RIESGO OPERATIVO

Gestión del Riesgo

Definición de Riesgo

Se conoce como riesgo cualquier circunstancia, evento,

amenaza, acto u omisión que pueda en un momento dado
impedir el logro de los objetivos estratégicos formulados
por la alta dirección o la exitosa implementación de las
estrategias. El riesgo no está expresamente limitado a
acontecimientos negativos o eventos inesperados,
también contempla la ausencia o sub aprovechamiento de
acontecimientos positivos u oportunidades.
Definición de los tipos de riesgos

Riesgo de crédito

Posibilidad de incurrir en perdidas por el no pago o pago

inoportuno de las obligaciones a cargo de sus
reaseguradores, asegurados, intermediarios y otras
compañías de seguros con las cuales realiza operaciones
de coaseguros. Incluye la exposición al riesgo de crédito
indirecto, el cual se genera con la expedición de pólizas de
cumplimiento
Definición de los tipos de riesgos

Riesgo de mercado

Posibilidad de incurrir en perdidas derivadas del

incremento no esperado en el monto de sus obligaciones
con asegurados, reaseguradores, intermediarios y otros
agentes externos a causa de variaciones en las tasas de
interés, en la tasa de devaluación o cualquier otro
parámetro de referencia
Definición de los tipos de riesgos

Riesgo de liquidez

Imposibilidad de adquirir los fondos necesarios para

atender el pago de obligaciones de corto plazo, bien sea
para el pago de siniestros o para el ajuste de reservas
inadecuadamente calculadas.
Definición de los tipos de riesgos

Riesgo legal

Posibilidad de incurrir en pérdidas derivadas del

incumplimiento de normas legales, de la inobservancia de
disposiciones reglamentarias, de códigos de conducta o
normas éticas en cualquier jurisdicción en la cual opere la
entidad. Igualmente puede derivar de situaciones de
orden legal que pueden afectar la titularidad de los
activos, o la efectiva recuperación de su valor
Definición de los tipos de riesgos

Riesgo estratégico

Probabilidad de pérdida como consecuencia de la

imposibilidad de implementar apropiadamente los planes
de negocio, las estrategias, las decisiones de mercado, la
asignación de recursos y su incapacidad para adaptarse a
los cambios en el entorno de los negocios.
 Antecedentes en la Gestión del Riesgo
Operativo
Tradicionalmente, la gestión del riesgo desarrollada por las
entidades se había centrado en medir y controlar los riesgos de
crédito y mercado. El riesgo operativo lejos de ser un
desconocido, recibía un tratamiento a nivel fundamentalmente
cualitativo a través de las unidades de auditoria interna / control
interno, sin llegar a otorgársele la suficiente importancia como
para crear una unidad específica dentro del área de riesgos.

Sin embargo, la cada vez más compleja actividad de las

entidades financieras y, fundamentalmente, las experiencias
pasadas han reorientado su tratamiento tradicional (mitigarlo a
través de la implantación de procedimientos de control) hacia
una gestión integral del Riesgo Operacional, incluyendo la
utilización de metodologías cuantitativas
 Antecedentes en la Gestión del Riesgo
Operativo
En este sentido, las principales entidades financieras empezaron a
involucrar dentro de sus estructuras organizacionales un área de riesgo
operacional, cuyo objetivo es establecer e implantar metodologías y
procedimientos de identificación, admisión, medición, seguimiento e
integración que permitan mantener el perfil de riesgos dentro de los
niveles de tolerancia al mismo, fijados por la alta dirección.

