Embed Size (px)
Citation preview
DRAFT
COMO PREPARAR SU MANUAL DE RIESGOS Y CONTROL
INTERNO
PARA UNA CENTRAL Y ONG AFILIADAS
VERSIÓN DEL DRAFT MODIFICADA PARA USO PUBLICO PARA EFECTOS DE CAPACITACION
MARIO A. VALDEZ SIVIRICHI
2
INDICE DE CONTENIDO
A. Cómo hacer una Manual de Riesgos y Control Interno.
Algunos consejos de la práctica real.
B. Uso de un Modelo de Manual
Introducción
- Finalidad y objetivos del Manual - Alcance - Estructura y contenido. Metodología - Aprobación y Modificaciones - Supervisión
Capítulo 1 Administración de Riesgos 1.1 Definiciones. Aspectos Generales, Normas Vigentes 1.2 Objetivo General y Objetivos Específicos 1.3 Evaluación y Administración de Riesgos 1.4 Políticas y Normas.
Capítulo 4 Funciones y Responsabilidades
4.1 Directorio 4.2 Gerencia General 4.3 Comité de Riesgos 4.4 Unidad de Riesgos 4.5 Jefe de Riesgos 4.6 Unidad de Auditoría Interna 4.7 Unidades de Negocio y Unidades de Apoyo
Capítulo 5 Procedimientos para la Evaluación de Riesgos
5.1 Metodología y Procedimiento de Trabajo. 5.2 Identificación de Riesgos 5.3 Análisis de Riesgos 5.4 Desarrollo del trabajo 5.5 Implementación 5.6 Sistema de Gestión de Riesgos e ISO 5.7 Comprobación de Modelos de Valuación 5.8 Certificación Externa
5.9 Medición, Monitoreo y Control 5.10 Metodologías, Sistemas y Modelos 5.11 Pruebas de Comprobación
Capítulo 6 Administración de Riesgos 6.1 Como evitar riesgos. 6.2 Prevención y reducción de pérdidas 6.3 Transferencia de riesgos y retención 6.4 Seguros
3
Capítulo 7 Informes
7.1 Características del Informe 7.2 Divulgación del Informe 7.3 Informes a Colaboradores Externos 7.4 Informes Adicionales 7.5 Periodicidad
Capítulo 8 Auditoría Interna y Control de la Administración de Riesgos
8.1 Alcance del Examen del Sistema de Control Interno 8.2 Auditoría Interna y Control Interno 8.3 Auditoría de Riesgos.
Rol Interinstitucional de Riesgos y Regulación para las ONG
9.1 Objetivos y ventajas de la Regulación en el fondeo.
9.2 Normas Prudenciales a determinar y aspectos de supervisión. C. Anexos de Herramientas de Ayuda
Anexo 1 Indicadores de Riesgos Anexo 2 Mapeo de Riesgos Anexo 3 Informes. Modelo de Reportes de Riesgo Anexo 4 Gráfico de Proceso de Riesgos Anexo 5 Plan de Contingencias Anexo 6 Definiciones de Términos Anexo 7 Problemas observados en las ONG Crediticias Anexo 8 Principios Aplicables
4
A. Cómo hacer una Manual de Riesgos y Control Interno. Siempre me ha parecido iniciar un nueva tarea de redacción de documentos organizativos, por ello pensé en la forma de facilitar este Manual cuya redacción preocupa a profesionales que se hincan en programas de micro finanzas y sociales.
Algunos consejos de la práctica real. A manera de instrucciones prácticas sugiero los siguientes pasos a tomar:
1. Compenetrarse de los conceptos de Riesgo Operativo y de Control Interno moderno, lo que requiere lectura de algún material presente en libros y en la Webb.
2. Buscar un Modelo de Manual que sirva de guía en el contenido a redactar y su posible adaptación a las necesidades realaes y sentidas de la institución y a su “cultura”. Este es el propósito principal del documento.
3. Dialogar con los miembros del Consejo Directivo o Directorio, para conocer sus motivaciones, esto es porque quieren un Manual y como sienten ellos la problemática principal en síntesis.
4. Tener claros los 3 o 4 principales problemas de riesgo operativo y control interno de la institución, para darle material adecuado de enfoque de los mismos. Esto busca hacer el documento útil a las necesidades institucionales.
5. Ubicarse con el tipo y modalidad de operaciones de la empresa o institución y sus usuarios. Si es urbana, rural o agrícola. Con énfasis en usuarios de comercialización o producción, o bien en créditos individuales o grupales .De usuarios de comercialización o de producción, etc. Una entidad de fomento a a la agricultura, tiene elementos no solo productivos, pero requiere entrenamiento y asistencia técnica, por ello su enfoque puede ser “maximalista” en vez de “minimalista” de solo crédito. Obviamente los riesgos y controles han de variar en una y otra.
6. Averiguar porque no se logran los objetivos deseados, como se hace o usan los documentos de planes, si tienen una sostenibilidad financiera o subsidios permanentes, etc
7. Metodología con la que se puede crear o mejorar un ambiente de “Cultura de riesgos” y o Controles y transparencia institucional.
B. Uso de un Modelo de Manual
A continuación sigue la exposición de un modelo de Manual
5
MANUAL DE CONTROL DE RIESGOS
I. INTRODUCCIÓN
Los trabajos relacionados con los diagnósticos y diseños de sistemas de control interno y riesgo cubren perspectivas de varias disciplinas conexas, entre ellas tenemos los diagnósticos, diseños de manuales de administración y control de riesgo operativo, Procesos de Control Interno propiamente dicho y Auditoría Interna. El presente documento repropone ser un modelo para fines de instrucción en la preparación de manuales de riesgo operativos y control interno para entidades micro financieras y otras similares financieras.
Incluye diseño de procesos y organización de riesgo operativo como ERM (Enterprise Risk Management), COSO (estandarización de conceptos de control interno), CobiT (controles de sistemas), diseño de indicadores de riesgo o control KRI (Key risk indicators), así como dos libros del autor sobre Auditoría de Cooperativas y Riesgo Operativo (en prensa). CONCEPTO El Riesgo Operativo necesita tratarse porque afecta potencialmente a todo tipo de empresas. Todos los negocios tienen posibilidades de de tener pérdidas ocasionadas por el personal, procesos, servicios, productos y eventos externos o con elementos externos. La probabilidad de pérdidas puede ser mayor o menor, por razones de factores latentes como pueden ser: pérdidas debidas a conflictos de intereses del personal, o al crecimiento acelerado que produce cambios internos, o bien la situación económica grave o la cultura de control débil, o bien el nivel de corrupción del país o la región. No solo los gigantes como ENRON o los gobiernos de los países tienen pérdidas debidas a fraudes o crímenes llamados de “cuello y corbata”, tambien las entidades micro financieras y pequeños negocios. OBJETIVOS Los Directorios o Consejos de Administración tienen funciones privativas de establecer y mantener controles internos, sistemas contables y sistemas de prevención de riesgos.
El riego operativo afecta potencialmente a las empresas, porque existen posibilidades de pérdidas por causas del personal, procesos, servicios y eventos externos o conexiones con terceras personas.
Es aconsejable preparar un diagnóstico de riesgos y control interno de la entidad en forma participativa, pero con empleo de herramientas técnicas tipo COSO, para dar cumplimiento a últimas exigencias normativas.
Estos trabajos técnicos contribuyen a:
� Diagnósticos o autodiagnósticos de riesgos y control interno.
6
� Preparar Manuales de Riesgo Operativo, incluyendo: el diseño de Manuales de Organización de la Unidad de Riesgos o funcionario a cargo, definiendo su relación con Auditoria Interna; de procesos de administración y monitoreo de riesgos y control internos.
� Organización y procesos de Auditoria interna para que tenga un enfoque moderno y de asesoría del Directorio en aspectos de controles.
� Precisar las relaciones de la Unidad de Riesgos y Auditoria Interna, esta última como el control que funciona midiendo otros controles.
� Preparar Manuales de Contingencias y recuperación de Riesgos Operativos y procedimientos como actuar en casos de emergencias por hechos irregulares del personal.
METODOLOGIA Es muy importante que el Directorio asegure una definición clara del enfoque metodológico y de las especificaciones principales del producto final a lograr con los Manuales de Control Interno y Riesgo Operativo. Esto debe discutirse con los responsables y asesores, para asegurar que el producto se ajusta a las necesidades y no es un elemento hecho con prescindencia de los responsables.
En este camino es importante tener en cuenta frente al Control Interno y procesos de Auditoria Interna, que existen varios enfoques determinados por los campos a cubrir con los controles:
1. Financiero (contable, auditorías)
2. Operativo (procedimientos, estructura de organización, etc.)
3. Gestión o Gerencial (estrategia, rentabilidad, competitividad, productividad).
Respecto a la Auditoría Interna Moderna, esta debe cubrir aspectos tales como: a. Cautelar la efectividad y eficiencia institucional relacionada con los propósitos de la alta dirección.
b. Asegurar la confiabilidad y exactitud de los informes financieros y estados contables y sistema informativo.
c. Prevenir riesgos de incumplimiento de leyes y regulaciones aplicables al negocio.
Considero que es ideal que las consultorías de control y riesgos incluyan una metodología participativa, que ayude a crear una cultura institucional a todos los niveles de la institución, así como prevenir “resistencias al cambio” como pueden darse por la introducción de controles de gestión.
7
Las técnicas de control conocidas como ERM, así como los trabajos de asesoría en base a dinámica grupal son muy eficaces. De ese modo se crea cultura de riesgo y de control en todos los niveles de la organización. ERM tiene base en la metodología COSO y por tanto al tratar los puntos “a, b y c” anteriores, lo hace enfocando cinco campos que ha estandarizado:
1. Ambiente de Control. Pues estima que la “conciencia de control” que asegura disciplina y estructura a la organización.
2. Evaluación de Riesgos. Se busca el detectar, analizar los riesgos más probables que pueden afectar tanto el logro de los objetivos, como producir pérdidas a la institución.
3. Actividades de Control. Enfoque en las políticas, procedimientos y técnicas que aseguren el cumplimiento de las directivas de la gerencia.
4. Información y Comunicaciones. Esta referida a los procesos y sistemas que apoyan la identificación, recolección e intercambio de informes o información necesaria para que la gente tome decisiones oportunas y acertadas, así como cumpla sus obligaciones.
5. Monitoreo. Es el seguimiento y la supervisión necesarios para asegurar la calidad de los procesos del control de la actuación de puestos y grupos organizativos en el periodo al que corresponde la gestión.
Dentro de la documentación y recopilación de datos se incluyan diagramas y varios tipos de encuestas, mapeo o mapping, scorecards, indicadores, actuales y ausentes.
La fase de diagnóstico y análisis de riesgos y/o controles internos debe hacerse con consultores de experiencia con conocimientos de planeamiento, procesos gerenciales y procesos y tecnología de la información.
La prevención exige el diseño adecuado de órganos de monitoreo interno y externos. En primer lugar el puesto de encargado de riesgos y el Comité de Riesgo y de Auditoria. Luego el organismo de Auditoría Interna, su alcance, metodología, procesos, relaciones y atribuciones. Un par de herramientas están al alcance de muchas entidades. Ellas son la tabla de indicadores de riesgo Key RisK Indicador (KRI) y los scorecard. Con el primero se hace el análisis de variaciones en los niveles de actividades. Se analizan y determinan cambios bruscos o poco usuales en los niveles normales de actividades. Estos pueden ser indicios de manejos inapropiados o malos manejos. El ultimo muestra en la” geografía de la organización de la institución” los puntos débiles y donde colocar los esfuerzos. Por ultimo se debe tener en cuenta la relación costo beneficio de los sistemas o procedimientos, hasta que punto las controles son mas caros que el posible impacto de perdidas esperadas.
8
Por otro lado hasta que punto los controles internos propuestos y la regulaciones pueden ser asfixiantes o que desmotiven la creatividad y pro actividad en las organizaciones.
A. FINALIDAD Y OBJETIVOS DE UN MANUAL DE RIESGO OPERATIVO
1. Este Manual tiene por finalidad colaborar con las directivas, gerencias y encargados de la gestión de riesgos de CENTRAL (Federación u organización central o consorcio de ONG) y las ONG afiliadas a CENTRAL, para identificar, controlar, monitorear y administrar los riesgos a los que se enfrenta n como instituciones, tanto centrales o como afiliadas al sistema. El trabajo forma parte de un propósito de mejora del grupo de ONG, en términos de su gestión a alcanzar, con miras a una futura supervisión y posiblemente una autorregulación por y con ayuda del organismo integrador o CENTRAL.
Este documento tiene como objetivo fundamental es mejorar la gestión corporativa de los riesgos financieros dentro de los cuáles están el riesgo de crédito, de liquidez, mercado y operativo1. Se considera que se da una exposición de tipo holístico o integral, desde que los riesgos no pueden ser aislados en su tratamiento diario de la función gerencial. Por esa misma razón nuestro enfoque relacional el Riesgo Operacional (Basilea II) con los conceptos de Control Interno ( promovidos por las organizaciones de Contadores Públicos)Se trata de documentar los procesos de riesgos, a fin de que sean estandarizados y de cumplimiento obligatorio a nivel de la organización.
Se propicia también un mejor cumplimiento de las Políticas y Normas de Procedimiento sobre Sistemas de Control Interno, Gestión de la Tecnología de la Información y promover el uso de procedimientos más completos para la autorregulación y sostenimiento financiero de la entidad.
Además se busca:
• Coadyuvar a la labor del personal de la Unidad de Riesgos, Gerencia, Comité de Riesgos, Auditoría Interna y Directorio o Consejo Directivo a través de la descripción de los procesos que se realizan.
• Incrementar la participación de mercado, sin poner en riesgo su integridad financiera
2. Este manual se basa en las normas dictadas sobre la materia por la SBS,
políticas y procedimientos de gestión de riesgos internas y por aquellos propuestos por el Comité de Supervisión Bancaria de Basilea2 adaptados a la realidad de CENTRAL y ONG afiliadas.
1 Este Manual de Control de Riesgos enfoca en una primera parte el tema de Riesgo Operativo de acuerdo a la norma establecida, sin embargo, define los elementos básicos de Control Interno que se incorporan a la administración de riesgos, referidos a los aspectos de riesgo de crédito, mercado, liquidez y legal. 2 Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité para la Supervisión Bancaria de Basilea Julio del 2002.
9
B. ALCANCES
El manual es aplicable a CENTRAL como entidad de segundo piso y servicios y sus ONG afiliadas. Las disposiciones del presente Manual de Control de Riesgos (MCR) son aplicables a la totalidad de la entidad, las unidades, áreas, productos, servicios, personas, sistemas y procesos, regula el ámbito de acción de la gestión integral de riesgos financieros y establece pautas para los aspectos técnicos y metodológicos.
C. APROBACION Y MODIFICACIONES DEL MANUAL
El Manual será aprobado inicialmente por el Consejo Directivo de CENTRAL y luego sucesivamente, por cada uno de las ONG afiliadas. La aprobación por cada Consejo Directivo tiene la finalidad de que el Manual en lo aplicable sea implementado en cada institución afiliada. Las modificaciones iniciadas por el órgano especializado de riesgo o la de auditoría, serán propuestas por la Gerencia General para su aprobación por el Consejo Directivo de CENTRAL.
El manual contiene procedimientos básicos de gestión de riesgos. Las modificaciones y adaptaciones menores, así como las importantes para ser incorporadas, en este manual debe contar con la aprobación previa del Comité de Riesgos y ser aprobado por el Consejo Directivo.
Las políticas serán revisadas y/ actualizadas cuando menos una vez al año, o tantas veces como sea necesario para adecuarlas a las disposiciones que emane la SBS y cuando las condiciones del mercado, coyuntura económica, estrategia del negocio lo requieran. Esta revisión considerará los siguientes puntos:
• Cambios en condiciones de mercado • Cambios en leyes y reglamentos • Cambios en condiciones financieras de los grupos de crédito o babacos
comunales. • Experiencia acumulada en el periodo anterior • Cambios en los planes estratégicos • Cambios en el presupuesto anual • Otros factores que sean aplicables
Los cambios, ampliaciones, modificaciones y derogaciones deberán ser implementados y promulgados a todo el personal que participa en las actividades de CENTRAL.
