rol de la auditoria interna y la gestión de riesgos
TRANSCRIPT
Rol de la auditoRía inteRnaen la gestión de riesgos
empresariales en entidades bancarias
bogotá d. c., noviembre de 2009
comité de auditoría
PresidenteMaría Mercedes Cuéllar
Vicepresidente EconómicoDaniel Castellanos
Directora de Operación BancariaMargarita María Henao Cabrera
Documento elaborado por el Comité de Auditoría de Asobancaria
Revisión técnicaAna Cristina Zambrano Preciado, CIA, CCSA, Presidenta- Directora Ejecutiva IIA Colombia
Camila Quiñones, Gerente, Deloitte &Touch
Elsa Victoria Mena, Socia, Deloitte & Touch
Jorge Alfredo Hernández, Socio, Deloitte & Touch
Wilmar Arturo Castellanos, CISA, CISM, CGEIT, Gerente, Deloitte
Asesora de ComunicacionesMaría Constanza Mejía M.
ASOBANCARIAAsociación Bancaria y de Entidades Financieras de Colombia – AsobancariaCarrera 9 No. 74 – 08 Piso 9Teléfono 326 6600Fax: 326 6601
Diseño y armada electró[email protected]
�
contenido
IntroduccIón 5a. Función de Auditoría Interna (AI) 7b. Declaración de posición sobre el rol de la AI ante la gestión de riesgos 7
1 Antecedentes 9
2 AdmInIstrAcIónderIesgosenentIdAdesfInAncIerAssegúnBAsIleAII 112.1 Riesgo de crédito 11
2.1.1 Gobierno corporativo y vigilancia 112.1.2 Control del riesgo de crédito 11
2.2 Riesgo de mercado 122.3 Riesgo operativo 13
2.�.1 Criterios generales 1�2.4 Marco general de riesgo 13
2.4.1 Evaluación rigurosa de capital 1�2.4.2 Evaluación integral de los riesgos 142.4.�. Seguimiento e información 15
2.5 Examen de control interno 162.5.1 Requisitos generales de divulgación cualitativa 16
3 AntecedentesencolomBIAdelApArtIcIpAcIóndelAAudItoríAInternAenlAgestIónderIesgooperAtIvo(ro) 173.1 Clain-Felaban 17
�.1.1 X Congreso Latinoamericano de Auditoría Interna y Administración de Riesgos, Cartagena 2006 17
3.2 Asociación Bancaria de Colombia 18�.2.1 V Congreso de Riesgo Financiero, Cartagena 2006 20
3.3 Superintendencia Financiera de Colombia (SFC) 20
4 roldelAAudItoríAInternAenlAgestIónderIesgoempresArIAl 214.1 Rol de aseguramiento 22
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
4
4.2 Rol de consultoría 234.3 Roles que la auditoría interna no debe realizar 234.4 Aplicación de los referentes para el ejercicio profesional
de la auditoría interna en el sector financiero, relacionadas con las actividades de aseguramiento y consultoría en el ERM 24
5 nIveldemAdurezdelprocesodegestIónderIesgos 25
6 AplIcAcIóndeoBjetIvosenAsegurAmIentoyconsultoríAvs.etApAsdelprocesodegestIónderIesgos 27
7 controlInterno 337.1 Control interno-Coso II 33
7.1.1 Gestión de riesgos ��7.1.2 Ambiente interno �47.1.� Establecimiento de objetivos �47.1.4 Identificación de eventos �47.1.5 Evaluación de riesgos �47.1.6 Respuesta al riesgo �57.1.7 Actividades de control �57.1.8 Información y comunicación �57.1.9 El monitoreo �5
7.2 Modelo de control-COBIT 36
BIBlIogrAfíA 37
Anexo1 Guía para el uso de la Norma NTC 5254 –
Gestión del riesgo en el proceso de auditoría interna 38
Anexo2 Aplicación de los referentes para el ejercicio profesional
de la auditoría interna en el sector financiero relacionadas con las actividades de aseguramiento y consultoría en la ERM 57
Anexo3 Una herramienta de autodiagnóstico para la implementación
de la administración del riesgo, por Basil Orsini 62
Anexo4COBIT Tabla de resumen 73
5
introducción
El Subcomité de Riesgos del Comité Técnico de Auditoría de la Asociación Bancaria de Colombia, dentro de sus trabajos de investigación, desarrolló el pre-sente documento, el cual pretende ser una guía para las áreas de auditoría de las entidades financieras sobre el rol del auditor interno en la gestión de riesgos empresariales, particular-mente en lo que se refiere al riesgo operativo (RO). Para ello, se recopiló y analizó literatura sobre el tema, tanto de ámbito nacional como internacional. Dentro de estos documentos se encuentran, entre otros:
Basilea II, Nuevo Acuerdo de Capital de Basilea, abril de 2003.
Referentes para el ejercicio profesional de la auditoría interna, emitido por el Instituto de Auditores Internos www.theiia.org.
Guía para el uso de la norma NTC 5254 Gestión del Riesgo, dentro del proceso de auditoría interna, emitida por el ICONTEC, la cual es una adopción modificada del estándar australiano AS/NZ-4360 - RISK MANAGEMENT.
Lineamientos aplicables tomados de COSO II-ERM.
COBIT, objetivos de control para información y tecnología (TI).
Proyecto de circular de la Superintendencia Financiera de Colombia – SFC sobre “Reglas relativas a la administración de Riesgo Operativo” – Noviembre 2006.
El presente documento tiene como objetivo primordial facilitar la aplicación práctica de los lineamientos generales de Administración de Riesgos Empresariales (ERM), publicados por Basilea II, COSO – ERM, estándar Australiano AS/NZ-4360, ICONTEC y la Superintendencia Financiera, para desarrollar un marco de referencia circunscrito al rol que debe ejercer el Au-ditor Interno ante el ERM en las entidades del sector financiero colombiano.
Gestionar los riesgos significa administrarlos para lograr un balance apropiado entre pérdi-das y utilidades, identificando las oportunidades para obtener beneficios y para minimizar los impactos adversos. Es una parte integral de una buena práctica gerencial y un elemento esencial de buen gobierno corporativo.
Es un proceso iterativo que se conforma de pasos que, cuando se siguen en secuencia, permi-ten una mejora continua en el proceso de toma de decisiones y permite a las organizaciones
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
6
optimizar su desempeño y lograr los objetivos propuestos con un grado de seguridad y riesgo razonables.
La Gestión de Riesgo Empresarial implica establecer una infraestructura y cultura apropiada y aplicar un método lógico y sistemático para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear, comunicar y administrar riesgos residuales en cualquier actividad o proceso. Acorde con lo establecido en Basilea II, los bancos deben utilizar metodologías adecuadas para medir los diferentes riesgos a los que se enfrentan y así establecer capitales requeridos, buscando promover seguridad y solidez en sus operaciones, integrar a toda la organización en la implementación de un proceso continuo de administración de riesgo, asegurar la su-pervisión y control de la gestión de riesgos y cumplir a cabalidad con los lineamientos que adopten las entidades reguladoras de cada país.
En el caso colombiano, la SFC como adición al capítulo XXII de la Circular básica contable y financiera (C.E. 100/95), ha establecido unas “Reglas generales relativas a la administración del riesgo operativo”, entre las que se encuentran:
La obligación de que las entidades vigiladas desarrollen y adopten un sistema de adminis-tración de riesgo operativo (SARO).
Su ámbito de aplicación, definiciones de conceptos, factores, eventos, recursos, infraes-tructura, documentación, componentes, controles, monitoreo y responsabilidades de los órganos de dirección, administración y control.
Considera con el mismo nivel de importancia, la administración del riesgo operativo y los riesgos crediticio, de mercado y liquidez, y fija como un plazo prudencial julio de 2007, para que las entidades empiecen a dar cumplimiento.
La gestión de riesgos debe formar parte de la cultura de una organización, es decir, debe estar incorporada en la filosofía, prácticas y procesos de negocio. Todos en la organización, incluidos la junta directiva, comité de auditoría y la alta gerencia, deben estar completamente involucrados en la gestión de riesgos.
Todas las organizaciones enfrentan cada vez mayor grado de incertidumbre, por efectos de la globalización, la complejidad de los negocios y los avances tecnológicos, el desafío es de-terminar cuánto de esta incertidumbre estamos preparados para aceptar.
La incertidumbre representa tanto amenazas como oportunidades, con el potencial de mi-nimizar o enriquecer la generación de valor de las organizaciones. La gestión de riesgos em-presariales provee una estructura conceptual para que la administración conviva de manera racional con la incertidumbre, con los riesgos y oportunidades asociados, lo cual enriquece su capacidad para generar valor.
7
INtRODuCCIóN
Con la evolución y dinámica de los negocios se plantea una gran oportunidad para fortalecer y optimizar la función de auditoría interna en el sentido de agregar valor y contribuir efectiva-mente al logro de los objetivos de las organizaciones. Por esta razón, el presente documento también pretende contribuir al análisis y aplicación práctica de la actividad de auditoría interna en los procesos de gestión de riesgos en el sector financiero colombiano, tomando como referencia las dos definiciones básicas del Instituto de Auditores Internos:
a. Función de auditoría interna (ai):
Es una actividad de aseguramiento y consultoría, que en forma independiente y objetiva desarrolla sus actividades para agregar valor y mejorar los procesos de gestión de riesgos, control y gobierno en la organización. La gestión de riesgos es un aspecto fundamental en el trabajo del auditor interno.
b. declaración de posición sobre el rol de la ai ante la gestión de riesgos:
Establece la guía sobre los roles que están permitidos y las salvaguardas necesarias para pro-teger la objetividad e independencia de la auditoría interna. Inicia definiendo la gestión de riesgo empresarial (ERM1) como:
“Es un proceso estructurado, consistente y continuo implementado a través de toda la orga-nización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el logro de sus objetivos”.
Luego establece que el rol fundamental de la auditoría interna respecto al ERM es:
“Proveer aseguramiento objetivo a la Junta sobre la efectividad de las actividades de ERM en una organización, para ayudar a asegurar que los riesgos claves del negocio están siendo gestionados apropiadamente y que el sistema de control interno está siendo operado efecti-vamente”.
1 ERM – Enterprise Risk Management – Gestión de Riesgo Empresarial
8
9
antecedentes1Para entender la evolución del riesgo en Colombia frente a la
economía, es necesario remontarnos a sus orígenes.
Las actividades financieras (si el término cabe, pues hablaríamos de trueque en su contexto histórico), en épocas de los antiguos pobladores, estaban en función de las tierras y los cul-tivos, principalmente el maíz como fuente primaria de subsistencia, que luego se convierte en el fundamento de la economía de muchos de nuestros pobladores en Colombia. Con la llegada de los españoles se inicia el proceso histórico de identificación de riesgos en transporte y embarque de oro y esmeraldas, con el fin de custodiar y minimizar los riesgos de robo.
Pasando a los siglos XIX y XX, después de la intención fallida de establecer el Banco Nacio-nal en 1880, el déficit fiscal que obliga al banco a prestarle al Gobierno recursos sin ningún control, genera repercusiones en la economía nacional y cierta prevención contra el Banco Central, hasta su liquidación.
Con la venta de Panamá en 1903 por 25 millones de dólares, se genera una buena liquidez y reactivación de la economía; nace entonces la necesidad de crear el Banco Central, que se materializa solo hasta 1923 con la constitución del Banco de la República. Esta decisión nace en la presidencia de Pedro Nel Ospina, quien decide invitar al profesor de la Universidad de Harvard, Edwin Kremerer, y se consolida la misión que lleva su nombre, cuyo objetivo es estabilizar y controlar los recursos del Estado y el control de la moneda, así como también la creación de la Contraloría General de la República y la Superintendencia Bancaria. Para evitar los descalabros económicos que sufrió el anterior Banco Central, se establecieron límites, como la concentración de empréstitos al Gobierno Nacional el cual no podía superar el 30% del capital del banco.
En esta parte de la historia financiera de Colombia nacen los inicios de control de riesgos de mercado y de crédito como límites de tasa de interés y algunas condiciones para la colocación de préstamos. Los riesgos financieros materializados tuvieron un efecto importante sobre las finanzas del país, originando un endeudamiento con los bancos ingleses. Con posterioridad a la misión Kremerer, se incrementó el endeudamiento con los bancos de Estados Unidos, lo cual requirió el establecimiento de controles que mitigaban los riesgos de liquidez y de mercado.
La evolución de las instituciones financieras en Colombia durante el período 1923-1995 registra reformas financieras como las de 1951 y 1990, destacándose los cambios institucionales y sus efectos sobre el desarrollo de la intermediación financiera; sobresale la importancia del Banco
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
10
Central en términos de la profundización de los mercados de capital y de la estabilización macroeconómica.
