SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 1

CAPITULO XXIII

REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL

RIESGO OPERACIONAL

Consideraciones generales

En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la Superintendencia

Financiera de Colombia (SFC) se exponen al Riesgo Operacional (RO).

Por tal razón, dichas entidades deben desarrollar, establecer, implementar y mantener un Sistema de Administración
de Riesgo Operacional (SARO), acorde con su estructura, tamaño, objeto social y actividades de apoyo, estas
últimas realizadas directamente o a través de terceros, que les permita identificar, medir, controlar y monitorear
eficazmente este riesgo.

Dicho sistema está compuesto por elementos mínimos (políticas, procedimientos, documentación, estructura
organizacional, el registro de eventos de riesgo operacional, órganos de control, plataforma tecnológica, divulgación
de información y capacitación) mediante los cuales se busca obtener una efectiva administración del riesgo
operacional.

1. Ámbito de aplicación

Todas las entidades sometidas a la inspección y vigilancia de la SFC, deben adoptar un Sistema de Administración
de Riesgo Operacional (SARO), con excepción de las Oficinas de Representación de instituciones financieras y
reaseguradoras del exterior.

2. Definiciones

Las siguientes definiciones se tendrán en cuenta para los fines de la presente Circular:

2.1. Riesgo Operacional (RO)

Es la posibilidad de que la entidad incurra en pérdidas por las deficiencias, fallas o inadecuado
funcionamiento de los procesos, la tecnología, la infraestructura o el recurso humano, así como por la
ocurrencia de acontecimientos externos asociados a éstos.

2.1.1. Riesgo legal

Es la posibilidad de pérdida en que incurre una entidad al ser sancionada u obligada a indemnizar daños como
resultado del incumplimiento de normas o regulaciones y obligaciones contractuales.

El riesgo legal surge también como consecuencia de fallas en los contratos y transacciones, derivadas de
actuaciones malintencionadas, negligencia o actos involuntarios que afectan la formalización o ejecución de
contratos o transacciones. Aplica a todas las actividades e incluye a terceros que actúen en representación de
la entidad.

2.2. Perfil de Riesgo

Resultado consolidado de la medición permanente de los riesgos a los que se ve expuesta la entidad.

2.3. Factores de riesgo

Se entiende por factores de riesgo las fuentes generadoras de riesgos operacionales que pueden o no generar
pérdidas.

Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos
externos.

Dichos factores se deben clasificar en internos o externos, según se indica a continuación.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 2

2.3.1. Internos

2.3.1.1. Recurso Humano

Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

Se entiende por vinculación directa, aquella basada en un contrato de trabajo en los términos de la legislación
vigente.

La vinculación indirecta hace referencia a aquellas personas que tienen con la entidad una relación jurídica de
prestación de servicios diferente a aquella que se origina en un contrato de trabajo

2.3.1.2. Procesos

Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o

servicios, para satisfacer una necesidad.

2.3.1.3. Tecnología

Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y
telecomunicaciones.

2.3.1.4. Infraestructura

Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios,
espacios de trabajo, almacenamiento y transporte.

2.3.2. Externos

Son situaciones asociadas a la fuerza de la naturaleza u ocasionadas por terceros, que escapan en cuanto a su
causa y origen al control de la entidad.

2.4. Pérdidas

Cuantificación económica de la ocurrencia de un evento de riesgo operacional, así como los gastos derivados de su
atención.

2.4.1. Pérdida Bruta

Se entiende una pérdida antes de recuperaciones de cualquier tipo.

2.4.2. Pérdida Neta

Se entiende la pérdida después de tener en consideración los efectos de las recuperaciones. La recuperación
es un hecho independiente, relacionado con el evento de pérdida inicial, que no necesariamente se efectúa
en el mismo periodo por el que se perciben fondos o flujos económicos.

2.5. Evento

Incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo determinado.

2.6. Eventos de pérdida

Son aquellos incidentes que generan pérdidas por riesgo operacional a las entidades.

2.6.1. Clasificación de los riesgos operacionales

Para los efectos del presente capitulo los riesgos operacionales se clasifican de la siguiente manera:

2.6.1.1. Fraude Interno

Actos que tienen como resultado defraudar, apropiarse de bienes indebidamente o incumplir regulaciones,
leyes o políticas empresariales vigentes en los que se encuentra implicado, al menos, un empleado o tercero
contratado para ejecutar procesos a nombre de la entidad.

2.6.1.2. Fraude Externo

Actos, realizados por una persona externa a la entidad, que buscan defraudar, apropiarse indebidamente de activos
de la misma o incumplir normas o leyes, en los que se encuentra implicado un tercero ajeno a la entidad.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 3

2.6.1.3. Relaciones laborales y seguridad laboral

Actos que son incompatibles con la legislación o acuerdos laborales sobre higiene o seguridad laboral, sobre
el pago de reclamaciones por daños personales, o sobre casos relacionados con la diversidad /
discriminación.

2.6.1.4. Clientes, productos y prácticas empresariales

Incumplimiento involuntario o negligente de una obligación profesional/empresarial frente a clientes

concretos o eventos derivados de la naturaleza o diseño de un producto.

2.6.1.5. Daños a activos físicos

Pérdidas derivadas de daños o perjuicios a activos físicos de la entidad como consecuencia de desastres
naturales, actos de terrorismo, vandalismo u otros acontecimientos.

2.6.1.6. Fallas tecnológicas

Hechos o cambios originados por fallas del hardware, software, telecomunicaciones o servicios públicos que puedan
afectar, además de la operación interna de la entidad, la prestación del servicio a los clientes.

2.6.1.7. Ejecución y administración de procesos

Errores en el procesamiento de operaciones o en la gestión de procesos, así como en las relaciones con
contrapartes comerciales y proveedores.

Adicionalmente para cada clase de evento de riesgo operacional la entidad debe establecer, como mínimo,
las subcategorías que se señalan en el numeral 3.2.5.4 del presente capitulo.

2.7. Sistema de Administración de Riesgo Operacional (SARO)

Conjunto de elementos tales como políticas, procedimientos, documentación, estructura organizacional, registro de
eventos de riesgo operacional, órganos de control, plataforma tecnológica, divulgación de información y
capacitación, mediante los cuales las entidades vigiladas identifican, miden, controlan y monitorean el riesgo
operacional.

2.8. Riesgo inherente

Nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

2.9. Riesgo residual

Nivel resultante del riesgo después de aplicar los controles.

2.10. Plan de continuidad del negocio

Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para
retornar y continuar la operación, en caso de interrupción.

2.11. Plan de contingencia

Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso.

2.12. Manual de Riesgo Operacional

Es el documento contentivo de todas las políticas, objetivos, estructura organizacional, estrategias, los procesos y
procedimientos aplicables en el desarrollo, implementación y seguimiento del SARO.

2.13. La Unidad de Riesgo Operacional

Se entiende por Unidad de Riesgo Operacional el área o cargo, designada por el Representante Legal de la entidad,
que debe coordinar la puesta en marcha y seguimiento del SARO.

