relación entre administración de riesgo y auditoría interna

XI Reunión de Auditores Internos de Banca Central

José Manuel Taveras Lay

Contralor

BANCO CENTRAL DE LA REP. DOM.

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA


CONTENIDO

• Introducción

• Antecedentes

• Evolución de la Gestión de Riesgo

• Gestión de Riesgo en la actualidad

• Responsabilidades de la Gerencia

• Apoyo de Auditoría y del Comité de Auditoría

• Auditoría basada en Riesgo


Desde siempre, ha sido importante para las organizaciones intentar evitar fraude, mantener la integridad de los controles internos, reducir los errores en el procesamiento de transacciones, entre otros aspectos importantes.

Sin embargo, en un mundo cada vez más globalizado, se hace necesario enfrentar con mayor rigor diversos riesgos producidos por avances tecnológicos, política, consumidores, la competencia, terrorismo; en escalas de tiempo cada vez más cortas, lo que ha llevado a estructurar una Gestión de Riesgo con enfoque integral.

INTRODUCCIÓN


DEFINICIÓN RIESGO OPERACIONAL

“Riesgo de pérdidas como resultado de personas, sistemas y procesos internos fracasados o de eventos externos”.

Comité de Basilea

Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el riesgo de reputación.

INTRODUCCIÓN


Elementos: “Marco de administración del Riesgo Operacional”

• Estrategias claras y supervisión por el directorio y la Gerencia

• Fuerte cultura del riesgo operativo

• Cultura interna de control – Claras líneas de responsabilidad y segregación de obligaciones

– Efectivo sistema interno de presentación de informes

– Planes de contingencia

INTRODUCCIÓN


Resultados

• Organización más eficiente

• Reducción en los eventos de pérdida

• Mejores niveles de servicio

• Reducción en los requerimientos de capital

Marco de actuación de la

Gestión de Riesgo (Política, Reglamento,

Procedimientos, Cultura, etc..)

INTRODUCCIÓN


ANTECEDENTES DE LA GESTIÓN DE RIESGO

En el entorno Internacional:

• Cambios en la economía mundial y mercados globalizados

• Ocurrencia de eventos de pérdidas importantes: – Caso del Banco Barings, Daiwa Bank, Sumitomo Bank, Allied Irish Bank.

– Caso de la caída del mayor banco de la República Dominicana. (Baninter).

• Mayor sofisticación de la operativa bancaria y de los mercados financieros

• Aumento de los casos de terrorismo


Entorno Organizacional:

• Diferentes estructuras organizacionales – Cada área gestiona de manera individual.

– Auditoría

• Analizaba y controlaba todos los temas relacionados con riesgo.

• Detectaba cierta categoría de riesgo operacional.

• Poca cultura de riesgo y control

• No existía una metodología ni proceso formal para la GR

• Alto índice de ocurrencia de eventos de riesgo, los cuales se mantenían en secreto

ANTECEDENTES DE LA GESTIÓN DE RIESGO


¿CÓMO HA EVOLUCIONADO LA GESTIÓN DEL RIESGO?

• Tradicionalmente, los riesgos más tratados habían sido los riesgos Financieros.

• En la última década, inicia mayor preocupación respecto al riesgo operacional y de ahí, la Gestión Integral de Riesgo:

– Administración del riesgo operativo otorga seguridad y solvencia.

• Conocimiento y documentación de los procesos internos.

• Diseño del marco general.

• Metodología basada en Estándares Internacionales.

• Priorización de procesos operacionales (mapa de procesos).

• Unidad independiente, responsable por la gestión del RO.

• Evolución de las estructuras organizacionales.

• Sinergias con otras áreas de la organización (Ej. auditoría).


Normativa relacionada con la Gestión de Riesgo

• ESTÁNDARES INTERNACIONALES

– 1988, Basilea I

– COSO I

– 2004, Basilea II

– 2004, COSO II

– Ley Sarbanes-Oxley 404

– Norma Australiana AS/NZS4360:2004

– ISO 31000:2009

• ESTÁNDARES NACIONALES

– Reglamento sobre Riesgo Operacional para las entidades de intermediación financiera.