En el proceso de liberalización financiera, la libertad en el otorgamiento del crédito lleva implícita la posibilidad de generar una mayor concentración de riesgo. También, la mayor exposición al mercado trae consigo exigencias especiales en materia de su administración y la información hacia el público en general, asociado además con la persistencia de problemas en el mercado financiero, originados en las políticas defectuosas de los intermediarios del sistema, en lo que se refiere a la gestión de riesgos, que termina en una degradación de la calidad de los compromisos bancarios y en una insuficiencia de fondos propios.
La Superintendencia Bancaria nace como un organismo de control y vigilancia a las activida-des de los bancos. Con la promulgación de la Constitución de 1991 se establece el control como una responsabilidad prioritaria de las organizaciones del Estado, fortaleciendo así las funciones de los entes reguladores.
Actualmente, Colombia está fuertemente influenciada por las definiciones, estándares y mejo-res prácticas internacionales, como las expedidas por el Comité de Basilea – COSO II ERM. Así mismo, los resultados de experiencias internacionales se han venido tomando como marco de referencia, inclusive por los organismos de supervisión y control, para trabajar en la adopción de una propuesta acorde con la realidad y exigencias del mercado financiero colombiano.
11
administración de riesgos en entidades Financieras
según basilea ii2Es importante hacer un breve recuento de los apartes del Docu-
mento de Basilea II, en donde se deja un claro marco de acción, sobre los riesgos a que están expuestos los bancos. A continuación se citan textualmente los apartes que se consideran importantes sobre los riesgos, controles y la administración de los mismos:
2.1 riesgo de crédito
2.1.1 gobierno corporativo y vigilancia400. Todo aspecto importante de los procesos de calificación y estimación deberá ser apro-
bado por el consejo de administración del banco o por un comité delegado de éste y por la alta dirección.
Estas partes deberán poseer un conocimiento general del sistema de calificación de riesgos del banco y una comprensión detallada de los informes de gestión asociados a dicho sistema. La alta dirección deberá informar al consejo de administración a al comité delegado de las modificaciones o excepciones de importancia con respecto a las políticas establecidas que tengan efectos relevantes sobre la operativa del sistema de calificación del banco.
2.1.2 control del riesgo de crédito401. El banco deberá contar con unidades independientes de control del riesgo de crédito,
encargadas del diseño o selección, aplicación y funcionamiento de sus sistemas internos de calificación. La unidad o unidades deberán ser funcionalmente independientes del personal y de las unidades administrativas responsables de generar las exposiciones.
Sus áreas de responsabilidad deberán incluir:a. Pruebas y seguimiento de los grados internos;b. Elaboración y análisis de informes sobre el sistema de calificación del banco, incluyen-
do datos históricos de incumplimientos clasificados por calificaciones en el momento del incumplimiento y un año antes de éste, análisis de la migración entre grados y seguimiento de las tendencias de los criterios básicos de calificación.
c. Aplicación de procedimientos destinados a comprobar que las definiciones de las calificaciones se aplican de manera coherente en los distintos departamentos y en las diversas áreas geográficas.
d. Examen y documentación de cualquier cambio en el proceso de calificación, incluyendo las razones que lo motivaron; y
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
12
e. Examen de los criterios de calificación al objeto de evaluar si continúan cumpliendo la función de predicción del riesgo. Las modificaciones introducidas en el proceso de calificación, en sus criterios o en los parámetros individuales utilizados deberán docu-mentarse y conservarse para su examen por parte de las autoridades supervisoras.
2.2 riesgo de mercado
491. Se espera que el conjunto de prácticas del riesgo que utilizan los Bancos en sus inversio-nes accionarías de la cartera de inversión sea coherente con las directrices sobre buenas prácticas regularmente emitidas desde el comité y por los supervisores nacionales. Con respecto al desarrollo y utilización de modelos internos a efectos del capital regulador, las instituciones deberán establecer políticas, procedimientos y controles que garanticen la integridad del modelo y de los procesos de modernización empleados en la derivación de los requerimientos de capital regulador.
a) Plena integración del modelo interno dentro del conjunto del sistema de gestión de la información del banco y en la gestión de las posiciones accionarías de la cartera de inversión. Los modelos internos deberán encontrarse plenamente integrados dentro de la infraestructura de gestión de riesgo de la institución, incluyendo su uso en:
El establecimiento de tasas críticas de rentabilidad de las inversiones y evaluación de inversiones alternativas.
La medición y evaluación del rendimiento de la cartera accionaría (incluido el ren-dimiento ajustado de riesgo).
La asignación de capital económico a las exposiciones accionarías y a la evaluación de la suficiencia de capital en general, conforme a lo exigido en el segundo pilar. La institución deberá ser capaz de demostrar, por ejemplo mediante actas del comité de inversiones, que los resultados aportados por los modelos internos desempeñan una función esencial en el proceso de gestión de las inversiones.
b) Sistemas y procedimientos de gestión establecidos y unidades de control, con el objeto de garantizar un examen periódico e independiente de todos los elementos del proceso interno de modelización, incluidos la aprobación de las revisiones de los modelos, la actualización de los argumentos y el examen de sus resultados, tales como la verificación directa de los cálculos del riesgo. Deberá prestarse especial atención a las técnicas de valoración por aproximación y de asociación, así como otros componentes cruciales del modelo. Estos exámenes deberán evaluar la precisión, exhaustividad y adecuación de los argumentos y los resultados del modelo y centrarse en la búsqueda y máxima reducción de errores potenciales asociados a debilidades conocidas del modelo, así como en la identificación de debilidades desconocidas. Estos exámenes deberán llevarse a cabo como parte de los programas de auditoría interna o externa, realizados por una unidad independiente de control de riesgos o bien por una unidad externa.
c) Sistemas y procedimientos adecuados de seguimiento de los límites fijados a la Inver-sión y a las exposiciones de riesgo de las inversiones accionarías.
1�
ADmINIStRACIóN DE RIESGOS EN ENtIDADES FINANCIERAS SEGúN BASILEA II
d) Las unidades responsables del diseño y aplicación del modelo deberán ser funcional-mente independientes de las unidades responsables de la gestión de las inversiones individuales.
e) El personal responsable de cualquiera de los aspectos del proceso de modelización deberá estar adecuadamente capacitado. La dirección del banco deberá asignar re-cursos competentes y suficientemente cualificados a las labores de modelización.
2.3 riesgo operativo
607. El riesgo operativo se define como el riesgo de pérdida resultante de una falta de adecuación o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos. Esta definición incluye riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.
2.3.1 criterios generales620. A objeto de poder utilizar el método estándar, como base para el método avanzado
- AMA, el banco deberá demostrar a su supervisor que, como mínimo:
Su consejo de administración y alta dirección, según corresponda, se encuentran activamente implicados en la vigilancia del marco de gestión del riesgo operativo.
Posee un sistema de gestión del riesgo conceptualmente sólido y aplicado en su integridad; y
Cuenta con recursos suficientes al objeto de utilizar la metodología en las principales líneas de negocio, así como en las áreas de control y auditoría.
2.4 marco general de riesgo
688. El consejo de administración del banco tiene la responsabilidad de determinar la to-lerancia del banco al riesgo. También deberá garantizar que la dirección de la entidad establece un marco para la evaluación de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y aplica el método de seguimiento de la observancia de las políticas internas.
Otra función importante del consejo de administración consiste en adoptar y apoyar la utilización de sólidos controles internos y políticas y procedimientos por escrito, así como garantizar que la dirección del banco comunica esta información en toda la organiza-ción.
2.4.1 evaluación rigurosa de capital689. Los elementos fundamentales de una evaluación rigurosa de capital incluyen:
Políticas y procedimientos diseñados para garantizar que el banco identifica, cuantifica e informa de todos los riesgos importantes.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
14
Un proceso que relacione el capital con el nivel de riesgo. Un proceso que establezca los objetivos de suficiencia de capital en función del riesgo,
tomando en consideración el enfoque estratégico del banco y su plan de negocios; y Un proceso de controles, exámenes y auditorías internas al objeto de garantizar la
integridad del proceso general de gestión.
2.4.2 evaluación integral de los riesgos690. El proceso de evaluación del capital deberá tener en cuenta todos los riesgos importantes
a los que se enfrenta el banco. Si bien no todos los riesgos pueden medirse con exactitud, será necesario desarrollar un proceso de estimación de los riesgos. En consecuencia, un proceso de este tipo deberá contemplar las siguientes exposiones al riesgo (que, por descontado, no constituyen una relación completa de todos los riesgos existente).
691.RiesgoCrediticio: Los bancos deberán contar con metodologías que les permita evaluar el riesgo de crédito de las exposiciones frente a prestatarios o contrapartes individuales, así como el riesgo de crédito de las carteras de exposiciones. En el caso de los bancos más sofisticados, la evaluación de riesgo de crédito a efectos de la suficiencia de capital deberá cubrir, como mínimo, cuatro áreas: sistemas de calificación de riesgo, análisis/agregación de carteras, titularización/derivados de crédito complejos, así como grandes exposiciones y concentraciones de riesgo.
692. Las calificaciones internas de riesgo son una importante herramienta de seguimiento del riesgo de crédito. Estas calificaciones deberán estar diseñadas para logra la identificación y medición del riesgo derivado de todas las exposiciones crediticias y deberán integrarse dentro del análisis general del riesgo de crédito y suficiencia de capital de la entidad. El sistema de calificaciones deberá ofrecer calificaciones detalladas de todos los activos, y no sólo de los activos cuestionados o problemáticos. Las reservas dotadas para présta-mos incobrables deberán incluirse en la evaluación del riesgo de crédito a efectos de la suficiencia del capital.
693. El análisis del riesgo de crédito deberá identificar adecuadamente cualquier deficiencia existente en las carteras, incluidas las concentraciones de riesgos. También deberá tener convenientemente en cuenta los riesgos asumidos en la gestión de las concentraciones de crédito y en otros ámbitos de las carteras, como los programas de titularización y los derivados de crédito complejos. Además, el análisis del riesgo de crédito de la contraparte deberá considerar la evaluación pública de cumplimiento, por parte del supervisor, de los principios básicos de la Supervisión Bancaria Eficiente.
694. Riesgo Operativo: El Comité entiende que en la gestión del riesgo operativo deberá apli-carse un rigor similar al utilizado en la gestión de otros riesgos bancarios significativos. Una gestión inadecuada del riesgo operativo puede resultar en una apreciación errónea del perfil del riesgo/rentabilidad de la institución y exponerla a pérdidas sustanciales.
695. Los bancos deberán desarrollar un marco para la gestión de riesgo operativo y evaluar la suficiencia de capital dentro de dicho marco. Este deberá cubrir la propensión y la tole-rancia del banco al riesgo operativo, especificadas mediante las políticas de gestión de
15
ADmINIStRACIóN DE RIESGOS EN ENtIDADES FINANCIERAS SEGúN BASILEA II
dicho riesgo, incluidos el grado y el modo en que el riesgo operativo se transfiere fuera del banco. También deberá incluir las políticas a seguir por el banco en la identificación evaluación, seguimiento y control/cobertura de este riesgo.
696.Riesgo de mercado: Estas evaluación se fundamenta en la medición del valor en ries-go efectuada por el propio banco o en el método estándar del riesgo de mercado. Así mismo, la entidad deberá prestar una especial atención a la realización de pruebas de tensión a la hora de evaluar que su capital sea suficiente para sostener sus actividades de negociación.
697.Riesgo de tipo de interés en la cartera de inversión:El proceso de cálculo deberá incluir todas las posiciones relevantes de tipo de interés del banco y considerar toda la información pertinente sobre modificaciones de los tipos de interés y plazos de venci-miento. Dicha información incluirá habitualmente datos sobre posiciones vigentes y tipos de interés contractuales asociados con los instrumentos y carteras, pagos de principal, reprogramación de fechas de pago de intereses, plazos de vencimiento, el índice utilizado para la modificación de los tipos de interés, así como los intereses máximos a mínimos del tipo de interés contractual en el caso de partidas a tipo de interés variable. El sistema deberá además contar con supuestos y técnicas bien documentadas.
698. Con independencia del tipo y nivel de complejidad del sistema de medición utilizado, la dirección del banco deberá garantizar la adecuación y exhaustividad del sistema. Dado que la calidad y fiabilidad del sistema de medición depende en buena medida de la ca-lidad de los datos y de los diversos supuestos utilizados en el modelo. La dirección debe prestar una especial atención a estos aspectos.