3. Sistema de Administración del Riesgo Operacional (SARO)

Previo a la implementación de las etapas del SARO, las entidades deben establecer las políticas, objetivos,
procedimientos y estructura para la administración de riesgo operacional. El sistema debe estar alineado con los
planes estratégicos de cada entidad.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 4

3.1. Etapas de la Administración del Riesgo Operacional

En la administración del riesgo operacional, las entidades deben desarrollar las siguientes etapas:

3.1.1. Identificación

En desarrollo del SARO las entidades deben identificar los riesgos operacionales a que se ven expuestas, teniendo
en cuenta los factores de riesgo definidos en este Capítulo.

Para identificar el riesgo las entidades deben como mínimo:

a) Identificar y documentar la totalidad de los procesos.

b) Establecer metodologías de identificación, que sean aplicables a los procesos, con el fin de determinar los
riesgos operacionales.

c) Con base en las metodologías establecidas en desarrollo del literal b) del numeral 3.1.1 del presente
Capítulo, identificar los riesgos operacionales, potenciales y ocurridos, en cada uno de los procesos.

d) La etapa de identificación debe realizarse previamente a la implementación o modificación de cualquier

proceso, producto, servicio o canal, así como en los casos de fusión, adquisición, cesión de activos,
pasivos y contratos, entre otros.

3.1.2. Medición

Una vez concluida la etapa de identificación, las entidades vigiladas deben medir la probabilidad de ocurrencia de los
riesgos operacionales y su impacto en caso de materializarse. Esta medición podrá ser cualitativa y, cuando se
cuente con datos históricos, cuantitativa. Para la determinación de la probabilidad se debe considerar un horizonte de
tiempo de un año.

En el proceso de medición de los riesgos operacionales, las entidades deben desarrollar, como mínimo, los
siguientes pasos:

a) Establecer la metodología de medición individual y consolidada susceptible de aplicarse a los riesgos

operacionales identificados. La metodología debe ser aplicable tanto a la probabilidad de ocurrencia como
al impacto.

b) Aplicar la metodología establecida en desarrollo del literal a) del numeral 3.1.2 del presente Capítulo para
lograr una medición de la probabilidad de ocurrencia y del impacto de los riesgos operacionales en la
totalidad de los procesos de la entidad, conforme a la clasificación establecida en el numeral 2.6.1.

c) Determinar el perfil de riesgo inherente de la entidad.

En el caso de los establecimientos de crédito, los organismos cooperativos de grado superior de carácter
financiero, el Banco de Comercio Exterior de Colombia S.A. (Bancoldex), la Caja Promotora de Vivienda
Militar y de Policía, la Financiera de Desarrollo Nacional S.A. (FDN), la Financiera de Desarrollo Territorial
(Findeter), el Fondo Nacional del Ahorro (FNA) y el Fondo para el Financiamiento del Sector Agropecuario
(Finagro), la medición de la probabilidad de ocurrencia de los riesgos operacionales y su impacto en caso de
materializarse, debe realizarse de forma cuantitativa cuando se cuente con datos históricos conforme a lo
establecido en el numeral 3.2.5 del presente Capitulo (Registro de Eventos de Riesgo Operacional).

En todo caso, aquellos establecimientos de crédito que midan el Indicador de Pérdida Interna (IPI) con base
en la información del Registro de Eventos de Riesgo Operacional, es decir, haciendo uso del Componente de
Pérdida (CP) de acuerdo con lo establecido en el numeral 2.3.1. del Anexo 1 del presente Capitulo, deben
utilizar dichos registros de eventos para estimar la probabilidad de ocurrencia de los riegos operacionales.

3.1.2.1. Cuantificación de los requerimientos de capital por riesgo operacional

a) Los establecimientos de crédito, los organismos cooperativos de grado superior de carácter

financiero, el Banco de Comercio Exterior de Colombia S.A. (Bancoldex), la Caja Promotora de
Vivienda Militar y de Policía, la Financiera de Desarrollo Nacional S.A. (FDN), la Financiera de
Desarrollo Territorial (Findeter), el Fondo Nacional del Ahorro (FNA) y el Fondo para el Financiamiento
del Sector Agropecuario (Finagro) deben cuantificar la exposición a los riesgos operacionales con
cargo a capital de acuerdo con los criterios señalados en el Anexo 1 del presente Capitulo.

b) Las sociedades fiduciarias, las sociedades administradoras de fondos de pensiones y cesantías, las
sociedades comisionistas de bolsa de valores, las sociedades administradoras de inversión y las
entidades aseguradoras deben determinar el factor de ponderación para el cálculo del valor de la
exposición por riesgo operacional de acuerdo con los criterios señalados en el Anexo 2 del presente
Capitulo.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 5

3.1.3. Control

Las entidades deben tomar medidas para controlar los riesgos inherentes a que se ven expuestas con el fin de
disminuir la probabilidad de ocurrencia y/o el impacto en caso de que se materialicen.

Durante esta etapa las entidades deben como mínimo:

a) Establecer la metodología con base en la cual definan las medidas de control de los riesgos operacionales.

b) De acuerdo con la metodología establecida en desarrollo del literal a) del numeral 3.1.3 del presente
Capítulo, implementar las medidas de control sobre cada uno de los riesgos operacionales.

c) Determinar las medidas que permitan asegurar la continuidad del negocio.

d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.

Sin perjuicio de lo anterior, las entidades podrán decidir si transfieren, mitigan, aceptan o evitan el riesgo, en los
casos en que esto sea posible.

La utilización de ciertas medidas, como la contratación de un seguro o tercerización (outsourcing), puede ser fuente
generadora de otros riesgos operacionales, los cuales deben ser a su vez administrados.

3.1.3.1. Tercerización - Outsourcing

La entidad podrá contratar bajo la modalidad de tercerización el desarrollo de procesos misionales, gestión
contable y financiera a personas naturales y/o jurídicas, siempre que no implique la delegación de la
profesionalidad. En estos eventos deberá cumplir como mínimo con los siguientes requerimientos:

a) Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y las
actividades que serán atendidas por ellos.

b) Incluir en los contratos que se celebren con los terceros, al menos, los siguientes aspectos:

i. Obligaciones de las partes.

ii. Niveles de servicio.
iii. Operación en situaciones contingentes.
iv. Gestión de los riesgos operacionales que puedan afectar el cumplimiento de las obligaciones del
tercero.
v. Acuerdos de confidencialidad sobre la información manejada y las actividades desarrolladas.

c) Gestionar los riesgos que se derivan de la prestación del servicio por parte del tercero, en particular,
cuando atiende a varias entidades.
d) Contar con los procedimientos necesarios para verificar el cumplimiento de las obligaciones por
parte del tercero.
e) Incluir dentro del alcance de las evaluaciones que haga la función de gestión de riesgos y la
auditoría interna, las actividades tercerizadas.

3.1.3.2. Administración de la continuidad del negocio

De acuerdo con su estructura, tamaño, objeto social y actividades de apoyo, las entidades deben definir,
implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya elementos como:
prevención y atención de emergencias, administración de escenarios de crisis, planes de contingencia y capacidad
de retorno a la operación normal.

Los planes de continuidad del negocio deben cumplir, como mínimo, con los siguientes requisitos:

a) Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia.

b) Ser conocidos por todos los interesados.

c) Cubrir por lo menos los siguientes aspectos: identificación de los riesgos que pueden afectar la operación,
actividades a realizar cuando se presentan fallas, alternativas de operación y regreso a la actividad
normal.

