Sistema de Administración de

Riesgo Operativo (SARO)

Conferencista: Darío A. Lombana R.

Acuerdos Mínimos

 Conversaciones Grupales
 Participación activa
 Trabajo en equipo virtual
 AGENDA
1. Objetivo de la formación
2. Beneficios de la Gestión de Riesgos Operativos
3. Enfoque a procesos
4. Origen
5. Administración de Riesgos
6. Estructura Sistema Integral de Administración de
Riesgos (SIAR)
 1. Objetivo de la formación
• Conocer las generalidades y estructura del Sistema de
Administración de Riesgo Operativo “SARO”, como una
alternativa para la gestión de riesgos en las
organizaciones.
• Identificar los beneficios que la Gestión de Riesgos
Operativos puede aportar a las organizaciones.
• Comprender la relación entre el Sistema de
Administración de Riesgo Operativo “SARO”, sus
variaciones y SARLAFT.
• Presentar lineamientos para realizar una gestión optima
y efectiva de los riesgos en las organizaciones
 2. Beneficios de la Gestión de
Riesgos Operativos
Mejorar la
capacidad para
identificar
amenazas y
oportunidades en
la operación
Minimizar las Reforzar
pérdidas en la la eficiencia y
organización eficacia operativa
 2. Beneficios de la Gestión de
Riesgos Operativos

Aumentar la
probabilidad de Cumplir con
que se logren los los requisitos
objetivos legales

Establecer
una base sólida
para la
planificación y
toma de
decisiones
 2. Beneficios de la Gestión de
Riesgos Operativos
• Promover la confianza de los grupos de interés.
• Fortalecer la resistencia y resiliencia de la
organización.
3. Enfoque a procesos
SISTEMA

CAMBIO
TRANSFOR- SALIDAS
ENTRADAS
MACION

RETRO
ALIMENTACION
MEJORA
CONTINUA
ENTORNO
 PROCESO PRODUCTIVO
QUE  Políticas
COMO  Procedimientos/Documentación PLANEAR Identificación
QUIEN  Estructura Organizacional HACER Medición
VERIFICAR Control
Registro de ACTUAR
eventos Monitoreo
FT

LA
PROCESO
PRODUCTIVO CLIENTE
PROVEEDOR INSUMOS PRODUCTO
(RECURSOS C M
ACTIVIDADES)

o
xt
e
nt
Co
L • CAPITAL
• INFRAESTRUCTURA Comunicación
• RECURSO HUMANO
• TECNOLOGIA
• MATERIAS PRIMAS
• INFORMACIÓN
• ENERGÍA Capacitación
 4. Origen

CIRCULAR BASICA
CONTABLE Y
CE 100 /1995 CE 004 /2008
FINANCIERA
CBCF
CE 041 /2007
CE 022 /2020
CAPITULO XXIII REGLAS
RELATIVAS A LA ADMINISTRACIÓN CAPITULO IV SISTEMA DE
DEL RIESGO OPERACIONAL ADMINISTRACIÓN DEL RIESGO
OPERATIVO – SARO

CE 025 /2020
CIRCULAR BASICA
CONTABLE Y
FINANCIERA
CBCF

CAPÍTULO XX.
PARÁMETROS MÍNIMOS DE ADMINISTRACIÓN DE RIESGOS QUE DEBERÁN CUMPLIR LAS
ENTIDADES VIGILADAS PARA LA REALIZACIÓN DE SUS OPERACIONES DE TESORERIA.

CAPÍTULO XXI.
REGLAS RELATIVAS AL SISTEMA DE ADMINISTRACIÓN DE
RIESGO DE MERCADO.

CAPÍTULO XXII.
INSTRUCCIONES RELATIVAS AL SISTEMA DE ADMINISTRACION DEL RIESGO DE GARANTÍAS
(SARG) DEL FONDO NACIONAL DE GARANTÍAS S.A.

CAPÍTULO XXIII
REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL.
CIRCULAR BASICA
CONTABLE Y
FINANCIERA
CBCF

TITULO IV SISTEMA DE ADMINISTRACION DE RIESGOS

CAPITULO I SISTEMA INTEGRADO DE ADMINISTRACION DE RIESGOS – SIAR
CAPITULO II SISTEMA DE ADMINISTRACION DE RIESGO CREDITICIO – SARC
CAPITULO III SISTEMA DE ADMINISTRACION DE RIESGO DE LIQUIDEZ – SARL
CAPITULO IV SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO – SARO
CAPITULO V SISTEMA DE ADMINISTRACION DE RIESGO DE MERCADO – SARM
1. Origen

