SARO
SARO
SARO
3
Cada uno de los componentes de marco ORM recursos comunes tanto para mitigar los riesgos
tiene un objetivo específico y una razón propia de operativos asociados al desarrollo sus actividades
ser dentro de la gestión de riesgo operativo. Esto como para generar valor mediante una adecuada
garantiza que todos los empleados de la AFP administración de estos.
tengan un lenguaje y una canalización de
Definiciones
Sistema de Administración de Riesgo Operativo (SARO) / Operational Risk Management (ORM)
Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional,
registro de eventos de riesgo operativo, órganos de control, plataforma tecnológica, divulgación de
información y capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y
monitorean el riesgo operativo.
La Unidad de Riesgo Operativo
Se entiende por Unidad de Riesgo Operativo el área o cargo, designada por el Representante Legal de la
entidad, que debe coordinar la puesta en marcha y seguimiento del SARO.
4
Riesgo legal
Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños
como resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.
El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución
de contratos o transacciones.
Riesgo reputacional
Es la posibilidad de pérdida en que incurre una entidad por desprestigio, mala imagen, publicidad
negativa, cierta o no, respecto de la institución y sus prácticas de negocios, que cause pérdida de
clientes, disminución de ingresos o procesos judiciales.
Perfil de Riesgo
Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.
Factores de riesgo
Se entiende por factores de riesgo, las fuentes generadoras de eventos en las que se originan las
pérdidas por riesgo operativo.
Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos.
Dichos factores se deben clasificar en internos o externos, según se indica a continuación.
1. Internos
Recurso Humano
Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la
entidad.
Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la
legislación vigente.
La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación
jurídica de prestación de servicios diferente a aquella que se origina en un contrato de trabajo.
Procesos
Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en
productos o servicios, para satisfacer una necesidad.
Tecnología
Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye:
hardware, software y telecomunicaciones.
5
Infraestructura
Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se
incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
2. Externos
Son eventos asociados a la fuerza de la naturaleza u ocasionados por terceros, que escapan en
cuanto a su causa y origen al control de la entidad.
Pérdidas
Cuantificación económica de la ocurrencia de un evento de riesgo operativo, así como los gastos
derivados de su atención.
Evento
Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.
Eventos de pérdida
Son aquellos incidentes que generan pérdidas por riesgo operativo a las entidades.
Reducir probabilidad de ocurrencia: por medio de la implementación de procesos de control,
supervisión
Reducir impacto: Por medio de limites.
Eliminar riesgos: Por medio de detener, si es posible, la actividad que genera el riesgo
Aceptación del riesgo: Por medio de valoraciones comité de Riesgo Operativo que identifican los
riesgos dentro de el perfil de riesgo acordado.
Transferir el riesgo: Por medio de seguros.
Análisis de eventos internos
Indicadores claves de riesgo (KRI)
Exploración de amenazas