Page 1 RIESGO Y CONTROL ENFOQUE DE AUDITORIA. Page 2 QUE SON LOS RIESGOS Aunque existen muchas y variadas definiciones para el tema de administración

Page 1

RIESGO Y CONTROL

ENFOQUE DE AUDITORIA

Page 2

QUE SON LOS RIESGOS

Aunque existen muchas y variadas definiciones para el tema de administración de riesgos, no hay una única definición comúnmente aceptada o formalizada globalmente....a continuación se presentan algunas definiciones.

La posibilidad que algo suceda y que podría tener un impacto sobre los objetivos. Está medido en términos de consecuencias y probabilidad de ocurrencia. Estándar ASNZ 4360Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos. Guía de la administración del riesgos DAFP

Page 3

Es cuando el Concejo de Directores / Junta Directiva o la Alta Gerencia de una organización, administra o toma decisiones condicionadas por la percepción que tienen los individuos frente al concepto de riesgo, es por ello que frente a un mismo negocio o toma de decisiones un individuo incurrirá en un mayor riesgo que otro solo por su percepción al riesgo.

RIESGO DE PERCEPCIÓN AL RIESGO

Page 4

TENDENCIAS ACTUALES

Un mercado totalmente globalizado y por ende altamente competitivo que exige de sus participantes la oferta de productos innovadores , lo que requiere de ajustes muy rápidos en la tecnología y procesos que los soportan.

Deterioro de valores en la sociedad, aumento del desempleo y la delincuencia y por lo tanto incremento en las incidencias de fraudes.

El incremento de uso de canales virtuales para la realización de operaciones, con el incremento de los riesgos de fraudes electrónicos originado tanto de fuentes internas como externas.

El aumento de fusiones y adquisiciones con el consecuente riesgo de desajustes en las estructuras organizativas y sistemas.

Page 5

Implantación de metodologías para mejorar la Calidad en los procesos y el servicio al Cliente.

El nuevo Marco Regulatorio en materia de control, riesgos y gobierno corporativo que exige la implantación de las mejores prácticas en materia de control interno así como la adopción de una metodología de gestión de Riesgos Operacionales que minimice el capital en riesgo para cubrir este concepto.

TENDENCIAS ACTUALES

Page 6

ANALIZAR RIESGOS

Plan Estratégico de Riesgos Operacionales

• Misión, visión y objetivos estratégicos• Estructura Organizativa• Plan de Trabajo Inicial (Plan Piloto)

IDENTIFICAR LAS FUENTES DE RIESGOS

DeterminarProbabilidad

DeterminarImpacto

Estimar nivel de riesgo

PRIORIZAR RIESGOS

GESTION DE LOS RIESGOS• Evaluar opciones de tratamiento,

incluyendo análisis de costo-beneficio• Seleccionar mitigaciones y preparar plan

de mitigación• Implantar plan

MAPEO

DE PROCESOS

SEGUIMIE

NTO

MONITOREO

METODOLÓGICO GESTIÓN DE RIESGOS

Page 7

VISION

MISION

OBJETIVOS INSTITUCIONALES VENTAJAS

COMPETITIVAS

FACTORES CRITICOS DE

EXITO

ESTRATEGIAS

CORE COMPETENCIAS O COMPETENCIAS CLAVE

VALORES ORGANIZACIONALES

COMPETENCIAS DEL PERSONAL

OBJETIVOS OPERACIONALES

( SCORECARD)

OPORTUNIDADES

FUERZAS DEBILIDADES

RIESGOS

EVALUACION DEL DESEMPEÑO

EL MAPA DE LA PLANEACION ESTRATEGICA

Page 8

##

Ap

ren

der

Visióny

Valores

Act

ivid

ades

de

Imp

lem

enta

ció

n

Mej

ora

r la

Est

ruct

ura

d

e A

ud

ito

ría

Seguimiento

Rev

isío

n

de

la V

isió

n

Rev

isió

n d

eE

fec

tiv

idad

del

Sis

tem

a

Rev

isi ó

n d

e P

rin

cip

ios

y E

s tra

teg

ias

Principios y Estrategia

Plan de Implementación

Estructura de Auditoría

Lineamientosde Reporte

Medición y Seguimiento

Reporte Interno y Externo

Stakeholders

Hacer

Stakeholders

Ob

jeti

vos,

ta

rget

s &

KP

Is

Enfoques Contemporáneos de Validación (Auditoría)

