Upload
ingrid-palma
View
234
Download
2
Embed Size (px)
DESCRIPTION
Clase magistral en Gestión de Riesgo y Gobierno Corporativo, dicta por el señor Hernán Rebolledo M.
Citation preview
Relator • 25 años en la dirección de equiposde auditoría (5 años en auditoríaexterna EY y 20 años en auditoríainterna).
• Gestiona un equipo de 16profesionales.
• Responsable de Auditar el RiesgoOperacional en Banco, Filiales ySucursal Nueva York.
• Ha diseñado y coordinadoMetodologías de Auditorías; Autoevaluaciones; Auditores Externos;Comité Auditoría, EvaluacionesCalidad,
• Ha sido responsable de Funciones desegunda línea y de su traspaso.
• Ex Director del IIA Chile.• Profesor de Magíster.• Representante Auditoría Bancos
FELABAN
Hernán Rebolledo Migliardi, CIA, CRMA, ISO
31000/22301, QA
Jefe de Auditoría Interna
BancoEstado
AGENDA1. Lecciones y Exigencias Recientes de GC
2. Qué es GRC: Gobierno, Riesgo, Cumplimiento
3. Modelo de las 3 Líneas de Defensa
4. La Importancia de la Contabilidad como Segunda Línea.
5. Marco Internacional para Práctica Internacional de la Auditoría Interna.
6. Gestión de Riesgos: Aplicación COSO 2013 a Procesos de Negocios.
7. Certificación Áreas de Auditoría Interna: La Experiencia Nacional.
8. Certificaciones Profesionales y Educación Continua: Qué Pasa en Chile.
Empresas
1.1.- Lecciones de Gobierno Corporativo
1.2.-Exigencias Recientes: OCDE
1.2.-Exigencias Recientes: Basilea
Reforzar las responsabilidades de supervisión y gobierno corporativoen materia de riesgos de la junta directiva.Enfatizar componentes claves de la gestión de riesgos: cultura deriesgo, apetito de riesgo y su relación con la capacidad de riesgo delbanco.Delinear roles específicos de la junta directiva, comités de riesgo dela junta, gerencia superior y funciones de control (incluyendoDirector de Riesgos y auditoría interna).Fortalecer, en general, la separación de funciones (frenos y
contrapesos) de los bancos.
1.2.- Exigencias Recientes: EE.UU.
OCC (Regulador)
1.2.- Exigencias Recientes: España
Exigencias Recientes: Chile (SVS)
Exigencias Recientes: Chile (SVS)
2. Qué es GRC: Gobierno, Riesgo, Cumplimiento
Fuente: www.oceg.org
GRC: Actores y Objetivos
Sostenibilidad Organizacional
Optimización Recursos
Asegurar Desempeño, Gestión Riesgos y Cumplimiento
Fuente: www.oceg.org
15
INVERSIONISTAS
Directorio
Equipo
Gerencia
Clientes Empleados Proveedores Organismos de Control
Designan Protección Intereses
OrientaciónEstratégica
EstablecimientoObjetivos
• Valor Empresa (Valor de la Acción)
• Dividendos (Distribución anual)
Resultados
Estratégicos
Financieros
Operacionales
CumplimientoDeleganAutoridad
DefinenApetito de Riesgo
Relación Gobierno y Gestión
Aprobar Políticas
RendirCuenta
MideDesempeño
Fuente: Elaboración Propia
Elementos Sistema de Gestión
Integrando la Estrategia con los Procesos
Objetivos del Cumplimiento
Estructura del Sistema de Cumplimiento
3.-
Actividad Control
Monitoreo Auditoría
Supervisión
Enfoque de las 3 Líneas
Fuente: 20 Principios de Basilea para Auditoría Interna – Junio 2012.
4.- La Importancia de la Contabilidad como Segunda Línea de Defensa
• Adopción IFRS Empresa
• Contabilidad genera Políticas Contables
• Directorio aprueba Políticas y Cambios Contables
• Contabilidad Capacita y Difunde a resto Empresa las Políticas
• Áreas deben cumplir con políticas en preparación de información y registro descentralizado.
• Contabilidad Monitorea Cumplimiento de Políticas
• Contabilidad Rinde Cuenta ante Directorio del Cumplimiento de Políticas.
• Presenta Estados Financieros a Directorio
• Directorio protege independencia auditores externos e internos.
• Auditores EE.FF. Presentan plan de trabajo, evaluación de control interno contable y Dictamen.