3.1.4. Monitoreo

Las entidades deben hacer un monitoreo continuo a la gestión de los riesgos operacionales y a su perfil de
riesgo operacional.

Para el efecto, éstas deben cumplir, como mínimo, con los siguientes requisitos:

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 6

a) Desarrollar un proceso de seguimiento efectivo, que facilite la rápida detección y corrección de las
deficiencias en el SARO. Dicho seguimiento debe tener una periodicidad acorde con los riesgos
operacionales potenciales y ocurridos, así como con la frecuencia y naturaleza de los cambios en el
entorno operacional.

b) En cualquier caso, el seguimiento debe realizarse con una periodicidad mínima semestral.

c) Establecer indicadores descriptivos y/o prospectivos que evidencien los potenciales riesgos operacionales.

d) Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.

e) Asegurar que los riesgos residuales se encuentren en los niveles de aceptación establecidos por la entidad.

3.2. Elementos del SARO

3.2.1. Políticas

Son los lineamientos generales que las entidades deben adoptar en relación con el SARO.

Cada una de las etapas y elementos del sistema deben contar con unas políticas claras y efectivamente aplicables.

Las políticas que se adopten deben permitir un adecuado funcionamiento del SARO y traducirse en reglas de
conducta y procedimientos que orienten la actuación de la entidad.

Las políticas que adopten las entidades deben cumplir con los siguientes requisitos mínimos:

a) Impulsar a nivel institucional la cultura en materia de riesgo operacional.

b) Establecer el deber de los órganos de administración, de control y de sus demás funcionarios, de asegurar
el cumplimiento de las normas internas y externas relacionadas con la administración del riesgo
operacional.

c) Permitir la prevención y resolución de conflictos de interés en la recolección de información en las diferentes

etapas del SARO, especialmente para el registro de eventos de riesgo operacional.

d) Permitir la identificación de los cambios en los controles y en el perfil de riesgo.

e) Desarrollar e implementar planes de continuidad del negocio.

3.2.2. Procedimientos

Las entidades deben establecer los procedimientos aplicables para la adecuada implementación y funcionamiento de
las etapas y elementos del SARO.

Los procedimientos que en esta materia adopten las entidades deben contemplar, como mínimo, los siguientes
requisitos:

a) Instrumentar las diferentes etapas y elementos del SARO.

b) Identificar los cambios y la evolución de los controles, así como del perfil de riesgo.

c) Adoptar las medidas por el incumplimiento del SARO.

3.2.3. Documentación

Las etapas y los elementos del SARO implementados por las entidades deben constar en documentos y registros,
garantizando la integridad, oportunidad, confiabilidad y disponibilidad de la información allí contenida. La
documentación debe incluir como mínimo:

a) Manual de Riesgo Operacional.

b) Los documentos y registros que evidencien la operación efectiva del SARO.

c) Los informes de la Junta Directiva, el Representante Legal y los órganos de control en los términos de la
presente Circular.

3.2.3.1. Manual de Riesgo Operacional

El Manual de Riesgo Operacional debe contener, como mínimo, lo siguiente:

a) Las políticas para la administración del riesgo operacional.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 7

b) La estructura organizacional del SARO.

c) Los roles y responsabilidades de quienes participan en la administración del riesgo operacional.

d) Las medidas necesarias para asegurar el cumplimiento de las políticas y objetivos del SARO.

e) Los procedimientos y metodologías para identificar, medir, controlar y monitorear los riesgos operacionales
y su nivel de aceptación.

f) Los procedimientos y metodologías para implementar y mantener el registro de eventos.

g) Los procedimientos que deben implementar los órganos de control frente al SARO.

h) Las estrategias de capacitación del SARO y

i) Las estrategias de divulgación del SARO.

3.2.4. Estructura Organizacional

Las entidades deben establecer y asignar funciones en relación con las distintas etapas y elementos del SARO.

Se deben establecer como mínimo las siguientes funciones a cargo de los órganos de dirección, administración y
demás áreas de la entidad.

3.2.4.1. Junta Directiva u órgano que haga sus veces

Sin perjuicio de las funciones asignadas en otras disposiciones, el SARO debe contemplar como mínimo las
siguientes funciones a cargo de la Junta Directiva u órgano que haga sus veces:

a) Establecer las políticas relativas al SARO.

b) Aprobar el Manual de Riesgo Operacional y sus actualizaciones.

c) Hacer seguimiento y pronunciarse sobre el perfil de riesgo operacional de la entidad, así como del valor de
la exposición por riesgo operacional (VeRro) de que trata el numeral 3.1.2.1 del presente Capítulo.

d) Establecer las medidas relativas al perfil de riesgo operacional, teniendo en cuenta el nivel de tolerancia al
riesgo de la entidad, fijado por la misma Junta Directiva.

e) Pronunciarse respecto de cada uno de los puntos que contengan los informes periódicos que presente el
Representante Legal.

f) Pronunciarse sobre la evaluación periódica del SARO, que realicen los órganos de control.

g) Proveer los recursos necesarios para implementar y mantener en funcionamiento, de forma efectiva y
eficiente, el SARO.

3.2.4.2. Representante Legal

Sin perjuicio de las funciones asignadas en otras disposiciones, son funciones mínimas del Representante Legal:

a) Diseñar y someter a aprobación de la Junta Directiva u órgano que haga sus veces, el Manual de Riesgo
Operacional y sus actualizaciones.

b) Velar por el cumplimiento efectivo de las políticas establecidas por la Junta Directiva.

c) Adelantar un seguimiento permanente de las etapas y elementos constitutivos del SARO.

d) Designar el área o cargo que actuará como responsable de la implementación y seguimiento del SARO –
(Unidad de Riesgo Operacional).

e) Desarrollar y velar porque se implementen las estrategias con el fin de establecer el cambio cultural que la
administración de este riesgo implica para la entidad.

f) Adoptar las medidas relativas al perfil de riesgo, teniendo en cuenta el nivel de tolerancia al riesgo, fijado por
la Junta Directiva, de acuerdo con el literal d) numeral 3.2.4.1. de la presente Circular.

g) Velar por la correcta aplicación de los controles del riesgo inherente, identificado y medido.

h) Recibir y evaluar los informes presentados por la Unidad de Riesgo Operacional, de acuerdo con los
términos establecidos en el numeral 3.2.4.3 de la presente Circular.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 8

i) Velar porque las etapas y elementos del SARO cumplan, como mínimo, con las disposiciones señaladas en
la presente Circular.

j) Velar porque se implementen los procedimientos para la adecuada administración del riesgo operacional a
que se vea expuesta la entidad en desarrollo de su actividad.

k) Aprobar los planes de contingencia y de continuidad del negocio y disponer de los recursos necesarios para
su oportuna ejecución.

l) Presentar un informe periódico, como mínimo semestral, a la Junta Directiva sobre la evolución y aspectos
relevantes del SARO, incluyendo, entre otros, las acciones preventivas y correctivas implementadas o por
implementar y el área responsable.

m) Establecer un procedimiento para alimentar el registro de eventos de riesgo operacional, de acuerdo con lo
previsto en el numeral 3.2.5 de la presente Circular.

n) Velar porque el registro de eventos de riesgo operacional cumpla con los criterios de integridad,
confiabilidad, disponibilidad, cumplimiento, efectividad, eficiencia y confidencialidad de la información allí
contenida.