CAPITULO XXIII REGLAS RELATIVAS A LA

CE 025 /2020 ADMINISTRACIÓN DEL RIESGO
OPERACIONAL

Se deroga a partir del 1 de junio de 2023

CE 018 /2021 CAPITULO XXXI SISTEMA INTEGRAL DE ADMINISTRACION DE RIESGO (SIAR)

 CAPITULO XXXI SISTEMA INTEGRAL DE ADMINISTRACION DE RIESGO (SIAR)

PARTE I. GENERALIDADES DEL SISTEMA INTEGRAL DE ADMINISTRACIÓN DE RIESGOS (SIAR)

PARTE II. ADMINISTRACIÓN POR RIESGO
1. INTRODUCCIÓN
2. GESTIÓN DE RIESGO DE CRÉDITO
3. GESTIÓN DE RIESGO DE MERCADO
4. GESTIÓN DE RIESGO OPERACIONAL
5. GESTIÓN DE RIESGO DE LIQUIDEZ
6. GESTIÓN DE RIESGO PAÍS
7. GESTIÓN DE RIESGO DE CONTRAPARTE
8. GESTIÓN DE RIESGO DE GARANTÍAS DEL FONDO NACIONAL DE GARANTÍAS
9. GESTIÓN DE RIESGO DE SEGUROS
10. AGREGACIÓN DE DATOS SOBRE RIESGOS Y PRESENTACIÓN DE INFORMES
 CE 025 /2020

G1 G3 G5
2. Definiciones 2.3.1.3. Tecnología 2.6.1.5. Daños a activos físicos
2.1. Riesgo Operacional (RO) 2.3.1.4. 2.6.1.6. Fallas tecnológicas
2.1.1. Riesgo legal Infraestructura 2.7. Sistema de Administración de
2.2. Perfil de Riesgo 2.4. Pérdidas Riesgo Operacional (SARO)

G4 2.8. Riesgo inherente G6

2.3. Factores de riesgo
2.3.1.1. Recurso Humano
2.3.1.2. Procesos
G2 2.5. Evento
2.9. Riesgo residual
2.6.1.1. Fraude Interno
2.10. Plan de continuidad del
2.6.1.2. Fraude Externo
negocio
 Definiciones
 PERFIL DE RIESGO: Resultado consolidado de la medición
permanente de los riesgos a los que se ve expuesta la entidad.
 FACTORES DE RIESGO: Las fuentes generadoras de riesgos
operativos que pueden o no generar pérdidas. Dichos factores se
deben clasificar en internos o externos.

• INTERNOS • EXTERNOS
• Recurso • Origen Natural
Humano • Terceros
• Procesos
• Tecnológicos
• Infraestructura
 Definiciones
 EVENTO: Incidente o situación que ocurre en un lugar particular
durante un intervalo de tiempo determinado.
 EVENTOS DE RIESGO: Son aquellos incidentes que generan
pérdidas por riesgo operativo a las entidades.

 SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO

(SARO): Conjunto de elementos tales como políticas,
procedimientos, documentación, estructura organizacional, registro
de eventos de riesgo operativo, órganos de control, plataforma
tecnológica, divulgación de información y capacitación, mediante los
cuales las entidades vigiladas identifican, miden, controlan y
monitorean el riesgo operativo.
 Definiciones
 RIESGO INHERENTE: Nivel de riesgo propio de la actividad, sin
tener en cuenta el efecto de los controles.
 RIESGO RESIDUAL: Nivel resultante del riesgo después de
aplicar los controles.

 PLAN DE CONTINGENCIA: Conjunto de acciones y recursos para

responder a las fallas e interrupciones específicas de un sistema
o proceso.
 CE 025 /2020 CE 018 /2021 CE 022 /2020
G1 G3 G5
Consideraciones generales 4. GESTIÓN DE RIESGO 1. CONSIDERACIONES GENERALES
1. Ámbito de aplicación OPERACIONAL 2. ÁMBITO DE APLICACIÓN
4.1. Definición de riesgo 3. DEFINICIONES
2. Definiciones operacional 4. ETAPAS DE LA ADMINISTRACIÓN
3. Sistema de Administración del 4.2. Ámbito de aplicación DEL RIESGO OPERATIVO
Riesgo Operacional (SARO) 4.3. Componentes
3.1. Etapas de la Administración
del Riesgo Operacional
3.2. Elementos del SARO 4.4. Capacitación G4 G6
3.2.1. Políticas 4.5. Reglas especiales en materia 5. ELEMENTOS DEL SARO
3.2.2. Procedimientos de órdenes de embargo

