REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL
RIESGO OPERATIVO

Se entiende por Riesgo Operativo, la posibilidad de incurrir en pérdidas por deficiencias, fallas o in adecuaciones, en
el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.

Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como
resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

Riesgo reputacional

Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o
no, respecto de la institución y sus prácticas de negocios, que cause pérdida de clientes, disminución de ingresos o
procesos judiciales.

Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad

Se entiende por factores de riesgo las fuentes generadoras de riesgos operativos que pueden o no generar perdidas

Internos

Recurso Humano

Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

Infraestructura

Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios,
espacios de trabajo, almacenamiento y transporte

Tecnología

Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y
telecomunicaciones.

Procesos

Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o
servicios, para satisfacer una necesidad

Externos

Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su
causa y origen al control de la entidad.

Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos derivados de su
atención.

Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

Eventos de pérdida

Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades

Clasificación de los riesgos operativos

Fraude Interno

Actos que de forma intencionada buscan defraudar o apropiarse indebidamente de activos de la entidad o incumplir
normas o leyes, en los que está implicado, al menos, un empleado o administrador de la entidad.

Subtopic

Clientes

Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación
profesional frente a éstos.

Daños a activos físicos

Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad.

Fraude Externo

Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos
de la misma o incumplir normas o leyes.

Relaciones laborales

Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la
legislación vigente sobre la materia.

Ejecución y administración de procesos

Pérdidas derivadas de errores en la ejecución y administración de los procesos

Fallas tecnológicas

Pérdidas derivadas de incidentes por fallas tecnológicas.

Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de
eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación,
mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo

Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

Plan de continuidad del negocio

Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para
retornar y continuar la operación, en caso de interrupción.

Plan de contingencia

Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

Manual de Riesgo Operativo

Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y
procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

La Unidad de Riesgo Operativo

Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad,
que debe coordinar la puesta en marcha y seguimiento del SARO