Este documento presenta información sobre el Sistema de Administración de Riesgos Operacionales (SARO) de una compañía aseguradora. Explica conceptos generales sobre riesgo y los diferentes tipos de riesgo que enfrentan las entidades aseguradoras. Luego describe las etapas y elementos clave del SARO, incluyendo la identificación, medición, control y monitoreo de riesgos operacionales. Finalmente, provee una clasificación de las categorías de riesgo operacional.
Keyman Insurance is a Key to securing companies future. Please get in touch with us in case you are interested to secure your company against any unforeseen events.
Keyman Insurance is a Key to securing companies future. Please get in touch with us in case you are interested to secure your company against any unforeseen events.
Risk management is the process of identifying, assessing and controlling threats to an organization's capital and earnings. These threats, or risks, could stem from a wide variety of sources, including financial uncertainty, legal liabilities, strategic management errors, accidents and natural disasters
Risks which are not capable of avoidance, prevention, reduction to a large extent or assumption may be transferred from one party to the other party. The basic objective of insurance is to transfer the risk of a person to the insurance company which has easily spread it over a large number of persons insuring similar risks. As such, for handling risks which involve large financial losses or which are dangerous, insurance is a means of shifting such risks in consideration of a nominal cost called premium.
Operational Risk Management - Understanding Your Risk LandscapeEneni Oduwole
This presentation provides insights on how the proper implementation of Operational Risk Management can lead to effective risk profiling, analysis and mitigation. It introduces operational risk as a bedrock for meaningful risk management irrespective of which industry an organization plays in.
Define insurance.
Differentiate between compulsory and non-compulsory insurance
Why would businesses need insurance
Difference between insurance and assurance
principles of insurance
Concepts in insurance
Grade 12 subject content
Teresa Clotilde Ojeda Sánchez.- 2013 - Prevención de las enfermedades profesionales
Este año, el Día Mundial de la Seguridad y la Salud en el Trabajo (28 de abril) se centra en la prevención de las enfermedades profesionales. La ausencia de una prevención adecuada de las enfermedades profesionales tiene profundos efectos negativos no solo en los trabajadores y sus familias, sino también en la sociedad en su conjunto debido al enorme costo que esta genera; en particular, en lo que respecta a la pérdida de productividad y la sobrecarga de los sistemas de seguridad social. La prevención es más eficaz y menos costosa que el tratamiento y la rehabilitación. Todos los países pueden tomar medidas concretas ahora para mejorar su capacidad para la prevención de las enfermedades profesionales y relacionadas con el trabajo.
A nivel mundial, las enfermedades profesionales, siguen siendo las principales causas de las muertes relacionadas con el trabajo. Según estimaciones de la OIT, de un total de 2,34 millones de accidentes de trabajo mortales cada año, sólo 321,000 se deben a accidentes. Los restantes 2,02 millones de muertes son causadas por diversos tipos de enfermedades relacionadas con el trabajo, lo que equivale a un promedio diario de más de 5.500 muertes. Se trata de un déficit inaceptable de Trabajo Decente.
Cada año, el Programa de la OIT sobre Seguridad y Salud en el Trabajo y Medio Ambiente elabora un informe que sirve para dar fondo al tema. Este año, se hace un llamado a los gobiernos, los empleadores y los trabajadores y sus organizaciones a colaborar en el desarrollo y en la implementación de políticas y estrategias nacionales destinadas a prevenir las enfermedades profesionales.
Las enfermedades profesionales son causa de enormes sufrimientos y pérdidas en el mundo del trabajo. Si bien se ha avanzado mucho en el modo de abordar los retos que plantean las enfermedades profesionales, existe la necesidad apremiante de fortalecer la capacidad para su prevención en el marco de los sistemas nacionales de seguridad y salud en el trabajo. Con el esfuerzo conjunto de los gobiernos y de las organizaciones de empleadores y de trabajadores, la lucha contra esta pandemia tendrá que ocupar un lugar destacado en los nuevos programas mundiales y nacionales sobre seguridad y salud.
El informe del Programa SafeWork de la OIT, para este año, expone en líneas generales la situación actual en relación con las enfermedades profesionales y presenta propuestas para abordar el grave déficit de trabajo decente que representa. Además están a su disposición un cartel , una presentación para destacar los puntos clave del tema de la campaña y otros productos promocionales para celebrar esta ocasión.
El 28 de abril es asimismo la fecha elegida por el movimiento sindical mundial para rendir homenaje a las víctimas de los accidentes de trabajo y las enfermedades profesionales.