3.2.3. Documentación G2
3.2.4. Estructura Organizacional
3.2.5. Registro de eventos de
riesgo operacional
3.2.6. Órganos de control
3.2.7. Plataforma tecnológica
3.2.8. Divulgación de información
3.2.9. Capacitación
5. Administración de Riesgos

CAPITULO
SFC –CE100:1995 XXIII

1. Ámbito
ESTRUCTURA
2. Definiciones
Aplicación
3. SARO

3.1. Etapas
Administración 3.2 Elementos
CONTENIDO Riesgo del SARO
Operativo
 3.1. ETAPAS
ADMINISTRACIÓN
RIESGO OPERATIVO
3.1.1.
3.1.4.
IDENTIFICACI
MONITOREO
Las entidades deben -ÓN
establecer las políticas,
objetivos, procedimientos
y estructura para la
administración de riesgo
operativo.
SARO
Previo a la implementación
de las etapas del SARO

El sistema debe estar

alineado con los planes 3.1.2. 3.1.3.
estratégicos de cada MEDICIÓN CONTROL
entidad.
 3.1. ETAPAS
ADMINISTRACIÓN
ENTIDAD FINANCIERA ABC
RIESGO OPERATIVO

Proces Proces Proces Proces

3.1.1.
IDENTIFICACIÓN o1 o2 o3 o n…

Identificar los riesgos
operativos a que se
ven expuestas,
teniendo en cuenta
los factores de riesgo
Factores Internos:
- Recurso Humano
- Procesos
- Tecnología
- Infraestructura
Factores Externos:
- Fuerza de la Naturaleza
- Proveedores y/o Terceros
 3.1. ETAPAS
ADMINISTRACIÓN CLASIFICACIÓN DE LOS
RIESGO OPERATIVO
RIESGOS OPERATIVOS

FRAUDE FRAUDE RELACIONES

INTERNO EXTERNO LABORALES
3.1.2.
MEDICIÓN
DAÑOS A
FALLAS
CLIENTES ACTIVOS
TECNOLÓGICAS
FISICOS

Medir la probabilidad
de ocurrencia de los EJECUCIÓN Y
riesgos operativos y ADMIN.
su impacto en caso de PROCESOS
materializarse
 3.1. ETAPAS
Establecer la metodología de medición ANUAL de
ADMINISTRACIÓN
RIESGO OPERATIVO PROBABILIDAD e IMPACTO individual y consolidada
susceptible de aplicarse a los riesgos operativos
identificados.

IMPACTO
Menor Inferior Importante Mayor Superior

3.1.2. 1 2 3 4 5 Nivel de Riesgo Acción

Requiere de acciones inmediatas

Extremo
MEDICIÓN
Muy Alta 5
(Antes de 60 días)

Requiere de acciones a corto plazo

Alta 4 Alto (Antes de 90 días)
PROBABILIDAD

Requiere de acciones a mediano

Moderada 3 Moderado plazo (Próximos 120 días)

Requiere de acciones a largo plazo

Baja 2 Inferior (Mayores a 120 días)
Medir la probabilidad
de ocurrencia de los Muy Baja 1
Total Riesgos
Identificados
riesgos operativos y
su impacto en caso de
materializarse PROBABILIDAD x IMPACTO = NIVEL DE RIESGO
 3.1. ETAPAS  Establecer la metodología con base en la cual se definan las
ADMINISTRACIÓN medidas de control de los eventos de riesgo operativo.
RIESGO OPERATIVO  De acuerdo con la metodología establecida en desarrollo de
la presente circular, implementar las medidas de control
sobre cada uno de los eventos de riesgo operativo.
 Metodología evaluación Controles de riesgo operativo

3.1.3.
CONTROL

Tomar medidas para

controlar los riesgos
inherentes a que se Mitigar el Riesgo Compartir el Riesgo
ven expuestas
Evitar el Riesgo Aceptar el Riesgo
 3.1. ETAPAS PLAN DE CONTINUIDAD DE NEGOCIO
ADMINISTRACIÓN
RIESGO OPERATIVO Definir, implementar, probar y mantener un proceso para
administrar la continuidad del negocio que incluya
elementos como:
- Prevención y atención de emergencias,
- Administración de la crisis,
3.1.3. - Planes de contingencia y
- Capacidad de retorno a la operación normal.
CONTROL

Tomar medidas para

controlar los riesgos
inherentes a que se
ven expuestas
 3.1. ETAPAS
ADMINISTRACIÓN
RIESGO OPERATIVO