3.2.4.3. La Unidad de Riesgo Operacional

La Unidad de Riesgo Operacional debe cumplir como mínimo con las siguientes condiciones:

a) Contar con personal que tenga conocimiento en administración de riesgo operacional.

b) Ser organizacionalmente de alto nivel y tener capacidad decisoria.

c) No tener dependencia de los órganos de control, ni de las áreas de operaciones o de tecnología, ni

relaciones que originen conflictos de interés.

d) Contar con los recursos suficientes para desarrollar sus funciones.

En virtud de lo anterior, la Unidad de Riesgo Operacional tendrá como mínimo las siguientes funciones:

a) Definir los instrumentos, metodologías y procedimientos tendientes a que la entidad administre

efectivamente sus riesgos operacionales, en concordancia con los lineamientos, etapas y elementos
mínimos previstos en este Capítulo.

b) Desarrollar e implementar el sistema de reportes, internos y externos, del riesgo operacional de la entidad.

c) Administrar el registro de eventos de riesgo operacional.

d) Coordinar la recolección de la información para alimentar el registro de eventos de riesgo operacional.

e) Evaluar la efectividad de las medidas de control potenciales y ejecutadas para los riesgos operacionales
medidos.

f) Establecer y monitorear el perfil de riesgo de la entidad e informarlo al órgano correspondiente, en los

términos del presente Capítulo.

g) Realizar el seguimiento permanente de los procedimientos y planes de acción relacionados con el SARO y
proponer sus correspondientes actualizaciones y modificaciones.

h) Desarrollar los modelos de medición del riesgo operacional.

i) Desarrollar los programas de capacitación de la entidad relacionados con el SARO.

j) Realizar seguimiento a las medidas adoptadas para mitigar el riesgo inherente, con el propósito de evaluar
su efectividad.

k) Reportar semestralmente al Representante Legal la evolución del riesgo, los controles implementados y el
monitoreo que se realice sobre el mismo, en los términos de la presente Circular.

3.2.5. Registro de eventos de riesgo operacional

La apropiada identificación, recolección y tratamiento de los registros por pérdidas operacionales de las
entidades son requisitos esenciales para la adecuada gestión del riesgo operacional. En los términos del
numeral 3.2.5.1 de la presente Circular y para la administración del riesgo operacional las entidades deben
contar con un registro de eventos de riesgo operacional de alta calidad que incluya los criterios generales y

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 9

específicos a que se refieren los subnumerales 3.2.5.1 y 3.2.5.2. del presente Capítulo, el cual deben
mantener permanentemente actualizado y a disposición de la SFC.

Este registro debe contener todos los eventos de riesgo operacional ocurridos y que:

a) Generan pérdidas y afectan el estado de resultados de la entidad.

b) No generan pérdidas y por lo tanto no afectan el estado de resultados de la entidad.

Dichos eventos deben revelarse en los términos del numeral 3.2.8.3 de la presente Circular.

Es importante anotar, que para los casos del literal b) del presente numeral, la medición será de carácter cualitativo y
cuantitativo cuando así se determine por la entidad.

3.2.5.1. Criterios generales para el registro de eventos de riesgo operacional

Para la recolección de datos internos y construcción de la base de datos con registros históricos de eventos
de riesgo operacional, las entidades deben tener en cuenta lo siguiente:

a) Las entidades deben contar con procedimientos y procesos documentados para la identificación,
recopilación y tratamiento de los registros de eventos de riesgo operacional.

b) Los registros de eventos sobre pérdidas operacionales deben ser integrales e incluir la totalidad de las
actividades y exposiciones, así como comprender a totalidad de los eventos de riesgo operacional.

c) Cada entidad debe tener su propio y único registro de eventos de riesgo operacional. La entidad
con matriz internacional debe tener disponible y centralizada en Colombia, la información
relacionada con los eventos de riesgo operacionales locales.

d) Las entidades deben recopilar información sobre los importes brutos de las pérdidas. El grado de
detalle de la información descriptiva y cuantitativa debe corresponder como mínimo a los siguientes
campos:

Nombre Descripción
Referencia Código interno que relacione el evento en forma secuencial.
Fecha de inicio del evento Fecha en que se inicia el evento.
Día, mes, año, hora.
Fecha de finalización del evento Fecha en que finaliza el evento.
Día, mes, año, hora.
Fecha del descubrimiento Fecha en que se descubre el evento.
Día, mes, año, hora.
Fecha de registro Fecha en que se registra el evento.

Día, mes, año, hora.

Fecha de recuperación Fecha en la cual se recupera total o parcialmente el dinero
empleado para atender un evento de riesgo operacional.
Día, mes, año, hora.
Divisa Moneda extranjera en la que se materializa el evento.
Cuantía El monto de dinero (moneda legal) a que asciende la pérdida. El
registro debe incluir la pérdida económica originada por el evento
de riesgo operacional, así como todos los gastos en los que
incurrió la entidad como consecuencia de dicho evento, sin
incluir ningún monto por recuperación.

Cuantía total recuperada El monto de dinero recuperado por acción directa de la entidad.
Incluye las cuantías recuperadas por seguros.
Cuantía recuperada por seguros Corresponde al monto de dinero recuperado por el cubrimiento a
través de un seguro.
Cuantía de otras recuperaciones Corresponde al monto de dinero recuperado por otros
mecanismos diferentes al cubrimiento a través de un seguro.
Clase de riesgo operacional Especifica la clase de riesgo, según la clasificación adoptada en
el numeral 2.6.1. de la presente Circular.
Producto/servicio afectado Identifica el producto o servicio afectado.
Cuentas Catálogo afectadas Identifica las cuentas del Catálogo Único de Información
Financiera con Fines de Supervisión” (Catálogo) afectadas.
Proceso Identifica el proceso afectado.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 10

Tipo de pérdida Identifica el tipo de pérdida, de acuerdo con la clasificación

adoptada en el numeral 3.2.5 literales a) y b) de la presente
Circular.
Descripción del evento Descripción detallada del evento.
- Canal de servicio o atención al cliente (cuando aplica)
- Zona geográfica
Líneas de negocio Identificación según clasificación adoptada por la SFC en el
numeral 3.2.5.3 del presente Capítulo.

e) Para la construcción del registro de eventos de riesgo operacional, las entidades pueden utilizar
campos adicionales a los descritos anteriormente.

f) Todas las actividades de las entidades vigiladas deben asignarse entre las líneas de negocio
señaladas en el numeral 3.2.5.3 del presente Capítulo, de forma que a cada una de las actividades le
corresponda una sola línea de negocio y no permanezca ninguna actividad sin asignar. Esto requiere
que la entidad pueda demostrar que cuenta con información y procedimientos sistemáticos de
asignación de los ingresos financieros netos, lo que conlleva la asignación tanto de los ingresos
como de los gastos financieros.

g) Las entidades deberán documentar y mantener a disposición de la SFC, los criterios que tendrán en
cuenta para clasificar las diferentes actividades en cada una de las líneas de negocio, sin perjuicio
de atender los siguientes principios:

I. Cualquier evento de riesgo operacional que se produzca en desarrollo de una actividad conexa a
una principal deberá ser clasificado en la línea de negocio que corresponda a la actividad principal.