699.Riesgos de Liquidez: La liquidez es fundamental para la contínua viabilidad de cual-quier organización bancaria. Las posiciones de capital de los bancos pueden afectar a su capacidad para obtener liquidez, especialmente en momentos de crisis. Cada banco deberá contar con adecuados sistemas de medición, seguimiento y control del riesgo de liquidez. Los bancos deberán evaluar la suficiencia de capital en función de sus propios perfiles de liquidez y de la liquidez de los mercados en que operan.
700.Otros riesgos: Si bien el comité reconoce la dificultad que entraña la medición de los “otros riesgos”, tales como el riesgo de reputación y el riesgo estratégico (Estratégico2), espera que el sector bancario desarrolle nuevas técnicas de gestión de todos los aspectos incluidos en estos riesgos.
2.4.3 seguimiento e inFormación701. El banco deberá establecer un adecuado sistema de seguimiento e información sobre
las exposiciones de riesgo y sobre los efectos de las modificaciones de su perfil de riesgo
2 estratégico: Se asocia con la forma en que se administra la entidad, el manejo del riesgo estratégico se enfoca a asun-tos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta Gerencia (Bibliografía: Guía de administración del riesgo, Departamento Administrativo de la Función Pública, autor Fernando Grillo Rubiano, Junio de 2004, segunda edición).
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
16
en las necesidades de capital. La alta dirección o el consejo de administración del banco deberán recibir periódicamente informes sobre el perfil de riesgo y las necesidades de capital de la entidad. Estos informes deberán permitir a la dirección:a. Evaluar el nivel y la tendencia de los riesgos relevantes y su efecto sobre los niveles de
capital.b. Evaluar la sensibilidad y la racionabilidad de los supuestos básicos utilizados en el
sistema de medición de capital.c. Determinar que el banco posee capital suficiente para cubrir los distintos riesgos y
que satisface los objetivos de suficiencia de capital establecidos; yd. Evaluar sus requerimientos futuros de capital en función del perfil de riesgo conocido del
banco y, con arreglo a ello, introducir los ajustes pertinentes en el plan estratégico.
2.5 examen de control interno
702. La estructura del control interno del banco es especial en el proceso de evaluación del capital. Un control eficaz del proceso de evaluación del capital incluye un examen inde-pendiente y, cuando proceda, la realización de auditorías internas o externas. El consejo de administración del banco tiene la responsabilidad de garantizar que la dirección establece un sistema de evaluación de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y establece un método de seguimiento de la observancia de las políticas internas. El consejo de administración deberá verificar de manera periódica si su sistema de controles internos es adecuado para garantizar una conducción ordenada y prudente del negocio.
703. El banco deberá realizar exámenes periódicos de su proceso de gestión del riesgo a fin de garantizar su integridad, precisión y racionalidad. Las áreas que deberán ser examinadas incluyen:a. La adecuación del proceso de evaluación del capital del banco en función de la natu-
raleza, el ámbito y complejidad de actividades.b. La identificación de grandes exposiciones y concentraciones de riesgos.c. La exactitud y exhaustividad de los datos utilizados como inputs en el proceso de
evaluación.d. La racionalidad y validez de los escenarios utilizados en el proceso de evaluación, y;e. La realización de pruebas de tensión y análisis de los supuestos y de los inputs.
2.5.1 requisitos generales de divulgación cualitativa 773. Para cada ámbito separado de riesgo (por ejemplo, de crédito, de mercado, operativo,
de tipo de interés en la cartera de inversión, accionaría), los bancos deberán realizar una descripción de sus objetivos y políticas de gestión del riesgo, incluyendo:a. Las estrategias y procesos.b. La estructura y organización de la unidad relevante de gestión del riesgo.c. El alcance y naturaleza de los sistemas de transferencia de la información y/o medición
del riesgo.d. Las políticas de cobertura y/o protección frente al riesgo y las estrategias y procesos
para vigilar la eficacia de las coberturas/protecciones.
17
antecedentes en colombia de la participación de la auditoría
interna en la gestión de riesgo operativo (ro)3
Los pocos antecedentes conocidos en materia del papel que la auditoría interna ha jugado en la implementación de un sistema de administración de riesgo operativo en Colombia, se remontan a algunas referencias dentro del contexto latinoame-ricano a través del Comité Latinoamericano de Auditores Internos (CLAIN) de FELABAN, los pronunciamientos de la Asociación Bancaria y de la Superintendencia Financiera SFC.
3.1 clain – Felaban
En agosto 23 de 2004 se llevó a cabo un chat organizado por el Comité de Directores del CLAIN, cuyo tema fue “Basilea II – Riesgo Operativo”. Por Colombia participaron la representante de Felaban, Olga Lucía Espinosa, y el Contralor del Banco Popular, Darío Moreno J.
Las principales conclusiones fueron:
En Colombia, Argentina y Costa Rica, para esa fecha no se conocían pronunciamientos de los entes reguladores.En Colombia y Venezuela, al margen del punto anterior, se han definido algunos lineamientos generales sobre el rol de la auditoría interna en este proceso.Solamente el Banco Itahu de Brasil, cuenta con un modelo propio de medición de RO. Los demás países cuentan con modelos de medición para riesgos de mercado y créditoLa auditoría interna ha venido participando y colaborando en las entidades en la definición de procedimientos que permitan identificar, evaluar y monitorear el riesgo operativoEn cuanto a la adopción de modelos de medición del RO, se coincide en que independien-temente de cual sea el modelo, la auditoría interna debe actuar como apoyo a las áreas de riesgo en las etapas de desarrollo del modelo y posteriormente en asegurar el funcionamiento del mismo.
3.1.1 x congreso latinoamericano de auditoría interna y administración de riesgos – cartagena 2006
De este evento que se llevó a cabo en Cartagena en mayo de 2006, se destacan las siguientes intervenciones, en relación con el tema de este documento: Implementación de estándares de Auditoría Interna en Colombia; publicación del documen-to “Referentes para el ejercicio de la Auditoría Interna en el sector financiero colombiano” – Comité de Auditoría Asociación BancariaMetodología para identificación de procesos y riesgos críticos – Banco Itahu de BrasilEl riesgo informático y cómo evaluarlo – Isaca Argentina
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
18
Auditoría en riesgos de Tesorería (Basilea II) – Banespa BrasilMétodos para evaluar un sistema de administración de riesgos – BBVA España Cómo agregar valor en la Auditoría Interna de las organizaciones – IIA República DominicanaMetodología para evaluación de control interno – Bladex PanamáAutomatización del proceso de Auditoría en gestión de riesgos – Bancolombia Implementación de un modelo de calidad en el proceso de Auditoría Interna – IIA Argentina
3.2 asociación bancaria de colombia
En la publicación de La Semana Económica No. 545 de la Asobancaria, de marzo 10 de 2006, se publicó el artículo “La Gestión del Riesgo Operacional en Colombia”, como un tema de gran importancia para la agenda del sector financiero colombiano. En dicha publicación se destaca que:
En los últimos años la administración y mitigación del riesgo han tomado especial impor-tancia en el ámbito financiero internacional.
Las entidades financieras han realizado esfuerzos importantes en materia de gestión de riesgos, particularmente de mercado y de crédito.
La creciente complejidad de los mercados y la constante diversificación de los productos y servicios financieros, han generado al interior de la industria un proceso de concientización sobre la necesidad de profundizar en el tema de riesgo operacional.
Se han recogido resultados interesantes de la experiencia internacional, para ser aplicadas al caso colombiano, en la medida en que las entidades y los mismos organismos de supervisión no han sido ajenos a la dinámica internacional.
Se han realizado esfuerzos para proporcionar un ambiente de discusión técnica entre el sector, representado por la asociación y el ente supervisor, representado por la SFC.
Para la clasificación de actividades del sector financiero, se han tomado como referencia las del Comité de Basilea, que considera las siguientes líneas de negocio:
Finanzas corporativas Negociación y ventas Banca minorista Banca comercial Pagos y liquidaciones Servicios de agencias Administración de activos Intermediación minorista
Así mismo, en cuanto a los mecanismos de medición se hace referencia a las metodologías de Basilea II, anotando que en cualquier caso se deben tener en cuenta criterios cualitativos y cuantitativos, que se alinearían en mejor forma con el método de medición avanzada (AMA), que permitiría a cada entidad desarrollar su propio modelo interno para someterlo a apro-bación del ente supervisor.
De las experiencias internacionales se hace especial mención al estudio de la firma DMR-Con-sulting 2005 “El Riesgo Operacional en las Entidades Financieras Latinoamericanas – Situación
19
ANtECEDENtES EN COLOmBIA DE LA PARtICIPACIóN DE LA AuDItORíA INtERNA
actual y tendencias”, el cual analizó la gestión del RO en la banca de Brasil, México y Chile. De este estudio se destacan los siguientes aspectos:
El 25% de las entidades analizadas espera, como principal resultado, la reducción de pérdidas asociadas a eventos de riesgo operacional.
La percepción de las entidades es que las líneas de negocios, finanzas corporativas, banca comercial y negociación y ventas representan la mayor exposición al riesgo operacional.
Todas las entidades tienen conciencia sobre la necesidad de gestionar el riesgo operacio-nal.
El 44% de las entidades aún no tiene definida una metodología de cálculo de capital por este tipo de riesgos; sus estimaciones se fundamentan en el modelo de medición interna (21%) y en el estándar (20%).
Las mayores dificultades para el proceso de definición y estandarización de un sistema de gestión de RO, radican en la falta de información sobre eventos de riesgo operacional (30%) y el conocimiento precario en algunos casos sobre la identificación y tratamiento de estos riesgos (23%).
Colombia no ha sido ajena a la tendencia internacional, por tanto es uno de los temas de mayor importancia en la agenda reciente del sector. Se han definido los siguientes lineamientos:
Las entidades deben seguir trabajando en el fortalecimiento técnico y la redefinición de la cultura organizacional.
El proceso requiere el trabajo coordinado de las áreas técnicas y la alta gerencia, la separación de funciones de planeación y operatividad y de considerables inversiones en conocimiento.
Las propias entidades son las responsables de medir y administrar sus propios riesgos ope-racionales.
El sector y la Superintendencia Financiera han trabajado en el estudio y difusión de las me-jores prácticas, así como el análisis de la parte técnica, en especial la construcción de bases de datos.
Las consideraciones finales de la Asobancaria, giran alrededor de estos aspectos: En el caso colombiano existe consenso sobre el camino a seguir en materia de RO. El proceso debe atender dos principios fundamentales, no incurrir en experimentos
prematuros y que el sector siga consolidando su posición en materia de procurar su administración a tono con los desarrollos observados a nivel internacional.
No se debe perder de vista que en un futuro se requiere contar con metodologías de medición acordes con la realidad del mercado.
Se requiere trabajar en el rediseño de estructuras organizacionales, cambios culturales, integración a todos los niveles y la separación de funciones relativas a la gestión de riesgo operativo.
Por último, resulta de la mayor importancia, continuar con el debate técnico entre las auto-ridades reguladoras y la industria financiera, para definir y adecuar los estándares y mejores prácticas internacionales a la realidad de nuestro país. Sólo así se garantizará el diseño de un marco normativo, regulatorio y de mercado que responda a las exigencias del cambiante entorno colombiano.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
20
3.2.1 v congreso de riesgo Financiero – cartagena 2006Es importante mencionar, también, los temas tratados por los diferentes especialistas en la administración de riesgos en el Congreso realizado el 16 de noviembre de 2006, bajo el auspicio de la Asobancaria.
En la sesión de apertura del evento, el dr. Carlos Alberto Sandoval, Vicepresidente Económico de la Asociación Bancaria y de Entidades Financieras, resaltó la importancia del mismo, toda vez que se tratarían temas relacionados con la evolución de los mercados lo que exige la implementación de buenas prácticas en medición y administración de riesgos.
Sobre el Riesgo Operacional, mencionó: “En cuanto al riesgo operacional, en opinión de la Asobancaria, los lineamientos dados por la Circular Externa de la Superintendencia Financiera, son acordes con el espíritu de las mejores prácticas promulgado por el Acuerdo de Basilea II; el proyecto de norma permitirá darle un impulso a las tareas que ya venían adelantando de tiempo atrás los establecimientos financieros”.
En el transcurso del evento se presentaron panelistas internacionales expertos en el tema de administración de riesgos de crédito, mercado y operacional. A continuación se resumen los temas que consideramos más importantes:
Modelo de “Pricing”, fijación de tasas ajustadas por riesgo - dr. Enrique Navarrete, mate-mático y economista de la Universidad de Chicago
Experiencia en la implementación de la administración de Riesgos en el Banco del Estado en Chile
Presentación del BBVA, dr. Jordi García - Taller de eventos significativos de Riesgo Opera-cional
Gobierno corporativo y su importancia en la actividad financiera - dr. Roberto Borrás Polonia, funcionario de la SFC.