D. Estructura del Manual
El Manual consta de siete capítulos y cuatro anexos. Trata tanto del diseño como de la aplicación de los sistemas de gestión de riesgos, incluida la presentación de informes de acuerdo a las normas definidas para estos efectos. Si bien el centro principal de atención del manual es la gestión corporativa de riesgos, su contenido no se restringe a ello.
10
La Introducción del manual mismo, hace referencia a los conceptos de control interno y sus relaciones con las técnicas de riesgo operativo, entre ellas COSO, ERM, etc. El Capítulo 1 consiste en una breve introducción al riesgo financiero. El Capítulo 2 es una reseña de los principales aspectos generales del Manual de Control de Riesgos, en el que se tratan los elementos de CENTRAL que inciden en la evaluación del Sistema de Administración de Riesgos. En los otros seis capítulos se proporciona una información más minuciosa:
� Objetivos del Manual de Riesgos (Capítulo 3) � Responsabilidades y Funciones (Capítulo 4); � Procedimientos para la Administración de Riesgos (Capítulo 5) � Sistemas, Metodologías y Modelos para la Valuación de los Tipos de Riesgos
(Capítulo 6); � Informes (Capítulo 7) y; � Auditoría Interna y Control de la Administración de Riesgos (Capítulo 8).
Este manual describe los procedimientos operativos a ser realizados principalmente por la Unidad de Riesgos, incluye también una descripción de la participación del resto de gerencias, departamentos, áreas y unidades en lo que respecta a la gestión de riesgos. No incluye procedimientos del Comité de Auditoría, los cuales serán definidos por el Directorio.
E. Uso del Manual
Toda persona que represente a CENTRAL en asuntos relacionados con procesos y sistemas de riegos y control interno, debe guiarse por las normas técnicas establecidas en este manual y, por lo tanto, deberá estar familiarizado con el contenido del mismo.
Cada usuario es responsable de mantener actualizado el manual y seguir las normas de control de documentos de la entidad.
F. SUPERVISIÓN
El departamento de Auditoría Interna o funcionario respectivo, efectúa el control del cumplimiento de los objetivos de este manual y políticas de riesgo y control del Directorio. La metodología, procedimientos, mecanismos y periodicidad de la evaluación a realizar consideran la adecuada comprensión de los riesgos financieros que enfrenta la institución.
Es necesario que se asegure la vigencia de los sistemas adecuados de gestión y riesgos mediante la evaluación de las prácticas contables, auditoría interna, los mecanismos de control internos y las evaluaciones de la unidad de riesgos. Ello asegurará una gestión financiera adecuada, por lo que se deberán evaluar y documentar cuidadosamente los riesgos de gestión financiera.
11
MANUAL DE RIESGOS
CAPÍTULO 1
ADMINISTRACION DE RIESGOS
1.1 Normas Vigentes y Definiciones
Es muy útil el conocimiento de las normas que obligan a la institución. En cada país la Superintendencia de Banca norma los controles de riesgos de las entidades financieras. En el caso presente en el Perú (SBS), existe la Resolución Nª 06. 2002 SBS.
Respecto al riesgo operativo otras normas de la SBS enfocan la identificación, control, gestión y monitoreo de los riesgos financieros, de liquidez e informáticos entre otros, así como las referentes a Auditoría Interna y Control Interno.
1.2 La Administración y Evaluación de Riesgos
La Administración de riesgos debe tener carácter integral. Constituye un elemento importante dentro de los planteos del Comité de Supervisión Bancaria de Basilea (BIS). Exige de las instituciones financieras el empleo de herramientas tales como: modelos internos, medición y gestión de impactos individuales y globales sobre las utilidades y patrimonio.
El concepto de riesgo involucra la tolerancia a la pérdida. Dicha administración asegura que la organización cuente con personal capacitado en gestión de riesgos y capacidad financiera para absorber el riesgo propio del negocio; estableciendo la estructura organizacional, roles y responsabilidades para el manejo de riesgo. Esto incluye las funciones y ubicación de la Unidad de Riesgos (UdR) responsable de la misma; la implementación de políticas y normas de riesgo y un diseño para su gestión integral, estableciendo las evaluaciones, procesos de auditoría y el diseño de la cultura de riesgo en la organización.
La gestión institucional de riesgos identifica y evalúa previamente los principales tipos de riesgos: de crédito, mercado, liquidez y operativo de los procesos, personas, sistemas, gestión de la tecnología y permitir a la entidad realizar sus actividades controlando los riesgos asumidos. Por ello, constituye un aspecto importante para el éxito de la entidad.
El proceso incluye la identificación, control, monitoreo y supervisión de los riesgos de modo oportuno y pertinente para favorecer una mejor toma de decisiones; la mejora de: los negocios, productos, actividades, administración de personas, sistemas y métodos teniendo en cuenta sus riesgos inherentes.
La evaluación posterior de tipos de riesgo, negocio, reducen la presencia de situaciones no deseadas que ocasionen pérdidas a la entidad.
Las políticas y normas de procedimientos de la institución CENTRAL y afiliadas, exigen una buena gestión corporativa de riesgos, dado que una gestión eficiente proporciona:
12
• La información esencial que necesitan los encargados de la administración, ejecución y supervisión interna, incluidos además los organismos oficiales de supervisión y colaboradores externos (auditoría interna, auditoría externa, clasificadora de riesgos);
• La seguridad requerida por parte de la entidad, en el sentido de que los fondos se hayan usado eficientemente para los fines a los que estaban destinados controlando los riesgos en base a límites y medidas correctivas,
• La seguridad de que los procesos se lleven a cabo siguiendo los manuales, políticas y procedimientos,
• La seguridad de que las personas actúen cumpliendo con las normas y en seguimiento de la estrategia del negocio,
• La seguridad de que los sistemas sean los más convenientes para la entidad, que se minimice la posibilidad de interrupción de las actividades del negocio o fallas en los sistemas de información y que existan planes de contingencia y continuidad del negocio.
• Un resguardo contra eventos externos, ya que hace al establecimiento de controles internos y al fortalecimiento de la capacidad para identificar rápidamente hechos y desviaciones extraordinarios.
El manual tiene por objeto ayudar a los que se ocupan de los aspectos relativos a la gestión de la entidad en base a la administración de los riesgos propios del negocio realizado o por realizar.
1.3 POLÍTICAS Y NORMAS
El conjunto de políticas y procedimientos de riesgos de operación en su conjunto está diseñado en concordancia con la misión, visión y objetivos que CENTRAL y ONG afiliadas han definido en función a:
Políticas
Las políticas operacionales generales incluyen como mínimo:
• Definir la planificación estratégica asociada al riesgo del negocio • Desarrollar metodologías de gestión de riesgo de acuerdo al ámbito de
negocio de la entidad; • Establecer monitoreo permanente de las actividades; • Revisar los niveles de riesgos aceptados como normales por la entidad;
y • Difundir la cultura de riesgos.
Se deben tener presente los sistemas de contabilidad y control interno que:
• Permitan un registro y suministro confiables de información sobre los procesos, personas y sistemas y,
• Proporcionen suficiente información para administrar y seguir las actividades.
Capacitación
13
La CENTRAL proveerá a su personal y al de las afiliadas, entrenamiento amplio y de alta calidad en todos los asuntos relacionados con riesgos, incluyendo políticas, procedimientos, alcances, análisis y administración. Dicho entrenamiento será coordinado por el área de Recursos Humanos.
Selección, Mantenimiento y Administración de Personal
El personal será calificado en base a indicadores de productividad y a su responsabilidad, compromiso y honestidad con la empresa. El Consejo Directivo delegará al área administrativa la elaboración de reportes sobre el personal y de los files que deberán estar permanentemente actualizados. La evaluación se realizará utilizando los manuales de organización y funciones desarrollados por los consultores de O y M.
Revisión de Contratos proporcionados por terceros
La revisión de los contratos de central con terceros deben incluir en lo posible los siguientes puntos:
1. Alcances: se requiere que el contrato entre las ONG y los terceros especifique el alcance de la relación.
2. Medidas e indicadores de cumplimiento 3. Plazo de vigencia 4. Obligaciones 5. Responsabilidad en el manejo de información 6. Supervisión del servicio 7. Existencia de subcontrata 8. Costos y remuneración 9. Grado de confidencialidad dependiendo del asunto. 10. Planes de continuidad y contingencia 11. Indemnizaciones 12. Seguros 13. Resolución de Conflictos: arbitraje, mediación, u otros medios 14. Límites de responsabilidad 15. Dispositivos de salida o de rescisión del contrato 16. Posibilidad de Reclamos 17. Examen de funcionamiento de servicios y auditoría post-entrega.
Preparación de Planes de Contingencia y Continuidad de las Operaciones
Se requiere que todos los contratos y procesos provistos por terceros incluyan el tema de continuación de operaciones por problemas del proveedor, interrupción del sistema y desastres naturales.
El contrato debe tratar la responsabilidad del proveedor de sostener y proteger la información, los equipos, los planes de la recuperación y de contingencia ante esos problemas. Se deberán incluir las pruebas periódicas de planes.
La CENTRAL debe considerar requerir a los proveedores los procedimientos de funcionamiento que se ponen en ejecución en caso de situaciones que afecten al negocio. Los contratos deben incluir cláusulas específicas para la continuidad y la recuperación de las actividades del negocio por problemas del proveedor que no corresponden a causa mayor.
La institución debe establecer planes de contingencias donde trate problemas o la insolvencia financieros potenciales de los proveedores.
14
Normas Aplicables a la Contabilidad y Presentación de Estados Financieros
Con la finalidad de cumplir con los principios de contabilidad generalmente aceptados y los acuerdos de transparencia en la información (Pilar III del Nuevo Acuerdo de Capital de Basilea), es necesario que la institución proporcione una información sobre los lineamientos básicos de la estrategia del negocio, gobierno corporativo, auditoría de riesgos y un informe detallado adjunto a sus estados financieros auditados de la gestión de riesgos. Los formatos serán desarrollados por el Directorio y los Comités de Auditoría Interna y Riesgos, con aprobación del Directorio.
La evaluación del sistema de Administración de riesgos depende de la naturaleza de las actividades. Cuando un departamento u área realizan sus funciones, cualquiera sea su ubicación en el proceso de recepción, transformación, generación, supervisión, control y administración del negocio se originan riesgos financieros que deben ser primero identificados, evaluados, medidos y finalmente cuantificados cualitativa y cuantitativamente para ver el impacto sobre provisiones y los requerimientos de capital - rentabilidad y solvencia de la CENTRAL.
Un enfoque integrado, permite enfocar no sólo las necesidades de una adecuada gestión financiera sino de un consolidado de gestión aunada a indicadores basados en eficiencia y riesgo por unidades, áreas y de modo global y permite planificar la estrategia y los objetivos a largo plazo.
15
Capítulo 2 ASPECTOS GENERALES
2.1 ASPECTOS GENERALES El marco de la gestión del riesgo contempla el análisis de varios tipos de elementos de la estructura organizativa. Además se debe clasificar los procesos institucionales, incluyendo tecnología, en categorías o clases que permitan el mapeo posterior y una orienten y faciliten el trabajo profesional del especialista en riesgo:
•••• Estrategia:
o Planeamiento y Dirección Estratégica o Objetivos y Planes o Nuevos Productos o Cultura empresarial
•••• Estructura de Organización o Unidad o departamento de Riesgos o Comité de Riesgos o Responsabilidades o Recursos y Perfiles
•••• Procesos y Procedimientos: o Identificación y Evaluación de Riesgos o Medición o Alertas o Control y Actividades o acciones
•••• Tecnología y Sistemas: o Herramientas o Sistemas y Tecnología o Sistemas de Información
• Niveles de riesgo: o CENTRAL o ONG o Grupos de crédito y/o bancos comunales.
2.3 EVALUACIÓN DEL SISTEMA DE ADMINISTRACION DE RIESGOS
De acuerdo con los procedimientos y prácticas de la CENTRAL y afiliadas, todas las actividades, productos, servicios, personal, procesos, sistemas y gestión de la información deberán contar con una evaluación detallada del riesgo que de manera individual y en conjunto impliquen para la entidad pérdidas potenciales que incidan en el resultado y en la solvencia financiera. Esto puede sentar base para un proceso progresivo de auto regulación si fuera el caso.
La evaluación incluye la medición, control, gestión y seguimiento por medio del examen de las herramientas; organización y procedimientos y los sistemas de información que implica la identificación, gestión, control y monitoreo de los riesgos financieros. Esta metodología se compone de:
• Gestión y control efectivo del riesgo • Procesos independientes de gestión y control del riesgo • Participación activa de la Alta Dirección
16
• Revisiones de Auditoría Interna priorizada sobre puntos estratégicos y el cambio organizacional constante
• Medición y Validación • Sistemas de "informes de riesgos “ apropiados • Recopilación sistemática de datos de pérdidas (base de datos o intranet, referida a
niveles de seguridad) • Mapeo de las actividades, líneas de negocio, productos, posiciones
Los elementos que forman parte de un sistema corporativo de riesgos son:
���� Cultura y capacidad para identificar los riesgos del negocio ���� Adecuación de la estrategia del riesgo con los objetivos del negocios
establecidos ���� Delimitación de las responsabilidades en el tratamiento de los riesgos del
negocio ���� Gestión de riesgo integrada en todos y cada uno de los procesos de negocio, en
base a un análisis desde los mega procesos hasta las actividades. Mediante este análisis se evalúan los riesgos, se identifican los tratamientos y se definen los procedimientos de supervisión y mejora
���� Disposición de la tecnología suficiente para la gestión del riesgo. ���� Otorgamiento de funciones y responsabilidades necesarias para el desarrollo del
sistema de gestión de riesgos
Antes de evaluar el Sistema de Administración de Riesgos, la Unidad de Riesgos (UdR), debe comprender a cabalidad la idea del negocio y de su conformación. Esto incluye sus objetivos, componentes, costos, saber qué área los ejecuta y/o es la responsable directa, los mecanismos de control existente o por generarse y el riesgo que representa.
Siendo la acertada gestión financiera esencial para el éxito de la entidad, la UdR busca un sistema capaz de proporcionar información oportuna y confiable. En algunos casos, de dar alerta temprana o informes rápidos y oportunos acerca de las desviaciones o incumplimientos de objetivos y normas y de permitir a la entidad seguir el avance de sus funciones cuantificando los riesgos y su implicancia sobre las utilidades estimadas y el capital económico.
17
Capítulo 3 ENFOQUE TÉCNICO DEL MANUAL DE RIESGOS
Este documento sugiere tomar en cuenta las siguientes características técnicas:
a) La adecuación de la técnicas a utilizar a la Estrategia y Planes Operativos incluyendo mercado y productos, negocio y la revisión de políticas, procesos, metodologías, tecnología crediticia, finanzas, RRHH, plataforma administrativa, sistema contable, sistemas de información y comunicación al concepto de riesgo corporativo.
b) Que se diseñe la metodología de gestión de riesgos de manera modular, que posibilite identificar eventos externos y aquellos vinculados que inciden sobre el desarrollo normal de actividades enfocando aspectos cuantitativos y cualitativos, estos últimos derivados de recomendaciones internas del examen cualitativo de riesgos.
c) La identificación, medición, monitoreo, control, información y divulgación de los riesgos financieros cuantificables y no cuantificables orientado a un grupo de instituciones menores que lidian con la pobreza urbana a través de los grupos de créditos y/o bancos comunales, BB. CC. como un producto con componentes financieros y no financieros, de tipo maximalista.
d) La definición realista y cauta de límites de exposición al riesgo y desarrollar políticas y procedimientos para la administración de los distintos tipos de riesgos financieros.
e) La definición de las diferentes funciones y responsabilidades en materia de administración de riesgos financieros entre sus distintas áreas y personal, en los términos de la presente disposición. Esto debe tener en cuenta no solo los conceptos de “gobierno corporativo” y “democracia y transparencia en la gestión”, pero tambien la prevención de “conflictos de intereses” en los cargos o puestos.
f) La identificación y determinación de los procedimientos de prevención para enfrentar la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos.