5.- Marco Internacional para Práctica Internacional de la Auditoría Interna
El IIA Global
• Fundado en 1941 en la ciudad de Nueva York, EE.UU.
• Líder mundial en investigación, educación, guía tecnológica y certificación de auditores internos y certificación de áreas de auditoría interna.
• Más de 175.000 miembros
• Más de 165 países de todo el mundo.
• Normas reconocidas mundialmente (OCDE, Basilea, etc.), así como el EXAMEN CIA (Certified Internal Auditor), símbolo de excelencia y globalización profesional.
Casa Central Global Orlando, Florida, EE.UU.
Misión Auditoría Interna
"MEJORAR Y PROTEGER
EL VALOR
DE LA ORGANIZACIÓN, PROPORCIONANDO
ASEGURAMIENTO, ASESORÍA Y ANÁLISIS EN BASE A RIESGOS".
GUIASOBLIGATORIAS
Principios Fundamentales Auditoría Interna
1. Demuestra integridad;
2. Demuestra competencia y diligencia;
3. Es objetiva y se encuentra libre de influencias (Independiente);
4. Se alinea con las estrategias, los objetivos y los riesgos de la Organización;
5. Está posicionada de forma apropiada y cuenta con los recursos adecuados;
6. Demuestra compromiso con la calidad y la mejora continua de su trabajo;
7. Se comunica de forma efectiva;
8. Proporciona aseguramiento en base a riesgos;
9. Hace análisis profundos, es proactiva y está orientada al futuro;
10. Promueve la mejora de la Organización.
La Auditoría Interna es una actividadindependiente y objetiva de aseguramiento yconsulta, concebida para agregar valor ymejorar las operaciones de una organización.
Ayuda a una organización a cumplir susobjetivos aportando un enfoque sistemático ydisciplinado para evaluar y mejorar la eficaciade los procesos de gestión de riesgos, controly gobierno (GRC).
Definición de Auditoría Interna
NORMAS SOBRE ATRIBUTOS
1000 Propósito, autoridad y responsabilidad (Estatuto)
1100 Independencia y objetividad
1200 Aptitud y cuidado profesional
1300 Programa de aseguramiento y mejora de la calidad
NORMAS SOBRE DESEMPEÑO
2000 Administración de la actividad de auditoría interna
2100 Naturaleza del trabajo (GRC)
2200 Planificación del trabajo
2300 Desempeño del trabajo
2400 Comunicación de resultado
2500 Seguimiento del Progreso
2600 Decisión de aceptación de los riesgos por la dirección
CÓDIGO DE ÉTICA
Normas
6.- Gestión de Riesgos: Aplicación COSO 2013 a Procesos de Negocios.
Objetivos
Componentes
Procesos
NivelesAplicación
Fuente: www.coso.org
17 Principios COSO 2013
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información & Comunicación
Actividades de Monitoreo
1. Demostrar compromiso con la integridad y los valores éticos
2. Ejercer la responsabilidad de supervisión
3. Establecer la estructura, la autoridad y la responsabilidad
4. Demostrar compromiso con las competencias
5. Aplicar la rendición de cuentas
6. Especificar objetivos adecuados
7. Identificar y analizar los riesgos
8. Evaluar el riesgo de fraude
9. Identificar y analizar cambios significativos
10. Seleccionar y desarrollar actividades de control
11. Seleccionar y desarrollar controles generales sobre la tecnología
12. Implementación a través de políticas y procedimientos
13. Utilizar información pertinente
14. Comunicación interna
15. Comunicación externa
16. Realizar evaluaciones continuas y / o separadas
17. Evaluar y comunicar las deficiencias
Fuente: www.coso.org
Se descomponen en 79 puntos de enfoque o revisión.
6.1.- GOBIERNO CORPORATIVO
ASEGURAMIENTO
GESTION
6.2.- PROCESOS (RESPONSABLES-PRIMERA LINEA)
6.3.- DesempeñoLogro Objetivos
(KPI)
Integración a Procesos de Negocios
6.6.-CumplimientoRegulaciones
6.8 AUDITORIA INTERNA A PROCESOS (TERCERA LINEA)
6.4.- GestiónRiesgos (KRI)
6.5.- EficaciaOperativaControles
(KCI)
6.7.- MONITOREO (SEGUNDAS LINEAS)
Principio 2: Directorio Ejerce Responsabilidad
de Supervisión• Opera Independiente • Aprobación Objetivos,
Modelo de Operación Niveles de Tolerancia.
• Comprensión Riesgos Asociados.