Rendimiento sobre capital en riesgo (RAROC) - dr. Hernán R. Pérez de Price Waterhouse.
3.3 superintendencia Financiera de colombia – sFc
El último pronunciamiento oficial que se conoce hace referencia a la circular externa No. 048 y 049 de 2006, sobre “Reglas relativas a la administración del riesgo operativo”, adicionando el capítulo XXIII de la Circular Básica Contable y Financiera (C.E. 100/95).
Dicha circular contempla una serie de consideraciones, definiciones, marco de referencia de lo que debe contener el sistema de administración de riesgo operativo (SARO), recursos, responsa-bles por la administración, monitoreo y control (URS), plataforma tecnológica, documentación, divulgación, capacitación y revelación contable, que permiten a las entidades vigiladas dimen-sionar el alcance de este proceso, establecer su grado de madurez y adoptar las decisiones que correspondan para cumplir con los lineamientos establecidos por el regulador.
21
rol de la auditoría interna en la gestión de riesgo empresarial4
Uno de los requerimientos claves de los órganos de admi-nistración y control de las entidades, comité de auditoría, junta directiva o sus equivalentes y alta gerencia, es obtener aseguramiento de que el proceso de gestión de riesgos se está aplicando efectivamente y que los riesgos claves están siendo controlados y administrados, dentro de niveles aceptables.
La auditoría interna es una función organizacional establecida por la alta dirección para monitorear la gestión de riesgos y los procesos de control, evaluar las valoraciones del ries-go y los controles internos implementados para asegurarse que sean eficaces, asesorar en el diseño y mejora del sistema de control interno y estrategias de mitigación del riesgo y mantener seguimiento al cumplimiento de las políticas y procedimientos establecidos por la administración.
Es posible que el aseguramiento provenga de diferentes fuentes, pero de estas, el de la ge-rencia es fundamental, complementado con el que provea de forma objetiva. La auditoría interna que se constituye para la gerencia en una fuente clave. Otras fuentes incluyen a los auditores externos y revisiones de especialistas independientes.
La auditoría interna provee aseguramiento normalmente en tres áreas:
Procesos de gestión de riesgos, tanto en su diseño, como en el seguimiento. Gestión de aquellos riesgos clasificados como “claves”, incluyendo efectividad de los con-troles y otras respuestas a éstos; y
Confiabilidad y oportunidad en evaluaciones apropiadas y reportes de riesgo, así como del estatus de controles.
La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta. Su rol principal con relación al ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestión de riesgo.
Igualmente, investigaciones han demostrado que la junta de directores y los auditores internos están de acuerdo en que las dos formas más importantes en que la auditoría interna provee valor a la organización, son:
Brindando aseguramiento objetivo de que los principales riesgos de negocio están siendo manejados apropiadamente; y
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
22
Proveyendo aseguramiento de que la gestión de riesgo y el marco de control interno están operando efectivamente.
Los factores claves que deben ser tomados en consideración cuando se determina el rol de auditoría interna ante la gestión de riesgo empresarial, contemplan:
Si la actividad a realizar representa alguna amenaza a la independencia y objetividad de la función de auditoría interna; y
Si podría mejorar los procesos de gestión de riesgo, control y gobierno de la organización.
La auditoría interna puede proveer servicios de aseguramiento que mejoren y agreguen valor a los procesos de gobierno, gestión de riesgos y control de la organización.
El alcance de la consultoría de auditoría interna en ERM depende de otros recursos, internos y externos, disponibles para la junta y de la madurez del riesgo de la organización y su posi-bilidad de variar en el tiempo.
La experiencia del auditor interno, le permite ser un facilitador para actuar inclusive como defensor y hasta como gerente del proyecto de ERM, especialmente en la etapa inicial de su introducción; al respecto la SFC, en su proyecto de circular no comparte esta apreciación y restringe la responsabilidad de los órganos de control de la entidad en cualquier etapa de administración del riesgo operativo.
Cuando se incrementa la madurez de riesgo en la organización y la gestión de riesgo se encaja más en las operaciones del negocio, el rol de auditoría interna de defensor de ERM se puede reducir, hasta desaparecer.
De manera similar, si la organización emplea los servicios de un especialista o posee una función de gestión de riesgo, la auditoría interna podría agregar mayor valor a través de concentrarse en su rol de aseguramiento, en vez de realizar mayores actividades de consultoría.
Independiente de que exista o no una gestión de riesgos formalizada, el auditor interno debe basar sus actividades de planeación y ejecución en un enfoque basado en riesgos. Si existe una estructura estándar de valoración y gestión, se utiliza para enfocarse hacia riesgos claves, teniendo en cuenta el contexto de la organización, la tolerancia al riesgo y si existe como política corporativa, en caso contrario aplica su propio criterio y lo valida con la dirección.
4.1 rol de aseguramiento
Las siguientes actividades forman parte del objetivo amplio de brindar aseguramiento sobre la gestión de riesgos, enmarcadas en el cumplimiento de las normas y estándares internacionales para el ejercicio profesional de la auditoría interna:
Brindar aseguramiento sobre procesos de gestión de riesgos. Brindar aseguramiento de que los riesgos son correctamente evaluados.
2�
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGO EmPRESARIAL
Evaluación de los procesos de gestión de riesgos. Evaluación de los reportes de riesgos claves; y Revisión del manejo de los riesgos claves.
En el caso colombiano, la SFC asigna a la auditoría interna como funciones: Evaluar periódicamente la efectividad y cumplimiento de las etapas y elementos del SARO Informar de los resultados al representante legal y unidad responsable del SARO (URS) Efectuar una revisión periódica del registro de eventos de riesgo operativo, perfiles de riesgo y exposición a pérdidas.
Asegurar que los niveles de riesgo residual, se encuentren dentro de los establecidos por la entidad.
4.2 rol de consultoría
Es importante resaltar que si la auditoría interna no ha adoptado todavía el enfoque basado en riesgos, representado por las actividades de aseguramiento anteriormente detalladas, no podría estar preparada para realizar actividades de consultoría.
Algunos de los roles de consultoría que la auditoría interna puede realizar son:
Facilitación, identificación y evaluación de riesgos. Entrenamiento a la gerencia sobre respuesta a riesgos. Coordinación de actividades de ERM. Consolidación de reportes sobre riesgos. Mantenimiento y desarrollo del marco de ERM. Defender el establecimiento del ERM; y Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.
El factor clave en la decisión sobre si los servicios de consultoría son compatibles con el rol de aseguramiento, consiste en determinar si el auditor interno está asumiendo alguna res-ponsabilidad gerencial.
En el caso de ERM, la auditoría interna puede proveer servicios de consultoría mientras no tenga rol activo en la gestión de riesgos, esa es una responsabilidad de la gerencia, mientras la alta dirección se responsabilice y apoye el ERM.
En el evento en que la auditoría interna actúe asesorando y soportando al equipo gerencial en el establecimiento y mejora de los procesos de gestión de riesgo, su plan de trabajo debe incluir una estrategia clara y un tiempo asignado para transferir la responsabilidad de estas actividades a los miembros del equipo gerencial.
4.3 roles que la auditoría interna no debe realizar
En cumplimiento de las normas internacionales para el ejercicio profesional de la auditoría interna, las siguientes actividades no las debe realizar la auditoría interna: Establecer el apetito de riesgo.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
24
Imponer procesos de gestión de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos a favor de la administración. Tener responsabilidad en la administración y/o gestión de riesgo.
4.4 aplicación de los reFerentes para el ejercicio proFesional de la auditoría interna en el sector Financiero, relacionados con las actividades de aseguramiento y consultoría en el erm
Para la realización de las actividades ya sea de aseguramiento y/o consultoría, el Instituto de Auditores Internos ha emitido un conjunto de normas y referentes de aplicación para la mejor práctica de la función de auditoría interna.
En el anexo núm. 2 se resumen las normas y referentes de aplicación que se destacan para la práctica de la actividad de auditoría interna ante la gestión de riesgos.
25
nivel de madurez del proceso de gestión de riesgos5
estado de madurez, erm características claves enFoque de auditoría interna
1.Incipiente No existe un enfoque formal de admi-nistración del riesgo.
Promover la gestión de administración del riesgo y establecer la planeación con base en una valoración de riesgos realizada por la auditoría interna.
2.conocido Existen esfuerzos aislados de gestión de riesgos.
Promover el enfoque de gestión de riesgos a nivel organizacional y establecer la planeación con base en una valoración de riesgos realizada por la audi-toría interna.
3.definido La estrategia y políticas de gestión de riesgos han sido definidas y comuni-cadas. Así mismo, el límite del riesgo está definido.
Ser facilitador en la implementación del proceso de gestión del riesgo empresarial y utilizar la valoración de riesgos de la administración donde sea apropiado para establecer la planeación de auditorías.
4.Administrado El proceso de gestión de riesgo empre-sarial está desarrollado y comunicado.
Auditar los procesos de gestión de riesgos y utilizar la valoración de riesgos de la administración donde sea apropiado, como complemento a la planeación de auditoría.
5.optimizado La administración del riesgo y el control interno están completamente inmersos en las operaciones y procesos de la organización.
Auditar los procesos de gestión de riesgos y utilizar la valoración de riesgos de la administración donde sea apropiado como complemento a la planeación de auditoría.
Paralelo al surgimiento del enfoque de gestión de riesgos em-presariales, la función de auditoría interna también ha cambiado de un enfoque de auditoría, basado en el cumplimiento de controles, hacia un enfoque mucho más amplio basado en la administración del riesgo en el gobierno corporativo y en el objetivo de agregar valor a las organizaciones, asumiendo un rol importante en el proceso de gestión de riesgos empresariales y suministrando aseguramiento a la gerencia sobre las políticas y procedimientos del ERM. Todo esto sin comprometer la independencia y objetividad de la función de auditoría interna.
Es importante entender que no todas las organizaciones tienen el mismo estado de imple-mentación y madurez de su proceso de gestión de riesgos empresarial. Por ello, el enfoque de auditoría variará de acuerdo con el nivel de madurez de dicho proceso entre las siguientes alternativas:
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
26
Se sugiere como primera actividad para identificar el enfoque y alcance requerido de la función de auditoría interna según el estado de implementación del proceso de gestión de riesgos en la organización, llevar a cabo un ejercicio de autoevaluación del grado de madurez.
Al respecto, el grupo de estudio analizó el documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Development Canada facilitates assessments of risk management practices in the organization, en el cual se provee una lista de chequeo para evaluar las principales características de modelo de gestión de riesgos en cada una de sus etapas (ver anexo núm.3).
27
aplicación de objetivos en aseguramiento y consultoría
vs. etapas del proceso de gestión de riesgos6
rol de la auditoría interna en la erm. Etapa: EstablEcEr El contExto
opción erm aseguramiento consultoría
existelaermenlaorganización
1. Asegurarse de que las políticas relacionadas con la gestión, evaluación, administración, monitoreo y revisión establecidas en el ERM se están aplicando y los recursos asignados se utilizan de manera eficiente.
2. Elaborar un plan anual de auditoría basado en riesgos.
3. Verificar que la administración de la entidad en su fase de establecimiento de contexto, se haya fundamentado en :
» Metodologías de reconocido valor.
» Que se hayan identificado todos los públicos relacio-nados a nivel interno y externo con base en el conoci-miento del negocio y las interrelaciones donde se pueda generar riesgo.
» Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas.
» Que se conozcan los objetivos y las metas de la orga-nización.
» Que exista alineación entre el plan estratégico y las estrategias de riesgo.
» Que se establezca interrelación permanente entre grupos internos y externos con todos los procesos.
» Que se cuente con un presupuesto asignado para el proceso de administración y mantenimiento del proceso general de riesgo.
» Que se haya efectuado definición de la estructura de administración de riesgo a través de procesos.
1. Sugerir opciones de mejoramien-to que le permitan a la empresa ubicarse dentro de los procesos de globalización actuales para enfrentar un contexto adecuado en ERM.
El presente capítulo detalla en cada una de las etapas del pro-ceso de gestión de riesgos, cuáles serían los principales objetivos de aseguramiento y consul-toría que la auditoría interna puede y debe llevar a cabo bajo los lineamientos del Instituto de Auditores Internos y de las mejores prácticas aplicadas al sector financiero colombiano.