El desarrollo de esta área en las diferentes entidades fue acompañado

de la implementación de un sistema de gestión de riesgo operacional
con un alcance distinto en función de los objetivos marcados
(cualitativos, cuantitativos y/o mixtos). A nivel mundial, y para efectos
de establecer los parámetros para la estandarización y regulación de
los diferentes tipos de riesgo se creó el Comité de Basilea conformado
por los bancos centrales de 55 países.
Antecedentes en la Gestión del Riesgo
Operativo
Dentro de los principios básicos propuestos por el Comité de Basilea,
se definió la necesidad de dictar esquemas de administración de riesgo
operativo por parte de los entes reguladores los cuales deben ser
observados y aplicados por las compañías vigiladas. Dada la
importancia de impulsar una cultura de la administración, control y
monitoreo de los riesgos, la Superintendencia Financiera de Colombia
mediante circular externa 052 de 2002, definió el marco normativo del
sistema general de administración de riesgos S.A.R. para las compañías
vigiladas, la cual en su capítulo V contempla los riesgos específicos a
los que se ven expuestas las aseguradoras (incluyendo el riesgo
operativo), obligándolas a adoptar el sistema especial de
administración de riesgos de seguros S.E.A.R.S.
Antecedentes en la Gestión del Riesgo
Operativo
En complemento de lo anterior La SFC expidió la circular externa
048 del 22 de diciembre de 2006 aclarada por la circular 049 de
diciembre de 2006 y ampliada con la circular externa 041 de
2007, las cuales ponen de manifiesto la importancia de contar
con una adecuada administración del riesgo operativo y definió
como obligatoria la adopción de un sistema para la
administración del mismo conformado por políticas, estructura
organizacional, metodologías de identificación y medición
cualitativa de los riesgos, procedimientos y mecanismos que
permitan monitorear y controlar la ocurrencia del riesgo
operativo.
 Sistema de Administración de Riesgo
Operativo (SARO)
El Sistema de Administración de Riesgos Operacionales es un conjunto
de elementos tales como políticas, procedimientos, documentación,
estructura organizacional, registro de eventos, órganos de control,
plataforma tecnológica, divulgación y capacitación, mediante los
cuales se busca obtener una efectiva administración del riesgo
operativo a través de sus etapas de identificación, medición monitoreo
y control.
El SARO aplica a todas las entidades sometidas a la inspección y
vigilancia de la SFC con excepción de las oficinas de representación y
reaseguradoras del exterior.
La administración del riesgo debe ser implementada en todos los
procesos de la compañía de acuerdo con la estructura, tamaño, riesgo
y complejidad de las operaciones.
 Factores que generan riesgo operacional
Se entienden por factores las fuentes donde se generan los
eventos de riesgo operacional. Dichos factores se clasifican
según su naturaleza y el elemento generador del riesgo. Su
clasificación es la siguiente:

INTERNOS
Recursos Humanos
Procesos
Tecnología
Infraestructura

EXTERNOS
Eventos Naturales
 Etapas de la administración del riesgo
operativo
Previo a la implementación de las etapas del SARO, la entidad
debió establecer las políticas, objetivos, procedimientos y
estructura para la administración de riesgo operativo, teniendo
en cuenta que este sistema debe estar alineado con los planes
estratégicos de la compañía. Las etapas aplicadas en la
administración del riesgo operativo son:

Identificación
Medición
Monitoreo
Control
 Etapas de la administración del riesgo
operativo
Etapa de identificación

La entidad debe identificar los riesgos operativos a que se ve

expuesta teniendo en cuenta los factores de riesgo definidos.
Para lograr la identificación se debe partir del levantamiento y
documentación de todos los procesos y procedimientos de la
compañía, teniendo claridad sobre los objetivos de cada
proceso.
 Etapas de la administración del riesgo
operativo
Etapa de medición

Una vez concluida la etapa de identificación, se debe entrar en la

etapa de medición dicha etapa se realiza en términos de
probabilidad de ocurrencia e impacto en caso de materializarse
el evento de riesgo. Esta medición podrá ser cualitativa, y
cuando se cuente con datos históricos de por lo menos un año se
podrá hacer una medición cuantitativa.

RIESGO INHERENTE – CONTROLES = RIESGO RESIDUAL

Etapas de la administración del riesgo
operativo
Etapa de Control

Los controles corresponden a las medidas para mitigar el riesgo

inherente con el fin de disminuir la probabilidad de ocurrencia y/o el
impacto en caso de que dicho riesgo se materialice.

Mediante estas medidas de control se deben tomar decisiones, y así

poder determinar cual es el perfil de riesgo residual de la compañía,
estas decisiones están direccionadas a evitar, aceptar o transferir el
riesgo.
Etapas de la administración del riesgo
operativo
Un tema fundamental en la etapa de control es la implementación y
mantenimiento de un proceso para administrar la continuidad del
negocio el cual debe incluir elementos como:

Plan de prevención y atención de emergencias

Plan de administración de crisis
Planes de contingencia y capacidad de retorno a la operación
normal
Etapas de la administración del riesgo
operativo
Etapa de monitoreo

Es el proceso de seguimiento efectivo para facilitar la detección y

corrección de las deficiencias del SARO. Dicho seguimiento debe
tener una periodicidad mínima trimestral y se realiza por medio
de indicadores que evidencian los potenciales eventos de riesgo
operativo, asegurando que los controles implementados están
funcionando de forma oportuna y eficiente.
 Elementos de la administración del riesgo
operativo
Políticas

Son los lineamientos generales para la administración del SARO.

