SUPERINTENDENCIA F

SUPERINTENDENCIA F gyAANNGGllEE]U 13, 2016 | 18 pagos CAPITULO XXII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Página 1 CAPITULO XXII REGLAS RELATIVAS A LA ADMINISTRACION DE Consideraciones generales En desarrollo de sus er Sv. ipe to la inspección y vigilan de la Colombia (SFC) se ex es sometidas a cia Financiera de o (RO).

Por tal razón, dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de Administración de Riesgo Operativo (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas últimas realizadas directamente o a ravés de terceros, que les permita identificar, medir, controlar y monitorear eficazmente este riesgo.

Dicho sistema está compuesto por elementos mínimos (políticas, procedimientos, documentación, estructura organizacional, el registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de información y capacitación) mediante los cuales se busca obtener una efectiva administración del riesgo operativo. tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Esta definición incluye el riesgo legal y reputacional, asociados a tales factores. 1. 1. Riesgo legal Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y transacclones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de contratos o transacciones. 2. 1. 2.

Riesgo reputacional Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad negativa, cierta o no, especto de la institución y sus prácticas de negocios, que cause pérdlda de clientes, disminución de ingresos o procesos judiciales. 2. 2. perfil de Riesgo Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad. 2. 3. Factores de riesgo Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas por riesgo operativo.

Son factores de riesgo el r o, los procesos, la 8 tecnología, la infraestructu ecimientos externos. entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación vigente. La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo 2. 3. 1. 2. procesos Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servlclos, para satisfacer una necesidad. 2. 3. Tecnología Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones. 2. 3. 1. 4. Infraestructura Es el conjunto de elementos de apoyo para el funcionamiento de na organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte. 2. 3. 2. Externos Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en cuanto a su causa y origen al control de la entidad. 2. 4. Pérdidas Cuantificación económica ia de un evento de riesgo operativo, así como los ga s de su atención. entidad. 2. 6. 1. . Fraude Externo Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos de la misma o incumplir normas o leyes. 2. 6. 1. 3. Relaciones laborales Actos que son incompatibles con la legislación laboral, con los acuerdos internos de trabajo y, en general, la legislación vigente sobre la materia. 2. 6. 1 Clientes Fallas negligentes o involuntarias de las obligaciones frente a los clientes y que impiden satisfacer una obligación profesional frente a éstos. 2. 6. 1. 5. Daños a activos físicos Pérdidas derivadas de daños o perjuicios a activos físicos de la Página 3 2. . 1. 6. Fallas tecnológicas Pérdidas derivadas de incidentes por fallas tecnológicas. 18 2. 6. 1. 7. Eiecución y admini cesos procedimientos, los sistemas y los recursos necesarios para etornar y continuar la operación, en caso de interrupción. 2. 11. plan de contingencia Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. 2. 12. Manual de Riesgo Operativo Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO. . 13. La Unidad de Riesgo Operativo Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la entidad, que debe oordinar la puesta en marcha y seguimiento del SARO. 3. Sistema de Administración del Riesgo Operativo (SARO) Previo a la implementación de las etapas del SARO, las entidades deben establecer las políticas, objetivos, procedimientos y estructura para la administración de riesgo operativo. El sistema debe estar alineado con los planes estratégicos de cada entidad. 3. 1.

Etapas de la Administración del Riesgo Operativo En la administración del riesgo operativo, las entidades deben desarrollar las siguientes etapas: c) Con base en las metodologías establecidas en desarrollo del iteral b) del numeral 3. 1. 1 de la presente Circular, Identificar los eventos de riesgo operativo, potenciales y ocurridos, en cada uno de los procesos. d) La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier proceso. Así mismo, deberá adelantarse con anterioridad a la realización de operaciones de fusión, adquisición, cesión de activos, pasivos y contratos, entre otros.

Página 4 3. 1. 2. Medición Una vez concluida la etapa de identificación, las entidades deben medir la probabilidad de ocurrencia de un evento de riesgo perativo y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se cuente con datos históricos, cuantitativa. para la determinación de la probabllidad se debe considerar un horizonte de tiempo de un año. En el proceso de medición del riesgo operativo, las entidades deben desarrollar, como mínimo, los siguientes pasos: a) Establecer la metodología de medición susceptible de ser aplicada a los eventos de riesgo operativo identificados.