FUENTE: Naciones Unidas: http://www.un.org
Operational risk management and measurementRahmat Mulyana
a short description in mixed English and Bahasa Indonesia on Operational Risk Management and Measurement, in particular value at risk calculation using Monte carlo Simulation. Another method using EVT (Extree Value Theory) will be delivered shortly. regards
Risk management is the process of identifying, assessing and controlling threats to an organization's capital and earnings. These threats, or risks, could stem from a wide variety of sources, including financial uncertainty, legal liabilities, strategic management errors, accidents and natural disasters
Risks which are not capable of avoidance, prevention, reduction to a large extent or assumption may be transferred from one party to the other party. The basic objective of insurance is to transfer the risk of a person to the insurance company which has easily spread it over a large number of persons insuring similar risks. As such, for handling risks which involve large financial losses or which are dangerous, insurance is a means of shifting such risks in consideration of a nominal cost called premium.
Operational Risk Management - Understanding Your Risk LandscapeEneni Oduwole
This presentation provides insights on how the proper implementation of Operational Risk Management can lead to effective risk profiling, analysis and mitigation. It introduces operational risk as a bedrock for meaningful risk management irrespective of which industry an organization plays in.
Define insurance.
Differentiate between compulsory and non-compulsory insurance
Why would businesses need insurance
Difference between insurance and assurance
principles of insurance
Concepts in insurance
Grade 12 subject content
Teresa Clotilde Ojeda Sánchez.- 2013 - Prevención de las enfermedades profesionales
Este año, el Día Mundial de la Seguridad y la Salud en el Trabajo (28 de abril) se centra en la prevención de las enfermedades profesionales. La ausencia de una prevención adecuada de las enfermedades profesionales tiene profundos efectos negativos no solo en los trabajadores y sus familias, sino también en la sociedad en su conjunto debido al enorme costo que esta genera; en particular, en lo que respecta a la pérdida de productividad y la sobrecarga de los sistemas de seguridad social. La prevención es más eficaz y menos costosa que el tratamiento y la rehabilitación. Todos los países pueden tomar medidas concretas ahora para mejorar su capacidad para la prevención de las enfermedades profesionales y relacionadas con el trabajo.
A nivel mundial, las enfermedades profesionales, siguen siendo las principales causas de las muertes relacionadas con el trabajo. Según estimaciones de la OIT, de un total de 2,34 millones de accidentes de trabajo mortales cada año, sólo 321,000 se deben a accidentes. Los restantes 2,02 millones de muertes son causadas por diversos tipos de enfermedades relacionadas con el trabajo, lo que equivale a un promedio diario de más de 5.500 muertes. Se trata de un déficit inaceptable de Trabajo Decente.
Cada año, el Programa de la OIT sobre Seguridad y Salud en el Trabajo y Medio Ambiente elabora un informe que sirve para dar fondo al tema. Este año, se hace un llamado a los gobiernos, los empleadores y los trabajadores y sus organizaciones a colaborar en el desarrollo y en la implementación de políticas y estrategias nacionales destinadas a prevenir las enfermedades profesionales.
Las enfermedades profesionales son causa de enormes sufrimientos y pérdidas en el mundo del trabajo. Si bien se ha avanzado mucho en el modo de abordar los retos que plantean las enfermedades profesionales, existe la necesidad apremiante de fortalecer la capacidad para su prevención en el marco de los sistemas nacionales de seguridad y salud en el trabajo. Con el esfuerzo conjunto de los gobiernos y de las organizaciones de empleadores y de trabajadores, la lucha contra esta pandemia tendrá que ocupar un lugar destacado en los nuevos programas mundiales y nacionales sobre seguridad y salud.
El informe del Programa SafeWork de la OIT, para este año, expone en líneas generales la situación actual en relación con las enfermedades profesionales y presenta propuestas para abordar el grave déficit de trabajo decente que representa. Además están a su disposición un cartel , una presentación para destacar los puntos clave del tema de la campaña y otros productos promocionales para celebrar esta ocasión.
El 28 de abril es asimismo la fecha elegida por el movimiento sindical mundial para rendir homenaje a las víctimas de los accidentes de trabajo y las enfermedades profesionales.