• Aprobación de Políticas• Definición de Indicadores
e incentivos• Aprobar Planificación de
Responsables.• Formalizar en Actas
decisiones, a objeto de facilitar seguimiento.
Principio 3: AprobaciónEstructuras, Autoridad y
Responsabilidad• Aprobación de Estructura
con dotación consistente volumen/complejidad.
• Aprobación de Roles, Responsabilidades (Segregación de funciones-Líneas Defensa)
• Consideración sobre supervisión de Proveedores Externos Críticos al proceso.
• Líneas de Reporte Coherentes con Estructura aprobada.
• Aprobación Esquema de Atribuciones
Principio 5: Aplicar Rendición de Cuentas
• Controlar Planificación• Informarse de Desempeño• Informarse Gestión Riesgos• Informarse de
Cumplimiento de Políticas y Uso de Atribuciones (Controles)
• Cumplimiento de Regulaciones
• Informarse de medidas disciplinarias aplicadas.
6.1.- GOBIERNO CORPORATIVO
Proceso: Conjunto de actividades secuenciales que realizan una transformación de una serie de inputsentrada en los salidad outputs deseados añadiendo valor”
“Conjunto de actuaciones, decisiones, actividades y tareas que se encadenan de forma secuencial y ordenada para conseguir un resultado que satisfaga plenamente los requerimientos del cliente al que va dirigido”.
6.2.- PROCESOS (RESPONSABLES-PRIMERA LINEA)
Por qué gestionar los Procesos?•Mejora continua de las actividades desarrolladas.
•Reducir la variabilidad innecesaria.
•Eliminar las ineficiencias asociadas a la repetitividad de las actividades.
•Optimizar el empleo de los recursos.
Administra el espacio en blanco de la organización.
Versiones de un Proceso
• Escrito• El que se cree• Existente
• Muchas variaciones
• No estabilizado• Cuál versión se
gestiona y audita?
Levantamiento Información de Proceso• Objetivos: Estratégicos, Operacionales,
Información, Normativo Externo.• Factores Críticos de Éxito • Responsable/Participantes• Segmento/Clientes Atendidos• Información relacionada a objetivos: Metas,
KPI, Tolerancias.• Proveedores Críticos• Sistemas y Aplicaciones• Cuentas Contables• Eventos ocurridos• Cambios recientes
La versión existente• Diagramas
• Descriptivos/Procedimientos• Conexión a Manuales
Documentación de los Procesos
Objetivos: Deben ser fácilmente entendibles y medibles.
• Estratégicos: Como la entidad creará valor para sus grupos de interés.
Cómo se alinea el proceso con la Estrategia Organizacional? Vínculo entre las actividades diarias (Proceso) y las estrategias que impulsan el éxito de la Organización.
Ejemplo: La cobranza asegura una adecuada gestión de la liquidez (Flujo Caja)
• Operacionales: Motivo de la existencia del proceso. Atributos de calidad, exactitud, puntualidad, integridad o control. Asegurar eficiencia, eficacia o protección de activos.
Ejemplo: Efectuar una cobranza oportuna y completa.
6.3.- DesempeñoLogro Objetivos
(KPI)
Principio 6.- Especificar Objetivos Adecuados
• Informe: Necesidades de la organización respecto de informes , sean internos o externos/Reportes normativos. – Ejemplo: informes de flujos de caja / Reporte al regulador.
• Cumplimiento: con Leyes y Regulaciones Externas /Contractual Afiliadas– Ejemplo: Asegurar que la cobranza cumpla con la Ley de Cobranzas.
• Responsable del proceso debiera tener definidos los objetivos.
• Si no ocurre, se debe generar debate, a fin de determinar los objetivos claves del proceso.
Comprensión de los Objetivos (Proceso)
Preguntas :
• ¿Por qué existe este proceso; es decir, cuál es su propósito principal?
• ¿Cuáles objetivos estratégicos de la Organización afecta o influye el proceso y cómo?
• ¿Qué iniciativas aborda/debe abordar el proceso para ayudar a la Organización a lograr sus objetivos estratégicos?
• ¿Qué es lo que este proceso le brinda a la Organización , que resulta esencial para lograr el éxito?
• Al final del mes ¿qué es que les brinda a los empleados del proceso una sensación de cumplimiento con su trabajo?
• Qué logros deben conseguir los empleados para ser reconocidos por la Gerencia o clientes respecto a este proceso?
40
Indicadores Claves de Desempeño (KPI) :
• Pueden existir KPI con los cuales se supervisa el desempeño del proceso y de su eficiencia con la que se lleva a cabo.