La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como al impacto, en los casos en que dicho riesgo se materialice. ) Aplicar la metodología establecida en desarrollo del literal a) del numeral 3. 1. 2 de la prese ra lograr una medición individual y consolidada de ad de ocurrencia V del inherente individual y consolidado. 3. 1. 3. Control Las entidades deben tomar medidas para controlar el riesgo inherente a que se ven expuestas con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho riesgo se materialice.

Durante esta etapa las entidades deben como mínimo: a) Establecer la metodología con base en la cual se definan las medldas de control de los eventos de riesgo operatlvo. ) De acuerdo con la metodología establecida en desarrollo del literal a) del numeral 3. 1. 3 de la presente Circular, implementar las medidas de control sobre cada uno de los eventos de riesgo operativo. c) Determinar las medidas que permitan asegurar la continuidad del negocio. d) Estar en capacidad de determinar el perfil de riesgo residual individual y consolidado.

Sin perjuicio de lo anterior, las entidades podrán decidir si transfieren, aceptan o evitan el riesgo, en los casos en que esto sea posible. La utilización de ciertas medidas, como la contratación de un eguro, puede ser fuente generadora de nuevos eventos de riesgo operativo, los cuales deben ser a su vez administrados. 3. 1. 3. 1. Administración de la continuidad del negocio De acuerdo con su estruct obieto social y actividades Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia. b) Ser conocidos por todos los interesados. ) Cubrir por lo menos los siguientes aspectos: identificación de eventos que pueden afectar la operación, actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad normal. 3. 1. 4. Monitoreo Las entidades deben hacer un monitoreo periódlco de los perfiles de riesgo y de las exposiciones a pérdidas. Para el efecto, éstas deben cumplir, como mínimo, con los siguientes requisitos: a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las deficiencias en su SARO.

Dicho seguimiento debe tener una periodicidad acorde con los eventos de riesgo operativo potenciales y ocurrldos, asi como con la frecuencia y naturaleza de los cambios en el entorno operativo. En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral. ) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales eventos de riesgo operativo. CAPITULO XXII REGLAS RELATIVAS A LA ADMINISTRACION DEL Página 5 c) Asegurar que los controles estén funcionando en forma oportuna y efectiva. ) Asegurar que los riesgo e encuentren en los un adecuado funcionamiento del SARO y traducirse en reglas de conducta y procedimientos que orienten la actuación de la Las políticas que adopten las entidades deben cumplir con los siguientes requisitos mínimos: a) Impulsar a nivel institucional la cultura en materia de riesgo ) Evidenciar el deber de los órganos de administración, de control y de sus demás funcionarios, de asegurar el cumplimiento de las normas internas y externas relacionadas con la c) Permitir la prevención y resolución de conflictos de interés en la recolección de información en las diferentes etapas del SARO, especialmente para el registro de eventos de riesgo operativo. ) Permitir la identificación de los cambios en los controles y los perfiles de riesgo. e) Desarrollar e implementar planes de continuidad del negocio. 3. 2. 2. Procedimientos Las entidades deben establecer los procedimientos aplicables ara la adecuada implementación y funcionamiento de las etapas y elementos del SARO. Los procedimientos, que en esta materia adopten las entidades, deben contemplar, como mínimo, los siguientes requisitos: a) Instrumentar las diferentes etapas y elementos del SARO. b) Identificar los cambios V de los controles V los mínimo: a) Manual de Riesgo Operativo. b) Los documentos y registros que evidencien la operación efectiva del SARO. ) Los informes de la Junta Directiva, el Representante Legal y los órganos de control en los términos de la presente Circular. 3. 2. 3. 1. Manual de Riesgo Operativo El Manual de Riesgo Operativo debe contener, como mínmo, lo siguiente: a) as políticas para la administración del riesgo operativo. b) Las metodologías para la identificación, medición y control y los niveles de aceptación del riesgo operativo. c) La estructura organizacional del SARO. d) Los roles y responsabilidades de quienes participan en la e) Las medidas necesarias para asegurar el cumplimiento de las polticas y objetivos del SARO. f) Los procedimientos para identificar, medir, controlar y monitorear el riesgo operativo. Página 6