FUENTE: Naciones Unidas: http://www.un.org
Operational risk management and measurementRahmat Mulyana
a short description in mixed English and Bahasa Indonesia on Operational Risk Management and Measurement, in particular value at risk calculation using Monte carlo Simulation. Another method using EVT (Extree Value Theory) will be delivered shortly. regards
1º Caso Practico Lubricacion Rodamiento Motor 10CVCarlosAroeira1
Caso pratico análise analise de vibrações em rolamento de HVAC para resolver problema de lubrificação apresentado durante a 1ª reuniao do Vibration Institute em Lisboa em 24 de maio de 2024
Convocatoria de becas de Caja Ingenieros 2024 para cursar el Máster oficial de Ingeniería de Telecomunicacion o el Máster oficial de Ingeniería Informática de la UOC
Criterios de la primera y segunda derivadaYoverOlivares
Criterios de la primera derivada.
Criterios de la segunda derivada.
Función creciente y decreciente.
Puntos máximos y mínimos.
Puntos de inflexión.
3 Ejemplos para graficar funciones utilizando los criterios de la primera y segunda derivada.
2. 2
GERENCIA DE RIESGOS
Capacitación en el sistema de
administración de riesgos
operacionales
Compañía Aseguradora de Fianzas S.A
Confianza – Febrero de 2011
3. 3
CONTENIDO
CCoonncceeppttooss GGeenneerraalleess.............................................................................................. 6
¿QQué es riesgo?..................................................................................................................6
DDefinición de los tipos de riesgos ....................................................................... 7
Riesgo de crédito................................................................................................................7
Riesgo de mercado.............................................................................................................7
Riesgo de liquidez ..............................................................................................................7
Riesgo de suscripción .......................................................................................................7
Riesgo legal.........................................................................................................................7
Riesgo de insuficiencia en reservas técnicas .................................................................8
Riesgo estratégico..............................................................................................................8
Riesgo reputacional ...........................................................................................................8
Riesgo de lavado de activos y de la financiación del terrorismo ..................................8
Riesgo operacional.............................................................................................................8
AAnntteecceeddeenntteess eenn llaa GGeessttiióónn ddeell RRiieessggoo OOppeerraattiivvoo.................................................. 9
SSiisstteemmaa ddee AAddmmiinniissttrraacciióónn ddee RRiieessggoo OOppeerraattiivvoo ((SSAARROO))..................................... 11
¿QQué es el SARO?............................................................................................................11
¿CCuál es su ámbito aplicación?......................................................................................11
¿CCuáles son los factores que generan el Riesgo operacional? .................................12
EEtapas de la administración del riesgo operativo.........................................................13
Etapa de identificación.....................................................................................................13
Etapa de medición............................................................................................................14
Etapa de control................................................................................................................14
Etapa de monitoreo ..........................................................................................................15
4. 4
EElementos de la administración del riesgo operativo...................................................15
¿CCuáles son los elementos del S.A.R.O?.......................................................................15
CCllaasseess oo ccaatteeggoorrííaass ddee RRiieessggoo OOppeerraattiivvoo ............................................................. 17
GGlloossaarriioo ddee TTéérrmmiinnooss ............................................................................................ 20
5. 5
IInnttrroodduucccciióónn
LLa administración y la mitigación del riesgo han tomado especial importancia
en el ámbito financiero y de seguros. Factores como el crecimiento de los
mercados y la mayor diversificación de los productos y servicios financieros,
han generado un proceso de concientización en torno a la necesidad de
profundizar en los temas de riesgo operacional.
Nuestra compañía consciente de estas tendencias y necesidades ha venido
desarrollando e implementando su sistema de administración de riesgo
operativo (S.A.R.O), proceso en el cual es vital que todos y cada uno de
nosotros seamos participes.
Por lo anterior se ha diseñado esta cartilla guía de riesgo operativo, cuyo
principal objetivo es servir de instrumento orientador de las actividades de la
compañía frente al marco regulador expedido por la Superintendencia
Financiera de Colombia, referido al SISTEMA DE ADMINISTRACIÓN DE
RIESGOS OPERATIVOS SARO. Así mismo pretende servir de medio para la
sensibilización de todas las personas y/o terceros vinculados a la compañía
respecto de la importancia de prevenir toda clase de riesgos, cuya
materialización afecta la consecución de objetivos. Lo anterior en función del
fortalecimiento de la cultura de la administración del riesgo en todas las
actividades.
6. 6
CCoonncceeppttooss GGeenneerraalleess
¿¿QQué es riesgo?
Se conoce como riesgo cualquier circunstancia, evento,
amenaza, acto u omisión que pueda en un momento dado
impedir el logro de los objetivos estratégicos formulados por la
alta dirección o la exitosa implementación de las estrategias.