II. Cuando un evento de pérdida afecte más de una línea de negocio y una de las líneas genere el
cincuenta por ciento (50%) o más de las pérdidas totales, se deberá asignar el valor total de esas
pérdidas a dicha línea operativa.

III. Cuando un evento de pérdida afecte más de una línea de negocio y ninguna de las líneas
involucradas genere el cincuenta por ciento (50%) o más de las pérdidas totales, se deberá asignar el
valor correspondiente a cada línea de negocio afectada.

IV. Cuando se presente un evento de riesgo operacional para una línea de negocio, se debe
registrar según su clasificación en el primer, segundo y tercer nivel de desagregación que se
detallan en el subnumeral 4.3.3 de esta Parte del Capítulo.

h) Las entidades deben contar con un proceso de control operacional concebido para revisar de forma
independiente la integridad y precisión de los eventos de riesgo operacional.

3.2.5.2 Criterios específicos para el registro de eventos de riesgo operacional

En adición a lo establecido en el numeral 3.2.5.1. del presente Capítulo, las entidades vigiladas deben
identificar los importes de pérdidas brutas, recuperaciones no procedentes de seguros y recuperaciones
originadas por el pago de indemnizaciones de seguros para todos los eventos de pérdidas operacionales.
Asimismo, deben incorporar las pérdidas netas de recuperaciones (incluidas las procedentes de seguros) en
el registro de pérdidas operacionales.

Las recuperaciones sólo podrán utilizarse para reducir las pérdidas cuando se haya recibido el pago
efectivo, para lo cual las entidades deben contar con los debidos comprobantes. Los derechos de cobro no
califican como recuperaciones.

3.2.5.2.1. Conceptos que se deben incluir en el cálculo de las pérdidas brutas registradas en la base de
datos:

a) Cargos directos en las cuentas de estados de resultados de la entidad, incluidos cargos por
deterioro, así como amortizaciones contables debido a eventos de riesgo operacional.

b) Costos incurridos como consecuencia de un evento, incluyendo gastos externos con una relación
directa al evento por riesgo operacional (ejemplo, gastos legales directamente relacionados al
evento y comisiones pagadas a los asesores, abogados o proveedores) y costos de reparación o
reemplazo incurridos para restaurar la posición que prevalecía antes del evento de riesgo
operacional.

c) Provisiones o reservas contabilizadas con impacto en las cuentas de estados de resultados de la

entidad contra el impacto potencial de pérdidas por riesgo operacional.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 11

d) Pérdidas provenientes de eventos por riesgo operacional con un impacto financiero probable que aún
no están reflejadas en las cuentas de estados de resultados de la entidad. Estas pérdidas deben ser
incluidas en la base de datos dentro del periodo contable anual y acorde con el tamaño.

e) Los efectos económicos negativos contabilizados en el ejercicio contable como consecuencia de

eventos de riesgo operacional que afecten a los flujos de caja y los demás estados financieros de
ejercicios contables anteriores (pérdidas por diferencias temporales). Estas pérdidas se deben
incluir en el registro de eventos de riesgo operacional cuando se deban a eventos que abarquen más
de un ejercicio contable y generen riesgo legal.

3.2.5.2.2. Conceptos que se deben excluir del cálculo de las pérdidas brutas registradas en la base de datos:

a) Costos por contratos de mantenimiento general de la propiedad, planta y equipos.

b) Gastos internos o externos con el fin de mejorar el negocio después de las pérdidas por riesgo
operacional (actualizaciones, mejoras, iniciativas de gestión del riesgo y mejoras en ellas).

c) Primas de seguro.

Las entidades deben utilizar la fecha de contabilización del evento para construir el conjunto de registros
sobre pérdidas. En el caso de contingencias legales, la fecha de contabilización será aquella en la que se
constituye una provisión para dicha contingencia en el estado de situación financiera, con su reflejo
correspondiente en el estado de resultados.

Las pérdidas causadas por un evento de riesgo operacional común o por varios eventos de riesgo
operacional relacionados a lo largo del tiempo, pero contabilizadas en el transcurso de varios años, deben
asignarse a los años correspondientes en la base de datos sobre pérdidas, en consonancia con su
tratamiento contable.

3.2.5.3 Clasificación de las líneas de negocio

Líneas negocio Líneas de negocio

N° N° Descripción
(Nivel 1) (Nivel 2)
1.1 Finanzas Corporativas Evaluación y estructuración financiera de
Finanzas de proyectos. Asesoría en licitaciones y en
1.2 Administraciones esquemas de participación privada en proyectos.
Locales / Públicas Optimización de estructuras financieras.
1.3 Banca de Inversión Valoración de proyectos de privatizaciones,
Servicios de fusiones y adquisiciones. Asesoría en
Finanzas 1.4 estructuraciones, emisiones y colocaciones de
1 Asesoramiento
Corporativas instrumentos financieros al mejor esfuerzo.
Asesoría en materia de estructuración del capital,
en estrategia industrial y en cuestiones afines o
1.5 Titularización relacionadas. Estudios de inversiones. Análisis
financiero. Realización de operaciones de
financiamiento estructurado y participación
en procesos de titularización.
2.1 Ventas Negociación en posición propia sobre valores u
2.2 Creación de Mercado operaciones de derivados con subyacente
Emisión, 2.3 Posición Propia valores, con independencia de sus
2
Negociación y Venta 2.4 Tesorería características. Valores adquiridos en desarrollo
de contratos de underwriting. Emisión de deuda
2.5 Emisión o acciones.
3.1 Banca minorista Recepción de depósitos en cualquier modalidad.
Banca privada o Otorgamiento de créditos en las modalidades de
3.2
patrimonial microcrédito, consumo, vivienda y, en general,
cualquier operación activa de crédito que
celebren con sus clientes. Para la clasificación
de las actividades en esta línea se debe tener en
cuenta que la actividad de captación y colocación
de recursos se circunscribe únicamente a
Banca Personal y
3 personas naturales y microempresas, según
Minorista
Servicios de tarjetas definición de la Ley 590 de 2000 con sus
3.3
de crédito y/o débito modificaciones y/o adiciones. Sin embargo, en el
caso de créditos de vivienda se deben excluir los
otorgados para financiar proyectos de
construcción con independencia de si se otorgan
a persona natural o jurídica. Financiamiento a
clientes, tarjetas de crédito corporativas, de
marca propia y débito, préstamo automotriz.
4 Banca Comercial 4.1 Otorgamiento de Recepción de depósitos en cualquier modalidad.
créditos Otorgamiento de créditos en las modalidades de

