Es el conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registros de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo operativo.
Es la posibilidad de incurrir en pérdidas resultantes de las deficiencias, fallas o inadecuaciones que se pueden presentar por recursos humanos, en los procesos, fallas en la tecnología, en la infraestructura y por eventos externos.
Las instrucciones y procedimientos para implementar un Sistema de Administración del Riesgo Operativo (SARO), deben ser aplicadas por las cooperativas de ahorro y crédito, multiactivas e integrales con sección de ahorro y crédito vigiladas.
ORIGEN
El origen normativo de SARO, se encuentran planteado por la Ley 964 de 2005 decretada por el Congreso de la República de Colombia, dicta todas las reglas relativas a la administración de riesgos operativos y junto con la resolución 1865 de 2007, las entidades deben: revelar de forma adecuada los gastos y los ingresos de riesgo operativo, para registrar la línea y el tipo de evento en cuentas auxiliares a nivel interno creadas especialmente para ello.
OBJETIVO
El objetivo de este sistema de gestión es minimizar la posibilidad de incurrir en pérdidas por deficiencias e inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o la ocurrencia de acontecimientos externos, incluyendo todas las situaciones relacionadas con los asuntos legales y de reputación.
Planear, organizar, ejecutar y evaluar las labores relacionadas con la gestión de riesgos operativos y no operativos, especialmente los riesgos relacionados con la operación del Depósito, los riesgos estratégicos, los riesgos financieros, los riesgos de mercado, los riesgos legales y los riesgos reputacionales.
Mantener un sistema de matrices de riesgo y de registro de eventos de riesgos.
Coordinar el Comité Interno de Riesgos y el Comité de Auditoría y Riesgos de Junta Directiva.
Adelantar las labores necesarias para informar a la Junta Directiva sobre la gestión de riesgos.
Realizar capacitación sobre Riesgos y Controles
FACTORES
Se entiende por factores de riesgo las fuentes generadoras de riesgos operacionales que pueden o no generar pérdidas.
Internos
Recurso Humano: Conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.
Procesos: Conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.
Tecnología: Conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.
Infraestructura: Conjunto de elementos de apoyo para el funcionamiento de una organización.
Externos
Pérdidas: Cuantificación económica de la ocurrencia de un evento de riesgo operacional, así como los gastos derivados de su atención.
Pérdida Bruta: Se entiende una pérdida antes de recuperaciones de cualquier tipo.
Pérdida Neta: Se entiende la pérdida después de tener en consideración los efectos de las recuperaciones.
Evento: Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.
Eventos de pérdida: Son aquellos incidentes que generan pérdidas por riesgo operacional a las entidades.
ETAPAS
Identificación
a) Identificar y documentar la totalidad de los procesos.
b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los riesgos operacionales.
c) La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier proceso, producto, servicio o canal, así como en los casos de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.
Medición
Las entidades vigiladas deben medir la probabilidad de ocurrencia de los riesgos operacionales y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa.
a) Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los riesgos operacionales identificados. La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como al impacto.
b) Determinar el perfil de riesgo inherente de la entidad.
Cuantificación de los requerimientos de capital por riesgo operacional
a) Los establecimientos de crédito, los organismos cooperativos de grado superior de carácter financiero, deben cuantificar la exposición a los riesgos operacionales con cargo a capital.
b) Las sociedades fiduciarias, las sociedades administradoras de fondos de pensiones y cesantías, las sociedades comisionistas de bolsa de valores, las sociedades administradoras de inversión y las entidades aseguradoras, en virtud de lo establecido en el Decreto 415 de 2018, deben determinar el factor de ponderación para el cálculo del valor de la exposición por riesgo operacional.
Control
Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen
a) Establecer la metodología con base en la cual definan las medidas de control de los riesgos operacionales.
b) Determinar las medidas que permitan asegurar la continuidad del negocio.
d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.
Administración de la continuidad del negocio
De acuerdo con su estructura, tamaño, objeto social y actividades de apoyo, las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya elementos como: prevención y atención de emergencias, administración de escenarios de crisis, planes de contingencia y capacidad de retorno a la operación normal.
a) Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia.
b) Ser conocidos por todos los interesados.
c) Cubrir por lo menos los siguientes aspectos: identificación de los riesgos que pueden afectar la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad normal.
Monitoreo
Las entidades deben hacer un monitoreo continuo a la gestión de los riesgos operacionales y a su perfil de riesgo operacional.
a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias en el SARO.
b) En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral.
c) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales riesgos operacionales.
RIESGOS ASOCIADOS
Riesgo Legal: Es la posibilidad de pérdida en que incurre una organización solidaria al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones, obligaciones contractuales, fallas en los contratos y transacciones. El riesgo legal surge también como consecuencia de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones.
Riesgo Reputacional: Es la posibilidad de pérdida en que incurre una organización por desprestigio, mala imagen, publicidad negativa, cierta o no relacionadas con sus prácticas de negocios, que puede causar el retiro de sus asociados, disminución de ingresos o el inicio de procesos judiciales.
Fraude Interno: Actos que tienen como resultado defraudar, apropiarse de bienes indebidamente o incumplir regulaciones, en los que se encuentra implicado, al menos, un empleado
Fraude Externo: Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes.
Fallas tecnológicas: Hechos o cambios originados por fallas del hardware, software, telecomunicaciones o servicios públicos que puedan afectar, además de la operación interna de la entidad, la prestación del servicio a los clientes.
Ejecución y administración de procesos: Errores en el procesamiento de operaciones o en la gestión de procesos, así como en las relaciones con contrapartes comerciales y proveedores.
ÓRGANOS DE CONTROL
Revisoría Fiscal: Este debe elaborar un reporte al cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de evaluación del cumplimiento de las normas e instructivos sobre el SARO. A su vez, debe poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la obligación de informar sobre ellos a la Junta Directiva u órgano que haga sus veces.
Auditoría Interna o quien ejerza el control interno: Esta debe evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los resultados de la evaluación a la Unidad de Riesgo Operacional y al Representante Legal.
Referencias Bibliográficas.
Toro, R. (2017, agosto 18). Sistema de Administración del Riesgo Operativo (SARO): ¿Cómo administrar los riesgos? Com.co; ISOTools Colombia. https://www.isotools.com.co/sistema-administracion-del-riesgo-operativo-saro-administrar-los-riesgos/
Objetivos :: (s/f). Com.co. Recuperado el 27 de marzo de 2023, de https://www.deceval.com.co/portal/page/portal/Home/Empresa/Gestion_del_Riesgo_y_Continuidad_del_Negocio/SARO/Objetivos/
Fasecolda. (2017, mayo 1). CAPÍTULO 12. Fasecolda.com. https://publicaciones.fasecolda.com/regimen-de-seguros/chapter/p2-c12/