Volver al blog
Gestión de Riesgos

SARO: Sistema de Administración de Riesgo Operativo en Colombia

SARO complementa SARLAFT y cubre riesgos operativos (procesos, personas, sistemas). Aprende qué exige la SFC, los eventos clasificados y cómo integrarlo con AML.

Publicado 12 de julio de 20267 min de lecturaActualizado 27 de jun de 2026

SARO (Sistema de Administración de Riesgo Operativo) es obligatorio para entidades vigiladas por la SFC y complementa SARLAFT. Si solo tenés SARLAFT y no SARO, la SFC observa. Acá te explicamos qué exige, los eventos clasificados según Basilea II y cómo integrarlos.

¿Qué es SARO?

SARO es el sistema de gestión del riesgo operativo, definido como "la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de eventos externos". Está regulado por la Circular Externa 041 de 2007 de la SFC.

Los 7 tipos de eventos (Basilea II)

  1. Fraude interno — Empleados que cometen actos ilícitos.
  2. Fraude externo — Terceros (incluye ciber, suplantación).
  3. Relaciones laborales — Conflictos con empleados, seguridad laboral.
  4. Clientes, productos y prácticas empresariales — Incumplimiento a clientes (incluye SARLAFT).
  5. Daños a activos físicos — Desastres, terrorismo.
  6. Fallas tecnológicas — Caídas de sistemas, ciberataques.
  7. Ejecución, entrega y gestión de procesos — Errores operativos.

Componentes de SARO

  • Mapa de riesgos operativos — Por proceso y por evento.
  • Registro de eventos — Base histórica de incidentes con pérdida.
  • Indicadores de riesgo (KRI) — Métricas que anticipan materialización.
  • Plan de continuidad del negocio (BCP) — Para eventos catastróficos.
  • Capacitación y cultura de riesgo.

SARO vs SARLAFT

  • SARLAFT cubre riesgo específico de lavado y financiación del terrorismo.
  • SARO cubre riesgo operativo en general (incluye SARLAFT como tipo 4 de Basilea).
  • Las entidades grandes mantienen ambos sistemas integrados — el SARLAFT alimenta eventos al SARO.

KRIs típicos en SARO

  • Número de incidentes de fraude por mes.
  • Tiempo medio de resolución de incidentes ciber.
  • Rotación de personal en áreas críticas.
  • Caídas de sistemas críticos.
  • Quejas de clientes por errores operativos.

SARO en visitas SFC

La SFC revisa:

  • Mapa de riesgos vigente y aprobado por Junta.
  • Registro de eventos con descripciones, pérdidas y acciones correctivas.
  • Plan de continuidad del negocio probado.
  • Reportes trimestrales al Comité de Auditoría.

¿Cómo te ayuda GRC Software?

El módulo SARO se integra con SARLAFT, SAGRILAFT y PTEE. Un solo motor de matrices, dashboard unificado, exportación de reportes en formatos SFC. KRIs configurables con alertas automáticas.

Próximos pasos

  1. Lee ¿Qué es SARLAFT? y ISO 31000.
  2. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.