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 12

Líneas negocio Líneas de negocio

N° N° Descripción
(Nivel 1) (Nivel 2)
comercial, vivienda y en general cualquier clase
de operación activa de crédito. Para la
clasificación de las actividades en esta línea se
debe tener en cuenta que la actividad de
captación y colocación de recursos se
Recepción de
4.2 circunscribe únicamente a personas jurídicas
depósitos
excepto microempresas. En los créditos de
vivienda solamente se deben incluir los
otorgados para financiar proyectos de
construcción con independencia de si se otorgan
a persona natural o jurídica.
Prestación de servicio de compensación como
contraparte central de operaciones.
Compensación, Pago y Administración de sistemas de compensación y
5.1 Liquidación de liquidación de operaciones. Administración de las
efectivo garantías otorgadas para la compensación, pago
y liquidación de operaciones. Administración de
sistemas de pago de bajo y alto valor.
Registro de operaciones realizadas por las
Registro de bolsas de valores, agropecuarias y sistemas de
5.2
Operaciones negociación que no impliquen compensación y
liquidación.
Compensación, Prestación de servicio de compensación
5 Liquidación y como contraparte central de operaciones.
Registro Compensación, Pago Administración de sistemas de
5.3 y Liquidación de compensación y liquidación de operaciones.
valores Administración de las garantías otorgadas
para la compensación, pago y liquidación de
operaciones.
Prestación del servicio de pago y
5.4
Nómina administración de nómina.
Prestación del servicio como agente de
Recepción de
5.5 recaudo de impuestos y tributos del orden
impuestos
nacional o territorial.
Prestación del servicio de cobranza a favor
5.6 Cobranza
de la entidad o de terceros.
Custodia y administración de instrumentos
financieros por cuenta de clientes, incluidos el
6.1 Custodia
Servicios de depósito y servicios conexos como la gestión de
6
Agencia efectivo y de garantías reales.
Agente de
6.2 Obrar como agente de transferencia.
Transferencias
Administración de fondos y/o recursos distintos
Administración de
7.1 de los señalados en las líneas operativas
fondos
números 8 a 12.
Almacenamiento y administración general de
Administración de
7 mercancías de terceros en bodegas propias o
Activos
Almacenamiento de particulares como consignatarios o como parte
7.2
Activos de la prestación de un servicio. Expedición de
certificados de depósito de mercancías y bonos
de prenda.
Fondo de Inversión
8.1
Colectiva
Negocios Contratos fiduciarios que tienen como finalidad
Fideicomiso de
Fiduciarios de principal la inversión o colocación de los recursos
8 8.2 Inversión con
Inversión y Fondos fideicomitidos. Fondos mutuos de inversión
Destinación Específica
Mutuos de Inversión administrados o no por una sociedad fiduciaria.
Fondos Mutuos de
8.3
Inversión
Administración y Contratos fiduciarios cuya finalidad principal es la
9.1
Pagos administración de recursos y bienes afectos a un
9.2 Tesorería proyecto inmobiliario o la administración de los
Negocios
recursos asociados al desarrollo y ejecución de
9 Fiduciarios
dicho proyecto. Recaudo de los dineros
Inmobiliarios
9.3 Preventas provenientes de la promoción y consecución de
interesados en adquirir inmuebles dentro de un
proyecto inmobiliario.
10 Negocios Administración y Contratos fiduciarios de administración cuya
10.1
Fiduciarios de Pagos finalidad es la entrega de bienes a una sociedad
Administración 10.2 Patrimonios derivados fiduciaria para que los administre y desarrolle la
de Procesos de gestión encomendada por el constituyente y
Titularización

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 13

Líneas negocio Líneas de negocio

N° N° Descripción
(Nivel 1) (Nivel 2)
Administración de
10.3
cartera
Acuerdos de destine los rendimientos al cumplimiento de la
10.4
Reestructuración finalidad señalada.
11.1 Fiducia en Garantía Contratos fiduciarios en virtud de los cuales una
Negocios
persona transfiere bienes o recursos con la
11 Fiduciarios en Fiducia en Garantía y
11.2 finalidad de garantizar el cumplimiento de
Garantía Fuente de Pago
obligaciones propias o de terceros.
Administración de
recursos del régimen
12.1
de ahorro individual
con solidaridad.
Administración de
Recursos del Régimen
12.2
de Prima Media con
Prestación Definida. Administración de fondos, pasivos o recursos
Administración de relacionados con el sistema de seguridad social
12.3
Seguridad Social y Pasivos Pensionales integral excepto aquellos relacionados con
12
Cesantías Administración de riesgos laborales. Administración de cesantías.
Fondos de Jubilación e Administración de fondos de pensiones
12.4
Invalidez - Fondos voluntarias.
Voluntarios
Administración de
12.5
Cesantías
Administración de
otros recursos del
12.6
Sistema de Seguridad
Social Integral.
Comisión por
13.1 intermediación de Intermediación para la negociación de valores u
Valores operaciones de derivados con subyacente
Corretaje por valores, con independencia de sus
13.2 intermediación de características. Valores adquiridos en desarrollo
Comisión y Valores de contratos de underwriting. Recepción y
13
Corretaje Comisión por transmisión de órdenes de clientes en relación
13.3 intermediación de con uno o más instrumentos financieros.
Seguros Ejecución de órdenes en nombre de clientes.
Comisión por Actividad de intermediación de seguros,
13.4 intermediación de reaseguros y de capitalización.
Reaseguros
14.1 Exequias
14.2 Accidentes personales
14.3 Colectivo vida
14.4 Educativo
14.5 Vida grupo
14.6 Salud
14.7 Vida individual
14.8 Pensiones voluntarias
Previsional de
14.9 invalidez y
sobrevivencia
Enfermedades de alto
14.10
Seguros de costo Celebración de contratos de seguros de
14
Personas 14.11 Pensiones Ley 100 personas, en los ramos señalados en el nivel 2.
Pensiones con
14.12
conmutación pensional
14.13 Riesgos laborales
14.14 SOAT
14.15 Rentas Voluntarias
Patrimonios
autónomos fondos
14.16
de pensiones
voluntarias
Beneficios
14.17 Económicos
Periódicos – BEPS
15 Seguros de Daños 15.1 Automóviles Celebración de contratos de seguros de daños,
15.2 Incendio en los ramos señalados en el nivel 2.
15.3 Sustracción
15.4 Corriente débil

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 14

Líneas negocio Líneas de negocio

N° N° Descripción
(Nivel 1) (Nivel 2)
15.5 Lucro Cesante
Montaje y rotura de
15.6
maquinaria
15.7 Minas y petróleos
15.8 Vidrios
15.9 Agropecuario
15.10 Todo riesgo contratista
15.11 Hogar
15.12 Transporte
15.13 Aviación
15.14 Navegación y casco
15.15 Terremoto
16.1 Cumplimiento
16.2 Manejo
Seguros 16.3 Desempleo Celebración de contratos de seguros
16 Patrimoniales y de 16.4 Responsabilidad civil patrimoniales y de responsabilidad en los ramos
Responsabilidad 16.5 Crédito comercial señalados en el nivel 2.
Crédito a la
16.6
exportación
Actividad de Asunción de riesgos derivados de contratos de
17 Reaseguros 17.1
Reaseguros reaseguro.
Prestación de servicios tecnológicos (hardware,
18.1 Servicios Tecnológicos software y telecomunicaciones) por parte de la
entidad a personas naturales o jurídicas.
Servicios y productos de carácter general
ofrecidos a personas naturales y jurídicas, que
Actividades No
18 18.2 Servicios Generales no pueden catalogarse en ninguna de las líneas
Financieras
preestablecidas y que no tienen una relación
directa con servicios tecnológicos o aduaneros.
Intermediación aduanera en los diferentes
18.3 Servicios Aduaneros procesos y modalidades de comercio
internacional.
Actividades que no pueden ser catalogadas en
ninguna línea operativa de las señaladas y que
Actividades
19 19.1 Institucionales están relacionadas con el funcionamiento
Institucionales
administrativo, de apoyo de la entidad, o las
funciones de control.