Para el entendimiento del alcance de cada etapa, en el anexo núm. 1, se detallan, de acuerdo con la norma NTC-5254, las principales actividades en cada una de las fases del proceso de gestión de riesgos.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
28
rol de la auditoría interna en la erm. Etapa: EstablEcEr El contExto
opción erm aseguramiento consultoría
ermenprocesoenlaorganización
1. Verificar que la administración de la entidad en su fase de establecimiento de contexto, se haya fundamentado en:
» Metodologías de reconocido valor.
» Que se hayan identificado como fuente todos los pú-blicos relacionados a nivel interno y externo con base en el conocimiento del negocio y las interrelaciones donde se pueda generar riesgo.
» Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas.
» Que se conozcan los objetivos y las metas de la orga-nización.
» Que exista alineación entre el plan estratégico y es-trategias de riesgo.
» Que se establezca interrelación permanente entre grupos internos y externos con todos los procesos.
» Que se cuente con un presupuesto asignado para el proceso de administración y mantenimiento del proceso general de riesgo.
» Que se haya efectuada definición de la estructura de administración e riesgo a través de procesos.
» Se defina, documente y capacite a los empleados so-bre el Gobierno Corporativo, Sipla y Código de ética.
1. Apoyar a la organización en el diagnóstico del nivel y grado de madurez de los procesos de administración de los riesgos, ayudando a identificar las fortale-zas y debilidades de las prácticas existentes para desarrollar luego planes de mejoramiento.
2. Sugerir y ser facilitador de meto-dologías con base en estándares internacionales con el fin de que la administración pueda conocerlas y asimilarlas.
3. Establecer un plan para alcanzar el nivel deseado en la ERM, basados en la identificación de brechas entre el estado actual y el desea-do, diseñando así, las estrategias óptimas para alcanzarlo.
noexisteermenlaorganización
1. Apoyar a la organización en el diagnóstico del nivel y grado de madurez de los procesos de administración de los riesgos, ayudando a identificar las fortale-zas y debilidades de las prácticas existentes para desarrollar luego, planes de mejoramiento
1. Sugerir y ser facilitador de meto-dologías con base en estándares internacionales con el fin de que la administración pueda conocerlas y asimilarlas.
rol de la auditoría interna en la erm. Etapa: Evaluación dE riEsgos (idEntificación, análisis y Evaluación dE riEsgos)
opción erm aseguramiento consultoría
existelaermenlaorganización
1. Alinear las funciones de aseguramiento del ERM a cargo de la administración, con la actividad de auditoría inter-na, para lo cual se debe:
» Adoptar un enfoque de auditoría basado en riesgos, que sea compatible con el ERM adoptado por la organización y enfocar los esfuerzos de auditoría alrededor de estos procesos.
continúa
29
rol de la auditoría interna en la erm. Etapa: Evaluación dE riEsgos (idEntificación, análisis y Evaluación dE riEsgos)
opción erm aseguramiento consultoría
» Elaborar el plan de auditoría anual basado en riesgos, que permita proveer a la alta gerencia un concepto razonable e independiente sobre:
» Los procesos de gestión de riesgos que la organización ha implementado y que funcionan en forma adecuada y de acuerdo con lo establecido.
» Los procesos de gestión de riesgos tienen un diseño adecuado.
» Verificar si la metodología de identificación, análisis y evaluación de riesgos contempla todas las variables del proceso de gestión de riesgos.
» El tratamiento de los riesgos es adecuado y efectivo.
» Existen, funcionan y son suficientes los controles in-ternos que la administración ha implementado para tratar los riesgos.
» Se realizan actividades de supervisión para reevaluar periódicamente los riesgos y la eficacia de los controles que manejan el riesgo.
» Los órganos de dirección reciben informes periódicos sobre los resultados de los procesos de gestión de riesgos.
2. Asegurar que la organización ha identificado los riesgos claves del negocio, que dichos riesgos son conocidos y entendidos por los administradores de los procesos, y que las acciones para su tratamiento están alineadas con los objetivos y estrategias corporativas.
ermenprocesoenlaorganización
Cumplir un rol proactivo en el es-tablecimiento inicial del proceso de gestión de riesgos garantizando la objetividad e independencia necesarias.
noexisteermenlaorganización
Colaborar con la administración y el Comité de Auditoría mediante el examen, evaluación, informe y recomendación de mejoras sobre la adecuación y eficacia de los procesos de gestión de riesgos, actividades de alta prioridad en la planeación de las auditorías del departamento.
» Ayudar a la organización a iden-tificar, evaluar e implantar me-todologías de gestión de riesgos y controles para tratar aquellos riesgos.
» Facilitar a la administración técnicas y herramientas que utiliza la audi-toría interna para identificar y ana-lizar los riesgos y controles – CSA.
» Servir como educadores, partici-par en foros y grupos de trabajo de identificación y análisis de riesgos con la administración.
continuación
APLICACIóN DE OBjEtIVOS EN ASEGuRAmIENtO y CONSuLtORíA VS. EtAPAS DEL PROCESO
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
�0
rol de la auditoría interna en la erm. Etapa: monitorEar y rEvisar
opción erm aseguramiento consultoría
existelaermenlaorganización
» Revisar y evaluar periódicamente la eficacia de todo el proceso de ERM (aprobaciones impartidas por la junta directiva, estructura organizacional, metodologías y procesos, base de datos y tecnología de soporte).
» Dentro de las auditorías regulares, obtener evidencia si el sistema de la ERM está funcionando (Revisión del manejo de los riesgos claves; así como, la evaluación de los reportes de dichos riesgos).
» Llevar a cabo el monitoreo continuo de operaciones sensibles.
» Facilitar la centralización, moni-toreo y control de los procesos de ERM.
» Apoyar el diseño indicadores de gestión, procesos y riesgos como herramienta para evaluar todo el proceso ERM.
» Recomendar las mejoras apropia-das a las políticas, procedimientos y al proceso de ERM.
rol de la auditoría interna en la erm. Etapa: tratamiEnto dE riEsgos
opción erm aseguramiento consultoría
existelaermenlaorganización
Los responsables de la Gestión del Riesgo han debido:
» Identificar las opciones para tratar el riesgo.» Evaluar dichas opciones.» Preparar los planes para el tratamiento del riesgo; e» Implementar dichas acciones.
Los responsables de la gestión de riesgos periódicamente deben:
» Evaluar las opciones para tratar el riesgo.» Decidir ajustes sobre dichas opciones.» Ajustar los planes para el tratamiento del riesgo; e» Implementar dichas acciones.
El auditor interno debe evaluar, sobre el proceso de trata-miento de riesgo, que la administración haya adoptado el mismo con base en:
» Metodologías de reconocido valor que involucren iden-tificar, evaluar y seleccionar opciones de tratamiento.
» Que las opciones de tratamiento de riesgo se hayan im-plementado y operen a cabalidad.
» Que esté acorde a los necesidades propias de la entidad.
Recomendar alternativas que permi-tan mejorar el tratamiento del riesgo definido por la organización.
ermenprocesoenlaorganización
Relacionado con el tratamiento del riesgo. Los responsables de la gestión del riesgo han debido:
» Identificar las opciones para tratar el riesgo.» Evaluar dichas opciones.» Preparar los planes para el tratamiento del riesgo; e» Implementar.
Recomendar alternativas que permi-tan mejorar el tratamiento del riesgo definido por la organización.
noexisteermenlaorganización
» Entrenamiento a la gerencia sobre el tratamiento del riesgo.
» Coordinar actividades sobre trata-miento del riesgo.
» Consolidación de reportes sobre el tratamiento del riesgo.
» Desarrollo de estrategias sobre el tratamiento del riesgo.
continúa
�1
continuación
rol de la auditoría interna en la erm. Etapa: monitorEar y rEvisar
opción erm aseguramiento consultoría
ermenprocesoenlaorganización
» Conocimiento del proceso ERM y cómo se está imple-mentando actualmente.
» Asegurar la autoevaluación del control en las diferentes fases de implementación del ERM.
» Llevar a cabo revisiones sobre la marcha para asegurar su implementación.
» Asegurar que la entidad tenga una política formal y procedimientos para gobernar los procesos de ERM.
» Revisiones con objetivos especiales o específicos de áreas de alto riesgo.
» Facilitar la implementación de ac-ciones de mejoramiento continuo a los cambios que se presenten en la política y objetivos de ERM.
» Verificar el estado de las acciones correctivas y preventivas para evaluar la eficacia de dichas ac-ciones.
» Facilitar el establecimiento de indicadores de gestión, procesos y riesgos como herramienta para controlar el avance o estado de los objetivos de la ERM.
noexisteermenlaorganización
» Evaluación regular de las estrategias, políticas, procedi-mientos y prácticas de la entidad.
» Asegurar que se establezcan y se mantengan los pro-cesos necesarios de monitoreo del sistema de control interno.
» Asegurar que las estrategias gerenciales (financieras, clientes, procesos internos y crecimiento) sean realmente efectivas.
» Informar a la alta gerencia sobre el cumplimiento del control interno en el desarrollo de las operaciones.
» Asesorar a la organización en la toma de conciencia en todos los niveles, acerca de los beneficios de la ERM.
» Diseñar e implementar un sistema de mecanismos de medición y de seguimiento de las actividades expuestas a riesgos.
» Apoyo al cumplimiento de los objetivos corporativos y planes estratégicos del banco.
» Facilitar el diseño de procesos y con-troles que contribuyan a la eficien-cia operativa y a reducir el riesgo.
rol de la auditoría interna en la erm. Etapa: documEntar y rEgistrar El procEso
opción erm aseguramiento consultoría
existelaermenlaorganización
» Obtener evidencia del proceso de ERM.
» Mantener bases de conocimiento de la organización.
» Soportar decisiones, planes de acción e implementación.
» Mantener rastros de auditoría.
» Elaborar planes anuales basados en riesgos.
» Presentar recomendaciones de mejoramiento sobre el tratamien-to de la documentación de ERM.
ermenprocesoenlaorganización
» Identificar necesidades de documentación y opciones de manejo y administración.
» Evaluar alternativas de implementación.
» Monitorear el proceso.
» Recomendar acciones de mejora en la implementación del proceso.
noexisteermenlaorganización
» Asesorar a la alta gerencia sobre la recopilación y tratamiento de la documentación de ERM.
» Monitorear la implementación.
APLICACIóN DE OBjEtIVOS EN ASEGuRAmIENtO y CONSuLtORíA VS. EtAPAS DEL PROCESO
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
�2
rol de la auditoría interna en la erm – Etapa: comunicar y consultar
opción erm aseguramiento consultoría
existelaermenlaorganización
» Asegurar la adopción de políticas de comunicación.
» Evaluar mecanismos y medios de comunicación.
» Monitorear resultados y efectuar seguimiento.
» Evaluar nivel de concientización en riesgos y autocon-trol.
» Evaluar impacto en el contexto interno y externo.
» Apoyar un plan de mejoramiento continúo sobre el proceso de comunicación de la organización, tanto en su interior como a nivel estratégico e institucional
ermenprocesoenlaorganización
» Identificar opciones y mejores prácticas.
» Acompañar el diseño e implementación con énfasis en riesgos y controles.
» Monitorear el proceso.
» Presentar propuestas de mejora-miento con base en resultados de evaluación y monitoreo.
noexisteermenlaorganización
» Asesorar a la alta dirección en la identificación de opciones y dise-ño del proceso.
» Acompañar la implementación.
» Monitorear el proceso.
��
control interno7
componentes de la gestión de riesgos corporativos
7.1 control interno - coso ii
Proceso implementado (efectuado) por el consejo de administración, la dirección y demás personal de una entidad, diseñado para brindar seguridad razonable respecto de la consecu-ción de los objetivos institucionales en las siguientes categorías:
Efectividad y eficiencia de las operaciones Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones aplicables
7.1.1 gestión de riesgos Proceso efectuado por el consejo de administración, la dirección y demás personal de una entidad, que se aplica en el establecimiento de estrategias diseñadas para identificar los eventos potenciales que puedan afectar a la entidad y administrar los riesgos facilitando una seguridad razonable respecto del logro de los objetivos.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
�4
7.1.2 ambiente interno: Base fundamental de todos los componentes de la gestión de riesgos corporativos, ya que establece la disciplina, la estructura y la filosofía para su administración.