Enfoque Integral de Desempeño Gerencial

Page 9

Sistemas Integrados de Informacióny Reportes

Valores yMisión

Estrategia yGobierno

Corporativo

OperacionesEstándares de

Medición yReporte

DesempeñoFinanciero No Financiero

“Stakeholders”Externos

“Stakeholders”Externos

Conductores de CambioRevisión y

retroalimentaciónProblemas en el Desempeño

Áreas de Negocio

“StakeholdersExternos”


Page 10


Enfoque de Riesgos en Procesos Críticos

OPORTUNIDADES DE MEJORAMIENTO

REPORTE DEAUDITORÍA

Parámetros

Cómo encaja el negocio

“Stakeholders” Internos y Externos

Entendimiento del NegocioObjetivos & estrategias

Riesgos Asociados con los reportes de información no financiera (“Riesgo Total”)

Cómo responde la organización a tales riesgos) (Gerencia y Control del Riesgo)

Riesgo Residual

Pruebas de Auditoría

Page 11

INFORMACION BASICA A CONSIDERAR EN LA EVALUACION DEL RIESGO GENERAL

o Sector en donde esta ubicada la entidado Los resultados obtenidos por la entidado La estructura financiera de la entidado La estructura organizacional de la empresao La operación en si de la compañía

La cultura organizacional y de control La estimación preliminar de la importancia

relativa La determinación del ambiente de control Identificación de riesgos de auditoria

significativos.

CONOCIMIENTODE LA ENTIDAD

Page 12

ASPECTOS A TENER EN CUENTA EN EL PROCESO DE EVALUACION DE RIESGOS GLOBALES

1. Se han dado proyecciones muy optimistas y fuertes presiones para alcanzar esas proyecciones.

2. Se usan políticas contables agresivas para mejorar los resultados.

3. Hay experiencias de reservas bajas o insuficientes.

4. Hay experiencias de ajustes de auditoria.

5. Se han sucedido intentos de esconder situaciones temporalmente

malas.

Page 13

CLASES DE CONSIDERACIONES A EVALUAR EN EL ANALISIS DEL RIESGO GENERAL

I. EXTERNAS:

Son factores que por lo general están por fuera de control de la dirección.o tendencias de la industriao cambios económicoso otra información que indique un mayor o menor riesgo de diferencias.

II. INTERNAS

o ha existido proyecciones exageradamente optimistas.o eficacia de los procedimientos o eficacia de los controles

Page 14

CLASES DE CONSIDERACIONES A EVALUAR EN EL ANALISIS DEL RIESGO GENERAL

I. ESTABILIDAD FINANCIERA DE LA ENRIDAD:Estos problemas no se relacionan (con un hecho interno o externoespecifico, por lo general son reflejo de la acumulación de problema) de laentidad.

EL ANALISIS DEL RIESGO GENERAL CONSIDERA LOS RIESGOS DEL AMBIENTE EXTERNO E INTERNO QUE AUMENTAN O DISMINUYEN LOS RIESGOS INHERENTES Y DE CONTROL.

Page 15

Sombrilla del Gobierno Corporativo

INTERESADOS

Actividades

de

Aseguramien

to (Auditores

Internos y

Externos)

Proceso del Enterprise Risk Management

Consejo de Directores

Alta Gerencia

Adm.

Riesgos

Dueños de Riesgos

Auditoría y Administración de RiesgosEl Ciclo del Gobierno Corporativo

Page 16


• Responsabilidades Directivos:o Identificar y entender las necesidades de los

interesadoso Determinar y evaluar los posibles resultados de las

actividades del negocioo Ser conscientes y concordar con el apetito de riesgo

de la empresao Definir el nivel de tolerancia relativa a posibles

resultados adversoso Delegar la autoridad a la gerenciao Establecer los requerimientos de información y

comunicación

Page 17


• Responsabilidades de la Alta Gerencia:o Identificar los procesos y actividades críticaso Identificar el umbral del monitoreo de riesgo que

justifica su delegacióno Delegar la responsabilidad, autoridad y rendición de

cuentas a los apropiados dueños de riesgoso Establecer los requerimientos de información y

comunicación para los dueños de riesgos

Page 18


• Responsabilidades de los dueños de riesgos:o Las actividades de administración de riesgos están diseñadas