Es importante tener en cuenta que todas las actividades incluidas en la clasificación, excepto las líneas
operativas número 2 “Emisión, Negociación y Ventas” y número 19 “Actividades Institucionales”, son
desarrolladas directamente con clientes y/o usuarios.

3.2.5.4 Clasificación de eventos que generan riesgo operacional

Para efectos del presente Capitulo, la entidad debe clasificar los eventos de riesgo operacional siguiendo las
categorías que se señalan a continuación:

Evento de riesgo Evento de riesgo

Evento de Riesgo Operacional
N° operacional N° operacional N°
(Nivel 3)
(Nivel 1) (Nivel 2)
1 Fraude Interno 1.1.1 Uso indebido de facultades y poderes.
Operaciones no reveladas
1.1.2
Actividades no (intencionalmente)
1.1
Autorizadas 1.1.3 Operaciones no autorizadas
Valoración errónea de posiciones
1.1.4
(intencional)
1.2 Hurto y Fraude Interno 1.2.1 Fraude
Hurto / extorsión / malversación de
1.2.2
activos
1.2.3 Uso indebido de activos
Apropiación de cuentas / Suplantación
1.2.4
de identidad
1.2.5 Destrucción dolosa de activos
1.2.6 Falsificación interna de la información
1.2.7 Utilización de cheques sin fondos
Incumplimiento / evasión de impuestos
1.2.8
(intencional)
1.2.9 Soborno / cohecho

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 15

Evento de riesgo Evento de riesgo

Evento de Riesgo Operacional
N° operacional N° operacional N°
(Nivel 3)
(Nivel 1) (Nivel 2)
Uso indebido de información
1.2.10
privilegiada
1.3.1 Vulneración de sistemas de seguridad
1.3.2 Daños por ataques informáticos
Seguridad de los
1.3 1.3.3 Hurto de información
sistemas
Utilización indebida de claves de
1.3.4
acceso y/o niveles de autorización
La entidad debe especificar a qué hace
1.4 Otros 1.4.1
referencia
2.1.1 Hurto / estafa / extorsión /soborno
Falsificación externa / Suplantación de
2.1.2
identidad
Hurto y Fraude
2.1 2.1.3 Utilización fraudulenta de cheques
Externo
Uso y/o divulgación de información
2.1.4
privilegiada
2.1.5 Espionaje industrial
2 Fraude Externo
2.2.1 Vulneración de sistemas de seguridad
2.2.2 Daños por ataques informáticos
Seguridad de los
2.2 2.2.3 Hurto de información
sistemas
Utilización indebida de claves de
2.2.4
acceso y/o niveles de autorización
La entidad debe especificar a qué hace
2.3 Otros 2.3.1
referencia
Remuneración, prestaciones sociales,
3.1.1
3.1 Relaciones Laborales terminación de contratos
3.1.2 Recursos humanos
Responsabilidad en general a mantener
3.2.1
la seguridad y salud de los trabajadores
Relaciones Higiene y Seguridad
3.2 Incumplimiento a las normas
3 laborales y laboral
3.2.2 relacionadas con la higiene y seguridad
seguridad laboral
laboral
Desigualdad y 3.3.1 Discriminación
3.3
Discriminación 3.3.2 Invasión a la intimidad y/o acoso
La entidad debe especificar a qué hace
3.4 Otros 3.4.1
referencia
Abuso de confianza / incumplimiento
Indebida Divulgación
4.1.1 de políticas y reglamentación interna de
4.1 de Información y
la entidad
Abuso de Confianza
4.1.2 Indebida divulgación de información
4.2.1 Prácticas restrictivas de la competencia
Prácticas comerciales / de mercado
Prácticas 4.2.2
improcedentes
Empresariales o de
4.2 4.2.3 Manipulación del mercado
Mercado
Abuso de información privilegiada (a
Clientes, productos Improcedentes 4.2.4
favor de la empresa)
y prácticas
4 4.2.5 Actividades no autorizadas
empresariales
4.3.1 Defectos del producto
Productos
4.3 Error en los modelos financieros y de
inadecuados 4.3.2
negocios
Peticiones/quejas/reclamos
Actividades de 4.4.1 relacionados con las actividades de
4.4 Asesoramiento asesoramiento
Litigios relacionados con las
4.4.2
actividades de asesoramiento
La entidad debe especificar a qué hace
4.5 Otros 4.5.1
referencia
5.1 Desastres naturales 5.1.1 Desastres naturales
Daños a activos 5.2.1 Terrorismo
5.2 Otros acontecimientos
5 físicos 5.2.2 Vandalismo
La entidad debe especificar a qué hace
5.3 Otras causas externas 5.3.1
referencia
6.1.1 Hardware
6.1.2 Software
6.1 Sistemas
6.1.3 Telecomunicaciones
6 Fallas tecnológicas
6.1.4 Prestación servicios públicos
La entidad debe especificar a qué hace
6.2 Otros 6.2.1
referencia
7 7.1 7.1.1 Comunicación defectuosa

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 16

Evento de riesgo Evento de riesgo

Evento de Riesgo Operacional
N° operacional N° operacional N°
(Nivel 3)
(Nivel 1) (Nivel 2)
Errores de introducción de datos,
7.1.2
mantenimiento o descarga
Incumplimiento de plazos o de
7.1.3
responsabilidades
Recepción, Ejecución
Ejecución errónea de modelos /
y Mantenimiento de 7.1.4
sistemas
Operaciones
7.1.5 Errores contables
7.1.6 Errores en otras tareas
7.1.7 Fallos en la gestión de colaterales
7.1.8 Mantenimiento de datos de referencia
Seguimiento y Incumplimiento de la obligación de
7.2.1
7.2 Presentación de informar
Informes 7.2.3 Inexactitud de informes externos
Inexistencia de autorizaciones /
7.3.1
rechazos de clientes
Contratos, documentos requeridos
7.3.2
Aceptación de Clientes inexistentes / incompletos
7.3
y Documentación Errores en los contratos (diseño
deficiente, errores tipográficos,
7.3.3
Ejecución y cláusulas erróneas y/o abusivas o
administración de prácticas restrictivas)
procesos Gestión de Cuentas de 7.4.1 Registros incorrectos de clientes
7.4
Clientes 7.4.2 Pérdida o daño de activos de clientes
Incumplimiento de la
7.5 7.5.1 De la normativa vigente y aplicable
regulación vigente
Fallos derivados de acuerdos y
7.6.1 convenios comerciales distintos de
clientes
Acuerdos y Convenios Litigios derivados de convenios y
7.6 Comerciales 7.6.2 acuerdos comerciales con contrapartes
distintas de clientes
Errores en los contratos (diseño
7.6.3 deficiente, errores tipográficos,
cláusulas erróneas o ilegales)
7.7.1 Fallos derivados en la contratación
7.7.2 Litigios con proveedores
Proveedores
7.7 Errores en los contratos (diseño
7.7.3 deficiente, errores tipográficos,
cláusulas erróneas)
La entidad debe especificar a qué hace
7.8 Otros 7.8.1
referencia

3.2.6. Órganos de control

Las entidades deben establecer instancias responsables de efectuar una evaluación del SARO, dichas instancias
informarán, de forma oportuna, los resultados a los órganos competentes y en ningún caso cumplirá las funciones
asignadas a la unidad de riesgo operacional.