• Pueden existir niveles de tolerancia (niveles aceptables de desviación relativa a la consecución de objetivos). Por ejemplo: 5%.
• Estos KPI y Tolerancias deben ser de conocimiento en la Organización.
Características KPI
• Alineado con Objetivos
• Relevante
• Medible, con información cuantificable para determinar desempeño exitoso.
• Disponible en el momento indicado.
• Articulado para los participantes del proceso y que éstos puedan mejorar.
41
QUE ES UN RIESGO?La palabra Riesgo viene del Italiano Risicare, que significa desafiar, retar, enfrentar; también se define como poner en peligro a una persona, en algunos escritos se refiere a la proximidad de un daño.
ISO 31000:2009Riesgo: efecto de la incertidumbre sobre los objetivos
NOTA 1: Un efecto es una desviación, positiva y/o negativa, respecto a loprevisto.
NOTA 2: Con frecuencia, el riesgo se caracteriza por referencia a potencialeseventos y consecuencias o a una combinación de ambos.
NOTA 3: Con frecuencia, el riesgo se expresa en términos de combinación delas consecuencias de un evento (incluyendo los cambios en lascircunstancias) y de su probabilidad asociada de ocurrencia.
Principio 7.- Identificación y Análisis de Riesgos
Principio 8- Evaluar el riesgo de fraude
Principio 9.- Identificar y analizar cambios significativos
6.4.- GestiónRiesgos (KRI)
TIPOLOGIA DE RIESGOS: EJEMPLO
TECNICAS IDENTIFICACION DE RIESGOS • Análisis de los objetivos y comprensión del proceso.
• Análisis de factores externos (económicos, competencia, políticos, sociales, tecnológicos) e internos (personal, sistemas, materiales, equipos, etc.).
• Uso de la tipología de riesgos detallada (Ejemplo anterior)
• Análisis de las actividades del proceso.
• Tomar en cuenta los registros de eventos ocurridos en la compañía o en la industria. (Eventos: errores, irregularidades, etc.).
• Considerar análisis internos de otras áreas por ejemplo, matrices de riesgo operacional, auditorías anteriores.
• Entrevistas y consultas al personal clave respecto de riesgos que ellos han identificado.
• Identificación de riesgos a un nivel específico o punto de falla.
• Riesgo específico se recomienda sea redactado considerando lo siguiente:
- Qué puede fallar: “No recuperar los valores del crédito…..
- Cómo puede fallar: …por capacidad de pago del cliente determinada erróneamente…
- Quién puede fallar: …. por el Ejecutivo…- Dónde puede fallar: ….en la etapa de evaluación”
(Componente del Proceso)
REDACCION RIESGOS ESPECIFICOS
EVALUACION RIESGOS ESPECIFICOS
• RIESGO
IMPACTO Y PROBABILIDAD
• RIESGO INHERENTE: Sin considerar controles
• RIESGO RESIDUAL: Menos los controles
IMPACTOS
Nivel Impacto
monetario Millones de $
Impacto Imagen Impacto Regulatorio
Catastrófico Más de 500
Generaría gran cobertura tanto periodística como a través de redes sociales, website, blogs, etc., a nivel nacional e internacional con alto interés público
Generaría prohibición de realizar determinadas operaciones
Mayor Entre 101 y 500
Generaría cobertura nacional con interés de algunos sectores
Generaría amonestaciones públicas.
Moderado Entre 10 y 100 Generaría cobertura regional y/o local por tiempo prolongado
Expone amonestaciones privadas.
Menor Entre 1,1 y 10.- Generaría cobertura regional puntual y/o local prolongada
Genera observaciones no relevantes del regulador
Insignificante Menos de 1.- Generaría cobertura local puntual Genera sólo comentarios menores del regulador
PROBABILIDAD
Nivel Probabilidad Frecuencia Mensual
Cierta Existe un alto grado de certeza que ocurra y/o ya ha ocurrido varias veces
Sobre 10.000 transacciones mensuales en el proceso evaluado.
Probable Probablemente ocurrirá y/o ha ocurrido alguna vez
Entre 1001 e 10.000 transacciones mensuales en el proceso evaluado.
Posible Es posible que ocurra en algún momento
Entre 101 y 1000 transacciones mensuales en el proceso evaluado.
Improbable Es poco probable que pueda ocurrir
Entre 11 y 100 transacciones mensuales en el proceso evaluado.
Remota Puede ocurrir sólo en circunstancias excepcionales (ej. en caso de catástrofe)
Menos de 10 transacciones mensuales en el proceso evaluado.