EVOLUCIÓN DE LA GESTIÓN DEL RIESGO


EVOLUCIÓN DE LA GESTIÓN DE RIESGO EN EL BCRD

• Inicio del proyecto “Evaluación de Administración de Riesgo y Control Interno”, año 2004

• Resolución de la Junta Monetaria que crea el Comité de Administración de Riesgos, definición de su integración y funciones. Mayo 2005.

• Posteriormente se establece la Oficina de Gestión de Riesgo.

• Creación del Marco normativo de la GR en el BCRD:

– Adopción de la norma Australiana y Basilea II, en la GR

– Establecimiento de una Política de GR, aprobada por la mas alta instancia de BCRD

– Aprobación de la Metodología de GR, los procedimientos y formularios.

– Elaboración de Mapas de Riesgos, matrices de riesgos y planes de tratamiento de riesgos.

– Entrenamientos y divulgación sobre la GR, a fin de fortalecer la cultura de GR.

– Entrenamiento al personal de los diferentes departamentos sobre la metodología de GR.


Gestión de Riesgo y Planificación Estratégica

Enlazar riesgos con el proceso de establecimiento de objetivos estratégicos


• Debe haber una separación de responsabilidades y líneas claras entre las funciones de control del riesgo operativo y los diferentes departamentos de los Bancos Centrales

¿QUÉ BUSCAR CUANDO SE EVALÚA UN AMBIENTE

QUE SOPORTE LA GESTIÓN DE RIESGO?

• La existencia de una estructura de gobierno en la cual consideren la GR.

• La existencia de una área dentro de la estructura organizacional dedicada a la GR, con roles y responsabilidades definidos.

• Una cultura de GR clara, dedicada y a la medida. Debe ser un tema de seguimiento continuo en las reuniones gerenciales.

• La disponibilidad de programas de entrenamiento y concienciación sobre la GR.

RESPONSABILIDADES EN LA GESTIÓN DEL RIESGO


ESTRUCTURA ORGANIZACIONAL DE LA GESTIÓN DE RIESGO EN EL BCRD

Areas

• Auto-evaluaciones

• Implementa cambios

• Reporte a lo interno

y a riesgos

Riesgos • Monitoreo auto-

Evaluaciones

• Análisis indicadores

• Control planes

• Reportes

Auditoría Interna

• Monitorea proceso

• Revisa las auto-

Evaluaciones

• Prueba controles

Junta Monetaria Aprueba y asigna recursos

Gestión de Riesgos Definiciones – Políticas – Reportes - Cuantificación

Responsable Monitoreo Verificador

Gerencia Asegura gestión y promueve

Comité Auditoria

Comité Riesgos


POLÍTICA DE GESTIÓN DE RIESGO

Debe ser:

Relevante para el contexto estratégico del Banco Central, que garantice alcanzar sus metas y objetivos.

Incluye:

• Objetivo y Alcance

• Responsabilidades y compromiso de cada miembro de la organización

• Procesos y componentes del ciclo de gestión de riesgos

• Tolerancia al riesgo


APETITO DE RIESGO

El apetito de riesgo es una vista a alto nivel de cuanto

riesgo la Junta Directiva está dispuesta a aceptar en la persecución de sus objetivos estratégicos.


CULTURA DE GESTIÓN DE RIESGO

Creencias y actitudes compartidas, que caracterizan la manera

que la entidad considera el riesgo en todo lo que hace.

Depende de: – La historia de la entidad

– Desarrollo del nivel de madurez/organizacional (número de años en operación)

– Tipo de negocio

– Tamaño

– Ubicación

– Los principios de controles y estilo de operación de la gerencia


ENCUESTA DE CULTURA DE RIESGO

• Es una medida base, sobre la cultura y prácticas de riesgo de una organización.

• Consiste en la validación directa, desde los empleados, sobre cómo se entiende y está alineada la estrategia.

• Es un punto de inicio para el desarrollo de un marco de trabajo de gestión de riesgo.

• Provee una visión sobre el riesgo y su preparación para moverse hacia un ambiente de Riesgo y Control Continuo.

• Envía un mensaje a los empleados de que la gerencia toma en serio mejorar la gestión de riesgo.