eficazmente para administrar los riesgos relacionados dentro de las tolerancias especificadas

o Asegurar que la administración de riesgos funciona como se espera

o Monitorear las actividades de administración de riesgos para determinar, en forma oportuna, las anomalías y las divergencias de los resultados esperados

o Comunicar todos los resultados oportunamente a la alta gerencia

Page 19


• Responsabilidades del auditor:o Evaluar si las actividades de administración de riesgos se han

diseñado de manera efectivao Determinar si las actividades de administración de riesgos están

operando tal y como fueron diseñadaso Evaluar si las afirmaciones de los dueños de riesgos a la alta

gerencia re: administración de riesgos son exactaso Evaluar si la información de la alta gerencia al consejo es

completa y exactao Identificar cualquier área de gobierno o riesgo que actualmente

no esté siendo cubierto por el proceso de ERM

Page 20

Infraestructura de Riesgos

Estrategia de Riesgos

Análisis de Riesgos

Evaluación de Riesgos

Apetito de Riesgo• Estrategia• Ganancias

Modelo de Negocio• Objetivos Estratégicos

• Metas Anuales

Organizacional• Cultura

• Estructura

Auditoría y Administración de Riesgos

Page 21

Auditoría y Administración de Riesgos Etapas de la Evaluación de Riesgos

La cultura y estructura organizacional de la compañía forman la última entrada en el proceso de ERM, sin embargo, existen tres etapas básicas:

Identificar: técnicas para identificar eventos que son indicativos de riesgos ¿Cuáles son los riesgos que podrían afectar el éxito de una empresa?

Evaluación: importancia del riesgo ¿Qué impacto tendría cada uno de estos riesgos en la empresa? ¿Cuán probable es que el riesgo ocurra? ¿Cuánta tolerancia tiene la empresa para permitir que el riesgo se

produzca? Filtración: filtrar los riesgos hasta bajar, a un número

manejable de riesgos claves

Page 22

Auditoría y Administración de Riesgos Etapa del Análisis de Riesgos

Fuentes de riesgos: ¿Dónde ocurre el riesgo? (Externo a la organización o interno dentro de una de las empresas, localidades, procesos, etc.)

Conductores de riesgos: ¿Qué causa que el riesgo ocurra y por qué?

Mediciones de riesgos: ¿Cómo puede el riesgo ser medido, cómo sabrá la compañía que el riesgo está ocurriendo y a qué extensión?

Page 23

Auditoría y Administración de Riesgos Etapa de la Estrategia de Riesgos

Una vez identificados los principales riesgos y los principales conductores de estos riesgos, es el momento de identificar y evaluar las estrategias de riesgo:

Evite el riesgo: despojándose, prohibiendo Transferir el riesgo: asegurando, titulización, adquiriendo

coberturas, subcontratando Reducir el riesgo: estableciendo controles, estableciendo

límites para transacciones Aceptando el riesgo: auto asegurándose, monitoreando,

técnicas de reacción Explotar el riesgo: asumir riesgos más altos agregando

volumen, oportunidades de arbitraje, etc.

Page 24

Auditoría y Administración de Riesgos Un Proceso Continuo

La administración de riesgos de la empresa no es un proceso estático de una sola vez

Es un proceso continuo, en tiempo real que debe permanecer vivo dentro de la organización

Es un cambio de cultura

Page 25

¿TIPO DE RIESGO?

Page 26

Principios del sistema de Control Interno

AUTOCONTROL

AUTOGESTIÓN AUTOREGULACIÓN

Page 27

Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la gerencia y el personal de la Compañía, para proveer aseguramiento razonable para alcanzar los siguientes objetivos:

Efectividad y eficiencia en las operaciones. Cumplimiento de leyes y regulaciones internas y externas

aplicables. Confiabilidad en la información financiera. Prevención del fraude Desarrollar adecuadamente su objeto social y alcanzar sus

objetivos, en condiciones de seguridad, transparencia y eficiencia.

Definición y objetivo del Sistema de Control Interno

Page 28

Definiciones de Control Interno En los Estados Unidos la referencia más común es el

informe COSO*, Control Interno - Un Marco de Trabajo Integrado.