El análisis de riesgos tendrá en cuenta las condiciones sectoriales de los agentes que toman decisiones, por ejemplo los de crédito. En este caso se debe dirigir a cómo reducir la exposición a riesgo innecesario, frente a diversas amenazas entre ellas como hacer frente al endurecimiento de la cadena de pagos. El análisis del riesgo de mercado de los usuarios resulta hoy imprescindible para el titular de las ONG, ver como los solicitantes de crédito tanto como paras Instituciones de financiamiento. El primero de los citados, debe analizar como evolucionan las proyecciones del negocio (Ventas y otros) en forma comparativa con la competencia.
Es necesario evaluar la situación de sus clientes deudores en cuentas por cobrar dentro de sus partidas propias mejorando la calidad de sus acreencias. El promotor o analista de crédito de la Institución Financiera (Coordinador, Promotor,etc.) debe extender la evaluación a la calidad de productos que ofrece su cliente, tratando de familiarizarse con sus peculiaridades, considerando también incluso el comportamiento del eventual consumidor ante el producto o servicio actual y el nuevo que se ofrece. Ambos agentes deben mantener una permanente observación tanto de la empresa en su interior, como del entorno exterior de su actividad.
18
El Riesgo de Mercado de las PYME no se enfoca como el de la empresa bancaria. Se dirige en este manual hacia la necesidad de incorporar un proceso similar a su propio negocio comercial, dado que las PYME también están expuesta a los riesgos de crédito a sus clientes en cuentas por cobrar. Se trata de incorporar en el análisis de la toma de decisiones opiniones y consideraciones que van aportando cada una de los agentes que intervienen en el mercado y organismos de promoción, sopesando los puntos fuertes y débiles (identificado por expertos). La pregunta es “¿Este negocio, continuará siendo negocio mas adelante? Vendrán otros operadores de fuera?¿cuáles serán las actitudes de los consumidores?
Esto obliga que el microempresario con ayuda de la Asistencia técnica deba llevar en forma práctica su propia estrategia, la cual es sujeto de permanente revisión. Por otro lado apuntar a los clientes actuales y potenciales de la PYME. Conocer los sectores de marcha de actividades económicas de los clientes, lo cual aporta valiosa ideas en caso de una potencial ruptura de la cadena de pagos. Los acontecimientos de los últimos tiempos han demostrado que los supuestos de proyecciones de crecimiento resultan más relacionados o condicionados a los cambios o movimientos del mercado.
Por sus lado las entidades financieras de las PYME canalizan sus créditos a las PYME y riesgos inherentes, en la categoría que la SBS llama “Crédito mes”. Esta es una parte de la sección de Créditos comerciales de la SBS, y se define como “aquellos créditos directos e indirectos otorgados a personas naturales o jurídicas destinados al financiamiento de la producción y comercialización de bienes y servicios en sus diferentes fases...un endeudamiento...que no exceda de $30,000.00.
Las modalidades o productos previstos a otorgar a estos deudores se consideran: créditos directos, fianzas, tarjetas de crédito arrendamiento financiero y “otras formas de financiamiento que tuvieran fines similares..”
19
Capítulo 4 FUNCIONES Y RESPONSABILIDADES
Resulta necesario impulsar la “cultura de riesgos y control interno” de la administración de riesgos financieros, estableciendo para los efectos, lineamientos que habrán de ser implementados dentro de CENTRAL con el objeto de llevar a cabo la identificación, medición, monitoreo, limites de riesgos, control y divulgación de los distintos tipos de riesgos financieros que enfrentan en base a la eficiencia de la Dirección, Gerencia y Comité de Riesgos, Unidad de Riesgos y el responsable de la Unidad.
4.1 RESPONSABILIDAD DEL CONSEJO DIRECTIVO (CD) O DIRECTORIO
El CD o Directorio es el órgano deliberativo responsable de la Alta Dirección, incluyendo planes, políticas general y control. Dentro de esto último está el establecer los límites sobre la exposición al riesgo total que enfrenta CENTRAL.
Las responsabilidades del Consejo Directivo consideran adicionalmente:
a) Aprobar las políticas, procedimientos y mecanismos orientados a generar un sistema adecuado de administración y control de riesgos operativos y de todo tipo de los en general. Estas medidas han de incluir la oportunidad, frecuencia y tipo de informes a recibir por los miembros del CD.
b) Designar a los miembros del Comité de Riesgos, preferentemente con antecedentes o capacitación necesaria.
c) Conformar una Unidad de Riesgos bajo la responsabilidad de un funcionario que cumpla con los requisitos referidos en este documento.
d) Aprobar las funciones y responsabilidades de los órganos de administración, control y monitoreo de riesgo.
e) Asegurar que la Unidad de Riesgos desarrolle sus funciones con absoluta independencia técnica de acuerdo con las disposiciones establecidas en la presente norma.
f) Asegurar que los órganos de gestión de riesgos implementen y ejecuten las disposiciones establecidas en políticas y procedimientos emanados por el Consejo Directivo
g) Aprobar los planes y funciones de la Auditoría Interna relativas a verificar la ejecución de las políticas y procedimientos aprobados para la adecuada gestión del riesgo.
La responsabilidad del CD o Directorio abarcan también la vigilancia de la difusión de la cultura de riesgos, valores y gestión institucional.
4.2 RESPONSABILIDAD DEL GERENTE GENERAL
Es responsabilidad de la Gerencia General optimizar la relación riesgo-retorno a través de una adecuada supervisión y el cumplimiento de políticas, procedimientos y estrategias de protección del patrimonio, prevención, identificación, transferencia del riesgo y mitigación de los riesgos establecidos por el Directorio.
Se incluyen entre sus responsabilidades:
a) El manejo de la implementación de la estrategia de riesgos aprobada por el Directorio en toda la organización y en todos sus niveles.
20
b) Desarrollar de las políticas, procesos y procedimientos para la gestión de riesgos referidos a: sectores, productos, actividades, procesos y sistemas.
c) Desarrollar actividades y el cumplimiento de las mismas por personal calificado, con experiencia y capacidad. Tiene que verificar que el personal responsable de riesgos sea independiente de otras áreas.
d) Comunicar al personal sobre las expectativas de gestión de riesgos.
e) El mantenimiento de canales adecuados de comunicación con el fin de que el personal comprenda y cumpla con las políticas, procesos, procedimientos relacionados con sus funciones y que inciden en el riesgo.
4.3 COMITÉ DE RIESGOS
El Consejo Directivo debe contar con un Comité de Riesgos conformado por lo menos por un director, quien lo preside, el Gerente General y el responsable de la Unidad de Riesgos.
4.3.1 Obligaciones del Comité de Riesgos
El Comité de Riesgos es el órgano técnico especializado y responsable de la administración de los riesgos, en cuanto al diseño de las políticas, sistemas, metodologías, modelos y procedimientos para la eficiente administración de los riesgos que enfrenta la entidad de intermediación financiera y los límites de exposición, a los que se encuentran expuestos.
De la misma manera, el Comité deberá establecer los canales de comunicación efectivos con el fin que las áreas involucradas en la toma, registro, identificación y administración de riesgos financieros tengan conocimiento de los riesgos asumidos.
4.3.2. Funciones
a) Proponer para la aprobación del CD o Directorio los Planes Anuales y el Manual de Control de Riesgos que contenga los objetivos, políticas y procedimientos para la administración integral de riesgos.
b) Proponer para la aprobación del Directorio los límites de exposición al riesgo de manera global y por tipo de riesgo.
c) Proponer la evaluación de riesgo de nuevas operaciones y servicios que la entidad financiera planea ofrecer.
d) Designar al responsable de la Unidad de Riesgos. e) Informar periódicamente al Directorio y cuando lo considere conveniente, sobre
la exposición al riesgo asumido por la CENTRAL y afiliadas y de los efectos negativos que se podrían producir, así como sobre el cumplimiento de los límites de exposición a los riesgos establecidos.
f) Informar al Directorio sobre las medidas correctivas implementadas, tomando en cuenta el resultado de las auditorías y evaluaciones relativas a los procedimientos de administración de riesgos.
g) Crear los subcomités que se consideren convenientes para el ejercicio de sus funciones.
4.3.4. Modificación de Límites
El Comité de Riesgos previa aprobación del Directorio, podrá ajustar los límites cuando estos excedan los límites de exposición a los distintos tipos de riesgo, cuando las situaciones y el entorno así lo requieran.
4.3.5. Reuniones del Comité de Riesgos
21
El Comité de Riesgos deberá reunirse con la periodicidad que establezca su reglamento interno de trabajo. En dichas reuniones participarán los funcionarios que el Comité de Riesgos considere necesarios.
Todas las sesiones y acuerdos del Comité de Riesgos deberán hacerse constar en un Libro de Actas debidamente suscrito por todos y cada uno de sus integrantes, documento que estará a disposición de los órganos de control de la entidad y de la Superintendencia de Banca.
4.3.6 Reglamento Interno de Trabajo del Comité de Riesgos
El Comité de Riesgos es el encargado de elaborar el reglamento interno de trabajo que será aprobado por el Consejo Directivo. Contendrá los procedimientos para el cumplimiento de sus funciones conforme a las políticas de gestión de riesgos vigente. Dicho reglamento establecerá, entre otros aspectos, la periodicidad de sus reuniones así como la información que deberá ser remitida a la directiva.
4.3.7. Requisitos de los Miembros del Comité de Riesgos
El Comité de Riesgos debe estar compuesto por miembros que cuenten con un amplio conocimiento en materia de identificación, monitoreo, control y estimación de riesgos.
4.3.8 Periodo de Vigencia
El plazo de vigencia del Comité de Riesgos es por un periodo mínimo de dos años, siempre que su mandato no expire antes u otros casos debidamente fundados, y un máximo de cuatro años. La renovación sólo incluye al presidente del Comité.
4.4 UNIDAD DE RIESGOS
La Unidad de Riesgos es un órgano autónomo, que deberá ser independiente de las áreas de negocios y del área de registro, a fin de evitar conflictos de intereses y asegurar una adecuada separación de responsabilidades. Su tamaño y ámbito deberán estar en relación con el tamaño y la estructura de la entidad y con el volumen y complejidad de los riesgos en los que incurre. El Directorio deberá establecer las funciones específicas de esta Unidad dentro de su estrategia corporativa.
4.4.1. Funciones
La Unidad de Riesgos es la encargada de:
a) Identificar, monitorear, controlar y estimar los riesgos que enfrenta la CENTRAL y sus ONG.
b) Participar en el diseño y permanente adecuación del manual de organización y funciones, de políticas y procedimientos de control de riesgos.
c) Informar al Directorio, comités y áreas de decisión, sobre los riesgos, los grados
de exposición y la administración de éstos, de acuerdo a las políticas y procedimientos establecidos por la empresa
4.4.2. Recursos Materiales de la Unidad de Riesgo
El Consejo Directivo asegura que la Unidad de Riesgos cuente con una infraestructura adecuada, así como con recursos humanos, técnicos y logísticos de acuerdo con la naturaleza de sus actividades.
22
Estos deben guardar relación con la magnitud y complejidad de las operaciones y estructura de la entidad en sus programas de BB.CC. o de intermediación de recursos y los riesgos que enfrenta.
El responsable directo y los demás integrantes de la Unidad de Riesgos deben recibir capacitación permanente en materias relacionadas a sus funciones.
4.4.3 Comunicaciones de la Unidad de Riesgo con Auditoría Interna, Auditoría Externa y Clasificadoras de Riesgo
Con la finalidad de evaluar permanentemente el funcionamiento de los sistemas de gestión de riesgo, la Unidad de Riesgos deberá establecer las comunicaciones necesarias con auditoría interna, auditoría externa y las clasificadoras de riesgo. El Responsable de la Unidad, coordinará reuniones periódicas con los órganos antes mencionados, en las que se tratarán temas de mutuo interés, intercambio de reportes y otros documentos, así como del entendimiento y aplicación de técnicas, métodos y terminologías comunes. Las comunicaciones que se establezcan se realizarán bajo la observancia de la normativa vigente.
4.5 JEFE O RESPONSABLE DE LA UNIDAD DE RIESGOS
4.5.1 Responsabilidad
El responsable de la Unidad de Riesgos tiene como labor la identificación, monitoreo, control y estimación de los riesgos que enfrenta la entidad de intermediación financiera en las diversas actividades de negocio. Debe elaborar informes sobre la gestión del riesgo global y riesgos individualizados a ser enviados al Comité de Riesgos, al Directorio y a la Gerencia General, así como preparar reportes periódicos correspondientes.
4.5.2 Funciones a) Difundir la cultura de gestión de riesgo en la entidad.
b) Diseñar e implementar el sistema, metodología, métodos y modelos de medición de riesgos y reportes. Esto incluye el reservorio de aquella información sobre pérdidas, exposiciones al riesgo, mecanismos de detección temprana de riesgos entre otros eventos.
c) Hacer seguimiento para verificar el adecuado cumplimiento de los manuales de gestión de riesgo
d) Coordinar con las áreas operativas y administrativas en lo referente a la correcta identificación, monitoreo, control y estimación de riesgos
e) Ejecutar los procesos de auto evaluación para la adecuada comprensión del proceso e identificación de riesgos junto a las unidades de negocio y apoyo
f) Proponer una vez identificadas las necesidades de capacitación sobre temas relativos a la administración de riesgos
g) Establecer una estructura integrada de gestión de riesgos para todas las actividades de modo tal que los minimicen. También controlar la asignación del capital para las actividades basadas en riesgo conforme a lo dispuesto por el Directorio
h) Analizar, revisar y reportar el comportamiento de la relación riesgo-retorno a través del control y monitoreo de las actividades del negocio y de las estrategias aplicadas por la Gerencia General y del costo-beneficio de incrementar, aceptar, retener, evitar, financiar y/o transferir el riesgo
i) Desarrollar sistemas analíticos y con una alta capacidad de gestión de datos que respalden al programa o plan de gestión global de riesgos.
j) Elaborar informes y reportes específicos sobre la gestión de riesgos.
23
k) Participar con voz y voto en el Comité de Riesgos y en la aprobación de operaciones que realicen las instituciones usuarias de este manual.
4.5.3. Requisitos del Responsable de la Unidad de Riesgos
Al seleccionar al Jefe o responsable de la Unidad de Riesgos, el CD debe asegurar requisitos de: solvencia moral, conocimientos y experiencia apropiados para la función que desarrolla en dicha unidad, debiendo reunir los siguientes requisitos mínimos:
a) Tener una experiencia en actividades de gestión de riesgos en entidades de intermediación financiera o no financieras.
b) Tener título profesional en materias afines. c) Acreditar conocimiento de normas, reglamentos, políticas y mejores prácticas
en la gestión de riesgo, entre otros. d) Acreditar capacitación permanente en las materias mencionadas en c). e) Dedicación exclusiva al cargo dentro de la entidad de intermediación
financiera.
4.5.4. Impedimentos a) Estar incurso en situaciones que limiten la necesaria independencia para el
ejercicio de sus funciones o que contravengan las normas de Personal de la institución.
b) Estar incurso en alguno de los impedimentos señalados por la normativa de la SBS.
c) En caso que las funciones de Riesgos sean tercerizadas, quedarán impedidos de ejercer esta función las sociedades de auditoría externa o cualquier otro asesor que tenga contrato vigente.
4.5.5 Sanciones
Deber prevenirse faltas a los reglamentos, pues el incumplimiento de ellos conlleva a sanciones por la SBS, pero además dificulta los trámites frente a otras entidades las gestiones crediticias o de fondeo.
