Sistema de administración de riesgo operativo: definición y características

Por la naturaleza de sus operaciones, las entidades sometidas a vigilancia por parte de la Superintendencia Financiera de Colombia se ven expuestas a diferentes riesgos, por tanto, estas entidades deben desarrollar, establecer e implementar un sistema de administración de riesgo operativo –SARO–.

Independientemente del cargo que desempeñe el contador, de una u otra manera su labor puede consistir en interactuar de forma indirecta o directa con entidades financieras, compañías de financiamiento, aseguradoras o demás entidades que sean vigiladas por la Superintendencia Financiera de Colombia, por tanto, se hace necesario que conozca los aspectos necesarios del sistema de administración de riesgo operativo.

El sistema de administración de riesgo operativo surge como requerimiento por parte de la Superintendencia Financiera, debido a la naturaleza de las operaciones que registran las entidades sometidas a su vigilancia e inspección; este sistema, que se compone de políticas, procesos, documentación, registro y seguimiento de eventos de riesgo operativo, busca obtener sobre sus componentes una efectiva administración.

Riesgo operativo

Se entiende por riesgo operativo la posibilidad de incurrir en pérdidas, fallas o inadecuaciones por causas de origen interno de la entidad (como el recurso humano, la tecnología, los procesos, la infraestructura), por acontecimientos externos asociados a la fuerza de la naturaleza (tales como desastres naturales), o daños causados por terceros que se escapan del control de la entidad en cuanto a su causa y origen. Los incidentes que generan pérdidas por riesgo operativo pueden ser:

• Actos generalmente cometidos por colaboradores de la entidad que utilizan la confianza depositada en ellos con el fin de apropiarse de activos o incumplir normas o leyes.
• Actos ejecutados por una persona externa a la entidad con los que se busca la apropiación de activos o incumplir normas o leyes.
• Actos que no son compatibles con la legislación laboral o con los acuerdos a los que se llegó en el contrato laboral.
• Incumplimiento de las obligaciones con clientes ya sea por negligencia o de forma involuntaria.
• Pérdidas derivadas de daños y perjuicios a activos físicos o derivadas de fallas tecnológicas.
• Pérdidas derivadas de errores en la ejecución de los procesos.

Etapas de la administración del riesgo operativo

Para efectuar una adecuada administración del riesgo operativo, las entidades deben realizar los siguientes pasos:

• Identificación: identificar y documentar los procesos de la entidad, establecer métodos de identificación de riesgo para que estos sean aplicados a los procesos con el fin de determinar los riesgos e identificarlos teniendo en cuenta los ítems mencionados en anteriores párrafos.
• Medición: establecer un método de medición cualitativo o cuantitativo que pueda ser aplicado para los eventos de riesgo que han sido identificados; este método debe permitir identificar el impacto del riesgo y las consecuencias del mismo en caso de que se materialice.
• Control: establecer medidas de control sobre los eventos del riesgo, determinar las medidas que permitan asegurar la continuidad del negocio e implementar procesos enfocados en la prevención, atención de emergencias, administración de crisis y planes de contingencia. Finalmente, decidir si se puede reducir el riesgo, transmitirlo, removerlo o aceptarlo.
• Monitoreo: de acuerdo a las decisiones y resultados producto de la aplicación de los anteriores pasos, en esta etapa se realiza un seguimiento y monitoreo de los riesgos estableciendo indicadores que permitan evidenciar los potenciales eventos de riesgo; este proceso debe realizarse de forma periódica, al menos 2 veces al año.

Material relacionado:

• [Análisis] Sistema de Administración del Riesgo de Lavado de Activos y Financiación del Terrorismo: etapas