El riesgo no está expresamente limitado a acontecimientos
negativos o eventos inesperados, también contempla la ausencia
o sub aprovechamiento de acontecimientos positivos u
oportunidades.
La Superintendencia Financiera de Colombia teniendo en cuenta los riesgos
particulares a los cuales se ve expuesta la actividad aseguradora, reglamenta
mediante la circular 052 de diciembre de 2002, la gestión de riesgos en las
entidades aseguradoras enmarcándolos según sus características en los
siguientes tipos de riesgo:
Capítulo
1
7. 7
DDefinición de los tipos de riesgos
Riesgo de crédito
Posibilidad de incurrir en perdidas por el no pago o pago inoportuno de las
obligaciones a cargo de sus reaseguradores, asegurados, intermediarios y otras
compañías de seguros con las cuales realiza operaciones de coaseguros. Incluye
la exposición al riesgo de crédito indirecto, el cual se genera con la expedición de
pólizas de cumplimiento
Riesgo de mercado
Posibilidad de incurrir en perdidas derivadas del incremento no esperado en el
monto de sus obligaciones con asegurados, reaseguradores, intermediarios y
otros agentes externos a causa de variaciones en las tasas de interés, en la tasa
de devaluación o cualquier otro parámetro de referencia
Riesgo de liquidez
Imposibilidad de adquirir los fondos necesarios para atender el pago de
obligaciones de corto plazo, bien sea para el pago de siniestros o para el ajuste de
reservas inadecuadamente calculadas.
Riesgo de suscripción
Posibilidad de incurrir en perdidas como consecuencia de políticas y practicas
inadecuadas en el diseño de productos o en la colocación de los mismos. Esta
categoría de riesgo se clasifica en los siguientes tipos
Riesgo de tarifación
Riesgo de descuento sobre primas
Riesgo de concentración
Riesgo de diferencias en condiciones
Riesgo legal
Posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas
legales, de la inobservancia de disposiciones reglamentarias, de códigos de
conducta o normas éticas en cualquier jurisdicción en la cual opere la entidad.
Igualmente puede derivar de situaciones de orden legal que pueden afectar la
titularidad de los activos, o la efectiva recuperación de su valor
8. 8
Riesgo de insuficiencia en reservas técnicas
Probabilidad de pérdida como consecuencia de una subestimación en el cálculo
de las reservas técnicas y otras obligaciones contractuales (participación de
utilidades, pago de beneficios garantizados, etc.)
Riesgo estratégico
Probabilidad de pérdida como consecuencia de la imposibilidad de implementar
apropiadamente los planes de negocio, las estrategias, las decisiones de
mercado, la asignación de recursos y su incapacidad para adaptarse a los
cambios en el entorno de los negocios.
Riesgo reputacional
Probabilidad de pérdida como consecuencia de incurrir en perdidas derivadas de
la celebración de contratos de seguros y reaseguros con personas y entidades
que generen un bajo nivel de confianza para sus asegurados (garantizados) , por
su nivel de solvencia, o la conducta de sus funcionarios o por la celebración de
acuerdos sobre los cuales recaiga una publicidad negativa, así como la realización
de practicas que puedan derivar en demandas legales y pérdida de credibilidad
del público
Riesgo de lavado de activos y de la financiación del terrorismo
Probabilidad de perdida o daño que puede sufrir una entidad por su propensión a
ser utilizada directa o a través de sus operaciones como instrumento para el
lavado de activos y/o canalización de recursos hacia la realización de actividades
terroristas, o cuando se pretenda el ocultamiento de activos provenientes de
dichas actividades. Este riesgo se materializa a través de riesgos asociados como:
Legal
Reputacional
Operativo
Contagio
Riesgo operacional
Es definido de conformidad con la Circular Externa 041 del 29/06/2007 de la
Superintendencia Financiera de Colombia como: “Posibilidad de incurrir en
pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los
procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos
externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales
factores.”
9. 9
AAnntteecceeddeenntteess eenn llaa
GGeessttiióónn ddeell RRiieessggoo
OOppeerraattiivvoo
TTradicionalmente, la gestión del riesgo desarrollada por
las entidades se había centrado en medir y controlar los
riesgos de crédito y mercado. El riesgo operativo lejos de
ser un desconocido, recibía un tratamiento a nivel
fundamentalmente cualitativo a través de las unidades de
auditoria interna / control interno, sin llegar a otorgársele la
suficiente importancia como para crear una unidad
específica dentro del área de riesgos.