El control interno es un proceso -- efectuado por la junta directiva, la administración, y otro personal de una entidad -- diseñado para proporcionar seguridad razonable sobre el logro de los objetivos en las siguientes categorías: confiabilidad de la información financiera, eficacia y eficiencia de las operaciones, y cumplimiento con las leyes y regulaciones aplicables.

*Committee Of Sponsoring Organizations – Trade Comission

Page 29

Responsabilidades dentro del Sistema de Control

Órganos Internos

Comité de auditoría

Representante legal

Auditoría interna

Órganos Externos Revisor fiscal

Junta directiva

Page 30

Etapas de maduración de los controles en las compañías

Marco de Maduración del Control Interno - ¿En donde se encuentra usted?

No confiable

Las actividades de control no están diseñadas o no están implementadas. El ambiente de control es impredecible.

Informal

Las actividades de control están diseñadas e implementadas pero no están documentadas adecuadamente.

Estandarizado

Actividades de control diseñadas, implementadas y adecuadamente documentadas.

Monitoreado

Controles estandarizados. Se evalúa periódicamente el diseño y la efectividad operacional y se reporta a la gerencia.

Optimizado

Los controles están integrados. Existe un monitoreo por parte de la gerencia en tiempo real, mejoramiento continuo.

Page 31

Elementos del Sistema de Control InternoCOSO

Actividades de control

Políticas/procedimientos que aseguran que las directrices de la gerencia se llevan a cabo.

Gama de actividades incluyendo aprobaciones, autorizaciones, verificaciones, recomendaciones, revisiones de desempeño, seguridad de los activos y segregación de funciones.

Monitoreo

Evaluación del desempeño de un sistema de control a través del tiempo.

Combinación de evaluación continua e individual.

Actividades de administración y supervisión.

Actividades de auditoría interna.

Ambiente de Control

Establece el tono de la organización, influenciando la conciencia de control de sus funcionarios.

Los factores incluyen integridad, valores éticos, competencia, autoridad, responsabilidad.

Fundamento para todos los demás componentes de control.

Información y Comunicación

Información relevante identificada, capturada y comunicada de forma oportuna.

Acceso a la información generada interna y externamente.

Flujo de información que permite acciones de control exitosas a partir de instrucciones sobre las responsabilidades de resumen de hallazgos para acción por parte de la gerencia.

Evaluación de riesgo

La evaluación de riesgo es la identificación y análisis de los riesgos relevantes para alcanzar los objetivos de la organización que conforman la base para determinar las actividades de control.

Todos los cinco componentes deben ser colocados en su lugar para un control efectivo




Monitoreo





Ambiente de Control














Monitoreo





Ambiente de Control











Evaluación de Riesgos

Page 32

Componente – Ambiente de Control

Tono de la organización

Estructura de negocios de la entidad

La asignación de autoridad y responsabilidad

Políticas y procedimientos consistentes

Ideología y estilo operativo de la gerencia

Políticas y prácticas de personal

Programas para toda la entidad, tales como código de comportamiento y prevención de fraude

Integridad y Valores Éticos

Competencia

Influye en la conciencia de control del personal

Page 33

La esencia de cualquier negocio es su gente, sus atributos individuales, incluyendo la integridad, los valores éticos, y la competencia .

El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y cumple con sus responsabilidades de control.

CONTROL INTERNOComponente – Ambiente de Control

Page 34

Integridad y Valores Éticos

La integridad y los valores éticos son elementos esenciales del ambiente de control que afectan el diseño, la dirección y la vigilancia de otros componentes de control interno.

La integridad es un pre-requisito para el comportamiento ético en todos los aspectos de la actividades de una empresa.

Los gerentes de empresas bien dirigidas han aceptado cada vez más el punto de vista de que ¨la ética vale la pena¨ el comportamiento ético es un buen negocio.

El comportamiento ético y la integridad de la dirección son un producto de la cultura corporativa.

Las políticas oficiales especifican lo que la dirección desea que suceda.

La cultura corporativa determina lo que en realidad sucede y cuáles reglas son obedecidas, combatidas o ignoradas.

Usualmente los principales ejecutivos de la organización, son las personas dominantes y son quienes con frecuencia fijan el propio tono y norte ético.


Page 35

La administración necesita especificar los niveles de competencia para los trabajos particulares y convertirlos en requisitos de conocimiento y habilidades.