Filosofía de administración de riesgos Riesgo aceptado Integridad y valores éticos Compromiso con la competencia Estructura organizacional Asignación de autoridad y responsabilidad Estándares de recursos humanos
7.1.3 establecimiento de objetivos: Definición de objetivos a través de un proceso en que los mismos apoyen la misión de la entidad y sean consecuentes con el riesgo aceptado. Objetivos estratégicos Objetivos relacionados
Operativos De reporte De cumplimiento
7.1.4 identiFicación de eventos: Identificación de situaciones que podrían suceder generando riesgos de pérdida u oportunida-des de mejoramiento para el logro de los objetivos (identificación, probabilidad e impacto). Externos
Económicos Medioambientales Políticos Sociales Tecnológicos
Internos Infraestructura Personal Procesos Tecnología
7.1.5 evaluación de riesgos: Análisis de riesgos considerando su probabilidad e impacto para saber cómo serán adminis-trados. Riesgo inherente (ausencia de acciones) Riesgo residual (después de acciones) Técnicas de avaluación
Benchmarking Modelos probabilísticas Modelos no probabilísticos
�5
CONtROL INtERNO
7.1.6 respuesta al riesgo: Evitar, reducir, compartir o aceptar los riesgos desarrollando acciones para alinearlo al riesgo aceptado. Evaluación de posibles respuestas
Evaluación del efecto sobre la probabilidad y el impacto Evaluación del costo y el beneficio Oportunidades en las opciones de respuesta
Respuestas seleccionadas Perspectiva de portafolio de riesgos
7.1.7 actividades de control: Políticas y procedimientos que contribuyen a que la respuesta a los riesgos sea eficaz. Integración con la respuesta al riesgo Tipos de actividades de control
Revisión de alto nivel Gestión directa de funciones o actividades Procesamiento de información Controles físicos Indicadores de rendimiento Segregación de funciones
Políticas y procedimientos Controles sobre los sistemas de información
Controles Generales Controles de aplicación
7.1.8 inFormación y comunicación: Información relevante identificada, analizada y comunicada en forma oportuna que permita a los funcionarios asumir sus responsabilidades en forma efectiva. Información
Sistemas estratégicos e integrados Integración con las operaciones Profundidad y oportunidad de la información Calidad de la información
Comunicación Comunicación interna Comunicación externa Medios de comunicación
7.1.9 el monitoreo: Evaluación del desempeño de los componentes de la gestión de riesgos en el transcurso del tiempo. Actividades de monitoreo permanente
Revisión de informes operativos, usados para gestionar las operaciones de modo permanente, se pueden detectar inexactitudes o excepciones a los resultados
Cambios en la información incluida en los modelos de valoración de riesgo centrándose en estimaciones esperadas.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
�6
Reclamaciones de clientes. Comunicaciones de los reguladores sobre incumplimientos
Evaluaciones independientes Auditorías externas Consultorías
7.2 modelo de control - cobit
Existen referentes como el modelo COBIT (Control Objectives for Information and Related Technology), cuyo objetivo está dirigido al control de la información y tecnologías afines, el cual se ha convertido en un estándar internacional para el gobierno de las Tecnologías de Información, su gestión y control.
El objetivo principal de la estructura COBIT es posibilitar el desarrollo de una política clara y una buena práctica para el control de TI en toda la industria. Esta estructura cuenta con 34 procesos de TI, agrupados en cuatro dominios: planeamiento y organización, adquisición e implementación, entrega y soporte, y monitoreo.
Adicionalmente existe una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra un conjunto de objetivos de control detallados (302 en total), con el fin de proporcionar a la gerencia la certeza de su cumplimiento y/o una recomendación para su mejora. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio.
Por lo tanto, la administración debe tener una apreciación por, y un entendimiento básico de los riesgos y limitantes del empleo de la tecnología de información para proporcionar una dirección efectiva y controles adecuados. Proporciona “prácticas sanas” a través de un marco referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica.
El impacto en los recursos de TI es enfatizado en el marco referencial de COBIT conjuntamente con los requerimientos de información del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Anexo Núm. 4. COBIT: TABLA DE RESUMEN
�7
Guía para el uso de la Norma NTC 5254 Gestión del Riesgo dentro del proceso de Auditoría Interna. ICONTEC. 2004
El nuevo acuerdo de Basilea II, emitido en abril de 2003, Banco de Pagos Internacionales.
Declaración de Posición - El Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial. Instituto de Auditores Internos. Septiembre 20 de 2004
Position Statement – Risk Based Internal Auditing. The Institute of Internal Auditors – UK and Ireland
Administración del Riesgo Estándar AS / NZ 4360 – Australian Standard Risk Management, Sydney, 1.999
Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Instituto de Auditores Internos. Enero 2004 y los Consejos para la Práctica Profesional. www.theiia.org
Documento en Estudio “Norma IRAM 17550 – Gestión de Riesgos – Directivas Generales”, Instituto Argentino de Nor-malización. Noviembre 2004.
Documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Deve-lopment Canada facilitates assessments of risk management practices in the organization.
Salomón Kalmanovitz, Banco la República
Nueva Historia de Colombia, Editorial Planeta 1989
Documentos Asociación Bancaria de Colombia
bibliograFía
�8
guía para el uso de la norma ntc 5254 –
gestión del riesgo en el proceso de auditoría interna Anexo1
Figura 1visión general. proceso de gestión de riesgos
riEsgos rEsidualEs
1. general
Tomando como referencia la definición dada por la Norma NTC5254, la gestión de riesgos es una parte integrante de la buena gestión de cualquier organización.
La gestión de riesgos es un proceso multifacético y sistemático, por lo cual las actividades involucradas son a menudo llevadas a cabo por un equipo multidisciplinario. Es un proceso iterativo de mejora continua, cuya incorporación en las prácticas o procesos de negocio exis-tentes resulta beneficiosa.
1.1. elementos principalesLos elementos principales del proceso de gestión de riesgos, como se puede ver en la figura 1, son los siguientes:
�9
a) establecerelcontexto:Establecer los contextos externo, interno y de gestión de riesgos en los cuales tendrá lugar el resto del proceso. Deben fijarse los criterios contra los cuales se evaluarán los riesgos y definirse la estructura del análisis.
b) Identificarriesgos: Identificar qué, por qué, dónde, cuándo y cómo los eventos podrían impedir, degradar, demorar o mejorar el logro de los objetivos estratégicos y de negocio de la organización. Se deben tener en cuenta todos los riesgos, estén ó no bajo el control de la administración.
c) Analizarriesgos: Identificar y evaluar los controles existentes. Determinar consecuencias y probabilidad de ocurrencia, y por ende el nivel de riesgo. El análisis debería considerar el rango de consecuencias potenciales y cómo éstas podrían ocurrir.
d) evaluarriesgos: Comparar los niveles estimados de riesgo contra los criterios preesta-blecidos y considerar el balance entre beneficios potenciales y resultados adversos. Esto posibilita la toma decisiones con respecto a la extensión y naturaleza del tratamiento requerido y la prioridad de tratamiento de los riesgos. Si los niveles de riesgo establecidos son bajos podría caer en una categoría aceptable y no se requeriría tratamiento.
e) tratarriesgos: Si los niveles de riesgo establecidos son bajos y son tolerables entonces no se requiere tratamiento. Para otros riesgos, se deben desarrollar e implementar estrate-gias y planes de acción específicos que sean costo-efectivos para aumentar los beneficios potenciales y reducir los costos potenciales.
f) monitoreary revisar: Es necesario monitorear la efectividad de todos los pasos del proceso de gestión de riesgos. Esto es parte importante del mejoramiento continuo.
Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades
g) comunicaryconsultar:Comunicar y consultar con los interesados internos y externos según resulte apropiado en cada etapa del proceso de gestión de riesgos, y con respecto al proceso como un todo.
h) riesgosresiduales: Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas tomadas para el manejo del riesgo.
La administración del riesgo puede ser aplicada a diferentes niveles en la organización. Puede ser aplicada, tanto en el nivel estratégico como en el nivel táctico y en el operacional. Puede ser aplicada a proyectos específicos, para asesorar en la toma de decisiones o para administrar específicamente áreas reconocidas de riesgo.
La administración del riesgo es un proceso iterativo que puede contribuir al mejoramiento organizacional. Con cada ciclo, los criterios de riesgo pueden ser más exigentes, para lograr progresivamente mejores niveles de administración del riesgo.
ANEXO 1
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
40
En cada etapa del proceso deben mantenerse registros adecuados, suficientes para satisfacer una auditoría independiente. Estos registros permiten que la toma de decisiones sea entendida como parte de un proceso de mejoramiento continuo.
1.2. responsabilidad por la gestión de riesgos empresariales (erm)La junta posee la responsabilidad de asegurarse que los riesgos son gestionados.
En la práctica, la junta delega en el equipo gerencial la operación del marco de gestión de riesgo, quienes son los responsables de realizar las actividades establecidas y necesarias. Podría existir una función separada que coordine y maneje estas actividades; y aplique destrezas y conocimientos especiales.
1.3. beneFicios de la gestión de riesgo empresarialLa Gestión de Riesgo Empresarial puede realizar una enorme contribución ayudando a la orga-nización a gestionar los riesgos para poder alcanzar sus objetivos. Los beneficios incluyen:
Mayor posibilidad de alcanzar los objetivos; Consolidación de reportes de riesgos distintos a nivel de la junta; Incrementa el entendimiento de riesgos claves y sus más amplias implicaciones; Identificación y comparte riesgos alrededor del negocio; Creación de mayor enfoque de la gerencia en asuntos que realmente importan; Menos sorpresas y crisis; Mayor enfoque interno en hacer lo correcto en la forma correcta; Incrementa la posibilidad de que cambios en iniciativas puedan ser logrados; Capacidad de tomar mayor riesgo por mayores recompensas; y Más información sobre riesgos tomados y decisiones realizadas.
A continuación se detallan las principales actividades en cada una de las etapas:
2. etapa establecer el contexto
2.1. general Establecer el contexto define los parámetros básicos dentro de los cuales los riesgos deben ser gestionados y define el alcance del proceso de gestión de riesgos. El contexto incluye el ambiente interno y externo de la organización y el propósito de la gestión de riesgos. Igual-mente considera las interfaces entre el ambiente interno y el ambiente externo.
Es importante asegurar que los objetivos definidos para el proceso de gestión de riesgos considere el ambiente organizacional y el ambiente externo.
2.2. establecer el contexto interno Antes de comenzar una actividad de gestión de riesgos, a cualquier nivel, es necesario com-prender la organización, considerando aspectos clave como: Cultura Interesados internos
41
ANEXO 1
Estructura Capacidades en términos de recursos tales como gente, sistemas, procesos, capital Metas y objetivos y las estrategias que se han establecido para lograrlos
Establecer el contexto interno es importante por las siguientes razones: La gestión de riesgos tiene lugar en el contexto de las metas y objetivos de la organiza-ción.
El riesgo principal para la mayoría de las organizaciones es fallar en el logro de sus objetivos estratégicos, de negocio o de proyectos, o que los interesados perciban que se ha fallado en lograrlos.
Las políticas, metas e intereses organizacionales ayudan a definir la política de riesgo de la organización; y
Los objetivos y criterios específicos de un proyecto o actividad deben considerarse a la luz de los objetivos de la organización como un todo.
2.3 establecer el contexto externo Este paso define la relación entre la organización y el entorno externo donde opera. El con-texto externo incluye por ejemplo: El ambiente de negocios, social, regulatorio, cultural, competitivo, financiero y político Las fortalezas, debilidades, oportunidades y amenazas Interesados externos Motivadores clave del negocio
Se deben considerar las percepciones y valores de los interesados externos y establecer polí-ticas para comunicarse con ellos.Establecer el contexto externo es importante para asegurar que: Los interesados y sus objetivos son considerados para desarrollar los criterios de gestión de riesgos.
Las amenazas y oportunidades generadas externamente son consideradas de manera apro-piada.
Debe llevarse a cabo un análisis estratégico. El mismo debe ser aprobado a nivel ejecutivo, para establecer los parámetros básicos y proveer una guía para los procesos de gestión de riesgos más detallados.
Debería existir una relación estrecha entre la política y objetivos de gestión de riesgos de una organización y su misión y objetivos estratégicos.
2.4. establecer el contexto de gestión de riesgos Deben establecerse las metas, objetivos, estrategias, alcance y parámetros de la actividad o de la parte de la organización a la cual se está aplicando el proceso de gestión de riesgos.
El proceso debería ser llevado a cabo con plena consideración de la necesidad de balancear costos, beneficios y oportunidades. También deberían especificarse los recursos requeridos y los registros que deben mantenerse.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
42
El hecho de establecer el alcance y los límites de aplicación del proceso de gestión de riesgos involucra: Definir la organización, proceso, proyecto o actividad y establecer sus metas y objetivos. Especificar la naturaleza de las decisiones que deben tomarse. Definir la extensión de la actividad o función del proyecto en términos de tiempo y locali-zación.