Los órganos de control serán por lo menos los siguientes: Revisoría Fiscal y Auditoría Interna o quien ejerza el
control interno.

3.2.6.1. Revisoría Fiscal

Sin perjuicio de las funciones asignadas en otras disposiciones al Revisor Fiscal, éste debe elaborar un reporte al
cierre de cada ejercicio contable, en el que informe acerca de las conclusiones obtenidas en el proceso de
evaluación del cumplimiento de las normas e instructivos sobre el SARO.

A su vez, debe poner en conocimiento del Representante Legal los incumplimientos del SARO, sin perjuicio de la
obligación de informar sobre ellos a la Junta Directiva u órgano que haga sus veces.

3.2.6.2. Auditoría Interna o quien ejerza el control interno

Sin perjuicio de las funciones asignadas en otras disposiciones a la Auditoría Interna, o quien ejerza el control
interno, ésta debe evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las etapas y los
elementos del SARO con el fin de determinar las deficiencias y sus posibles soluciones. Así mismo, debe informar los
resultados de la evaluación a la Unidad de Riesgo Operacional y al Representante Legal.

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 17

También debe realizar una revisión periódica del registro de eventos de riesgo operacional e informar al
Representante Legal sobre el cumplimiento de las condiciones señaladas en el numeral 3.2.5. de la presente
Circular.

3.2.7. Plataforma tecnológica

Las entidades, de acuerdo con sus actividades y tamaño, deben contar con la tecnología y los sistemas necesarios
para garantizar el adecuado funcionamiento del SARO.

3.2.8. Divulgación de información

La divulgación de la información debe hacerse en forma periódica y estar disponible, cuando así se requiera.

Las entidades deben diseñar un sistema adecuado de reportes tanto internos como externos, que garantice el
funcionamiento de sus propios procedimientos y el cumplimiento de los requerimientos normativos.

3.2.8.1. Interna

Como resultado del monitoreo deben elaborarse reportes semestrales que permitan establecer, el perfil de riesgo
residual de la entidad.

Los administradores de la entidad, en su informe de gestión, al cierre de cada ejercicio contable, deben incluir una
indicación sobre la gestión adelantada en materia de administración del riesgo operacional.

3.2.8.2. Externa

En concordancia con el artículo 97 del Estatuto Orgánico del Sistema Financiero (EOSF) y demás disposiciones
legales vigentes sobre la materia, las entidades deben suministrar al público la información necesaria con el fin de
que el mercado pueda evaluar las estrategias de gestión del riesgo operacional adoptadas por la entidad.

Las características de la información divulgada estarán relacionadas con el volumen, la complejidad y el perfil de
riesgo de la entidad.

3.2.8.3. Revelación contable

Las pérdidas definidas de acuerdo con el numeral 2.4. de la presente Circular, cuando afecten el estado de
resultados, deben registrarse en cuentas de gastos en el período en el que se materializó la pérdida.

Las recuperaciones por concepto de riesgo operacional cuando afecten el estado de resultados deben registrarse
en cuentas de ingreso en el período en el que se materializó la recuperación.

Las cuentas de gastos e ingresos requeridas, serán definidas por esta Superintendencia en el Catalogo Único de
Información Financiera CUIF respectivo.

3.2.9. Capacitación

Las entidades deben diseñar, programar y coordinar planes de capacitación sobre el SARO dirigidos a todas las
áreas y funcionarios.

Tales programas deben, cuando menos cumplir con las siguientes condiciones:

a) Periodicidad anual.

b) Ser impartidos durante el proceso de inducción de los nuevos funcionarios.

c) Ser impartidos a los terceros siempre que exista una relación contractual con éstos y desempeñen
funciones de la entidad.

d) Ser constantemente revisados y actualizados.

e) Contar con los mecanismos de evaluación de los resultados obtenidos con el fin de determinar la eficacia de
dichos programas y el alcance de los objetivos propuestos.

4. Reglas especiales respecto del cumplimiento del marco normativo en materia de órdenes de embargo

En consideración a que el incumplimiento del marco normativo en materia de órdenes de embargo provenientes de
autoridades judiciales y administrativas, contenida en los artículos 593 y 594 de la Ley 1564 de 2012 (Código
General del Proceso), el numeral 5.1. del Capítulo I, Título IV, Parte I de la Circular Externa 029 de 2014 (Circular
Básica Jurídica - CBJ), el Estatuto Tributario y demás normas concordantes, generan un riesgo legal en los términos
del numeral 2.1.1. del presente Capítulo, las entidades deben contar con mecanismos que permitan como mínimo:

Circular Externa de 2019 Diciembre de 2019

 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERACIONAL

Página 18

4.1. Contar con las medidas, controles y sistemas de información necesarios para que sus funcionarios reciban,
procesen, acaten, atiendan y den respuesta a los mandatos judiciales y administrativos de forma completa, oportuna
y conforme al procedimiento establecido en la ley. En este sentido las entidades deben conservar los archivos y
documentos relacionados con estas órdenes y su gestión, conforme al artículo 96 del EOSF, para lo cual pueden
utilizar el medio idóneo conforme a la ley, velando por la adecuada disponibilidad de la información.

4.2. Identificar la condición de inembargabilidad de los recursos al momento de la celebración de cualquier contrato
de depósito, en los términos del inciso tercero del numeral 5.1.6 del Capítulo I, Título IV, Parte I de la CBJ o al
momento de las actualizaciones periódicas de información, en los términos del numeral 4.2.2.2.1.8.1.1. del Capítulo
IV, Título IV, Parte I de la CBJ, en caso de que tal información no haya sido obtenida al momento de la vinculación.

4.3. Capacitar permanentemente al recurso humano responsable de la atención de las órdenes de embargo, de tal
manera que esté actualizado respecto de la normatividad y el procedimiento aplicable en cada caso en particular.

4.4. Garantizar la observancia de los límites de inembargabilidad señalados en la normatividad aplicable, así como
los límites de las medidas, sin exceder los montos de los embargos ordenados por las autoridades judiciales o
administrativas.

4.5. Contar con los controles necesarios para verificar que se atiendan de forma completa y oportuna las solicitudes
de los consumidores financieros, las autoridades y demás interesados, relacionadas con las órdenes de desembargo.

4.6. Contar con las medidas de seguimiento y control de estos mecanismos, con el fin de asegurar la oportunidad y
calidad en la atención y cumplimiento de las órdenes de embargo.

Circular Externa de 2019 Diciembre de 2019