Sistema de Administración del Riesgo Operativo (SARO)
. Etapas de la Administración del Riesgo Operativo
Identificación
En desarrollo del SARO las entidades deben identificar los riesgos operativos a que se ven expuestas, teniendo
en cuenta los factores de riesgo definidos en este capítulo.
Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los
riesgos operativos.
Identificar y documentar la totalidad de los procesos.
Con base en las metodologías establecidas en desarrollo del literal b) del numeral 3.1.1 del presente capítulo, identificar los riesgos operativos, potenciales y ocurridos, en cada uno de los procesos.
La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier proceso, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
Medición
Una vez concluida la etapa de identificación, las entidades deben medir la probabilidad de ocurrencia de los riesgos operativos y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa. Para la determinación de la probabilidad se debe considerar un horizonte de tiempo de un año.
Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los riesgos
operativos identificados. La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como al impacto.
Aplicar la metodología establecida en desarrollo del literal a) del numeral 3.1.2 del presente capítulo para lograr una medición de la probabilidad de ocurrencia y del impacto de los riesgos operativos en la totalidad de los procesos de la entidad
Determinar el perfil de riesgo inherente de la entidad
Control
Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen.
Establecer la metodología con base en la cual definan las medidas de control de los riesgos operativos.
De acuerdo con la metodología establecida en desarrollo del literal a) del numeral 3.1.3 del presente
capítulo, implementar las medidas de control sobre cada uno de los riesgos operativos.
Determinar las medidas que permitan asegurar la continuidad del negocio
Estar en capacidad de determinar el perfil de riesgo residual de la entidad.
Monitoreo
Las entidades deben hacer un monitoreo periódico del perfil de riesgo y de la exposición a pérdidas
Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las
deficiencias en el SARO. Dicho seguimiento debe tener una periodicidad acorde con los riesgos operativos potenciales y ocurridos, así como con la frecuencia y naturaleza de los cambios en el entorno operativo. En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral.
Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales riesgos operativos
Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente
Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad
Elementos del SARO
Políticas
Son los lineamientos generales que las entidades deben adoptar en relación con el SARO
Impulsar a nivel institucional la cultura en materia de riesgo operativo.
Establecer el deber de los órganos de administración, de control y de sus demás funcionarios, de asegurar el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo operativo.
Permitir la prevención y resolución de conflictos de interés en la recolección de información en las diferentes
etapas del SARO, especialmente para el registro de eventos de riesgo operativo
Permitir la identificación de los cambios en los controles y en el perfil de riesgo.
Desarrollar e implementar planes de continuidad del negocio.
Procedimientos
Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento
de las etapas y elementos del SARO.
Instrumentar las diferentes etapas y elementos del SARO.
Identificar los cambios y la evolución de los controles, así como del perfil de riesgo.
Adoptar las medidas por el incumplimiento del SARO.
Documentación
Las etapas y los elementos del SARO implementados por las entidades deben constar en documentos y registros, garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. La documentación debe incluir como mínimo:
Manual de Riesgo Operativo.
Las políticas para la administración del riesgo operativo.
La estructura organizacional del SARO
Los roles y responsabilidades de quienes participan en la administración del riesgo operativo.
Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos del SARO.
Los procedimientos y metodologías para identificar, medir, controlar y monitorear los riesgos operativos y
su nivel de aceptación.
Los procedimientos y metodologías para implementar y mantener el registro de eventos.
Los procedimientos que deben implementar los órganos de control frente al SARO.
Las estrategias de capacitación del SARO
Los documentos y registros que evidencien la operación efectiva del SARO.
Los informes de la Junta Directiva, el Representante Legal y los órganos de control en los términos de la
presente Circular