Identificar cualquier estudio necesario sobre estructura y el alcance, y los objetivos, alcance y recursos requeridos para desarrollar el estudio.
Definir la profundidad y amplitud de las actividades de gestión de riesgos a llevar a cabo, considerando inclusiones o exclusiones específicas.
Los aspectos específicos que también deberían ser discutidos incluyen: Los roles y responsabilidades de las distintas partes de la organización que participan en el proceso de gestión de riesgos.
Las relaciones entre el proyecto o actividad y otros proyectos o partes de la organización.
2.5. desarrollar criterios de evaluación de riesgos Se deben decidir los criterios contra los cuales se van a evaluar los riesgos.
Las decisiones concernientes a si se requiere un tratamiento del riesgo deberían estar basa-das en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios u otros. Los criterios deben reflejar el contexto definido previamente. Esto a menudo depende de las políticas internas, metas y objetivos de una organización y de los intereses de los distintos interesados.
Los criterios podrían estar afectados por las percepciones de los interesados y por requerimien-tos legales o regulatorios. Es importante que se determinen los criterios apropiados desde el comienzo.
Aunque los criterios para la toma de decisiones son inicialmente desarrollados como parte del establecimiento del contexto de gestión de riesgos, los mismos deben ser posteriormente desarrollados y perfeccionados a medida que se identifiquen riesgos particulares y se escojan técnicas de análisis de riesgos. Los criterios de riesgo deberían corresponder a los tipos de riesgos y la forma en que se expresan los niveles de riesgo.
2.6. deFinir la estructura para la gestión de de riesgoEsto involucra subdividir la actividad, proceso, proyecto o cambio en un conjunto de elemen-tos o pasos. Estos elementos proveen una estructura lógica que ayuda a asegurar que no se pasen por alto riesgos significativos. La estructura escogida depende de la naturaleza de los riesgos y del alcance del proyecto, proceso o actividad.
3. identiFicación de riesgos
3.1. general Este paso procura identificar los riesgos a gestionar.
4�
ANEXO 1
La identificación completa de riesgos utilizando un proceso sistemático bien estructurado es crítica, porque un riesgo potencial no identificado en esta etapa quedaría excluido de análisis posteriores.
La identificación debería incluir todos los riesgos, estén o no bajo control de la organiza-ción.
3.2. ¿qué puede suceder, dónde y cuándo?El propósito es generar una lista amplia de fuentes de riesgos y eventos que podrían tener un impacto en el logro de cada uno de los objetivos identificados en la etapa de establecer el contexto. Estos eventos podrían impedir, degradar, demorar o mejorar el logro de esos objetivos. Estos eventos son considerados luego en mayor detalle para identificar lo que puede suceder.
3.3. ¿cómo y por qué puede suceder? Una vez identificado lo que podría suceder, es necesario considerar las causas y escenarios posibles. Hay muchas formas en que puede suceder un evento. Es importante que no se omita ninguna causa significativa.
3.4. Herramientas y técnicas Los enfoques utilizados para identificar riesgos incluyen listados de control (checklists), juicios basados en la experiencia y registros, diagramas de flujo, técnicas como lluvia de ideas (bra-instorming), análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas. Ver una explicación más detallada en el HB 436 de 2004 del Standards Australia / Standards New Zealand.
El enfoque utilizado dependerá de la naturaleza de las actividades bajo revisión, de los tipos de riesgos, del contexto organizacional y del propósito del estudio de gestión de riesgos.
4. análisis de riesgo
4.1. generalEl objetivo del análisis de riesgos es desarrollar un entendimiento de los riesgos. Provee infor-mación que respalda la toma de decisiones sobre si los riesgos necesitan ser tratados y sobre las estrategias más apropiadas y costo-efectivas de tratamiento de los riesgos.
El análisis de riesgos involucra considerar las fuentes de riesgo, sus consecuencias positivas y negativas y la probabilidad de que estas puedan ocurrir. Deben identificarse los factores que afectan, las probabilidades y las consecuencias. El riesgo es analizado combinando con-secuencias y sus probabilidades. En la mayoría de los casos se toman en cuenta las medidas de control existentes.
Se puede llevar a cabo un análisis preliminar para combinar riesgos similares o excluir del es-tudio detallado a los riesgos de bajo impacto. Siempre que sea posible, los riesgos excluidos deberían ser listados para demostrar que el análisis de riesgos es completo.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
44
4.2. evaluar los controles existentes Se deben identificar los procesos, dispositivos o prácticas existentes que actúan para minimizar los riesgos negativos o para mejorar los riesgos positivos y evaluar sus fortalezas y debilida-des. Los controles pueden surgir como resultado de actividades previas de tratamiento del riesgo.
4.3. consecuencias y probabilidades La magnitud de las consecuencias de un evento, en el caso de que éste ocurriera, y la pro-babilidad del evento y sus consecuencias asociadas, se evalúan en el contexto de la eficacia de las estrategias y controles existentes. Un evento puede tener múltiples consecuencias y afectar diferentes objetivos.
Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Las conse-cuencias y probabilidades se pueden determinar utilizando cálculos y análisis estadístico.
Alternativamente, cuando no se dispone de datos anteriores confiables o relevantes, se pueden realizar estimaciones subjetivas que reflejan el grado de convicción que tiene un individuo o un grupo sobre si un evento o resultado particular ocurrirá.
Para evitar prejuicios subjetivos, cuando se analizan las consecuencias y probabilidades deberían utilizarse las fuentes de información y técnicas más pertinentes. Las fuentes de información podrían incluir: Registros anteriores. Práctica y experiencia relevante. Prácticas y experiencia de la industria o actividad. Publicaciones relevantes. Investigaciones de mercado. Resultados de consultas públicas. Experimentos y prototipos. Modelos económicos, de ingeniería u otros; Opiniones y juicios de especialistas y expertos.
Las técnicas incluyen: Entrevistas estructuradas con expertos en el área de interés. Utilización de grupos multidisciplinarios de expertos. Evaluaciones individuales utilizando cuestionarios. y Uso de modelos y simulaciones.
Siempre que sea posible, debería incluirse la confianza depositada en las estimaciones de los niveles de riesgo.
4.4. tipos de análisis El análisis de riesgo puede ser llevado a cabo a distintos niveles de detalle dependiendo del riesgo, del propósito del análisis y de la información, datos y recursos disponibles. El análisis puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinación de ellos, depen-diendo de las circunstancias.
45
ANEXO 1
El orden de complejidad y los costos de estos análisis, en orden ascendente, es: cualitativo, semi-cuantitativo y cuantitativo. En la práctica, a menudo se utiliza primero el análisis cualitativo para obtener una indicación general del nivel de riesgo y para revelar los aspectos principales de riesgo. Luego puede ser necesario llevar a cabo análisis más específicos o cuantitativos sobre los principales aspectos de riesgo. La forma del análisis debería ser consistente con los criterios de evaluación de riesgos desa-rrollados como parte del establecimiento del contexto.
En detalle, los tipos de análisis son:a) Análisiscualitativo El análisis cualitativo utiliza palabras o escalas descriptivas para describir la magnitud de
las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Estas escalas pueden ser adaptadas o ajustadas para adaptarse a las circunstancias, y pueden utilizarse distintas descripciones para riesgos diferentes.
El análisis cualitativo puede utilizarse:
i. Como un filtro inicial para identificar los riesgos que requieren un análisis más deta-llado.
ii. Cuando el nivel de riesgo no justifica el tiempo y el esfuerzo requerido para otro tipo de análisis.
iii. Cuando esta clase de análisis es apropiado para las decisiones que requieren ser to-madas o
iv. Cuando los datos numéricos o los recursos son inadecuados para un análisis cuanti-tativo.
b)Análisissemi-cuantitativo En el análisis semi-cuantitativo, se le asignan valores a las escalas nominales cualitativas, tales
como las descritas arriba. El objetivo es producir una escala de priorización más detallada que la que se logra normalmente en el análisis cualitativo y no sugerir valores reales de los riesgos, tales como los que se procuran en el análisis cuantitativo. Sin embargo, dado que el número asignado a cada descripción puede no representar una relación exacta de la magnitud real de las consecuencias o probabilidades, los números sólo pueden ser combinados utilizando una fórmula apropiada que reconozca las limitaciones del tipo de escala utilizada.
Debe tenerse cuidado con el uso del análisis semi-cuantitativo porque los números escogidos podrían no reflejar apropiadamente las relatividades y esto podría conducir a resultados inconsistentes, anómalos o inapropiados. El análisis semi-cuantitativo podría no diferenciar apropiadamente entre distintos riesgos, particularmente cuando las consecuencias o las probabilidades son extremas.
c) Análisiscuantitativo El análisis cuantitativo utiliza valores numéricos tanto para las consecuencias como para
las probabilidades, utilizando datos de una variedad de fuentes. La calidad del análisis de-pende de la precisión e integridad de los valores numéricos y de la validez de los modelos utilizados.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
46
Las consecuencias podrían ser estimadas modelando los resultados de un evento o conjunto de eventos, o mediante extrapolación de estudios experimentales o datos del pasado.
Las consecuencias podrían ser expresadas en términos de criterios de impacto moneta-rios, técnicos o humanos, o cualquiera de los otros criterios referidos en 6.1.5. En algunos casos, se requiere más de un valor numérico para especificar consecuencias para distintos momentos, lugares, grupos o situaciones.
La forma en la cual se expresan las probabilidades y consecuencias, y las formas en las cuales las mismas se combinan para proveer un nivel de riesgo varían de acuerdo con el tipo de riesgo y el propósito para el cual se va a utilizar el resultado de la evaluación del riesgo. Puede considerarse y comunicarse eficazmente el efecto de la incertidumbre y variabilidad de cada factor sobre el nivel de riesgo.
4.5. análisis de sensibilidad Dado que algunas de las estimaciones cuantitativas realizadas en el análisis del riesgo requie-ren ajustes, debería llevarse a cabo un análisis de sensibilidad para verificar el efecto de la incertidumbre en las suposiciones y datos. El análisis de sensibilidad es también una forma de comprobar la adecuación y efectividad de los controles y de las opciones de tratamiento de riesgos potenciales.
5. evaluación de riesgo
La evaluación de riesgo involucra comparar el nivel de riesgo detectado durante el proceso de análisis con los criterios de riesgo previamente establecidos.
El objetivo de la evaluación de riesgos es tomar decisiones, basadas en los resultados del análisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades.
Deberían considerarse los objetivos de la organización y la gama de oportunidades que podrían resultar del riesgo. Cuando deba realizarse una selección entre distintas opciones, el mayor potencial de pérdidas debería asociarse con los mayores beneficios potenciales y la selección apropiada dependerá del contexto de la organización.
Las decisiones deberían tomar en cuenta el amplio contexto del riesgo, e incluir considera-ciones de la tolerancia de los riesgos de terceras partes distintas de la organización que se benefician del mismo.
Los riesgos bajos o tolerables podrían ser aceptados con un tratamiento futuro mínimo. Los mismos deberían ser monitoreados y revisados periódicamente para asegurar que se man-tienen igual.
Si los riesgos no son bajos o tolerables, deberían ser tratados utilizando una o más de las opciones consideradas.
47
ANEXO 1
En algunas circunstancias, la evaluación de riesgos podría conducir a la decisión de llevar a cabo un mayor análisis.
6. tratamiento del riesgo
6.1. generalEl tratamiento del riesgo involucra identificar el rango de opciones para tratar el riesgo, evaluar esas opciones, preparar planes de tratamiento del riesgo e implementarlos.
6.2. identiFicar opciones para tratamiento del riesgo Las opciones de tratamiento de riesgos, que no son necesariamente mutuamente excluyentes o apropiadas en todas las circunstancias, incluyen: Evitar el riesgo decidiendo no seguir adelante con la actividad que probablemente crea el riesgo. El escape al riesgo puede ocurrir inadecuadamente a raíz de la tendencia de algunas personas u organizaciones a tener aversión a los riesgos. El escape inadecuado al riesgo puede aumentar la significación de otros riesgos o podría conducir a la pérdida de oportu-nidades de obtener beneficios.
La aversión al riesgo puede resultar en: decisiones de evitar o ignorar riesgos, independientemente de la información disponible
y de los costos incurridos en el tratamiento de esos riesgos; fallas al tratar los riesgos; dejar las opciones críticas y/o decisiones a otras partes; diferir las decisiones que la organización no puede evitar; seleccionar una opción porque representa un riesgo potencial más bajo independien-
temente de los beneficios.
Cambiar la probabilidad de ocurrencia, para mejorar la probabilidad de resultados benefi-ciosos y reducir la probabilidad de pérdidas.