4.6 DE LA UNIDAD DE AUDITORÍA INTERNA
a) Evaluar el cumplimiento de los procedimientos utilizados para la administración de riesgos.
b) Incluir informes al CD de asuntos importantes relativos a los riesgos de los procesos o asuntos institucionales.
c) Proporcionar la información sobre eventos de pérdida registrados como input para las auto evaluaciones durante la gestión del riesgo
d) Incluir en el Plan Anual de Auditoría Interna, las actividades de evaluación y control referidas a riesgos, los que deberán ser informados a la Gerencia General, al Comité de Auditoría y al Directorio
4.7 DE LAS UNIDADES DE NEGOCIO Y SOPORTE ADMINISTRATIVO
a) Apoyar a la Unidad de Riesgos en lo referente a recursos necesarios o ayuda para los procesos de auto evaluación en el que se identificarán los riesgos asociados a los procesos, productos, posición, entre otros que se lleven a cabo en sus respectivas áreas
b) Apoyar en el seguimiento de los indicadores referidos al riesgo establecidos por el Directorio
c) Seguimiento e informe oportuno de eventos de pérdida por riesgos
24
d) Registrar las pérdidas ocasionadas por las categorías de riesgo de cada nivel de riesgos
e) Participar en las definiciones e implementación de acciones de control y mitigación del riesgo
25
CAPÍTULO 5 PROCEDIMIENTO DE ADMINISTRACIÓN DE RIESGOS
El procedimiento de “administración de riesgo sirve como base para el ordenamiento y diseño adecuado de la información cuantitativa y cualitativa que sustenta la elaboración del modelo de administración de riesgos. Este se convertirá luego en el sistema de gestión de riesgos institucional, usando la metodología propuesta por el Comité de Basilea3, pues la administración de riesgos consiste en planear, organizar, dirigir y controlar los recursos y actividades de la institución para minimizar los efectos de las pérdidas potenciales.
5.1. Metodología
Se analiza, comprende y documenta la relación entre los objetivos y metas de la Dirección y la estrategia del negocio en concordancia con los riesgos que asume la CENTRAL en procesos, sistemas, personas y eventos externos tanto a nivel de riesgo operativo, crédito, mercado, liquidez, legal entre otros.
El enfoque de gestión de riesgos se realizará bajo un esquema de análisis de:
1) la organización funcional dividiendo los niveles de Dirección y Gerencia, las áreas, departamentos y unidades y
2) El grado de compromiso y participación de la Dirección, Gerencia y funcionarios de las instituciones usuarias del Manual.
En todo momento debe identificar y administrarse más eficientemente los riesgos que se desea asumir por los negocios que la CENTRAL y las ONG realizan en base a la observación de los siguientes elementos:
� Definir el proyecto o actividad y establecer sus metas, objetivos, alcance, tiempo y ubicación de las actividades
� Definir específicamente los roles y responsabilidades de las unidades que participan en la administración de los riesgos.
� Determinar (si es que fuera el caso) las relaciones entre el proyecto y otros proyectos o partes, de la organización.
5.1.1 Ámbito Operacional
Se deberán definir a) el Área de Influencia: mediante metas, objetivos, estrategias, parámetros y alcance de la actividad o parte de la organización a la cual se está aplicando el proceso de administración de riesgos de operación. Esta etapa involucra:
� Definir el proyecto o actividad y establecer sus metas, objetivos, alcance, tiempo y ubicación de las actividades, procesos, subprocesos, etc.
� Definir roles y responsabilidades de las unidades que participan en la administración de los riesgos.
� Determinar las relaciones entre la actividad, área, función, proceso analizado y la de otras de la organización.
b) Criterios de Riesgo Operativo: criterios generales contra los cuales se van a evaluar los riesgos operacionales en las diferentes etapas del proceso de administración.
3 “Nuevo Acuerdo de Capital”. Comité de Supervisión Bancaria de Basilea, Abril 2003.
26
5.2 Objetivos del proceso de evaluación
Los objetivos son: a) Diagnosticar e Identificar los riesgos b) Obtener los riesgos a los que enfrentan las instituciones usuarias. c) Cuantificar/calificar los riesgos más importantes d) Priorizar las acciones para administrar el riesgo a propuesta de Auditoría, Interna,
Gerencia, Comité de Riesgos y el Consejo Directivo.
El proceso apoyará al: � Conocimiento del nivel de desarrollo de las políticas y gestión de riesgos � Establecimiento de objetivos � Desarrollo de la metodología que permita verificar el logro de los objetivos
establecidos
5.3 Procedimiento de Trabajo
El primer paso de administración de riesgos consiste en identificar las áreas potenciales de riesgo, tales como los pasivos u obligaciones, propiedades, información, dinero, personal, o en general pérdida de ingresos. Para ello se usará entre otros métodos, los cuestionarios, entrevistas, la revisión de los estados financieros, flujo gramas, organigramas y análisis crítico propio de la información en función a los riesgos posibles.
Una forma de enfoque de evaluación de campo es el proceso de auto evaluación. Se ejecuta por medio de reuniones programadas con dinámica grupal orientada a talleres participativos, los que pueden hacerse paralelos con otros métodos de recolección de información (entrevistas, cuestionarios, check list) con el fin de entender mejor los procesos, al contrastar datos o documentos de los especialistas o supervisores con usuarios operativos. Esta revisión incluye los flujo grama(s) y los manuales de organización y funciones y el de políticas y procedimientos.
Una vez que las unidades o participantes han evaluado los riesgos identificados, el próximo paso consiste en el cómo manejar esos riesgos enumerados. Los riesgos se manejan a través de técnicas de control de riesgos. Estas minimizan o aminoran las pérdidas que enfrentarán las unidades organizativas. También se usan técnicas de riesgos de financiamiento o financieras, en las cuales se analiza las varias alternativas de proveer fondos para las necesidades del negocio derivadas de pérdidas a pesar de los esfuerzos de control de riesgo utilizados.
En algunas circunstancias será preferible evitar el riesgo. Sin embargo evitarlo no siempre es posible. La prevención de pérdidas o su reducción constituye un método de control de riesgos. Otras exposiciones de riesgos serán transferidas a otras entidades mediante operaciones por ejemplo de obtener en leasing activos o bien utilizar contratistas outsourcing para ciertos servicios o medios. Las exposiciones de riesgo son financiadas bien mediante retención parcial de algunos o todos los riesgos observados, o bien transfiriendo ese riesgo a otra entidad a través de pólizas de seguros u otros métodos de transferencia. Una organización puede retener el riesgo por medio de una de las técnicas siguientes: gastos en las pérdidas corrientes, fondeo de reservas para pérdidas, reservas no fondeadas o provisiones, préstamos para cubrir pérdidas o usando un asegurador.
Un proceso muy importante de administración de riesgos es una política de riesgos aprobada y respaldada por todos los Consejos Directivos.
Los resultados del proceso se informan al Comité de Riesgos definiendo los riesgos críticos de cada área, departamento, unidad, proceso, sistema (operativo), colocaciones e
27
inversiones dentro y fuera del balance (crédito), posición ante cambios de mercado y modificaciones en gestión de activos y pasivos (mercado y estructura financiera).
Este órgano definirá las formas de administrar el riesgo, así como los parámetros de comparación para la toma de decisiones en función a:
� Aceptación: determina los factores de decisión y la supervisión de la exposición � Retención no deseada: el desarrollo de controles y planes de contingencia � Incremento: expansión o extensión, flexibilidad o rediseño del control, aumento
del retorno sobre nivel de riesgo asumido � Prevención: rediseño del sistema o salida de posición � Financiamiento: cobertura o provisión � Transferencia: total o parcial
5.4 Análisis y Monitoreo del Proceso de Negocio
El análisis se realiza por procesos, actividades o unidades a nivel institucional mediante agregación de las actividades / procesos de las unidades organizativas, considerando para cada proceso o actividad los riesgos clave del negocio. Esta evaluación es permanente e utilizará como parte relevante las metodologías COSO, CobiT y Basilea en lo referente a la administración de riesgos.
Una vez analizado el negocio e identificados los riesgos inherentes4, se proceden a establecer los criterios generales con los cuales se van a evaluar los riesgos operacionales en las diferentes etapas del proceso de administración denominados procesos críticos que para fines de este Manual establecen la relación entre la importancia de las áreas y la exposición al riesgo.
La exposición al riesgo responde a factores de riesgos del departamento, área, unidad, procesos, sistemas, actividades de personas y la cobertura que se le aplican, para mitigar el impacto que la ocurrencia del mismo tiene en las actividades de las entidades usuarias (ONG).
5.5 Identificación de los Riesgos
La definición es la fase de la actividad, que responde a preguntas de la institución tales como:
� ¿Qué sucede? � ¿Cómo sucede?
Esto se refiere tanto a productos, como actividades, procesos y sistemas. La identificación también tiene dos fases: descriptiva y creativa. Ambas deben ser administradas razonable y coordinadamente para hacer el proceso efectivo y económico. Esto conduce a instrumentos como la preparación de una “Lista de Chequeo” de riesgos que se sabe que comúnmente aparecen en un contexto particular. Los auditores externos emplean este método pero referido a los riesgos de información financiera. Las listas de chequeo permiten rapidez y facilidad en el uso, pero no usadas con criterio, pueden frenar (como “camisa de fuerza”) la capacidad de iniciativa o visualización de riesgos no comunes.
4 Entendido como el conjunto de metas, objetivos, estrategias, parámetros y alcance de la actividad o parte de la
organización a la cual está aplicando el proceso de administración de riesgos de operación.
28
Un enfoque útil para la identificación de riesgos, es realizar talleres de “tormenta de ideas”. Estos pueden adoptar diferentes metodologías con el grupo de trabajo de la empresa. Toman mas tiempo-consultor que un trabajo de análisis tradicional, pero puede ser bastante más efectivo en muchos casos. Particularmente prefiero usar ambos a simultáneo para fines de comparación de los resultados de los dos instrumentos. Si se usa la tormenta de ideas, es importante usar talleres estructurados y no procesos completamente abiertos. Se requiere para ello experiencia y percepción en los conductores del evento y del manejo del tiempo. También un conocimiento experimentado de los procesos y conflictos grupales.
El concepto de riesgo de operación tiene una gran cantidad de componentes que afectan los activos institucionales, gestión y control eficaces en las entidades financieras. Lo relevante es identificar los tipos de eventos asociados a estos riesgos de operación son generadores potenciales de pérdidas significativas. Se les debe identificar considerando las siguientes causas5:
� FRAUDES: Constituyen un engaño practicado deliberadamente para asegurar beneficios injusto o ilegal. Un engaño; un truco. Una inadecuada presentación u ocultación intencional de la información para engañar o falsear. Es ilegal. En los términos más simples, el fraude ocurre cuando alguien miente con intención deliberada para obtener una ventaja o para conseguir un beneficio que se niega. Si no hay mentira o engaño u ocultamiento, puede haber abuso pero no un fraude.
• Fraude interno. Actos destinados a defraudar, usurpar la propiedad o evadir la regulación, la ley o las políticas de la empresa, excluyendo los eventos de diversidad y discriminación, que involucren al menos una parte interna.
• Fraude externo. Actos por parte de terceros destinados a defraudar, usurpar la propiedad o evadir la ley.
• Prácticas de empleo y seguridad del ambiente de trabajo. Actos inconsistentes con las leyes o acuerdos de empleo, salud o seguridad, o que resulten en el pago de reclamos por perjuicios al personal, o reclamos relacionados con temas de diversidad o discriminación.
• Prácticas relacionadas con los clientes, los productos y el negocio. Fallas negligentes o no intencionadas que impidan cumplir con las obligaciones profesionales con clientes específicos (incluyendo requerimientos fiduciarios y de idoneidad), o derivadas de la naturaleza o diseño de un producto.
• Daño a los activos físicos. Pérdida o daño a los activos físicos debido a desastres naturales u otros eventos.
• Interrupción del negocio y fallas en los sistemas. Interrupción de las actividades del negocio o fallas en los sistemas de información.
• Administración de la ejecución, la entrega y el proceso. Fallas en el procesamiento de las transacciones o en la administración del proceso, y en las relaciones con las contrapartes y los proveedores.
La identificación de los riesgos mencionados implica la realización de un diagrama de flujo de procesos y el desarrollo de la matriz de procesos, subprocesos o actividades para
5 Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité para la Supervisión Bancaria de Basilea Julio del 2002 Pág. 6 y 7.
29
identificar en cada uno los riesgos que se presentan. Ello define la criticidad de las actividades descritas en este mismo acápite y establece una primera línea de jerarquía del riesgo en cada uno de los eventos descritos.
5.6 Análisis de los Riesgos6
Esta etapa considera el desarrollo de los criterios de obtención y evaluación de los riesgos (perfil de riesgos) tiene como objetivos:
� Identificar los riesgos inherentes que por su frecuencia pueden tener impactos significativos en la CENTRAL y ONG afiliados (fuentes, consecuencias y probabilidades de ocurrencia).
� Comprender el perfil de riesgo corporativo y la jerarquía del riesgo para establecer los planes de acción en función a la importancia del riesgo
El enfoque se dirige a:
� Aplicar la metodología de evaluación de los riesgos más importantes mediante entrevistas al Consejo Directivo, Gerencia, departamentos, Áreas y Unidades
� Buscar un consenso de los riesgos que importan y su importancia, o alternativamente a
� Dirigir los riesgos claves hacia las actividades/ procesos más significativos de las ONG, de acuerdo con las expectativas del Consejo Directivo.
Se persiguen como resultados la:
� Obtención de los riesgos claves inherentes a las actividades � Obtención de una matriz de procesos / actividades – riesgos claves asociados.
6 En esta etapa de acuerdo a la normativa nos enfocamos principalmente en el riesgo operativo.
ResultadosPreguntas clave
Identificar y evaluar el riesgo
¿Se conocen los riesgos significativos?
¿Cómo se tratan?
¿El proceso de control del riesgo es fiable y eficiente?
¿Es la estructura de gestión de riesgo
robusta y adecuada?
Mapa de riesgos
Nuestro enfoque
A nivel corporativo y al nivel de unidad de negocio que sea
apropiado
Entrevistas y cuestionarios para entender los objetivos
estratégicos de la Organización
Pro
abab
ilid
ad
Medio alto
Impacto
Medio alto
Alto
Bajo
Medio bajo
Medio
Alto
Medio bajoBajo Medio
ResultadosPreguntas clave
Identificar y evaluar el riesgo
¿Se conocen los riesgos significativos?
¿Cómo se tratan?
¿El proceso de control del riesgo es fiable y eficiente?
¿Es la estructura de gestión de riesgo
robusta y adecuada?
Mapa de riesgos
Nuestro enfoque
A nivel corporativo y al nivel de unidad de negocio que sea
apropiado
Entrevistas y cuestionarios para entender los objetivos
estratégicos de la Organización
Pro
abab
ilid
ad
Medio alto
Impacto
Medio alto
Alto
Bajo
Medio bajo
Medio
Alto
Medio bajoBajo Medio
30
� Luego de la identificación de riesgos, el próximo paso es analizar la semejanza y potencial gravedad de pérdidas identificadas. Al evaluar el riesgo es importante que el especialista recuerde que ciertas pérdidas costarán más a la entidad que el costo de reposición de las propiedades. Al medir los riesgos, también se debe considerar que cualquier pérdida de ingresos así como cualquier otro costo al recrear o reponer el activo. Es posible, que el costo de servicios de mantenimiento durante el periodo de la reposición o reparación sea considerada. Los propósitos de esta evaluación son:
- Determinar la importancia relativa de cada riesgo (ahorro de dinero por no
asegurarlos, por ejemplo). - Ayuda a gerencia en decidir los mejores métodos a usar para el control de
riesgos. - Establecer valores asegurables (tanto de póliza de seguros como de
evaluación de reclamos). Los dos elementos del riesgo son la severidad del impacto y la frecuencia. La primera es el tamaño o magnitud de pérdida de cada exposición expresada en términos monetarios. La frecuencia o recurrencia es el número de veces que una pérdida dada de cierta magnitud puede ocurrir. Es muy difícil establecer exactamente la magnitud de una pérdida. Para un periodo dado, el promedio de pérdidas estimadas de un grupo particular se obtiene multiplicando el promedio de frecuencia de la pérdida por un monto monetario promedio, y luego ajustándolo a variables tales como la inflación, y cambios del riesgo, tales como por ejemplo la compra de nuevos automóviles para las unidades usuarias. Los actuarios tienen varias herramientas para valorizar los riesgos y las entidades deben escoger dichos funcionarios con cuidado. Los siguientes son ejemplo de preguntas de un Cuestionario de evaluación de los riesgos existentes: o ¿Cuál es la posición de riesgo actual? o ¿Cuál es el perfil de rentabilidad-riesgo? o ¿Qué tipo de dependencia existe entre el nivel de cada una de las posiciones
y el perfil de rentabilidad-riesgo? o ¿Cuál es la visión del mercado y del negocio implícito en la posición? CONTROL DEL RIESGO Una vez que se ha identificado y analizado los riesgos, la entidad debe decidir como hacerles frente. El riesgo se maja a través de técnicas de control de riesgos o técnicas de financiación de riesgos. Las alternativas son:
- Evitar el riesgo. Eliminar el riesgo completamente. - Prevención del riesgo. Reducir la posibilidad de una determinada pérdida. - Reducción de la pérdida. Reducir la gravedad o severidad de esas pérdidas
que ocurrirán. - Utilización de transferencias otras que de contratos de seguro. Transferir el
riesgo a otra institución que no sea la aseguradora. Por ejemplo contratos de servicios por outsourcing.
