Capitulo 23 Riesgo Operativo

CAPITULO XXIII

REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL

RIESGO OPERATIVO

Consideraciones generales

En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC) se exponen al Riesgo Operativo (RO).

Por tal razón, dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo.

Dicho sistema está compuesto por elementos mínimos (políticas, procedimientos, documentación, estructura organizacional, el registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación) mediante los cuales se busca obtener una efectiva administración del riesgo operativo.

1. Ámbito de aplicación

Todas las entidades sometidas a la inspección y vigilancia de la SFC, deben adoptar un Sistema de Administración de Riesgo Operativo (SARO), con excepción de las Oficinas de Representación de instituciones financieras y reaseguradoras del exterior.

2. Definiciones

Las siguientes definiciones se tendrán en cuenta para los fines de la presente Circular:

2.1. Riesgo Operativo (RO)

Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores.

2.1.1. Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.

2.1.2. Riesgo reputacional

Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

2.2. Perfil de Riesgo

Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad.

2.3. Factores de riesgo

Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar pérdidas.

Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos.

Dichos factores se deben clasificar en internos o externos, según se indica a continuación.

2.3.1. Internos

2.3.1.1. Recurso Humano

Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente.

La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo

2.3.1.2. Procesos

Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

2.3.1.3. Tecnología

Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

2.3.1.4. Infraestructura

Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

2.3.2. Externos

Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su causa y origen al control de la entidad.

2.4. Pérdidas

Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su atención.

2.5. Evento

Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

2.6. Eventos de pérdida

Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.

2.6.1. Clasificación de los riesgos operativos

Para los efectos del presente capitulo los riesgos operativos se clasifican de la siguiente manera:

2.6.1.1. Fraude Interno

Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.

2.6.1.2. Fraude Externo

Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.

2.6.1.3. Relaciones laborales

Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia.

2.6.1.4. Clientes

Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos.

2.6.1.5. Daños a activos físicos

Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

2.6.1.6. Fallas tecnológicas

Pérdidas derivadas de incidentes por fallas tecnológicas.

2.6.1.7. Ejecución y administración de procesos

Pérdidas derivadas de errores en la ejecución y administración de los procesos.

2.7. Sistema de Administración de Riesgo Operativo (SARO)

Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.

2.8. Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

2.9. Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

2.10. Plan de continuidad del negocio

Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción.

2.11. Plan de contingencia

Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

2.12. Manual de Riesgo Operativo

Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

2.13. La Unidad de Riesgo Operativo

Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.

3. Sistema de Administración del Riesgo Operativo (SARO)

Previo a la implementación de las etapas del SARO, las entidades deben establecer las políticas, objetivos, procedimientos y estructura para la administración de riesgo operativo. El sistema debe estar alineado con los planes estratégicos de cada entidad.

3.1. Etapas de la Administración del Riesgo Operativo

En la administración del riesgo operativo, las entidades deben desarrollar las siguientes etapas:

3.1.1. Identificación

En desarrollo del SARO las entidades deben identificar los riesgos operativos a que se ven expuestas, teniendo en cuenta los factores de riesgo definidos en este capítulo.

Para identificar el riesgo las entidades deben como mínimo:

a) Identificar y documentar la totalidad de los procesos.

b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los riesgos operativos.

c) Con base en las metodologías establecidas en desarrollo del literal b) del numeral 3.1.1 del presente capítulo, identificar los riesgos operativos, potenciales y ocurridos, en cada uno de los procesos.

d) La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier proceso, así como en los casos de fusión, adquisición,

...