Sin embargo, la cada vez más compleja actividad de las entidades financieras y,
fundamentalmente, las experiencias pasadas han reorientado su tratamiento
tradicional (mitigarlo a través de la implantación de procedimientos de control)
hacia una gestión integral del Riesgo Operacional, incluyendo la utilización de
metodologías cuantitativas
En este sentido, las principales entidades financieras empezaron a involucrar
dentro de sus estructuras organizacionales un área de riesgo operacional, cuyo
objetivo es establecer e implantar metodologías y procedimientos de identificación,
admisión, medición, seguimiento e integración que permitan mantener el perfil de
riesgos dentro de los niveles de tolerancia al mismo, fijados por la alta dirección.
Capítulo
2
10. 10
El desarrollo de esta área en las diferentes entidades fue acompañado de la
implementación de un sistema de gestión de riesgo operacional con un alcance
distinto en función de los objetivos marcados (cualitativos, cuantitativos y/o mixtos).
A nivel mundial, y para efectos de establecer los parámetros para la
estandarización y regulación de los diferentes tipos de riesgo se creó el Comité de
Basilea conformado por los bancos centrales de 55 países.
Dentro de los principios básicos propuestos por el Comité de Basilea, se definió la
necesidad de dictar esquemas de administración de riesgo operativo por parte de
los entes reguladores los cuales deben ser observados y aplicados por las
compañías vigiladas.
Dada la importancia de impulsar una cultura de la administración, control y
monitoreo de los riesgos, la Superintendencia Financiera de Colombia mediante
circular externa 052 de 2002, definió el marco normativo del sistema general de
administración de riesgos S.A.R. para las compañías vigiladas, la cual en su
capítulo V contempla los riesgos específicos a los que se ven expuestas las
aseguradoras (incluyendo el riesgo operativo), obligándolas a adoptar el sistema
especial de administración de riesgos de seguros S.E.A.R.S.
En complemento de lo anterior La SFC expidió la circular externa 048 del 22 de
diciembre de 2006 aclarada por la circular 049 de diciembre de 2006 y ampliada
con la circular externa 041 de 2007, las cuales ponen de manifiesto la importancia
de contar con una adecuada administración del riesgo operativo y definió como
obligatoria la adopción de un sistema para la administración del mismo
conformado por políticas, estructura organizacional, metodologías de identificación
y medición cualitativa de los riesgos, procedimientos y mecanismos que permitan
monitorear y controlar la ocurrencia del riesgo operativo.
11. 11
SSiisstteemmaa ddee AAddmmiinniissttrraacciióónn
ddee RRiieessggoo OOppeerraattiivvoo
((SSAARROO))
¿¿QQué es el SARO?
EEl Sistema de Administración de Riesgos Operacionales
es un conjunto de elementos tales como políticas,
procedimientos, documentación, estructura organizacional,
registro de eventos, órganos de control, plataforma
tecnológica, divulgación y capacitación, mediante los cuales
se busca obtener una efectiva administración del riesgo
operativo a través de sus etapas de identificación, medición
monitoreo y control.
¿¿CCuál es su ámbito aplicación?
El SARO aplica a todas las entidades sometidas a la inspección y vigilancia de la
SFC con excepción de las oficinas de representación y reaseguradoras del
exterior.
Capítulo
3
12. 12
La administración del riesgo debe ser implementada en todos los procesos de la
compañía de acuerdo con la estructura, tamaño, riesgo y complejidad de las
operaciones.
¿¿CCuáles son los factores que generan el Riesgo
operacional?
Se entienden por factores las fuentes donde se generan los eventos de riesgo
operacional. Dichos factores se clasifican según su naturaleza y el elemento
generador del riesgo.
Su clasificación es la siguiente:
INTERNOS
EXTERNOS
Situaciones asociadas a la fuerza de la naturaleza, u
ocasionadas por terceros que escapan en su causa y
origen al control de la entidad
Recurso
Humano
Procesos
Tecnología
Infraestructura
13. 13
EEtapas de la administración del riesgo operativo
Previo a la implementación de las etapas del SARO, la entidad debió establecer
las políticas, objetivos, procedimientos y estructura para la administración de
riesgo operativo, teniendo en cuenta que este sistema debe estar alineado con los
planes estratégicos de la compañía.
Las etapas aplicadas en la administración del riesgo operativo son:
Etapa de identificación
La entidad debe identificar los riesgos operativos a que se ve expuesta
teniendo en cuenta los factores de riesgo definidos.