Estas categorías no son excluyentes, de modo que muchos riesgos pueden caer en vari0as de ellas.
31
5.6.1 Criticidad de los Procesos
El análisis de los procesos implica el uso de un examen cualitativo para construir la Matriz de Análisis de Procesos que está conformada por cuatro niveles detallados a continuación:
Categorías de Calificación
Descripción del Concepto
Muy Crí0tico, severo Variables esenciales
Forman parte esencial del negocio. Las fallas, ausencias o indebida utilización de ciertas variables, ponen en peligro la supervivencia o viabilidad del negocio en su conjunto.
Crítico 2 Variables importantes
Esta categoría de actividad, sus fallas, ausencias o indebidas utilizaciones inciden en la viabilidad operativa. El nivel de intensidad es superior a la clase Crítico 1, pero inferior a la de Muy Crítico.
Crítico 1 Variables importantes
El nivel de intensidad es superior a la clase de No Crítico pero menor al Crítico 2. En ella, la actividad, fallas, ausencias o indebidas utilizaciones inciden sobre la viabilidad operativa.
No Crítico Variables de soporte
La actividad, sus fallas, ausencia o indebidas utilizaciones se pueden presentar sin afectar la continuidad de las operaciones
5.6.2 Medición de Frecuencia o Probabilidad de recurrencia
La estimación de la frecuencia (probabilidad de ocurrencia) se efectúa utilizando una serie de datos, clasificándolos en categorías. Se puede usar tambien análisis estadísticos así como estimaciones cualitativas sobre la base de un razonamiento subjetivo.
En caso de iniciarse el proceso o que no exista una cantidad de data suficiente se trabajará con una estimación. Un ejemplo de escala a utilizar y a preparar por la unidad de riesgos, se muestra en la siguiente tabla:
TABLA “A” DE RECURRENCIA O FRECUENCIA
Probabilidad de Recurrencia o Frecuencia
Calificación Grado
Muy Común 1 vez a la semana
Común 1 vez al mes
Frecuente 1 vez al trimestre
Ocasional 1 vez cada semestre
Raro Menos de 1 vez al año
5.6.3 Estimación de Impacto
32
La estimación de las consecuencias o pérdidas por ocurrencias podrá ser estimada en una primera etapa00 de forma cualitativa a través de un análisis subjetivo.
En ella se utilizará el método de simulación de escenarios (método cualitativo), el cual medirá el impacto de acuerdo a una descripción de escenarios calificados previamente.
TABLA “A” DE MEDICION DEL IMPACTO
CATEGORIA GRADO DESCRIPCION
MUY CRITICO 2 Catastrófico 2 Riesgo de continuidad del negocio, pérdida de clientes y/o ingresos
Catastrófico 1 Riesgo de exposición significativa a quejas importantes por incumplimiento o demandas de los clientes
CRITICO 2 Importante 2 Riesgo de interrupción de una parte de las operaciones
Importante 1 Riesgo de alteración o corrupción de datos y transferencia de datos
CRITICO 1 Moderado 3 Riesgo de Pérdida de oportunidades de negocios
Moderado 2 Riesgo de infracciones a la regulación
Moderado 1 Riesgo de demoras significativas en operaciones
NO CRITICO Menor 2 Riesgo de caída de principales beneficios del negocio
Menor 1 Riesgo de Inconvenientes importantes
00 Muy poco significativo 2
Riesgo de demoras en las actividades de negocios
Muy poco significativo 1
Riesgo de inconvenientes menores
Finalmente la Exposición del Riesgo se obtiene del producto de la Probabilidad de ocurrencia y los valores obtenidos del Impacto o pérdida del evento.
En la Tabla se muestran zonas de un nivel de exposición de riesgo, para los cuales se podrán adoptar diferentes medidas de control.
Esto puede tener expresiones gráficas como las que siguen:
33
Muy Común
Común
Frecuente
Ocasional
Raro
Muy poco Muy poco
Significativo 1 Significativo 2 Importante 2 Catastrófico 1Moderado 1 Moderado 2 Moderado 3 Importante 1
Impacto
F
recu
enci
a
Menor 1 Menor2 Catastrófico 2
5.6.4 Cuantificación del Riesgos
Identificados los riesgos claves del negocio se deberán evaluar en función del impacto y probabilidad que presenten, de forma que los recursos de control se focalicen eficientemente.
Esta etapa sigue a la de evaluación cualitativa. Se lleva a cabo cuando se cuenta con base de datos confiables sobre las principales variables, su criticidad y se hayan establecido indicado0res. El modelo de riesgo operacional de Basilea para riesgos operacionales tiene 7 áreas de tipos de riesgos a ocurrir:
1. Fraude interno 2. Fraude externo 3. Prácticas laborales y contra la seguridad en el trabajo 4. Clientes, productos y prácticas comerciales 5. Interrupción de transacciones y fallas en los sistemas 6. Daño en los activos físicos e instalaciones. 7. Ejecución, entrega y administración de procesos
La probabilidad de que se produzca el riesgo se mide a través del Indicador de Probabilidad de Riesgo, conocido como Probability of Loss Event Indicator (P.E.). Se basará en data histórica.
P.E. = Número de hechos en los que se ha producido el riesgo / número de hechos totales
Reducir Aceptar Evitar
Transferir
34
La recurrencia se mide asignando valores estimados de frecuencias en el tiempo de recurrencia, a las categorías de eventos a calificar, que formamos en el análisis cualitativo (Tabla A de recurrencia) que antecedió.
TABLA “B” DE MEDICION DE RECURRENCIA O PROBABILIDAD DE FRECUENCIAS
Puntuación Calificación Grado
5 Muy Común 1 vez a la semana
4 Común 1 vez al mes
3 Frecuente 1 vez al trimestre
2 Ocasional 1 vez cada semestre
1 Raro Menos de 1 vez al año
El impacto o cuantía de la pérdida si el riesgo se produce se medirá a través del Indicador de Impacto del Riesgo, también denominado Loss Given Event Indicator (L.G.E.)
L.G.E. = Cuantía de la Pérdida / cuantía Total de los Hechos Sujeto al Riesgo
TABLA B CUANTIA DE IMPÀCTO
PUNTOS GRADO DESCRIPCION
5 Catastrófico Pérdidas > Z miles de Soles
4 Importante Pérdidas entre Y y X miles de Soles
3 Moderado Pérdidas entre X y W miles de Soles
2 Menor Pérdidas entre W y V miles de Soles
1 Muy poco significativo
Pérdidas entre W y V miles de Soles
La pérdida esperada si el riesgo se produce se medirá por el Indicador de Riesgo, conocido como Expected Loss Indicator (E.L.), calculado como producto de los dos indicadores anteriores
E.L. = P.E. x L.G.E.
El concepto de “EL” es el producto de las categorías de los dos tablas B, anteriormente mostradas.
5.6.5. Evaluación de los Riesgos
Para realizar la evaluación se utiliza tablas de nivel de Exposición en las que se indican también las zonas de riesgo a las cuales se debe aplicar determinada técnica de administración de riesgos.
35
5.7 Desarrollo de la Metodología
En esta etapa se trata de elaborar un modelo que permita una evaluación continuada de los riesgos, cuyos objetivos son los siguientes:
� Determinar las responsabilidades corporativas de la gestión del riesgo, de acuerdo a sus funciones y responsabilidades en la evaluación, tratamiento y supervisión dentro del sistema de gestión del riesgo.
� Evaluar el impacto de los riesgos inherentes según la probabilidad de ocurrencia.
� Categorizar los riesgos de acuerdo a criterios de criticidad / riesgo. Evaluar los riesgos relacionados atendiendo a las expectativas mostradas por el Directorio
� Que el modelo de evaluación de riesgo obtenido sea modular y dinámico de tal modo que permita su retroalimentación
� Elaborar planes de acción jerarquizados para implantar las oportunidades de mejora identificados.
� Identificar los indicadores claves de rendimiento, indicadores de control y los indicadores de riesgo
El enfoque aplicado tiene los siguientes objetivos:
� Acordar los criterios metodológicos de evaluación para ser usados en las reuniones con el Comité de Riesgos/Comité de Auditoría/Directorio/Gerencia
� Realizar entrevistas con los operadores de riesgos identificados, con el fin de analizar los riesgos clave relacionados de sus áreas de actuación y evaluar a la vez la eficiencia de la estructura de controles que están en uso.
� Analizar y sintetizar los resultados de las entrevistas, integrándolos en una base de datos o reservorio que permitan su revisión y administración.
� Identificar oportunidades de mejora a implantar en la estructura de controles, partiendo de los análisis realizados con los funcionarios responsables de área.
� En los análisis de las actividades se debe considerar las relaciones de un punto o función con el resto de actividades desarrolladas
5.8 Implementación
La implementación es la etapa compara los resultados alcanzados con las políticas y objetivos del Directorio tratando de incorporarlos / supervisarlos dentro del sistema de control interno.
Esto permite a Auditoría Interna intervenir como facilitador en la integración o bien hacer una más exacta interpretación de las conclusiones obtenidas.
Los objetivos de esta etapa son:
� Las actividades de la gestión de riesgo estén basadas en el riesgo, esto es: priorizadas hacia las áreas de mayor riesgo
� La gestión del riesgo esté integrada en la institución. La conciencia de control debe afectar a todo el personal de la empresa. Comunicar los resultados obtenidos en la elaboración de los documentos de gestión de riesgos y mapping de riesgos con el fin de incrementar la conciencia de control
� Implementar las medidas que reduzcan las debilidades de control detectadas y que mitigarían la exposición a los riesgos inherentes
� Proponer las acciones correctivas que eviten la excesiva exposición a determinados riesgos
El enfoque usa como herramientas:
36
� Establecer “talleres de trabajo” para consensuar la implementación de las medidas correctivas a tomar por cada uno de los gestores de riesgo
� Buscar el consenso con una adopción de calendarios estimados, recursos necesarios y agentes implicados
� Aplicación de los flujos de procesos, escenarios y otros modelos de gestión de tareas con el fin de establecer un monitoreo a la implantación de las medidas a tomar
5.9 Sistema de Gestión de Riesgos
Se persigue retroalimentar al modelo de análisis de riesgos y considerar la actualización del mismo por cambios producidos en la propia actividad más las acciones correctivas.
Los objetivos son:
� Desarrollar una estructura de control adaptada a los niveles de riesgo deseados
� Realizar una evaluación continuada del sistema de gestión de riesgos implementado, actualizándolo con la adopción de nuevas variables (riesgos)
� Revisar la calificación y cuantificación de los riesgos a partir de la adopción de las medidas recomendadas y revisión de las hipótesis asumidas en el modelo inicial
� Lograr los objetivos propuestos por el enfoque de riesgos con énfasis en la recuperación y contingencias: o Asegurar: el Directorio debe tener la convicción objetiva de que están
manejándose los riesgos de una manera apropiada y objetiva o Revisar: el Comité de Riesgos revisa periódicamente la contribución a la
gestión del riesgo del conjunto del negocio
El enfoque:
� El modelo de evaluación de riesgos adoptado se irá actualizando a través del monitoreo de la implementación de las recomendaciones surgidas en el trabajo
� Así mismo es conveniente revisar las hipótesis asumidas en la elaboración inicial, actualizándolas con la experiencia adquirida y variaciones producidas en el entorno empresarial y que afecten al sistema de control
� Lograr a través de nuevos talleres de trabajo que se establezca una permanente auto evaluación.
En el siguiente gráfico se muestra las actividades a realizar durante esta etapa
37
ReducirProbabilidad
Mo
nito
reo co
ntin
uo
Co
mu
nicació
n y C
on
sultas
Tratamiento de Riesgos
Considerar la factibilidad de costos y beneficios
Riesgo evaluado y rankeado
¿Riesgo Aceptable?
ReducirImpacto
(Consec.)
Transferir Completo
o parteEvitar
IdentificarOpciones deTratamiento
Recomendar estrategias de tratamiento
Seleccionar estrategia de tratamiento
Evaluaropciones
detratamiento
Preparar planes de tratamientoPreparar Planes detratamiento
ReducirProbabilidad
ReducirImpacto
TransferirCompleto o
parteEvitar
Implementar Planes
Tratamiento
¿Riesgo Aceptable?
Se acepta
Retener
38
Capítulo 6 SISTEMAS, METODOLOGÍAS Y MODELOS PARA LA VALUACIÓN DE RIESGOS
La identificación de los riesgos que inciden en las actividades de las instituciones financieras conlleva paralelamente una medición cuantitativa y cualitativa que permita calcular el impacto de los riesgos.
El proceso requiere el desarrollo de un modelo de gestión de riesgos. Este debe adecuarse a la institución y ser adaptado y observado mediante pruebas tanto históricas (back testing), como de condiciones extremas estimadas (stress testing).
El modelo debe ser calibrado y afinado, para que sirva luego para definir los niveles de riesgo tolerables en la empresa, por: actividad, proceso, subproceso, producto, servicio, posición, etc.
6.1 MEDICIÓN, MONITOREO Y CONTROL
Para llevar a cabo la identificación, medición, monitoreo, control y estimación de los diversos tipos de riesgo cuantificables y la valuación de las posiciones de la entidad de intermediación financiera, la Unidad de Riesgos deberá:
a) Contar con sistemas y modelos de medición de riesgos que incorporen información de mercado que comprenda variables tales como rendimientos, volatilidad y potencial de movimientos adversos, en donde se refleje de forma precisa el valor de las posiciones y su sensibilidad a los diversos factores de riesgo.
b) Llevar a cabo estimaciones de la exposición al riesgo de la entidad de intermediación financiera, ligadas a resultados o al valor del patrimonio de la misma.
c) Asegurarse que la información sobre las posiciones de la entidad de intermediación financiera utilizada en los modelos y sistemas de medición de riesgos, sea precisa, íntegra y oportuna. Por ello toda modificación a la citada información deberá quedar documentada y contar con la explicación sobre su naturaleza y motivo que la originó.
d) Efectuar revisiones periódicas a los supuestos contenidos en los modelos y sistemas y realizar actualizaciones cuando corresponda.
e) Comparar periódicamente las estimaciones de la exposición al riesgo contra los resultados efectivamente observados para el mismo periodo de medición y, en su caso, modificar los supuestos empleados al formular dichas estimaciones.
6.2 METODOLOGÍA, SISTEMAS Y MODELOS
Los sistemas y modelos mencionados en el Artículo anterior deberán:
a) Permitir la medición, monitoreo y control de los riesgos a que se encuentra expuesta la entidad de intermediación financiera, así como la generación de informes al respecto.
b) Considerar al menos para efectos de análisis: • Los diferentes tipos de riesgos tales como riesgo de mercado, de crédito,
operativo y de liquidez. • Las técnicas de medición adecuadas para el análisis requerido y que
permitan identificar los supuestos y parámetros utilizados en dicha medición.
39
• Las técnicas de evaluación adecuadas para minimizar la posibilidad de pérdidas financieras relacionadas al diseño inapropiado de los procesos críticos
• Las políticas y procedimientos inadecuados o inexistentes que puedan tener como consecuencia el desarrollo deficiente de las operaciones y servicios o la suspensión de los mismos.
