan causar pérdidas de clientes, reducción de ingresos o gastos asociados a
procesos judiciales. El siguiente gráfico resume los principales componentes de este riesgo:

POLITÉCNICO GRANCOLOMBIANO 17
 Es el riesgo de que se forme una opinión pública
negativa sobre el servicio prestado.

Riesgo reputacional
El riesgo reputacional puede derivar en acciones que
fomenten la creación de una mala imagen o un
posicionamiento negativo en la mente de los clientes.

Figura 8. Definiciones de riesgo reputacional

Fuente: elaboración propia

El riesgo reputacional está vinculado a la manera en que una empresa administra y se ajusta a las
expectativas de los principales grupos de interés, a los intereses de la entidad y sus colaboradores.

Para construir y además mantener una buena reputación se requiere de un trabajo continuo y además
coordinado con las diferentes áreas que se encuentren vinculadas en ámbitos financieros, contables
e incluso en componentes éticos y de responsabilidad social. Algunas entidades consideran que la
satisfacción del cliente es suficiente para construir y consolidar una buena reputación lo cual no
necesariamente es cierto, porque, como se puede observar, es un conjunto agregado de factores los
que garantizan este reconocimiento.

La reputación es un factor diferenciador entre el éxito o el fracaso organizacional, por lo cual se deben
evaluar y revisar de forma permanente los factores que pueden afectarla o modificarla y trabajar para
satisfacer las expectativas que tienen los clientes de la compañía.

POLITÉCNICO GRANCOLOMBIANO 18
4. SARLAFT
SARLAFT es la abreviatura de Sistema de Administración del Riesgo de Lavado de Activos y
Financiación del Terrorismo. El lavado de activos y la financiación del terrorismo es una amenaza para
la estabilidad y sostenibilidad del sistema financiero y la confianza e integridad de los mercados. Para
este propósito, las entidades sujetas a inspección y vigilancia de la Superintendencia Financiera de
Colombia deben garantizar la mitigación de este riesgo.

El SARLAFT tiene dos fases: la primera se asocia a la prevención del riesgo y la prevención de ingreso
al sistema financiero de recursos vinculados a actividades de lavado de activos o de la financiación del
terrorismo (LA/FT). La segunda está asociada al control para detectar las operaciones que impliquen
la legalidad de operaciones vinculadas al LA/FT.

La administración del riesgo de LA/FT es diferente a la gestión y administración de los procesos

asociados a los riesgos financieros, dado que las herramientas para la administración de este riesgo se
encuentran vinculadas a la prevención, detección y reporte.

Se deben considerar algunas definiciones básicas que facilitan el entendimiento SARLAFT. Cuando
se hace referencia al factor de riesgo, se entienden los agentes económicos que potencialmente son
generadores de riesgo de LA/FT. Para propósitos del SARLAFT, las entidades que se encuentran en
inspección y vigilancia por parte del ente de control deben tener identificado los siguientes factores
de riesgo: clientes, productos, canales de distribución y jurisdicciones.

Cuando se habla de riesgo o contagio se entiende como una posible pérdida a la que una organización
puede encontrarse expuesta, de forma directa o indirecta, por acciones o experiencias de un
asociado. El asociado tiene en cuenta personas naturales o jurídicas que pueden ejercer alguna
influencia sobre la entidad. Con respecto al riesgo de contagio, se entiende como la posibilidad de
pérdida para una organización, debido a una acción o experiencia de personas naturales o jurídicas que
tienen posibilidad de tomar decisiones estratégicas sobre la entidad. Lo anterior puede afectar a la
entidad en términos reputacionales, legales y operativos.

El riesgo inherente se entiende como un riesgo mínimo que se deriva de la actividad, sin considerar
el efecto e impacto de los controles. El riesgo residual se define como el nivel de riesgo que resulta
luego de aplicar los controles.

POLITÉCNICO GRANCOLOMBIANO 19
 4.1. Definición del riesgo de lavado de activos y de la financiación del terrorismo

Se define como riesgo de LA/FT la probabilidad de una posible pérdida que pueda impactar de forma
negativa a una entidad vigilada por su exposición a ser vinculada o utilizada de forma directa o por
medio de sus operaciones como instrumento para la canalización de recursos, con objeto de financiar
el lavado de activos y realización de actividades terroristas mediante el ocultamiento de información
relevante por parte de los clientes que estén asociados o provengan de dichas actividades.

El riesgo de LA/FT se puede materializar por medio de riesgos asociados como legal, reputacional
u operativo. En caso de materializarse dichos riesgos se acarrea un efecto económico y además un
impacto negativo que podría afectar la estabilidad financiera, imagen y seguridad por parte del público
en caso de que la organización se utilice para estas actividades.

Es responsabilidad de las entidades validar y revisar periódicamente las etapas y los elementos del SARLAFT
para garantizar de forma oportuna los ajustes necesarios para su funcionamiento y riguroso cumplimiento.