Competencia

Junta Directiva y Comité de Auditoria

El ambiente de control y la cultura del control interno, deben ser influenciados en gran forma por la Junta Directiva o Consejo de Administración de la entidad y el Comité de Auditoria desde el Gobierno Corporativo.

Filosofía Administrativa y Estilo de Dirección.

La filosofía de dirección y estilo de operación afectan la forma como una empresa se maneja, incluyendo los tipos de riesgos de negocios aceptados.

En la medida que se contribuya o permita el desarrollo de las operaciones de la organización fuera de un adecuado ambiente de control, así serán los resultados y logros obtenidos. Confusión, incredulidad respecto de los logros, incertidumbre respecto de las cifras presentadas en los Estados Financieros.


Page 36

Asignación y Autorización

Involucra el grado en el cual los individuos y los equipos son animados a usar su iniciativa en la orientación y en la solución de problemas, así como los límites de su autoridad.

Políticas y Practicas de Recursos Humanos

Las prácticas de recursos humanos envían mensajes a los empleados con relación a los niveles esperados de integridad, comportamiento ético y competencia.

Tales prácticas se relacionan con cultura, orientación, entrenamiento, evaluación, consejería, promoción, compensación y acciones remédiales.

La estructura organizacional de una entidad proporciona el marco dentro del cual son planeadas, ejecutadas, controladas y vigiladas sus actividades tendientes al logro de los amplios objetivos de la entidad.

Estructura organizacional

Componente – Ambiente de Control

Page 37

ADMINISTRACION DE RIESGOS

Comunicación y consulta

Monitoreo y revisión

1. Establecer el contexto

ObjetivosGrupos de interésCriteriosDefinir elementos clave

2. Identificación de riesgos

Qué puede suceder ?Cómo puede suceder ?

3. Análisis de riesgos

Revisar controlesProbabilidadesConsecuenciasNivel de riesgo

4. Evaluar los riesgos

Evaluar riesgosRanking

5. Tratar los riesgos

Identificar opcionesSeleccionar las mejores respuestasDesarrollar planes de gestión de riesgosImplementar

Page 38

Evaluar los riesgos

• La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente

• El propósito de la evaluación de riesgos es tomar decisiones basadas en los resultados del análisis de riesgos (tratamiento de riesgos y la prioridad)

Page 39

Evaluar los riesgos

Nivel Descripción Nivel Descripción

1 Improbable 1 Insignificante

2P oco probable /

Raro2 Menor

3 P robable 3 Moderado

4 P otencial 4 Mayor

5 Casi cierto 5 Catastrofico

NIVEL DE PROBABILIDAD NIVEL DE IMPACTO

Concepto Concepto

P uede ocurrir en algún momentoEl riesgo tiene un efecto nulo o pequeño, en el desarrollo

del proceso - baja perdida financiera

Se espera que ocurra en la mayoria de circunstacias

El proceso es gravemente dañado - Enorme perdida financiera

P uede ocurrir sólo en circunstancias excepcionales

El desarrollo del proceso sufre un daño menor - Con perdida financiera menor

P robablemente ocurriria en la mayoria de circunstancias

El desarrollo del proceso sufre un deterioro, dificultando o retrazando su cumplimiento - Con afectación financiera

P uede ocurrir en la mayoría de circunstancias

El desarrollo del proceso es afectado significativamente - P érdida financiera mayor