Para lograr la identificación se debe partir del levantamiento y
documentación de todos los procesos y procedimientos de la compañía,
teniendo claridad sobre los objetivos de cada proceso.
Identificación Medición
ControlMonitoreo
Son los procesos, procedimientos y
estructuras dirigidos hacia la gestión
de efectos adversos, que puedan
impactar la consecución de los
objetivos.
14. 14
Etapa de medición
Una vez concluida la etapa de identificación, se debe entrar en la
etapa de medición dicha etapa se realiza en términos de
probabilidad de ocurrencia e impacto en caso de materializarse el
evento de riesgo. Esta medición podrá ser cualitativa, y cuando se
cuente con datos históricos de por lo menos un año se podrá
hacer una medición cuantitativa.
En términos de medición se deberá calcular el riesgo inherente, la efectividad de
los controles y el riesgo residual de la compañía, sobre el cual se define el perfil de
riesgo consolidado.
Etapa de control
Los controles corresponden a las medidas para mitigar el riesgo inherente con el
fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho
riesgo se materialice.
Mediante estas medidas de control
se deben tomar decisiones, y así
poder determinar cual es el perfil
de riesgo residual de la compañía,
estas decisiones están
direccionadas a evitar, aceptar o
transferir el riesgo.
Un tema fundamental en la etapa
de control es la implementación y
mantenimiento de un proceso para administrar la continuidad del negocio el cual
debe incluir elementos como:
Plan de prevención y atención de emergencias
-- ==
Riesgo
Inherente
Controles Riesgo
Residual
15. 15
Plan de administración de crisis
Planes de contingencia y capacidad de retorno a la operación normal
Etapa de monitoreo
Es el proceso de seguimiento efectivo para facilitar la detección y corrección de las
deficiencias del SARO. Dicho seguimiento debe tener una periodicidad mínima
trimestral y se realiza por medio de indicadores que evidencian los potenciales
eventos de riesgo operativo, asegurando que los controles implementados están
funcionando de forma oportuna y eficiente.
EElementos de la administración del riesgo operativo
Los elementos son el conjunto de componentes mediante los cuales se estructura
de forma organizada la administración del RO en una entidad.”
¿¿CCuáles son los elementos del S.A.R.O?
PPoollííttiiccaass
PPrroocceeddiimmiieennttooss
DDooccuummeennttaacciióónn
Son los lineamientos generales para la
administración del SARO. Comprende el
aseguramiento del cumplimiento de las
normas de R.O, impulsar la cultura del
R.O, desarrollo de planes de continuidad
Corresponde a la descripción de cómo se
instrumenta y desarrolla cada uno de las
etapas y elementos del SARO, como se
identifican riesgos, establecen y
evolucionan los controles etc.
Todas las etapas y elementos del SARO,
deben estar sustentadas en documentos
como el manual, documentos y registros
que evidencien la operación efectiva del
sistema.
16. 16
Con este elemento se busca tener
establecidas y asignadas las funciones
en relación con las distintas etapas y
elementos del SARO.
EEssttrruuccttuurraa
OOrrggaanniizzaacciioonnaall
El propósito de este elemento es
permitir almacenar en una base de
datos todos los eventos de riesgo
identificados y reportados por
cualquiera de los funcionarios de la
compañía.
RReeggiissttrroo ddee
eevveennttooss ddee RR..OO
PPllaattaaffoorrmmaa
TTeeccnnoollóóggiiccaa
DDiivvuullggaacciióónn ddee
llaa iinnffoorrmmaacciióónn
CCaappaacciittaacciióónn
Las entidades de acuerdo a su tamaño y
naturaleza deben contar con la tecnología
y los sistemas necesarios para el
adecuado funcionamiento del SARO
La información referente al SARO debe
ser divulgada periódicamente y estar
disponible en forma permanente. Por tanto
se deben diseñar reportes internos y
externos.
Las entidades deben diseñar programar y
coordinar planes de capacitación anual
dirigidos a todos los funcionarios. Estos
programas deben ser medidos y
evaluados para comprobar su eficacia y
alcance de los objetivos propuestos.