6.3 PRUEBAS DE COMPROBACIÓN
La Unidad de Riesgos complementará su medición de riesgos con la realización de pruebas bajo condiciones extremas, que permitan identificar el riesgo que enfrentaría la entidad de intermediación financiera en dichas condiciones y reconocer las posiciones o estrategias que hacen más vulnerable a la propia entidad, para lo cual deberán:
a) Estimar el riesgo bajo condiciones en las cuales los supuestos fundamentales y los parámetros utilizados para la medición de riesgos colapsen, así como la capacidad de respuesta de la misma entidad de intermediación financiera ante tales condiciones.
b) Evaluar el diseño y los resultados de las pruebas bajo condiciones extremas, para que a partir de dicha evaluación, se establezcan planes de contingencia aplicables al presentarse esas condiciones en los mercados financieros en que participe la propia entidad de intermediación financiera.
c) Considerar los resultados generados por las pruebas bajo condiciones extremas en la revisión de políticas y límites para la toma de riesgos.
6.4 DE LA ADMINISTRACIÓN POR TIPO DE RIESGO
6.4.1 Riesgo Operativo
Para el correcto manejo del riesgo operativo, deberán como mínimo:
a) Implementar controles internos que procuren la seguridad en las operaciones, que permitan verificar la existencia de una clara delimitación de funciones en su ejecución, previendo distintos niveles de autorización en razón a la toma de posiciones de riesgo.
b) Contar con sistemas de procesamiento de información para la administración de riesgos que contemplen planes de contingencia en el evento de fallas técnicas o de caso fortuito o fuerza mayor.
c) Establecer procedimientos relativos a la salvaguarda, custodia, mantenimiento y control de expedientes que correspondan a las operaciones e instrumentos adquiridos.
d) Establecer procedimientos relativos al personal e) Establecer procedimientos relacionados con eventos externos
6.4.2 Riesgo de Crédito
Para el correcto manejo del riesgo de crédito, deberán como mínimo:
a) Diseñar procedimientos de control y seguimiento del riesgo de crédito de sus colocaciones e inversiones los cuales deberán establecerse en base a sistemas, metodologías y modelos internos de calificación o a la calificación del emisor correspondiente, cuando esta última exista.
b) Estimar la exposición al riesgo actual y futura, entendiéndose por esto el valor de reemplazo de la posición y los cambios en dicho valor a lo largo de la vida remanente de la misma posición, respectivamente. Para tal efecto, las instituciones deberán considerar los medios de pago, así como las garantías en función de su liquidez y riesgo de mercado.
c) Estimar la posibilidad de incumplimiento de la contraparte. d) Analizar el valor de recuperación y estimar la pérdida esperada en la operación.
40
6.4.3 Riesgo de Mercado
Para el correcto manejo del riesgo de mercado, deberán como mínimo:
a) Evaluar y dar seguimiento a todas las posiciones sujetas a riesgo de mercado. Se utilizan para tal efecto modelos de ALM dado el caso de estructura del balance que tenga la capacidad de medir la pérdida potencial en dichas posiciones, asociado a movimientos de precios, tasas de interés o tipos de cambio, con un nivel de probabilidad dado y sobre un periodo específico
b) Definir parámetros, variables cuantitativas y cualitativas para la elaboración y uso de los modelos de valor en riesgo. Las variables deberían ser el Riesgo en el Valor Económico de la entidad y Riesgo en el Margen Financiero (anual)
c) Evaluar la diversificación del riesgo de mercado de sus posiciones (si lo tuviera y fuese significativo).
d) Comparar sus exposiciones estimadas de riesgo de mercado con los resultados, referidos al valor de margen financiero, efectivamente observados. En caso de que los resultados proyectados y los observados difieran significativamente, se deberán analizar los supuestos y modelos utilizados para realizar las proyecciones y, en su caso, modificar dichos supuestos o modelos.
e) Obtener y analizar información histórica de los factores de riesgo que afectan las posiciones de la entidad de intermediación financiera, a fin de calcular el riesgo de mercado.
6.4.4 Riesgo de Liquidez
Para el correcto manejo del riesgo de liquidez, como mínimo el manejo de las brechas de liquidez y análisis estructural del balance, deberán:
a) Medir y monitorear el riesgo ocasionado por diferencias entre los flujos de efectivo proyectados en distintas fechas. Se consideran para tal efecto todos los activos y pasivos de la entidad de intermediación financiera denominados en moneda nacional, en moneda extranjera y en unidades de inversión o de fomento, cuando sea el caso.
b) Cuantificar la pérdida potencial derivada de la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a las obligaciones contraídas por las instituciones de manera oportuna, así como por el hecho que una posición no pueda ser oportunamente cubierta mediante el establecimiento de una posición contraria equivalente.
c) Contar con un plan que incorpore las acciones a seguir en caso de requerimientos de liquidez.
6.4.5 Riesgo Legal
Para el correcto manejo del riesgo legal, deberán como mínimo:
a) Establecer políticas y procedimientos que procuren una adecuada instrumentación de los convenios y contratos en los que participe la entidad de intermediación financiera a fin de evitar vicios en la celebración de operaciones.
b) Estimar la posibilidad de que se emitan resoluciones judiciales o administrativas desfavorables, así como la posible aplicación de sanciones, en relación con las operaciones que se lleven a cabo. En dicha estimación se deberán incluir los litigios en los que las entidades de intermediación financiera sean demandantes o demandadas, así como los procedimientos administrativos en que participe.
c) Evaluar los efectos que habrán de producirse sobre los actos que realice la entidad de intermediación financiera, cuando los mismos se rijan por un sistema jurídico distinto al propio.
d) Dar a conocer a sus funcionarios y empleados, las disposiciones legales y administrativas aplicables a las operaciones.
41
6.5 COMPARACIÓN DE MODELOS DE VALUACIÓN
En adelante, la Superintendencia revisará los resultados de los modelos de valuación utilizados por la entidad de intermediación financiera para verificar su consistencia.
En el caso de que se encontraran deficiencias o diferencias importantes en los resultados de los modelos utilizados por las entidades de intermediación financiera, la Superintendencia podrá realizar una revisión parcial o total de los mismos.
6.6 CERTIFICACIÓN EXTERNA DE LOS SISTEMAS
Se deberá encomendar a un experto independiente, que al menos una vez al año, lleve a cabo una evaluación sobre los siguientes aspectos:
� La funcionalidad de los modelos y sistemas de medición de riesgo utilizados, realizando pruebas entre resultados estimados y observados, así como del cumplimiento de los procedimientos para llevar a cabo la medición de riesgos.
� Los supuestos, parámetros y metodologías utilizados en los sistemas de procesamiento de información y para el análisis de riesgos.
Los resultados de la evaluación se registrarán en un informe que contendrá, en su caso, recomendaciones para solucionar las irregularidades observadas. Dicho informe se presentará al Comité de Riesgos, Directorio, Gerencia General y a la Unidad de Riesgos
42
Capítulo 7 INFORMES
INTRODUCCIÓN
El informe resulta ser el documento de reporte por excelencia que cumple con informar las actividades y hallazgos sobre el cumplimiento de sus objetivos facilitando el entendimiento y gestión de los riesgos al Directorio, Comité de Riesgos, Gerencia y otras áreas. De igual forma, los reportes que la Unidad de Riesgos efectúa deben servir para establecer mejoras o medidas correctivas sobre las políticas del negocio tanto hacia el mercado como hacia la propia entidad y las implicancias que generan sobre los resultados, capital y la viabilidad de la CENTRAL Y ONGS.
7.1 CARACTERÍSTICAS DEL INFORME
Los informes se basarán en datos íntegros, precisos y oportunos relacionados con la gestión de riesgos e incluirán como mínimo:
a. La metodología empleada para la administración de riesgos b. La identificación de los riesgos por proceso, unidad de negocios y apoyo,
actividades, operaciones y por tipo c. La identificación de eventos externos considerados como variables de riesgo d. La exposición al riesgo global, por área de operación y por tipo de riesgo e. Los resultados de los diferentes análisis de sensibilidad y pruebas bajo
condiciones extremas f. Los casos en que los límites de exposición al riesgo fueron excedidos, ya sea que
se contara o no con autorización previa g. El grado de cumplimiento de las políticas y procedimientos de administración de
riesgos teniendo en cuenta los informes del Comité de Riesgos y del Comité de Auditoría Interna.
h. Comentarios de análisis de los resultados de las auditorias practicadas referidos al cumplimiento de las políticas y procedimientos de administración de riesgos, así como sobre las evaluaciones de los sistemas de medición de riesgos y de control interno.
i. El proceso para la aprobación de propuestas, estrategias o iniciativas para nuevas líneas de negocio, producto y otros y, en su caso, las coberturas requeridas. Dichas propuestas deberán contar, entre otros aspectos, con una descripción general de la nueva operación, el análisis de los riesgos implícitos, el procedimiento a utilizar para identificar, medir, monitorear, controlar, informar y revelar tales riesgos
j. Revisión e Informe sobre contratos provistos por terceros que constituyen riesgos k. Medidas adoptadas para la administración de los riesgos identificados y plazos de
aplicación para prevenir, reducir, transferir o mantener l. Plan de actividades de la Unidad de Riesgos para la administración de riesgos m. Cualquier cambio significativo en el contenido y estructura de los informes, así
como en las metodologías empleadas en la medición de riesgos, deberá especificarse dentro de los informes
n. Funcionarios responsables de las actividades de control de riesgos identificados
Los informes que se elaboren deben contar con soporte de información y presentarán indicadores de rendimiento, de riesgo, de control que permitan analizar los mapas de riesgos. De igual forma, coeficientes de ponderación para los factores externos e internos y asignar los riesgos a las actividades, áreas, procesos, subprocesos, funciones, productos, servicios, etc. generadores de riesgo.
Sigue un ejemplo de Matriz de Diagnostico de Riesgos y Control Interno.
43
N º HECHO EFECTO CAUSA RECOMENDACIÓN 1 No se hizo el Plan Operativo
del último año, y no se ha actualizado el Plan Estratégico institucional
Riesgo de desvio y no logro de los objetivos institucionales eficientemente.
Carencia de una política del C.D. sobre planeamiento y calendarios de fechas de revisión
Documentar un instructivo del Plan Estrategico, Operativo y evaluaciones periódicas, así como el seguimiento de las medidas correctivas.
2 No hay forma de hacer una apreciación objetiva del precio justo de los servicios profesionales recibidos. El proceso no incluye un concurso de precios o la obligación de presentar tres ( 3 ) presupuestos o propuestas.
Se darían ineficiencia o mayores pagos de servicios los que no pueden determinarse por falta de información.
La institución es nueva y el medio agrario ofrecen dificultades de desarrollo administrativo y técnico diferente a las de las ciudades. No se habría tomado en cuenta las nuevas experiencias y informes de contrataciones del CD..
Lograr la fijación de metas presupuestalesindicadores o ratios de control de los gastos de servicios, comparados con un nivel de referencia. La Gerencia piensa que sería el número de beneficiarios.
Según nuestra opinión se requiere tener mas de un indicador y referido al mercado o al costo. . Efectuar una clasificación de proveedoresde servicios profesionales por tipo de contratistas y experiencia. Sería necesario hacer el seguimiento desde las especificaciones de las propuesta del contratista hasta las evaluaciones de los pasos ejecución final del servicio a satisfacción
La documentación es manejada y administrada por la Unidad de Riesgos y deberá estar a disposición de los organismos de supervisión internos y externos a la organización.
7.2 PROCEDIMIENTOS DE DIVULGACIÓN DE INFORMACIÓN
La CENTRAL debe divulgar a través de notas en sus estados financieros, la información relativa a sus políticas, procedimientos, metodologías y demás medidas adoptadas para la administración de riesgos, así como información sobre las pérdidas potenciales.
7.3 PRESENTACIÓN DE LA INFORMACIÓN A LA SBS
En el futuro se prevé que la CENTRAL y sus ONG deberán proporcionar a la SBS la información relativa a la administración de riesgos, así como los resultados obtenidos en los procesos de auditoría y evaluación.
De acuerdo con las normas de la entidad Supervisora a la SBS, dentro de los noventa (90) días calendario siguientes al cierre de cada ejercicio anual, un informe referido a la evaluación de los riesgos de operación que enfrenta la empresa por proceso o unidad de negocio y apoyo.
La SBS podrá requerir a la empresa cualquier otra información que considere necesaria para una adecuada supervisión de los riesgos de operación de la empresa. Asimismo, la empresa deberá tener a disposición de esta Superintendencia todos los documentos a que hace mención el presente Reglamento, así como la información de auditoría o revisiones realizadas por la casa matriz en caso de las empresas cuya matriz no se encuentre en el país.
44
7.4 INFORMES A COLABORADORES EXTERNOS
Se sigue en el Perú, las normas señaladas por los artículos 15, 16 y 17 del Capítulo III de la Resolución SBS Nº006-2002, tanto Auditoría Interna, Auditoría Externa y las Empresas Clasificadoras de Riesgo deben contar con la información necesaria sobre administración de riesgos.
7.5 INFORMES ADICIONALES
De acuerdo a lo que solicite el Directorio, Comité de Riesgos o Gerencia la Unidad de Riesgos, los Auditores Internos y Externos y las Empresas Clasificadoras de Riesgo podrán elaborarse informes específicos de riesgos con autorización expresa del Comité de Riesgos. Los informes específicos se elaborarán siguiendo las pautas dictadas en el punto 6.1.
7.6 PERIODICIDAD
La Unidad de Riesgos entregará mensualmente al Comité un informe que contiene información correspondiente a los principales indicadores de riesgo a nivel general. Cada trimestre el Comité de Riesgos elaborará, entregará y sustentará ente el Directorio y la Gerencia un informe de riesgos más desagregado a nivel de áreas, departamentos, unidades, procesos, sistemas, recursos humanos, eventos externos. Este mismo informe será enviado a la SBS con el visto bueno del Comité de Riesgos y la autorización del Directorio.
45
CAPÍTULO 8 AUDITORÍA INTERNA Y CONTROL INTERNO DE LA ADMINISTRACIÓN DE RIESGOS
INTRODUCCIÓN
Los controles internos constituyen un proceso, llevado a cabo por la administración u otros funcionarios de un organismo, que tiene por objeto dar razonable seguridad de que se están logrando los objetivos del organismo en las siguientes esferas:
• eficacia y eficiencia de las operaciones; • confiabilidad de los informes financieros y de operaciones, y • cumplimiento de las leyes y reglamentaciones aplicables.
Los controles internos consisten en normas y procedimientos específicos que suelen denominarse “controles”. Estos controles se encuadran en las siguientes cinco categorías:
• marco de controles; • evaluación de los riesgos; • actividad de control; • información y comunicaciones, y • seguimiento
El marco de control es la base de los otros cuatro componentes principales de los controles internos. Cuando el marco de control es deficiente, es muy probable que los demás componentes de los controles internos no sean eficaces. Al examinar los controles internos de un proyecto, es necesario analizar cada uno de los cinco componentes. La finalidad es identificar puntos fuertes y débiles a fin de determinar si:
• las funciones de gestión financiera del negocio pueden basarse en las normas y procedimientos vigentes y hacer y uso de ellas
• se necesitan sistemas y procedimientos complementarios • deben abordarse las deficiencias de los sistemas existentes
El modelo de Control Interno COSO (Committee of Sponsoring Organizations of the Treadway Commission) establece una secuencia de eventos para la gestión de los procesos de negocios en un ambiente de control:
1. Definición de los objetivos de la organización 2. Evaluación del riesgo (identificación, medición y priorización) 3. Determinación de los controles necesarios (control, mitigación o transferencia)
La Auditoría Interna deberá cumplir con todo lo dispuesto por las normas vigentes dictadas sobre la materia e incorporar dentro de su análisis el riesgo financiero con lo cual el enfoque deberá generar los siguientes resultados:
Área de Auditoria Enfoque
Finalidad de Auditoria Riesgo del Negocio
Finalidad de Evaluaciones Actividades de Mitigación de Riesgos
Finalidad de Informes Adecuación y Eficiencia en Mitigación de Riesgos
Resultados de Auditoría Mitigación apropiada de los riesgos
Para el seguimiento propio de la auditoría interna los pasos que debe seguir el profesional a cargo, son:
46
• Listar los pasos del proceso y las tareas y componentes del sistema • Gradúa los pasos del proceso por orden de criticidad para alcanzar las metas
y objetivos de la unidad. En esta fase es recomendable un trabajo en colaboración. Los responsables del proceso deben conocer la importancia de los procesos, subprocesos, áreas, actividades, etc.