Comprende el aseguramiento del cumplimiento de las normas
de R.O, impulsar la cultura del R.O, desarrollo de planes de
continuidad

Capacitación

Las entidades deben diseñar programar y coordinar planes de

capacitación anual dirigidos a todos los funcionarios. Estos
programas deben ser medidos y evaluados para comprobar su
eficacia y alcance de los objetivos propuestos.
Elementos de la administración del riesgo
operativo
Procedimientos

Corresponde a la descripción de cómo se instrumenta y

desarrolla cada uno de las etapas y elementos del SARO, como
se identifican riesgos, establecen y evolucionan los controles etc.

Documentación

Todas las etapas y elementos del SARO, deben estar sustentadas

en documentos como el manual, documentos y registros que
evidencien la operación efectiva del sistema.
Elementos de la administración del riesgo
operativo
Estructura organizacional

Con este elemento se busca tener establecidas y asignadas las

funciones en relación con las distintas etapas y elementos del
SARO.

Registro de eventos

El propósito de este elemento es permitir almacenar en una

base de datos todos los eventos de riesgo identificados y
reportados por cualquiera de los funcionarios de la compañía.
Elementos de la administración del riesgo
operativo
Plataforma Tecnológica

Las entidades de acuerdo a su tamaño y naturaleza deben contar

con la tecnología y los sistemas necesarios para el adecuado
funcionamiento del SARO

Divulgación de Información

La información referente al SARO debe ser divulgada

periódicamente y estar disponible en forma permanente. Por
tanto se deben diseñar reportes internos y externos.
Clases o categorías de Riesgo Operativo

Fraude Interno

Pérdidas derivadas de algún tipo de actuación de empleados o

terceros vinculados contractualmente a la compañía,
encaminada a defraudar, apropiarse de bienes indebidamente o
incumplir regulaciones, leyes o políticas empresariales. Esta
categoría incluye eventos como: fraudes, robos (con
participación de personal de la empresa), sobornos, entre otros.
Clases o categorías de Riesgo Operativo

Fraude Externo

Pérdidas derivadas de algún tipo de actuación realizadas por

personas ajenas a la compañía que buscan defraudar, apropiarse
de bienes indebidamente o desatender la legislación. Esta
categoría incluye eventos como: robos, falsificación, ataques
informáticos, entre otros.
Clases o categorías de Riesgo Operativo

Fallas tecnológicas

Pérdidas o interrupciones derivadas de fallos en los sistemas de

cómputo, comunicaciones, hardware o software de la compañía.
Entre los casos más comunes están las caídas del sistema por
tiempos prolongados, daños en líneas telefónicas, perdida de
información electrónica, virus informáticos que afecten el
sistema, etc.
Clases o categorías de Riesgo Operativo

Ejecución y gestión de procesos

Pérdidas derivadas de errores en el procesamiento de

operaciones o en la gestión de procesos, así como de relaciones
con contrapartes comerciales y proveedores. Esta categoría
incluye eventos asociados con: captura de transacciones,
ejecución y mantenimiento, monitoreo y reporte, entrada y
documentación de clientes, gestión de cuentas de clientes,
contrapartes de negocio,
Clases o categorías de Riesgo Operativo

Relaciones laborales y seguridad en el puesto de trabajo

Pérdidas derivadas de actuaciones incompatibles con la

legislación o acuerdos laborales, sobre higiene o seguridad en el
trabajo, sobre el pago de reclamaciones por daños personales, o
sobre casos relacionados con discriminación en el trabajo.
Clases o categorías de Riesgo Operativo

Daños a activos materiales

Pérdidas derivadas de daños o perjuicios a activos físicos como

consecuencia de desastres naturales u otros eventos de fuentes
externas. Ej: Incendios, terremotos, actos terroristas, falta de
mantenimiento de activos, etc.
Clases o categorías de Riesgo Operativo

Clientes, productos y prácticas empresariales

Pérdidas derivadas del incumplimiento involuntario o negligente

de una obligación profesional frente a clientes o de la naturaleza
o diseño de un producto. EJ: Competencia desleal, falsos
beneficios en productos, perjuicios a clientes, etc.