17. 17
CCllaasseess oo ccaatteeggoorrííaass ddee
RRiieessggoo OOppeerraattiivvoo
TTodos los eventos de Riesgo Operacional, deben tener asignada una clase o
categoría de riesgo dependiendo de la causa que originó el evento; las pérdidas
registradas pueden ser agrupadas atendiendo a sus causas últimas. Para ello, se
utilizan una serie de categorías elementales que suministran una visión sintética
de la distribución del riesgo global existente en la compañía. Las clases o
categorías más usuales definidas son las siguientes:
Capítulo
4
FFrraauuddee IInntteerrnnoo
Pérdidas derivadas de algún tipo de actuación de
empleados o terceros vinculados contractualmente a la
compañía, encaminada a defraudar, apropiarse de
bienes indebidamente o incumplir regulaciones, leyes o
políticas empresariales. Esta categoría incluye eventos
como: fraudes, robos (con participación de personal de
la empresa), sobornos, entre otros.
18. 18
FFrraauuddee EExxtteerrnnoo
Pérdidas derivadas de algún tipo de actuación realizadas
por personas ajenas a la compañía que buscan defraudar,
apropiarse de bienes indebidamente o desatender la
legislación. Esta categoría incluye eventos como: robos,
falsificación, ataques informáticos, entre otros.
FFaallllaass tteeccnnoollóóggiiccaass
Pérdidas o interrupciones derivadas de fallos en los
sistemas de cómputo, comunicaciones, hardware o
software de la compañía. Entre los casos más comunes
están las caídas del sistema por tiempos prolongados,
daños en líneas telefónicas, perdida de información
electrónica, virus informáticos que afecten el sistema,
etc.
EEjjeeccuucciióónn yy ggeessttiióónn ddee pprroocceessooss
Pérdidas derivadas de errores en el procesamiento de
operaciones o en la gestión de procesos, así como de
relaciones con contrapartes comerciales y proveedores.
Esta categoría incluye eventos asociados con: captura
de transacciones, ejecución y mantenimiento, monitoreo
y reporte, entrada y documentación de clientes, gestión
de cuentas de clientes, contrapartes de negocio,
19. 19
RReellaacciioonneess llaabboorraalleess yy sseegguurriiddaadd
eenn eell ppuueessttoo ddee ttrraabbaajjoo
Pérdidas derivadas de actuaciones incompatibles con la
legislación o acuerdos laborales, sobre higiene o
seguridad en el trabajo, sobre el pago de reclamaciones
por daños personales, o sobre casos relacionados con
discriminación en el trabajo.
DDaaññooss aa aaccttiivvooss mmaatteerriiaalleess
Pérdidas derivadas de daños o perjuicios a activos
físicos como consecuencia de desastres naturales u
otros eventos de fuentes externas.
Ej: Incendios, terremotos, actos terroristas, falta de
mantenimiento de activos, etc.
CClliieenntteess,, pprroodduuccttooss yy pprrááccttiiccaass
eemmpprreessaarriiaalleess
Pérdidas derivadas del incumplimiento involuntario o
negligente de una obligación profesional frente a
clientes o de la naturaleza o diseño de un producto.
EJ: Competencia desleal, falsos beneficios en
productos, perjuicios a clientes, etc.
20. 20
GGlloossaarriioo ddee TTéérrmmiinnooss
A continuación se presentan los conceptos más utilizados en la administración de
riesgos operativos.
Control: Son las medidas tomadas para disminuir la probabilidad de ocurrencia o
impacto en caso que el riesgo se materialice.
Clientes: Factor de riesgo que corresponde a fallas negligentes o involuntarias de las
obligaciones frente a los clientes y que impiden satisfacer una obligación profesional
frente a éstos.
Daños a activos físicos: Pérdidas derivadas de daños o perjuicios a activos físicos de
la compañía.
Ejecución y administración de procesos: Pérdidas derivadas de errores en la
ejecución y administración de los procesos.
Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de
tiempo determinado.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo
operativo a las compañía.
Externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados por
terceros, que escapan en cuanto a su causa y origen al control de la compañía.
Factores de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de
eventos en las que se originan las pérdidas por riesgo operativo. La Superintendencia
Financiera los clasifica en: internos (recurso humano, procesos, tecnología e
infraestructura) y factores externos.
Capítulo
6
21. 21
Factores de riesgo interno: son el recurso humano, los procesos, la tecnología, la
infraestructura y los acontecimientos externos.
Factores externos: Son eventos asociados a la fuerza de la naturaleza u ocasionados
por terceros, que escapan en cuanto a su causa y origen al control de la compañía.
Fallas tecnológicas: Pérdidas derivadas de incidentes por fallas tecnológicas.