• Identificar los riesgos, las actividades con riesgo de gestión incluyendo los controles.
• Identificar la mitigación del riesgo y cómo medir la eficiencia en las técnicas de mitigación
La Unidad de Auditoría Interna deberá dar seguimiento permanente a los puntos y actividades que aseguran la suficiencia de controles, la implementación de recomendaciones de auditorias, informes de riesgos, agencias de calificación de créditos, consultorías, etc.
Esto se logra mediante:
a) El registro, documentación y liquidación de las operaciones que impliquen
algún tipo de riesgo, conforme a las políticas y procedimientos establecidos en los manuales de la entidad de intermediación financiera.
b) La observancia de los límites de exposición al riesgo.
8.1 ALCANCE DEL EXAMEN DEL SISTEMA DE CONTROL INTERNO
Se debe examinar a la entidad en su totalidad y a las áreas, unidades, procesos, sistemas y personas a fin de determinar la solidez de las funciones de la administración y el personal, la filosofía y estilo de administración, la relación entre la administración y el personal, el procedimiento para delegar facultades y funciones, los procedimientos para asegurar el control interno y la adhesión a valores éticos, y los programas para perfeccionar las aptitudes del personal.
El proceso de evaluación del cumplimiento de procedimientos utilizados para la administración de riesgos, así como, de lo dispuesto por el Reglamento se cumplirá observando lo dispuesto por las normas internas, las prácticas de control interno y lo dispuesto por el órgano supervisor.
Se debe prestar atención especial a los siguientes puntos: • procedimientos administrativos, contables y operacionales claramente
escritos, por los que se determine el nivel de autoridad y las funciones de los directivos y el personal responsable de los fondos y actividades del proyecto (incluida la división de funciones);
• Riesgos previsibles o derivados de los informes internos o externos o indicadores clave.
• rendición de cuentas a un comité u organismo externo de ejecución que debe mantener actas adecuadas en las que se registren las decisiones importantes y las medidas autorizadas;
• personal y supervisores competentes y capacitados de acuerdo con la complejidad y el volumen de las transacciones y actividades del proyecto, y
• directivos y personal de un alto nivel de conducta profesional y desempeño, y muy responsables.
47
8.2 AUDITORÍA INTERNA Y CONTROL DE LA ADMINISTRACIÓN DE RIESGOS
8.2.1 Medidas de Control Diario
La Unidad de Auditoría Interna deberá dar seguimiento permanente a las actividades relativas a:
c) El registro, documentación y liquidación de las operaciones que impliquen algún tipo de riesgo, conforme a las políticas y procedimientos establecidos en los manuales de la entidad de intermediación financiera.
d) La observancia de los límites de exposición al riesgo.
8.2.2 Medidas de Control Periódico
La Unidad de Auditoría Interna llevará a cabo al menos una vez al año una auditoría de administración de riesgos que contemple, entre otros, los siguientes aspectos:
a) Cumplimiento de la administración de riesgos de conformidad con lo establecido en el presente reglamento
b) La estructura organizativa del área para la administración integral de riesgos y su independencia de las demás áreas
c) La suficiencia, integridad, consistencia y grado de integración de los sistemas de procesamiento de información para el análisis de riesgos
d) La consistencia, precisión, integridad, oportunidad y validez de las fuentes de información utilizadas en los modelos de medición
e) Las modificaciones en los modelos de medición de riesgos y su correspondiente aprobación por el Comité de Riesgos
f) El proceso de aprobación de los sistemas, metodologías y modelos de medición de riesgos utilizados por el personal de las diversas áreas y de control de operaciones
g) Los cambios relevantes en la naturaleza de los instrumentos financieros adquiridos, en los límites de exposición al riesgo financiero y en las medidas de control interno, ocurridos durante el periodo de revisión
h) Otras a criterio del Comité de Auditoría, Directorio
Los resultados de la auditoría interna se registrarán en un informe que se presentará a la Unidad de Riesgos, Comité de Riesgos, Directorio y a la Gerencia General.
El control de los riesgos financieros depende de la Unidad de Riesgo en cumplimiento con sus funciones y responsabilidades asignadas, esto abarca desde la identificación hasta la administración de los riesgos asumidos por la CENTRAL y sus ONGs.
El Control Interno y Auditoría Interna realizarán acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización, fundamentalmente en las siguientes categorías:
a) Proteger y conservar el patrimonio contra cualquier pérdida, uso indebido, irregularidad o acto ilegal
b) Confiabilidad y oportunidad de la información c) Eficiencia y eficacia de las operaciones d) Cumplir con el ordenamiento jurídico y técnico.
8.3. AUDITORÍA DE RIESGOS
8.3.1 Políticas y Normas de Auditoría Interna La auditoría interna debe estar de acuerdo con las políticas y normas que determine el Directorio como aceptables para la institución. Son ejemplos de dichas normas las
48
Normas Internacionales de Contabilidad (NIC) publicadas por la Federación Internacional de Contadores (IFAC), aquellas definidas y aprobadas por los órganos supervisores de cada país (en Peru, la Superintendencia de Banca y Seguros (SBS), las normas recomendadas por el órgano especializado “The Institute of Internal Auditors” ( Instituto de Auditores Internos de USA), fundado en 1941.
The Institute of Internal Auditors (IIA) is an international professional association of more than 122,000 members with global headquarters in Altamonte Springs, Fla., United States. Throughout the world, The IIA is recognized as the internal audit profession’s leader in certification, education, research, and technological guidance. Aparece en la página web: (www.theiia.org) .
8.3.2 Alcance de la Auditoría Interna
La auditoría interna comprende una evaluación del grado de suficiencia de los sistemas de contabilidad y de controles internos para la identificación, control y administración de los riesgos a los que se enfrenta la institución.
Durante su etapa de planeamiento la auditoría debe asegurarse de que:
• Exista una relación positiva entre el objetivo de la auditoría y las metas de la unidad a auditar dentro del propósito y misión de la organización
• El programa de auditoría, tomado como un todo, producirá la evidencia necesaria para entender el objetivo de la auditoría.
• Cada examen proporcionará la evidencia requerida en el programa de auditoría.
49
MANUAL DE CONTROL DE RIESGOS ANEXOS
50
Anexo 1
Indicadores de Riesgo
Se necesita identificar indicadores clave de riesgos. Estos son marcas que se dejan como rastro en determinadas operaciones examinadas para que sirvan de guía en la administración y monitoreo de riesgos.
En el presente documento se han identificado algunos indicadores de riesgo relacionados con los procesos operativos que servirán para efectuar nuestra evaluación.
Los indicadores pueden ser:
Indicadores de procesos evalúan la forma en que se llevan a cabo las actividades del programa. Entre los ejemplos figuran los tiempos de espera, el porcentaje de colocadores de solicitudes que siguen los procedimientos para la prevención de riesgos, y el porcentaje de clientes a los cuales se les informa sobre los productos.
Indicadores de logros miden los resultados a nivel del programa. Entre los ejemplos figuran la cantidad de clientes atendidos, el porcentaje de clientes que reciben un trato adecuado, las tasas de fidelización
Indicadores de resultados miden los efectos del programa a corto plazo y los impactos de largo plazo en la población en general: por ejemplo, la incidencia de propuestas denegadas sobre propuestas totales, la tasa de morosidad de clientes aprobados bajo los procedimientos crediticios.
Entre ellos hemos escogido un primer grupo que podrá ser ampliado o modificado:
ASPECTO INDICADOR Verificación de documentos de identidad, del cliente, aval y/o cónyuge
Calidad, cantidad de errores por analista, por mes
Constitución y Control de Garantías Conformidad o disconformidad con normas. Errores de tasación Errores de registro
Atención de clientes Créditos otorgados, rechazados, clientes atendidos y concretados, quejas recibidas. Incremento de cartera de clientes
Determinación del Riesgo Crediticio Calidad de análisis, errores por analista, cartera vigente por analista o por oficina
Metodología y Sistema de Cobranzas Mora, situación de cartera, materialidad de recuperaciones.
Sistema de Normas, Procedimientos y disposiciones operativas internas
Normas preparadas, y normas aprobadas. Número de observaciones de usuarios. Tiempo útil a tiempo de proceso.
Personal de la institución – Analistas de Créditos, Asistentes Administrativos, Jefes de Agencia
Cumplimiento de requisitos del puesto: conocimientos financieros, aptitudes, experiencia, Evaluaciones de Personal, Sanciones.
Control de Gastos Operativos y Administrativos Presencia de ítems innecesarios. Porcentaje con respecto a la Cartera
Archivo de documentos – File de clientes Files extraviados, procesos demorados. Ordenamiento
Créditos Morosos, Cartera pesada, refinanciaciones Frecuencia, importancia
51
Anexo 2
Identificación de Riesgos
Se trata del análisis del Proceso Crediticio de acuerdo al flujo grama presentado por la CENTRAL el cual ha sido validado por nuestra firma de acuerdo al manual de procesos y a la aplicación de mejores prácticas.
Se deben considerar al menos los siguientes puntos:
• ¿Qué trabajo se realiza? • ¿Qué área efectúa el trabajo? • ¿Cómo se efectúa el proceso? • ¿Cuándo se hace? • ¿Dónde se hace? • ¿Por qué se hace? • ¿A qué áreas afecta? • ¿Cuáles son los resultados?
Personal de Plataforma Recepciona
documentos del cliente
1
Analista de Créditos
recibe expediente
Visita a Clientes en el negocio para la
evaluación crediticia y verifica
garantías
Comité de créditos evalúa
Registro en el Libro de Actas
Pasa a desembolso de
Caja
Fin del proceso
Revisa documentación
¿Es conforme?
Se devuelve al Cliente
Se ingresa al Sistema Scoring
¿Aprueba scoring?
Se devuelve al Cliente
SI NO
Genera automáticamente
una solicitud inicial de crédito
Solicitante suscribe Solicitud
de crédito
Documentos de sustento
Solicitud de Crédito inicial
De acuerdo a la dirección de
residencia , se asigna a Analista
de Créditos
¿Es conform
e? SI
NO Devuelve a Plataforma
para regularización
Recoge información cualitativa y cuantitativa
Efectúa visita de evaluación al Aval y verifica garantías
Ingresa datos e información al
Sistema Scoring
Se genera Propuesta de
créditos Se genera
Solicitud definitiva de créditos
¿Dentro de la autonomía del
Analista?
Aprueba o rechaza y
comunica al Comité de créditos
SI NO
¿Comité aprueba?
Devuelve al
Analista
NO SI
Traslado a Asistente de
Operaciones para formalización de la instrumentalizació
n de garantías
Se inscribe garantías a favor
de la entidad
Los intervinientes suscriben
Contrato, Pagarés, Póliza, DDJJ.
N
Expediente de Crédito
PROCESO CREDITICIO - ANALISIS DE RIESGOS
Fuente: EDYFICAR
1.- Se recibe copias de documentos de identidad ilegibles.
3.- No fedatean conformidad de la firma.
4.- No consideran pautas de la
Unidad de Riesgos, sobre riesgos de mercado.
5.- Sin parámetros para el tipo de garantía.
2.- Carecen de Base Negativa Interna
7.- Inscripción de garantías por
personal no especializado
6.- Tasación de garantías por el personal de
la entidad, no
especializado
8.- No cumplen con entregar copia de pagaré al
cliente, Resolución
SBS G-0090-2001, Ley 27287
Fuente: EDYFICAR
52
El proceso crediticio es el principal generador de ingresos de la CENTRAL. Se le considera un proceso Muy Crítico porque está conformado por variables que forman parte primordial del negocio y porque sus fallas, ausencias o indebida utilizaciones ponen en peligro la viabilidad del negocio en su conjunto.
La frecuencia o probabilidad de ocurrencia (de un fallo, ausencia o indebido cumplimiento) se presenta al menos una vez por semana aunque al ser muchas operaciones el efecto individual es muy bajo.
El impacto producido por una gran cantidad de operaciones con resultados negativos (malos clientes) generará un aumento de cartera pesada, provisiones y de ser mayor a las utilidades, una incidencia sobre el capital. De acuerdo al análisis corresponde a un proceso muy crítico y de impacto catastrófico 2
La exposición al riesgo nos sitúa en una el segmento de mayor impacto y el segundo de frecuencia
Mapeo
El mapeo se efectúa siguiendo las pautas determinadas en la metodología desarrollada en el Manual de Control de Riesgos y cumpliendo con lo dispuesto por el Manual de Políticas y Procedimientos
Muy Común
Común
Frecuente
Ocasional
Raro
Muy poco Muy poco
Significativo 1 Significativo 2 Importante 2 Catastrófico 1Moderado 1 Moderado 2 Moderado 3 Importante 1
Impacto
F
recu
enci
a
Menor 1 Menor2 Catastrófico 2
El proceso de mapeo se realizará en función a la relación entre la materialización de riesgos de aquellos riesgos generados por actividades o unidades como se muestra en los cuadros siguientes:
Reducir Aceptar Evitar
Transferir
RIESGOS INHERENTES AL NEGOCIO DE LAS ÁREAS ORGÁNICAS
ÁREAS CONTABLE GESTIÓN INSOLVENCIA LEGALLUCRO
CESANTE OPERATIVO SEGURIDAD IMAGEN INFORMACIÓNTIPO DE INTERES LIQUIDEZ FRAUDE ORGANIZATIVO ESTRATEGICO
B.I. DIVISIÓN FINANCIERA
Banca Intermediación
B.I.1. Intermediación r a v v a r a v a
B.II. RIESGOS
B.II.1. Análisis de Riesgos r r r a v r a r r
B.II.2. Seguimiento y Rating r r r r r
B.II.3. Soporte Operativo de Riesgos a a a r a v r r r r a
B.III. TESORERÍA Y MERCADOS CAPITALES
B.III.1. Tesorería v v v v a v v a v
B.III.2. Mercado de Capitales a
B.III.3. Valores de Clientes v r a v v v v a
53
B.I. BANCA CORPORATIVA RIESGOS INHERENTES AL NEGOCIO DE LAS ÁREAS ORGÁNICAS
B.I.1. Banca Corporativa
Materialización de los riesgos IMPORTANCIA CONTABLE GESTIÓN INSOLVENCIA LEGALLUCRO
CESANTE OPERATIVO SEGURIDAD IMAGEN ORGANIZATIVO ESTRATÉGICO
No optimización de las tareas realizadas r a
Exposición al riesgo de insolvencia a a
Falta de criterios en seleccionar operaciones v A A
Contratos jurídicos complejos a V
Incidencias administración de los préstamos r r r
Falta de un modelo de rentabilidad por cliente a a
Dificultades en el control y administración de operaciones
como Banco Agente a r
Inadecuado seguimiento de las operaciones r v v
Inadecuada custodia de los expedientes v a
No realización de las funciones asignadas r v
No cumplimiento de los objetivos establecidos r
EVALUACIÓN GLOBAL r a v v a r a v a
B.II. RIESGOS RIESGOS INHERENTES AL NEGOCIO DE LAS ÁREAS ORGÁNICAS
B.II.2. Seguimiento y Rating
Materialización de los riesgos IMPORTANCIA CONTABLE GESTIÓN INSOLVENCIA LEGALLUCRO
CESANTE OPERATIVO SEGURIDAD IMAGEN INFORMACIÓN INTERÉS LIQUIDACIÓN FRAUDE ORGANIZATIVO ESTRATÉGICO
Escasa formación de la plantilla en análisis. r r
Falta de perspectiva macroeconómica. v a a
Inadecuado segumiento de las operaciones especiales. r R R
No actualización de aplicativo Credem al Euro. v a
Utilización inadecuado del DAS. a v v
Información económica desactualizada. a a a
Procedimientos no eficaces en la gestión. r r r
Desactualización de los grupos económicos. v r r r
Falta de seguimiento de los planes de viabilidad. r r
Desatualización de los análisis realizados. a a a a
Erróneos criterios de selección de titulares. r
No realización de las funciones establecidas. r r
Incumplimiento de los objetivos establecidos. r r
EVALUACIÓN GLOBAL r r r a r r
54
Anexo 3
Informes. Modelo de Informes de la Unidad de Riesgos
Los informes serán realizados siguiendo el presente modelo que puede modificarse a instancias del Comité de Riesgos quien podrá presentar un nuevo modelo de reporte al Directorio para su aprobación
Estructura sugerida del Informe de Riesgos:
1. Organización de la función de riesgos 2. Riesgo de crédito
• Sistemas internos de rating • Operaciones de financiación • Escala maestra • Los modelos internos de riesgos y el Nuevo Acuerdo de Basilea
3. Rentabilidad ajustada al riesgo 4. Cuantificación de la prima de riesgo 5. Pérdida esperada y capital de riesgo 6. Capital de riesgo 7. Pérdida esperada y capital económica del grupo 8. La gestión del riesgo crediticio 9. Riesgo de Concentración 10. Riesgo de Contrapartida 11. Riesgo País 12. Riesgo de Liquidez 13. Riesgo Operativo 14. Gestión de riesgos Medioambientales 15. Riesgo de Mercado
Cada uno de los riesgos deberá ser estructurado en informes que considerarán los propuesto por los Manuales de Control de Riesgos y el cumplimiento del Manual de Políticas y Procedimientos.