Page 40

Evaluar los riesgos

Catastrófico

Mayor

Moderado

Menor

Insignificante

Rara vez Ocas ionalPoco

frecuenteFrecuente Muy frecuente

Extremo

Moderado Moderado Alto Extremo Extremo

IMPA

CTO

Moderado Alto Alto Extremo

Bajo Moderado Alto Alto Alto

FRECUENCIA

Bajo Moderado Moderado Moderado Alto

Bajo Bajo Bajo Moderado Moderado

Matriz de riesgos

Page 41

Evaluar los riesgos

Análisis Cualitativo

Análisis Cuantitativo

Probabilidad

Impacto

Probable

Posible

Improbable

Leve

Moderado

Catastrófico

Probabilidad de ocurrencia

Nivel Calificación

0 – 25 Improbable 1

26- 70 Posible 2

71- 100 Probable 3

Impacto Nivel Calificación

0 – 25 Leve 10

26- 70 Moderado 20

71- 100 Catastrófico

30

Page 42

Evaluar los riesgos

Page 43

Evaluar los riesgos

Page 44

Evaluar los riesgos

Page 45

Tratar los riesgos

• El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos

• Evaluar las opciones para tratar los riesgos

• Preparar planes de tratamiento• Implementar planes de tratamiento

45

Page 46

Tratar los riesgos

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Aceptar el Riesgo

• Auto-asegurarse (Self-insuring) contra pérdidas

• Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo

Compartir el Riesgo• Compra de seguros contra pérdidas

inesperadas significativas• Contratación de outsourcing para

procesos del negocio• Compartir el riesgo con acuerdos

sindicales o contractuales con clientes, proveedores u otros socios de negocio

Mitigar el Riesgo• Fortalecimiento del control interno

en los procesos del negocio• Diversificación de productos• Establecimiento de límites a las

operaciones y monitoreo• Reasignación de capital entre

unidades operativas

Evitar el Riesgo• Reducir la expansión de una línea

de productos a nuevos mercados• Vender una división, unidad de

negocio o segmento geográfico altamente riesgoso

• Dejar de producir un producto o servicio altamente riesgoso

Page 47

Tratar los riesgos

Fuente: Administración de Riesgos. AS/NZS 4360:1999, página 17.

Page 48

FACTOR DE RIESGO

situación, característica , circunstancia o atributo , cuya presencia se asocia con un aumento de la probabilidad de obtener un daño o pérdida

Page 49

EJEMPLO DE FACTORES Y RIESGOS

FACTOR• AUSENCIA DE POLÍTICAS

• FALTA DE NORMAS DE EVALUACIÓN

• PERSONAL NO CAPACITADO

• PERSONAL DESHONESTO

• AUSENCIA O FALTA DE CONTROL

RIESGO• QUE SE CONCRETEN

NEGOCIOS NO DESEADOS• QUE SE OTORGUEN

PRÉSTAMOS IRRECUPERABLES

• MALAS DECISIONES, ERRORES, INCUMPLIMIENTO NORMATIVO

• IRREGULARIDADES, FRAUDES

• ERRORES INVOLUNTARIOS Y VOLUNTARIOS, PÉRDIDAS

Page 50

RIESGOS

PAÍS

ESTRATEGIA

NEGOCIOS

ORGANIZACIÓN

OPERACIÓN

TECNOLOGÍA INFORMACIÓN

PERSONAL

LEGALES

Tipos de Riesgo

Page 51

REGISTRO Y CONTABILIZACIÓN

DESASTRES

INCUMPLIMIENTO

OPERACIÓN

ERRORESFRAUDES

Tipos de Riesgo

Page 52

PRIVACIDAD

INTEGRIDAD

TECNOLOGÍA DE INFORMACIÓN

EQUIPOS - SISTEMAS

DISPONIBILIDAD

Tipos de Riesgo

Page 53

ROTACIÓN

COMPENSACIÓNINCENTIVOS

LIDERAZGO EJECUTIVOCOMUNICACIONES

PERSONAL

IDONEIDADFORMACIÓN

Tipos de Riesgo

Page 54

Pasos implementación gestión de riesgo

Seleccionar procesos

clave

Comprender los procesos

Fuente de los riesgos

Documentar controles

clave

Evaluar el diseño

Efectividad de los

controles

Reporte

• Seleccionar los procesos clave conforme a la importancia en el cumplimiento misional, manejo de fondos y probabilidad de corrupción

• Considerar insumos de materialidad e importancia

• Comprender las actividades y los procedimientos

• Identificar reportes contables o de la gestión de proyectos, a fin de establecer materialidad

• Cruzar riesgos vs. procesos

• Documentar controles a nivel entidad• Documentar otros controles • Documentar controles a nivel preventivo y detectivos en los procesos principales

• Evaluar la efectividad del diseño de los controles a nivel entidad

• Tomar acciones de mejora sobre las deficiencias encontradas

• Evaluar la efectividad de los controles a nivel entidad y de procesos

• Remediar deficiencias a través de la implementación de recomendaciones

• Concluir• Comunicar• Reportar

• Cuáles son los riesgos a que se encuentran expuestos los procesos?

• En qué actividades se encuentran los riesgos?

• Cuáles son los controles clave?• Quién es propietario de los

controles clave?

• Cómo se encuentra el diseño de los controles ?