Metodología de

Evaluación

del Riesgo

Operacional

Identificar Riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

Establecer Contexto

Monitorear y Revisar

Comunicar

y

Consultar

Riesgo

Aceptable y

Excesos

Temporales


RESPONSABILIDAD DE AUDIORÍA INTERNA EN LA GESTIÓN DEL

RIESGO


¿CÓMO APOYA LA AUDITORÍA ESTE RENOVADO ENFOQUE DE GESTIÓN DE RIESGO?

El objetivo principal de cualquier función o actividad en una

organización, debe ser apoyar el logro de los objetivos de la propia organización.

– Entonces: El principal objetivo de la auditoría interna es ayudar al Banco Central a lograr sus objetivos.

– El logro de estos objetivos se ve obstaculizado por los riesgos.

– Un programa de auditoría basado en riesgos que esté diseñado correctamente incrementa la eficiencia y efectividad, por ende, al apoyo en el logro de los objetivos institucionales.


AUDITORÍA BASADA EN RIESGOS

El IIA proporciona la orientación en el Marco para la Práctica Profesional Internacional (IPPF):

• Estándar de Desempeño 2010 –Plan de Auditoría – El encargado de auditoría TIENE que considerar el marco de riesgo

definido en la organización y planificar las auditorías en función de las prioridades de riesgo definidas en dicho marco.

• Estándar de Desempeño 2120 –Gestión de Riesgo – La auditoría TIENE que evaluar la efectividad de la gestión del riesgo y

contribuir a mejorarla.

• Estándar de Desempeño 2210 –Compromiso con los Objetivos

• Estándar de Desempeño 2600 –Resolución de la Gerencia de la Aceptación de Riesgos


• Velar por que el proceso de GR sea comprensible, fácil de ejecutar y continuo.

• Ayudar a la organización a tener controles internos efectivos.

• Comunicar a la Gerencia temas actuales o potenciales que puedan provocar eventos de riesgo.

• Revisar la información en los planes de auditoría interna, reportes y hallazgos importantes, que puedan ayudar en la gestión de riesgo.

• Velar porque se realice el monitoreo de los historiales de riesgo.

RESPONSABILIDADES DEL COMITÉ DE AUDITORÍA EN UN

MODELO DE GESTIÓN INTEGRAL DE RIESGO


RESPONSABILIDADES DE AUDITORÍA INTERNA

• Incluir en el plan de auditoría interna, la revisión de los procesos prioritarios según las evaluaciones de riesgo.

• Revisar el cumplimiento de los lineamientos de GR por parte de las áreas operativas.

• Revisar los procesos de administración de riesgo –diseño y funciones.

• Realizar pruebas de efectividad de los controles asociados a los riesgos.

• Proveer opinión a la Gerencia, sobre la efectividad de la GR y funcionamiento del sistema de control interno.

• Seguimiento para la determinación del cumplimiento de los planes de acción.


• Unidad de criterio en torno al manejo de riesgos.

• Generación de conciencia sobre la GR.

• Priorización de los riesgos de mayor impacto para cada uno de los recursos: Financiero, Humano, Imagen Corporativa e Información.

• Definición clara y explícita de responsabilidades en todos los niveles de la organización.

• Convertir la GR en eje articulador de temas sensibles a la actividad organizacional, como:

– La preservación de la reputación.

– El plan de continuidad del negocio.

CONCLUSIONES Y RECOMENDACIONES


CONCLUSIONES Y RECOMENDACIONES

• Análisis de riesgos por proceso.

• Conocimiento/documentación detallada de las operaciones.

• Levantamiento de información honesto. Temor a reportar !!

• Apoyo de la Unidad de Riesgo a las áreas operativas.

• Priorizar el enfoque en riesgos, no mejoras operativas.

• Comunicación constante con la Gerencia.

• Metodología clara y ejecutable (reducir la subjetividad).

• Revisión periódica de los procesos críticos.

• Cuantificación de los eventos de riesgos.

• Identificación de escenarios de riesgo.


¡Gracias por su atención!

relación entre administración de riesgo y auditoría interna

Documents