4.2. Etapas del SARLAFT

El SARLAFT debe considerar como mínimo las siguientes etapas:

1. Identificación del riesgo

2. Medición o evaluación

3. Control

4. Monitoreo

4.2.1. Identificación del riesgo

El SARLAFT permite a las entidades identificar y validar los riesgos de LA/FT inherentes al desarrollo
de su actividad, considerando los factores de riesgo identificados. Esta etapa se realiza de forma previa
al lanzamiento de cualquier producto, modificación de sus características, ampliación en un nuevo
mercado y el lanzamiento o modificación de nuevos canales de distribución, esto debe garantizar que
las entidades vigiladas tengan la capacidad de identificación de los factores de riesgo de LA/FT.

POLITÉCNICO GRANCOLOMBIANO 20
 4.2.2. Medición o evaluación

Una vez definida la etapa de identificación, el SARLAFT debe garantizar en términos de medición que las
entidades puedan cuantificar la probabilidad de ocurrencia de un riesgo asociado a los factores de riesgo
identificados de LA/FT. Estas mediciones eventualmente podrían ser de carácter cualitativo o cuantitativo.

Para cuantificar el riesgo de LA/FT las entidades deben considerar las siguientes recomendaciones:

a. Definir las metodologías de forma interna para realizar la medición o evaluación y valorar la
probabilidad de ocurrencia del riesgo de LA/FT con el fin de cuantificar su potencial impacto.

b. Aplicar las metodologías aprobadas para realizar seguimiento y una medición agregada de los
factores de riesgo identificados.

4.2.3. Control

En esta etapa las entidades deben garantizar la adopción de medidas que permitan el adecuado
control del riesgo inherente al que tiene una exposición. Para controlar el riesgo de LA/FT se deben
tener las siguientes condiciones:

a. Establecer las metodologías a nivel interno para el control y la valoración del riesgo de LA/FT.

b. Aplicar las metodologías sobre cada factor de riesgo.

c. Establecer los umbrales o niveles máximos de exposición debido a la calificación de los

factores de riesgo en la primera etapa de medición.

d. Realizar y reportar los informes de operaciones sospechosas a la Unidad Administrativa

Especial de Información y Análisis Financiero-UIAF.

La entidad debe validar su perfil de riesgo de LA/FT considerando todos los factores de riesgo y los
riesgos asociados. Si los controles son los adecuados se reflejan en una reducción de la posibilidad de
ocurrencia y del impacto negativo en caso de materializarse un riesgo de LA/FT.

POLITÉCNICO GRANCOLOMBIANO 21
 4.2.4. Monitoreo

Esta etapa debe garantizar a las entidades vigiladas hacer un adecuado seguimiento a los perfiles de
riesgo, así como llevar a cabo de forma preventiva la detección de operaciones sospechosas por parte
de los clientes.

a. Desarrollar un proceso efectivo de seguimiento que permita la rápida corrección de posibles

deficiencias en las etapas del SARLAFT.

b. Realizar el adecuado seguimiento del riesgo inherente y residual de los factores de riesgo
identificados.

c. Realizar el seguimiento del riesgo inherente y residual de manera agregada.

d. Asegurar que los controles sean claros y entendibles para todos los riesgos y que funcionen
de forma oportuna.

e. Establecer indicadores periódicos que describan de forma completa la situación y que

permitan reconocer posibles riesgos de LA/FT de forma preventiva.

f. Validar que los riesgos residuales se clasifiquen en los niveles de aceptación de acuerdo con el
perfil de riesgo establecido por la entidad.

POLITÉCNICO GRANCOLOMBIANO 22
Referencias
Crouhy, M. (2006). The Essentials of Risk Management. McGraw-Hill.

Presidencia de la República de Colombia. (2010). Por el cual se recogen y reexpiden las normas en
materia del sector financiero, asegurador y del mercado de valores y se dictan otras disposiciones.
[Decreto 2555 de 2010]. DO: 47.771.

Jorion, P. (2003). Financial Risk Manager Handbook. Global Association of Risk Professionals
(GARP): Wiley Finance.

Superintendencia Financiera de Colombia. (1995). Circular externa 100.

Superintendencia Financiera de Colombia. (2009). Circular externa 038.

Van Horn, J. y Wachowicz, J. (2002). Fundamentos de administración financiera. México: Editorial

Prentice Hall.

POLITÉCNICO GRANCOLOMBIANO 23
 INFORMACIÓN TÉCNICA

Módulo: Seminario de Banca

Unidad 3: Riesgos cuantificables y no cuantificables
Escenario 6: Tipologías de riesgo: parte 4

Autor: Juan Pablo Roa

Asesor Pedagógico: Carlos Andrés Marín Rodríguez

Diseñador Gráfico: Eveling Peñaranda
Asistente: Laura Andrea Delgado Forero

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.
POLITÉCNICO GRANCOLOMBIANO

POLITÉCNICO GRANCOLOMBIANO 24