Fraude Externo:Actos, realizados por una persona externa a la compañía, que buscan
defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o
leyes.
Fraude Interno: Actos que de forma intencionada buscan defraudar o apropiarse
indebidamente de activos de la compañía o incumplir normas o leyes, en los que está
implicado, al menos, un empleado o administrador de la compañía.
Frecuencia: Numero de veces o nivel de ocurrencia con la que se dan los eventos de
riesgo operativo en los procesos de la compañía.
Impacto: Pérdida potencial que se puede generar en caso de ocurrencia del evento
de riesgo operativo.
Indicadores de riesgo operativo: Indicadores o eventos de riesgo operativo que
permiten identificar de forma sencilla y completa los riesgos a que puede estar
expuesta la compañía, como resultado de las operaciones que desarrolla.
Infraestructura: Es el conjunto de elementos de apoyo para el funcionamiento de una
organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y
transporte.
Manual de Riesgo Operativo: Es el documento contentivo de todas las políticas,
objetivos, estructura organizacional, estratégias, los procesos y procedimientos
aplicables en el desarrollo, implementación y seguimiento del SARO.
Matriz de Riesgos: Es el documento que recopila y consolida el proceso de
identificación, medición, control y monitoreo, el cual hace parte integral de este manual.
Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operativo,
así como los gastos derivados de su atención.
Perfil de Riesgo: Resultado consolidado de la medición de los riesgos a los que se ve
expuesta una compañía.
Plan de contingencia: Conjunto de acciones y recursos para responder a las fallas e
interrupciones específicas de un sistema o proceso.
Plan de continuidad del negocio: Conjunto detallado de acciones que describen los
procedimientos, los sistemas y los recursos necesarios para retornar y continuar la
operación, en caso de interrupción.
22. 22
Plan de mejoramiento: Conjunto de acciones definidas por la alta dirección para la
mitigación del riesgo operativo.
Plataforma tecnológica: Las compañías, de acuerdo con sus actividades y tamaño,
deben contar con la tecnología y los sistemas necesarios para garantizar el adecuado
funcionamiento del S.A.R.O.
Políticas: Son los lineamientos generales que las compañías deben adoptar en
relación con el S.A.R.O.
Procedimientos: Son la secuencia de actividades relacionadas entre sí que
especifican su forma de ejecución para llevar a la práctica dentro de un proceso.
Procesos: Es el conjunto interrelacionado de actividades para la transformación de
elementos de entrada en productos o servicios, para satisfacer una necesidad.
Recurso Humano Es el conjunto de personas vinculadas directa o indirectamente con
la ejecución de los procesos de la compañía. Se entiende por vinculación directa,
aquella basada en un contrato de trabajo en los términos de la legislación vigente. La
vinculación indirecta hace referencia a aquellas personas que tienen con la compañía
una relación jurídica de prestación de servicios diferente a aquella que se origina en un
contrato de trabajo
Relaciones laborales: Actos que son incompatibles con la legislación laboral, con los
acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia.
Riesgo inherente: Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto
de los controles.
Riesgo legal: Es la posibilidad de pérdida en que incurre una compañía al ser
sancionada u obligada a indemnizar daños como resultado del incumplimiento de
normas o regulaciones y obligaciones contractuales. El riesgo legal surge también
como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la
formalización o ejecución de contratos o transacciones.
Riesgo Operativo (R.O): Se entiende por Riesgo Operativo, la posibilidad de incurrir
en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los
procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos
externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales
factores.
Riesgo reputacional: Es la posibilidad de pérdida en que incurre una compañía por
desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y
sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o
procesos judiciales.
Riesgo residual: Nivel resultante del riesgo después de aplicar los controles.
23. 23
Sistema de Administración de Riesgo Operativo (SARO): Conjunto de elementos
tales como políticas, procedimientos, documentación, estructura organizacional,
registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica,
divulgación de información y capacitación, mediante los cuales las compañías vigiladas
identifican, miden, controlan y monitorean el riesgo operativo.
Tecnología: Es el conjunto de herramientas empleadas para soportar los procesos de
la Compañía. Incluye: hardware, software y telecomunicaciones.
Terceros: Las personas que sin ser funcionarios de Confianza S.A, se encuentren
relacionadas a ella por cualquier clase de vinculación contractual o comercial.
Unidad de Riesgo Operativo: Se entiende por Unidad de Riesgo Operativo el área o
cargo, designada por el Representante Legal de la compañía, que debe coordinar la
puesta en marcha y seguimiento del SARO.