• Cuáles son los riesgos de falla de los controles?

• Cuál es el desempeño de los controles?

• Existen debilidades materiales o de cumplimiento?

Objetivos institucionales

Page 55

Gestión de riesgo operativo

FLUJO DE COBRANZA DOCUMENTARIA EN GARANTIA O EN DESCUENTORecepción de documentos en Cobranza por la SUCURSAL

Jefe deOperaciones

ClienteEjecutivoComercial

Empresa Adm.Procesos Centrales

Depto.SS.CentralesCobranza

Desd

e la e

ntreg

a por

el cli

ente

hasta

el en

vío a

la Em

presa

Adm.

de Pr

oces

os Ce

ntrale

s

EntregaDocumentos

solicitados porel EjecutivoComercial

RecibeDocumentos

entregados porel EjecutivoComercial

Devuelve alcedente losdocumentos

conobservaciones

¿Doctos.Conformes?

Recibe,verifica, revisa

y estampa V°B°en Mandato de

Cobranza

¿Doctos.Conformes?

SI

NO

Regularizaobservaciones

¿Corregidos?

SI

Revisadocumentos

RecibeDocumentos

enviado por elJefe de

Operaciones

SI Ingresa enPlanilla Controldoctos.recibidos

Devuelvedoctos. alEjecutivoComercial

NO

Envia doctos. aEmpresa

Adm.ProcesosCentrales

RecibeDocumentos

¿Doctos.Conformes?

Envía Planillade Control con

V°B° dedocumentosingresados al

sistema.

Recepciona yArchiva Planillade Control con

V°B°

DevuelveDoctos. con

Formulario deRechazos

NO

Recibe Doctos.con Formulariode Rechazos yenvía al Jefe de

OperacionesRecibe Doctos.Rechazados y

entrega alEjecutivoComercial

Resuelverechazos de los

doctos.

Inicio

NO

A

A

SI

B

RO:

* Suplantación deAceptantes enoperaciones.

RO:*No verificación de antecedentesllegados desde el ejecutivo.*No reemplazo de documentoseliminados objetados.*Registrar en forma errónea uomitir en Formulario dedevolución.* Extravío de documentación.

RO:* Mal evaluación deantecedentes comercialesdel deudor y Aceptantes.* No evaluación dedocumentación entregada.* Mantención de registrosincompletos de cliente.* No verificación de firmaen formulariocorrespondiente y endoso.

RO:*Mal ingreso dedocumentos recibidos,enplanilla de Control.* No verificación de V°B dePlanilla de Control.

RO:*No envío de Planilla deControl*No validación dedocumentación, llegadadesde Depto SSCentrales.* No revisión de Pagode impuestos.

Mapeo Procesos de negocio

Auto evaluaciónevaluaciòn

Prioridadalta

Prioridadmedia

Prioridad baja

Mapa de riesgos

INDICADORES CLAVE

Datos EventosInternos

Reporte de incidentes

eventos

incidentes

AnálisisNormal

escenarios

Datos eventosexternos

GESTIÒN INTEGRALTABLERO DE MANDO

COMPROMISOS, SEGUIMIENTO

Page 56

Evaluación de los controles, se observa el resultado de su nueva valoración para la organización. Igual ocurriría si se adicionarán Tratamientos.

Estado de los riesgos: Áreas, Objetivos, Cuentas, Procesos, Evaluación Auditoria, etc.

La matriz como herramienta gerencial:

Genera los Mapas de Riesgos (Matrices), por su valoración Absoluta, con Controles y con Tratamientos, por múltiples vistas y niveles de agregación (Estructuras).

Ponderación del sistema Consecuencia vs Probabilidad del riesgo 2, y Severidad (color) cambian , a medida que se controla.

Page 57Mapa de

Riesgos

Valoración de riesgos absolutos y con controles

EJECUCIÓN DE LA AUDITORIA Y CONSULTORÍA

Page 58

ORGANIZACIÓN INFRAESTRUCTURA

REGLAS

ESTRATEGIAToleranciaindicadores

POLÍTICASProced.Línea resp.