3.1.4.
MONITOREO

SEGUIMIENTO EFECTIVO QUE PERMITA:

- Actuar oportunamente frente a Riesgos Potenciales y

Hacer un monitoreo Ocurridos
periódico del perfil de - Rápida detección de nuevos eventos de riesgo
riesgo y de la - Acomodarse a cambios del entorno corporativo
exposición a pérdidas - Verificar el sistema al menos dos (2) veces al año
- Establecer indicadores descriptivos y/o prospectivos (KRIs)
 CAPITULO
SFC –CE100:1995XXIII

1. Ámbito 2.
ESTRUCTURA
Aplicación Definiciones
3. SARO

3.1. Etapas 3.2

Administración
CONTENIDO Riesgo Elementos
Operativo del SARO
 3.2. ELEMENTOS DEL
SARO

1. POLÍTICA 2. PROCEDIMIENTOS 3. DOCUMENTACIÓN

Son los lineamientos

generales que las 5. REGISTRO DE
4. ESTRUCTURA 6. ÓRGANOS DE
entidades deben EVENTOS DEL
ORGANIZACIONAL CONTROL
adoptar en relación RIESGO OPERATIVO
con el SARO.

7. PLATAFORMA 8. DIVULGACIÓN DE
9. CAPACITACIÓN
TECNOLÓGICA INFORMACIÓN
RIESGO OPERATIVO: La posibilidad de Riesgos que afecten a
incurrir en pérdidas por deficiencias, Gestión de Riesgos de la información en:
fallas o inadecuaciones, en el recurso Seguridad de la • Confidencialidad
humano, los procesos, la tecnología, la Información • Integridad
infraestructura o por la ocurrencia de • Disponibilidad
acontecimientos externos.

Riesgos afecten a la
Sistema de Gestión de Riesgos de operación por:
Interrupción • No Disponibilidad
Administración de
• Interrupción
Riesgo Operativo
SARO
Sistema de Riesgos de LA / FT
Administración de Riesgo con consecuencias:
• Operacionales
Lavado, Activos y
• Legales
Financiación Terrorismo
• Reputacionales
SARLAFT • Contagio
 COMPARATIVO SARO vs. SARLAFT
SIMILITUDES
• Son de obligatorio
Cumplimiento (Normativo)
• Ambos tienen la obligación de
reportar (SFC y Dirección)
• Modelos compatibles (mismas
etapas)
• Se relacionan con los riesgos
operativos, legales y
reputacionales
DIFERENCIAS
• SARO excluye riesgos
financieros y SARLAFT incluye
riesgos de contagio
• SARLAFT incluye riesgos de
SARO a través de riesgos
Asociados
• SARLAFT se implementa de
forma estratégica, SARO se
implementa por procesos
(considera gestión y
desempeño)
 Sistema de
Administración de
Riesgo Crediticio
SARC

Sistema de
SFC - Administración de

REGLAS
Riesgo Liquidez
Circular
Circular Externa SARL
SFC 100 del 1995
Externa Sistema de
100 de 1995 Administración de
Riesgo Mercado
SARM
Sistema de
Administración de
Riesgo Operativo
SARO
 6. Estructura Sistema Integral de
Administración de Riesgos (SIAR)
Sistema Integral Administración Riesgo
• Revisión
• Políticas resultados
• Eventos Riesgo • Detección
• Factores Riesgo Oportuna
• Cumplimiento • Reportes
• Mejoramiento

• Evaluación
• Probabilidad Controles
• Impacto • Acciones
• Incumplimientos preventivas /
• Nivel Riesgo correctivas
• Toma Decisiones
 Sistema Integral
Proceso Gestión Riesgo
Administración Riesgo

SFC - CIRCULAR EXTERNA 100:1995 ISO 31000:2018

Consideraciones en la implementación del SIAR:
• Alinear el SIAR con la estrategia y los objetivos
corporativos
• Identificar y categorizar las fuentes de riesgo para cada
Sistema de Administración de Riesgo (SAR)
• Definir la(s) metodologías de medición de cada SAR
• Establecer criterios (I y P) compatibles entre los SAR
• Mantener registros (según sea apropiado) confiables de
los eventos de riesgo
• Incorporar tecnologías adecuadas de evaluación de
riesgos, tanto presentes como futuros
• Utilizar los registros para hacer evaluaciones, cálculos,
producir informes, desarrollar controles, etc.
• Revisar continuamente la estructura del SIAR
contribuyendo a su fortalecimiento
• TOMAR DECISIONES OPORTUNAS PARA
GESTIONAR LOS RIESGOS
¿PREGUNTAS?