TABLA DE EVALUACION RIESGOS ESPECIFICOS
KRI (Indicador Clave de Riesgo)
Proporciona información sobre el nivel de perfil de riesgo en el que se encuentra la organización en un momento dado del tiempo.
Al analizarlo evolutivamente indica en formatemprana la aparición de riesgos emergentes.
• Prospectivo
• Enfocados en lo que está apareciendo.
• Indican la necesidad de tomar acciones.
Ejemplo:
% aumento de denuncios de seguros por terremoto
Para cada uno de los riesgos evaluados, se debenidentificar las actividades de control y/o monitoreo clavesEXISTENTES que permiten mitigar o cubren el riesgoidentificado.
No todas las actividades que contempla un procedimientoson actividades de control.
La ausencia de los controles claves podría dificultar ellogro de los objetivos del proceso.
IDENTIFICAR ACTIVIDADES DE CONTROL
10. Seleccionar y desarrollar actividades de control
11. Seleccionar y desarrollar controles generales sobre la tecnología
12. Implementación a través de políticas y procedimientos
6.4.- GestiónRiesgos (KRI)
Distintos Tipos de Actividades Control
Aprobar: Autorización para ejecutar una transacción por una persona con facultades para ello.
Calcular: Computar o volver a computar un importe que resulta de otros datos obtenidos en el proceso.
Documentar: Guardar información original o documentar la base lógica de las opiniones emitidas para referencia futura.
Examinar: Verificar la existencia o surgimiento de un atributo.
Comparar: Entre 2 atributos diferentes para verificar si coinciden.
Supervisar: Asegurar que las tareas se lleven a cabo tal y como se diseñaron.
5 CRITERIOS GENERALES• Oportunas para prevenir o detectar a tiempo el riesgo.
• Cobertura, es decir, abarca todas las transacciones y/o operaciones, etc. susceptibles de ocurrencia del riesgo;
• Difusión/Documentación, es decir, se informa a todos quienes deben aplicar el control y la forma de cómo aplicarlo dado el riesgo detectado, y se publica en medios oficiales, de manera que no se desconozca la responsabilidad.
• Debe quedar una Evidencia que se realizó la actividad de control y/o monitoreo; y finalmente
• Exista una adecuada Segregación de Funciones, en la medida que el tipo de negocio lo requiera.
Preguntarse cuáles son las causas raíz de diseños inadecuados . Por ejemplo: Procedimientos inadecuados, Políticas poco claras, Sistemas que no están interconectados, falta de segregación de funciones.
EVALUAR ACTIVIDADES CONTROL
No sirve de nada que el control este bien diseñado y en el proceso no opere o no se cumpla.
El riesgo no se mitiga.
Se requiere disciplina del Personal.
6.5.- EficaciaOperativaControles
6.6.-CumplimientoRegulaciones
Para cumplir una regulación se necesita evaluar el riesgo de incumplir en específico en el proceso (punto de falla) y asociarlo a
un control bien diseñado y que opere eficazmente en la práctica.
KCI (Indicador Controles Claves)
Sirven para monitorear el % de actividades de control claves (responsable proceso – Primera Línea). Monitoreo Continuo en Proceso.
Ejemplo:
- % de siniestros no liquidados dentro de plazo regulado.
6.7.- MONITOREO (SEGUNDA LINEA)
- Monitoreo Continuo o Periódico
- Centrado en Riesgos o en Controles
- Segunda Línea
- Nivel Agregado o por muestras
- Excepciones se escalan
- Se rinde cuenta a Directorio o Comité Directivo de Apoyo.
16. Realizar evaluaciones continuas y / o separadas
17. Evaluar y comunicar las deficiencias
Actividades de Monitoreo
7.- Certificación Áreas de Auditoría Interna: La Experiencia Nacional.
Empresas Certificadas Chile
Banco CentralCaja Los AndesCorpBancaNexusTransbancRedbancAchs….
Quien sigue?
8.- Certificaciones Profesionales y Educación Continua: Qué Pasa en Chile.
• CIA (Auditor Interno Certificado)
• CCSA (Certificación Autoevaluación de Controles)
• CFSA (Auditor de Servicios Financieros Certificado)
• CGAP (Auditor de Gobierno)
• CRMA (Asegurador en Gestión de Riesgos)
CertificacionesProfesionales
En Chile de 45 CIASEn el Mundo más de 140.000.-
“Si quieres viajar rápido viaja sólo, pero si quieres viajar lejos, ve
acompañado”.
Proverbio africano
REFLEXION FINAL