Anexo 4 GRAFICO PROCESO
55
GRAFICO DE PROCESO DE GESTION DE RIESGOS
Inicio
IDENTIFICACION
MEDICION
MONITOREO
CONTROL
FIN FIN
PRODUCTOS, PROCEDIMIENTOS,
ACTIVIDADES, SISTEMAS,PROCESOS
CUALITATIVA
CUANTITATIVA
PRIORIZACIÓN
TRATAMIENTO ADECUADO
MODELOS
ESCENARIOS
CONSTRUCCIÓN DE:
MITIGAR
EVITAR
TRANSFERIR
ASUMIR CON FINAN.
Matriz de Riesgo Institucional
Anexo 5 Plan de Contingencias
Fases del Plan de Contingencias
DETERMINACION DENECESIDADES.
AMBIENTEINVENTARIO DE ELEMENTOSINVENTARIO DE CONTROLESAREASANALISIS DE RIESGOS
IMPLEMENTACIONDocumentaciónEntrenamientoPruebasAceptación
Desarrollo del Plande Accion*Reacción a emergencias*Respaldo*Recuperación
MANTENIMIENTOAMBIENTE CAMBIANTETECONOLOGIA CAMBIANTEEVALUACION Y PRUEBASPERIODICASREENTRENAMIENTODOCUMENTACIONNECESIDAD DE MODIFICACIONES
ANEXO 6 DEFINICIONES DE TERMINOS
• Administración de riesgos: Conjunto de objetivos, políticas, procedimientos y acciones que se implementan para identificar, medir, monitorear, limitar, controlar, informar y divulgar los distintos tipos de riesgo a que se encuentran expuestas las entidades de intermediación financiera.
• Análisis de riesgo: Evaluación sistematizada de la información que permite determinar la frecuencia de eventos de riesgo especificados y la magnitud del impacto.
• Áreas de negocios: son las distintas unidades de la empresa que toman riesgos tales como la unidad de créditos, de tesorería y otras.
• Área de registro: es la unidad encargada del procesamiento contable y de la verificación de la información utilizada por las áreas de negocios.
• Comité de Supervisión Bancaria de Basilea:
• Cobit: La metodología COBIT (Control Objectives for Information and related Technology; vinculada a la tecnología de la información
• COSO: El seguimiento de la metodología COSO (Committee of Sponsoring Organization of the Traeway Comisión) inciden en el proceso de identificación de
57
actividades críticas y riesgos potenciales inherentes a los procesos administrativos y de negocios.
• Directorio: Toda referencia al directorio, entiéndase realizada a cualquier órgano equivalente.
• Eventos externos: Aquellos sobre los que la entidad no tiene influencia pero que pueden afectar sus actividades
• Frecuencia: Probabilidad de ocurrencia de fallo, ausencia, uso inadecuado
• Impacto: Efecto sobre la actividad de la entidad
• Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada
• Límites de Exposición: Exposición aceptada por la entidad de intermediación financiera como cota superior del riesgo financiero que determina puede soportar sin ver afectada la solvencia.
• Mapeo: identificación de riesgos en base a una evaluación gráfica que se sustenta en la lógica del análisis de procesos y en estimaciones cuantitativas y cualitativas.
• Modelos Internos: Mecanismos de medición de riesgo diseñados por la misma entidad de intermediación financiera o por terceros que permite en el caso de riesgos de crédito identificar la probabilidad de incumplimiento, la pérdida dado el incumplimiento, la exposición a pérdida y el impacto sobre las utilidades y reservas o el capital económico. En el caso de riesgos de mercado en portafolios de inversión el valor en riesgo, y en caso de tasa de interés en el balance el riesgo del valor económico y el riesgo en el margen financiero anual. En el caso de riesgo operativo los modelos sobre pérdidas e impacto propuestos por el Comité de Supervisión Bancaria de Basilea.
• Personas: funcionarios, empleados y otros que desempeñen cargos o realicen labores dentro de la empresa.
• Proceso: Conjunto de actividades, tareas y procedimientos organizados y repetibles.
• Proceso Crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la empresa, y cuya falta o ejecución deficiente puede tener un impacto financiero significativo en la empresa
• Riesgo de Crédito: Pérdida potencial que se origina cuando se presenta una variación en las condiciones y plazos originalmente pactados de un contrato de colocación de préstamos.
• Riesgo Corporativo: Conjunto de riesgos que inciden sobre la actividad de la entidad de intermediación financiera incluye al riesgo de crédito, riesgo de mercado, riesgo de liquidez, riesgo operacional, riesgo legal, entre otros.
• Riesgo Legal: Pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que esas instituciones llevan a cabo.
• Riesgo de Liquidez: Pérdida potencial por la venta anticipada o forzosa de activos a descuentos inusuales para hacer frente a sus obligaciones, o bien, por el hecho de que una posición no pueda ser oportunamente cubierta mediante el establecimiento de una posición contraria equivalente.
• Riesgo de Mercado: Riesgo de mercado: Riesgo de tener pérdidas en posiciones dentro y fuera de la hoja de balance, derivadas de movimientos en los precios de
58
mercado. Se incluye a los riesgos pertenecientes a los instrumentos relacionados con tasas de interés, riesgo cambiario, cotización de las acciones, commodities, riesgo de tasa de interés en el balance y otros.
• Riesgo Operativo: Pérdida potencial por fallas o deficiencias en los sistemas de información, en los controles internos o por errores en el procesamiento de las operaciones. riesgo operacional o riesgo de que se originen pérdidas imprevistas como resultado de errores producto de fallas humanas, deficiencias en los controles internos o fallos de los sistemas implantados; riesgo legal o riesgo de se produzcan quiebras por contratos inadecuadamente documentados o porque no puedan ejecutarse por algún defecto formal y, por último; riesgo de robo, fraude o estafa por parte de clientes, representantes, empleados o directivos.
• Reglamento de Auditoría Interna: Reglamento de Auditoría Interna aprobado mediante la Resolución SBS Nº1041-99
• Reglamento del Sistema de Control Interno: Reglamento del Sistema de Control Interno aprobado mediante la Resolución SBS N°1040-99.
• Seguridad de la Información: Protección de la información en cuanto a confidencialidad, integridad, disponibilidad y eficiencia en base a la aplicación de políticas, procedimientos, estructura organizacional, herramientas informáticas y capacidad del personal.
• Servicios críticos provistos por terceros: Servicios relacionados a procesos críticos provistos por terceros y cuya falta o ejecución deficiente puede tener un impacto financiero significativo en la empresa.
• Tecnología de la Información: Incluye todos los sistemas informáticos y la tecnología asociada a dichos sistemas.
Transferencia de riesgos: Cambiar la responsabilidad, prelación o carga por las pérdidas a un tercero quien asume la totalidad o parte de los riesgos. La transferencia puede realizarse por medio de la legislación, contratos de seguros u otros medios.
ANEXO 7
8.6. “PROBLEMAS OBSERVADOS EN LAS ONG CREDITICIAS14
Existen diversos problemas que tienen las ONG respecto al Control Interno y el Riesgo Operativo. Dentro de ellos citaremos algunos, observados comúnmente en entidades no lucrativas.
1. El principal riesgo está fuertemente asociado con la supervivencia financiera. Muchas
veces los estados financieros arrojan perdidas, por problemas estructurales de rentabilidad, que no son atendidos a tiempo. Este es el caso de ciertas empresas, y de instituciones sociales que trabajan en sector pobreza y micro finanzas.
2. Existe carencia de un sistema de indicadores clave (KRIs). No siempre se da atención a asuntos de productividad, márgenes financieros, a nivel institucional, por productos y por analista, para determinar las medidas o las decisiones a tomar. Es necesario que la
14 M. Valdez. Riesgo Operativo. En prensa.
59
administración tenga una política con relación al punto de equilibro en las oficinas o agencias, la rentabilidad de los clientes mismos, por analistas y por volumen de cartera.
3. A veces, los locales de oficinas presentan graves riesgos de inseguridad física del personal antes posibles desastre como pueden ser incendio o terremoto.
4. Faltan medidas de seguridad física de títulos valores, no se hace inventarios de valores ni se devuelve las letras canceladas a los usuarios finales.
5. El control de útiles y formularios del economato, puede controlar por el sistema de ABC *lo más importante o costos( abriendo fichas de stock)
6. Las ONG y cooperativas tienen la necesidad de un Software integral que facilite su trabajo de créditos para alivio de la pobreza.
7. La seguridad de datos de las computadoras en red, no es adecuada pues hay carencia de back up y puede darse además la posibilidad de sustracción de datos de clientes que son vitales para el negocio.
8. Carencia de una estrategia y herramientas técnicas de captación de recursos. Que se consiga un tipo de financiamiento adicional que incluya financiamiento de gastos administrativos, además de capital de trabajo para créditos.
9. Que se priorice a capacitación tanto de analistas como de microempresarios en forma permanente y sistemática, como herramienta de logro de la calidad de negocios (búsqueda de la excelencia) y para atenuar riesgos.
10. Para ello es necesario se financie programas de capacitación que refuercen el crédito, los ahorros ante las microempresarias.
11. Desarrollo de la administración de recursos humanos. El personal a veces es nuevo y no es de plana institucional, sino que trabaja por servicios profesionales, debido al costo de las cargas sociales y la falta de recursos. Es necesario dar importancia prioritaria a los RR.HH. Comenzando de una selección basada en requisitos adecuados y una evaluación e incentivos constantes, económicos y no económicos que den reconocimiento a los analistas que más se esfuercen.
12. Reducir el tiempo y exceso de reuniones de las micro empresarias y analistas para fines
administrativos, tales como los pagos semanales y pudiendo estudiarse periodos mayores, tales pagos quincenales.
13. Es necesario reducir el papeleo del prototipo de programa la Chanchita. Conviene estudiarlo en el seno de los técnicos y directivos del consorcio
14. Revisar el tiempo productivo en base a un análisis de las operaciones y su tecnificación con nueva tecnología, evitando en lo posible llenados de documentos en forma manual. Esto debe evitar que desplacen o quiten tiempo a las funciones de promoción, crédito y recuperación de las analistas.
15. Los formatos de Solicitud de Fondos, Control de Pagos por socios, y el de Constancia de entrega de fondos, podrían simplificarse en uno solo reduciendo el trabajo de las analistas.
16. Por otro lado el giro de cheque individuales a los usuarios finales (en sustitución al giro
de un cheque al Banco), ocasionaría un riesgo legal pues no condice con el crédito con solidaridad de la obligación Se nos explico que esto se hace así por razones de control interno.
17. Hay detalles como pasar la lista de asistencia también al final. Entrenar en manejo de
reuniones a las Juntas Directivas de los BB.CC. El manejo del tiempo debe ocupar un aspecto importante cuando se extienda el procedimiento de exponer la agenda de la reunión a los usuarios finales.
18. Ente los planes de contingencia y recuperación es aconsejable hacer una política para
tratar casos de deshonestidad.
19. Los analistas deben agregar una función de marketing o benchmarking de los productos de las competencia.
60
20. Es necesario tener en cuenta la Legislación de títulos valores y de protección al consumidor. Tener en cuenta los pagos quincenales que no se mencionan en el contrato firmado por la Presidenta del |Banco y la de la ONG.
En experiencias de trabajo con Bancos de Fomento o comerciales dedicados a los pequeño y micro créditos, podría señalar:
a. Elevada morosidad institucional o procedimientos de cobranzas débiles o inefectivos.
b. Morosidad que crece en ciertas agencias sin explicación lógica aparente. c. Decremento en los saldos de depósitos. d. Concentración de depósitos de campañas, que les da vulnerabilidad. e. Concentraciones de créditos en grupos o clientes influyentes. A veces son
familias influyentes con relaciones en la las esferas de gobierno y/o políticas. f. Debilidades técnicas para enfrentar con respuestas adecuadas y oportunas a la
competencia en el mercado. g. Personal no calificado o bien mantenido por razones “humanitarias” o sociales. h. Fallas en los sistemas de capacitación permanente e incentivos. i. Rotación alta del personal, que afecta los sistemas y procesos. j. Necesidad de racionalización de procesos y procedimientos. k. Desventaja grande en la tecnología. l. Planeamiento estratégico y operativo, inadecuado o ritualista. Muchas veces
este no concilia la teoría con la realidad, o bien no enfatiza en la fijación de medidas de actuación o riesgos, e indicadores.
m. Debilidad de controles internos por conflictos de intereses entre puestos y unidades.
n. Establecer o mantener una auditoria interna débil. o. Falta de consejo experto para la detección, denuncia y manejo en general
de casos de fraudes. “
ANEXO 8
PRINCIPIOS APLICABLE A LA ADMINISTRACIÓN DE RIESGOS INSTITUCIONAL
Principios
Principios Generales:
• Uniformidad: la política ha de ejecutarse uniformemente, es decir de acuerdo a las líneas generales establecidas por el Directorio.
• Eficacia: debe procurarse la máxima agilidad y eliminación de burocracia.
• Transparencia y gobierno corporativo: mejores prácticas en la divulgación de información al mercado.
• Coordinación: entre el Directorio, el Comité de Riesgos y la Unidad de Riesgos y entre estos y las otras áreas.
• Decisiones colegiadas: las decisiones, aprobando o denegando riesgos, se adoptan por unanimidad en los distintos comités.
� Divulgar la estrategia dentro de la organización � Organizar y desarrollar sus actividades de modo empresarial � Difundir la cultura institucional y la cultura de riesgos. Establecer
objetivos y metas acordes con la nueva cultura
61
� Cumplir el trabajo de modo coordinado y en equilibrio para preservar la agilidad y calidad del servicio
� Mantener la prudencia comercial � Cubrir riesgos y documentar adecuadamente las operaciones,
actividades, procesos.
Principios de riesgo:
• Unidad de Gerencia: corresponde a la Unidad de Riesgo y al Comité de Riesgos por jerarquía
• Descentralización: de la Unidad de Riesgo a través de sus especialistas, integrados en la estructura organizativa
• Especialización: de la unidad de riesgos en los diferentes niveles organizativos, reclutados y formados específicamente
• Supervisión: ha de ser continuada y especializada. Corresponde a Auditoría Interna establecer controles sobre los procesos internos y los criterios utilizados
• Responsabilidad: personal y conjunta • Formación: colaborar con la gerencia de RR.HH. en los planes de
formación específicos que será complementario al que se logra con el trabajo diario
Principios asociados con operaciones:
• Seguridad: debe perseguirse el buen fin de las actividades y operaciones
• Eficiencia: que las actividades se efectúen siguiendo las pautas del Directorio en los tiempos y condiciones establecidas
• Ajuste Rentabilidad/ Riesgo: optimizarse la productividad de la inversión • Análisis profundo: de todas las actividades, operaciones, procesos,
subprocesos, áreas, departamentos, unidades, sistemas, personas. • Vigilancia y control permanente: realizando un adecuado seguimiento a
las actividades
Disciplina: todo debe analizarse, instrumentarse, contabilizarse, controlarse de acuerdo a los principios y procedimientos fijados en la CENTRAL y sus ONG en consonancia con los lineamientos establecidos