ComitéUnidad especilizadagestores

PLATAFORMA H/SMODELOSRRHH

GESTIÓNIdentificar, medirDecisión frente riesgoOptimizar límitesAsignación costos capital

Para Gestionar los Riesgos se requiere

Page 59

BASE DE DATOS DE EVENTOS RIESGO OPERATIVO

baja

Datos EventosInternos

Reporte de incidentes

eventos

incidentes

AnálisisNormal

escenarios

Datos eventosexternos

SE REQUIERE DATOS DE BUENA CALIDAD PARA TOMAR BUENAS DECISIONES

LA CANTIDAD DE DATOS ESRELEVANTE PARA EMPLEARMODELOS PREDICTIVOS

ES NECESARIO EL USO DE DATOS INTERNOS Y EXTERNOS, PARA TOMARMEJORES DECISIONES

Page 60

GESTIÓN INTEGRADA - COORDINADA

GESTIÓN DE CALIDAD

Satisfaccióndel cliente ISO

ADMINISTRACIÓN RIESGO OPERATIVO

Efectividadcontinuidad

Basilea

ADMINISTRACIÓN ACTIVOS DE LA INFORMACIÓN ConfidencialidadIntegridadcontinuidad

BUENAS PRACTICAS GESTIÓN TI

CONTROL INTERNOSeguridadConfiabilidad

ISO

COSO - COBIT

Page 61

ACTIVIDADES DE CONTROL

Se deben establecer y ejecutar políticas y procedimientos para ayudar a

asegurar que se están aplicando efectivamente las acciones identificadas

por la administración como necesarias para manejar los riesgos en la

consecución de los objetivos de la entidad.

DEFINICIONES DE CONTROL

Control significa lograr mantener dentro de los limites previamente fijados:

El rendimiento de un individuo, grupo, máquina o instalación.

Las características de un individuo, grupo, máquina o instalación.

Las características o el valor de una variable.

Page 62

Componente – Actividades de Control

Autorizaciones

Configuración/Controles de mapeo de cuentas

Excepciones/Informes de Edición

Interfaces/Controles de conversión

Indicadores clave de desempeño

Revisiones de la gerencia

Conciliaciones

Segregación de funciones

Controles de acceso

Page 63

TIPOS DE ACTIVIDADES DE CONTROL

Proceso de la información.

Se implementa una variedad de controles para verificar que estén completos y que exista la adecuada autorización de las transacciones.

Controles físicos.

Equipos, inventarios, valores y otros activos, se aseguran físicamente; en forma periódica sean contados y comparados con las cantidades presentadas en los registros de control.

Indicadores de desempeño

Relacionar unos con otros los diferentes conjuntos de datos-operacionales o financieros -, además de analizar las interrelaciones e investigar y corregir las acciones, sirven como actividades de control.

Segregación de funciones

Las responsabilidades para autorización de transacciones, el registro de ellas y la manipulación de los activos relacionados, se dividen.

CONTROL INTERNOComponente – Actividades de Control

Page 64

Componente – Información y Comunicación

Identificar lo que se debe comunicar

Identificar a quién debe comunicarse

Comunicar oportunamente

Asegurar entendimiento

Page 65

Componente – Monitoreo

Asegurar que el sistema de control interno continúa funcionando y logrando su objetivo.

Supervisión de los resultados de operación

Monitoreo de controles – Auditoría interna – Auto-evaluación

El proceso de presentación de información financiera

Page 66

Controles Significativos

Los controles que son significativos deben incluir:

Controles sobre el inicio, registro, procesamiento e informe de las clases significativas de transacciones, saldos significativos de cuentas, revelaciones y declaraciones pertinentes importantes

Controles sobre las transacciones no rutinarias ni sistemáticas (tales como cuentas que involucran criterio y estimaciones)

Controles sobre el proceso de presentación de informes financieros al final del período

Programas y controles anti-fraude Cada control significativo en un grupo que funciona para lograr un

objetivo de control

Page 67

Consideraciones de Controles Significativos

Considere:

Posibilidad de que las fallas en el control pudieran resultar en presentaciones erróneas

Incluya los cinco componentes del control interno Todos los controles y sitios significativos deben evaluarse

anualmente Otros controles que logran el mismo objetivo:

• Los objetivos de control de los informes financieros son comparables a las aseveraciones sobre los estados financieros

Documents

Page 1 RIESGO Y CONTROL ENFOQUE DE AUDITORIA. Page 2 QUE SON LOS RIESGOS Aunque existen muchas y variadas definiciones para el tema de administración