Cambiar las consecuencias, para aumentar la magnitud de los beneficios y reducir la mag-nitud de las pérdidas. Esto también podría incluir respuesta a la emergencia, planes de contingencia y de recuperación de desastres.
Transferir el riesgo. Esto involucra a otras partes que sostienen o comparten alguna parte del riesgo. Los mecanismos incluyen el uso de contratos, acuerdos de seguros y estructuras organizacionales tales como sociedades y “joint ventures”. Generalmente hay algún costo financiero o beneficio asociado a la transferencia de parte del riesgo a otra organización, tal como el premio pagado por los seguros. Idealmente, las responsabilidades por el trata-miento de los riesgos deberían ser asignadas a las partes más aptas para controlarlos.
Las responsabilidades deberían ser acordadas entre las partes lo antes posible. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares, reduce el riesgo original para la organización que transfiere, pero podría no disminuir el nivel global de riesgo para la sociedad. A menudo, tal transferencia de riesgo sólo cambia un tipo de riesgo por otro,
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
48
de forma tal, que ambas partes terminan con los tipos de riesgos que están más aptos para tolerar, tratar o retener.
Cuando los riesgos son total o parcialmente transferidos, la organización que transfiere el riesgo ha adquirido un nuevo riesgo, y es que la organización a la cual se ha transferido no pueda administrarlo eficazmente.
Retener el riesgo. Luego que los riesgos han sido reducidos o transferidos, podrían existir riesgos residuales que son retenidos. Los riesgos también podrían ser retenidos en forma predeterminada, por ejemplo: cuando hay una falla para identificar o transferir adecuada-mente, o bien tratar los riesgos.
6.3. evaluar las opciones de tratamiento de riesgos Las opciones deberían ser evaluadas sobre la base del grado de reducción de las pérdidas, y el alcance de los beneficios adicionales u oportunidades creadas, tomando en cuenta los criterios desarrollados. Se pueden considerar y aplicar una cantidad de opciones, ya sea in-dividualmente o combinadas.
El análisis de sensibilidad es una forma de comprobar la eficacia de las distintas opciones para tratar el riesgo.
La selección de la opción más apropiada involucra balancear el costo de implementación de cada opción contra los beneficios derivados de ella. En general, el costo de administrar los riesgos necesita ser conmensurado con los beneficios obtenidos.
Cuando se logran grandes cambios en el riesgo se puede hacer con un costo relativamente bajo, y deberían ser implementados.
Otras opciones de mejora podrían ser antieconómicas y se necesita ejercitar el juicio para determinar si las mismas son justificables.
Las decisiones deberían tomar en cuenta la necesidad de considerar cuidadosamente los riesgos raros, pero severos, que justificarían acciones de tratamiento de riesgos que no serían justificables en el terreno de lo estrictamente económico.
Cuando se analizan los costos versus los beneficios, es importante considerar todos los costos y perjuicios, como asimismo, todos los beneficios y oportunidades. A menudo los beneficios secundarios/colaterales de adoptar una determinada estrategia de riesgos pueden ser im-portantes.
Mientras que un control en particular puede ser muy eficaz en la reducción de la probabi-lidad de un tipo específico de pérdida, el mismo también puede quitar la oportunidad de beneficios.
En muchos casos, es improbable que cualquier opción de tratamiento de riesgos sea una solución completa para un problema en particular. A menudo la organización se beneficiará
49
ANEXO 1
sustancialmente por una combinación de opciones tales como cambiar la probabilidad de los riesgos, cambiar sus consecuencias, y transferir o retener cualquier riesgo residual. Un ejem-plo es el uso eficaz de contratos y financiamiento de riesgos sustentado por un programa de reducción de riesgos.
Cuando el costo acumulativo de efectuar todos los tratamientos de riesgos excede el pre-supuesto disponible, el plan debería identificar claramente el orden de prioridad en el cual deberían ser implementados los tratamientos individuales de riesgo. El ordenamiento puede ser establecido utilizando distintas técnicas, incluyendo análisis de importancia de los riesgos y de costo-beneficio. Los requerimientos de cumplimiento legal deben estar por encima de los análisis de costo-beneficio.
Los tratamientos de riesgos que no pueden ser implementados dentro del límite del presu-puesto disponible deben esperar la disponibilidad de recursos futuros o, si por cualquier razón algunos o todos los tratamientos restantes son considerados importantes, deberá analizarse el caso para lograr financiación adicional. En todos los casos es importante comparar el costo total de no tomar ninguna acción, contra el aparente ahorro presupuestario.
Las opciones de tratamiento de riesgos deberían considerar los valores y percepciones de los interesados y las formas más apropiadas de comunicarse con ellos.
Las estrategias de tratamiento de riesgos podrían por si mismas introducir nuevos riesgos. Estos riesgos necesitan ser identificados, evaluados, tratados y monitoreados como parte del proceso iterativo.
Si luego de un tratamiento hay un riesgo residual, debería tomarse una decisión sobre si debe retener este riesgo o repetir el proceso.
6.4. preparación e implementación de planes de tratamientoLos planes deberían documentar cómo serán implementadas las opciones escogidas.
Los planes de tratamiento deberían identificar las responsabilidades, las fechas programadas, los resultados esperados de los tratamientos, el presupuesto, las medidas del desempeño y el proceso de revisión a poner en práctica. Los planes también deberían incluir mecanismos para evaluar la implementación de las opcio-nes respecto de criterios de desempeño, las responsabilidades individuales y otros objetivos, y procesos para monitorear los logros respecto de hitos críticos de implementación.
La implementación exitosa del plan de tratamiento del riesgo requiere un sistema de adminis-tración eficaz que especifique los métodos escogidos, asigne responsabilidades individuales por las acciones y las controle con relación a criterios especificados.
7. control y revisión
Es necesario controlar la eficacia de todos los pasos del proceso de gestión de riesgos. Este es un paso importante para la mejora continua.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
50
Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades. La auto-evaluación del control provee un medio para la revisión continua de los riesgos y de sus controles.
Es esencial la revisión sobre la marcha para asegurar que el plan de administración se mantenga apropiado. Los factores que podrían afectar la probabilidad y consecuencia de un resultado podrían cambiar, como también los que afectan la conveniencia o costo de las opciones de tra-tamiento. Es en consecuencia necesario repetir el ciclo de gestión de riesgos regularmente.
La revisión es una parte integral de los planes de tratamiento de la administración de riesgos.
El progreso real respecto de los planes de tratamiento de los riesgos provee una medida im-portante de desempeño y debería ser incorporado en el sistema de información, medición y administración de desempeño de la organización.
El control también involucra aprender de los eventos y de sus resultados.
8. documentar y registrar el proceso de gestión de riesgos Debe registrarse en forma adecuada cada etapa del proceso de gestión de riesgos. Deberían documentarse las hipótesis, métodos, fuentes de datos, análisis, resultados y razones para las decisiones.
Los registros de tales procesos son un aspecto importante de un buen gobierno corporativo. Ellos sirven para:
Demostrar que el proceso es conducido apropiadamente. Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos. Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organización.
Proveer a los tomadores de decisiones relevantes de un plan de gestión de riesgos para aprobación y subsecuente implementación.
Proveer un mecanismo y herramienta de responsabilidad. Facilitar el continuo monitoreo y revisión. Proveer una pista de auditoría. Compartir y comunicar información.
Las decisiones concernientes al alcance y métodos de documentación y registro podrían involucrar costos y beneficios; deberían tomarse en cuenta estas razones para mantener la documentación.
Una gestión de riesgos efectiva requiere documentación apropiada y suficiente en cada etapa del proceso, que incluya objetivos, fuentes, administración, tratamiento y plan de acción. Debe contemplar políticas y procedimientos, declaraciones de conformidad, funciones y respon-sabilidades, registros de riesgos y controles, planes de mejoramiento, resultados, monitoreo
51
ANEXO 1
y auditorías.
9. comunicación y consulta
La comunicación y la consulta son importantes en cada paso del proceso de gestión de riesgos. Es importante desarrollar un plan de comunicación tanto para los interesados internos como externos desde la etapa más temprana del proceso. Este plan debería considerar aspectos relativos tanto al riesgo en si mismo, como al proceso para administrarlo.
Comunicación y consulta involucran un diálogo permanente entre los interesados, con es-fuerzos focalizados en la consulta y retroalimentación, más que en un flujo de información de una sola vía desde el tomador de decisiones hacia los interesados.
Es útil un enfoque de equipo de consulta para ayudar a definir el contexto de la comunicación en forma apropiada, e identificar los riesgos eficazmente. Posteriormente se deberán reunir distintas áreas de especialidad en el análisis de riesgos, para asegurar que se consideran los diferentes puntos de vista en la evaluación de los riesgos y para lograr una administración apropiada de cambios durante el tratamiento de estos.
El involucrarse también posibilita que se asuma la ‘propiedad’ de los riesgos por parte de los gerentes y el compromiso de los interesados. Les permite apreciar los beneficios de controles particulares y la necesidad de aprobar y sustentar un plan de tratamiento.
Son importantes las comunicaciones internas y externas eficaces para asegurar que aquellos responsables por implementar gestión de riesgos, y aquellos con un interés establecido, comprendan la base sobre la cual se toman las decisiones y por en qué se requieren deter-minadas acciones.
Las percepciones sobre el riesgo pueden variar debido a diferencias en los valores, necesidades, suposiciones, conceptos y preocupaciones de los interesados, en la medida que se relacionen con el riesgo o los aspectos bajo discusión.
Es probable que los interesados emitan juicios sobre la aceptabilidad de un riesgo, basados en su percepción. Dado que los puntos de vista de los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones del riesgo, y sus percepciones sobre los beneficios, sean identificadas y registradas, y las razones subyacentes comprendidas y consideradas.
La información sobre el desempeño de la gestión de riesgos, particularmente la relativa al progreso en su desarrollo e implementación del plan de gestión de riesgos debe ser comu-nicada a los interesados. Los mecanismos de actualización permanente, medición e informes periódicos son también características del buen gobierno corporativo.
Particularmente es importante la comunicación de las políticas, en la medida en que abarcan desde la infraestructura, hasta la creación de una cultura organizacional alrededor de la ges-tión del riesgo; comprende entre otros aspectos:
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
52
2 Definiciones tomadas de los documentos: ADMINISTRACION DEL RIESGO ESTANDAR AS/NZ 4360 y de Declaración de Posición: Rol de la Auditoría Interna en la Gestión de Riesgo Empresarial – www.theiia.org
La conformación del equipo de alta dirección que responde por el proceso Promover la toma de conciencia sobre el control y el riesgo Mantener a toda la organización en diálogo permanente Adquirir y compartir experiencias y mejores prácticas en ERM – Consultorías Asegurar mecanismos apropiados de reconocimiento y sanción, en función del riesgo Establecer el manejo de indicadores de riesgo y su inclusión en la evaluación de desempeño.
Las partes interesadas en la comunicación deben ser parte integral de la gestión de riesgo, en razón a su diversidad, percepción y participación, niveles de interés, conocimientos en ERM y la manera como se vean afectadas por una decisión. Entre otras son: El recurso humano de la organización (Directivos, empleados, administradores, asesores, terceros)
Empresas o contrapartes comerciales Sindicatos Agremiaciones a nivel de industria, sector, grupo económico, política Compañías de Seguros Organismos de regulación y entes gubernamentales Clientes Contratistas y proveedores Medios de comunicación Comunidades locales (áreas de influencia) Sociedad en general
ii. deFinicionesPara el propósito de este documento se aplican las siguientes definiciones2:
2.1 consecuenciaEl resultado de un evento expresado en forma cualitativa o cuantitativa, que genera pérdida, daño, desventaja o ganancia.
2.2. costoLos costos tanto directos como indirectos de una actividad involucran un impacto negativo, incluyendo dinero, tiempo, trabajo, interrupción, goodwill, pérdidas políticas e intangibles.
2.3. eventoUn incidente o suceso, que ocurre en un determinado lugar durante un determinado intervalo de tiempo.
2.4. árbol de análisis de causas.Es una técnica que describe el posible rango y secuencia de los resultados que pueden origi-narse de un evento inicial.
5�
ANEXO 1
2.5. análisis de modos de Fallas y eFectos – Failure mode and eFFects analysis (Fmea)
Es un procedimiento mediante el cual se analizan los modos potenciales de fallas en un sis-tema técnico.
2.6. árbol de an álisis de FallasEs un método de ingeniería de sistemas que representa la combinación lógica de varios estados del sistema y las posibles causas que pueden contribuir a un evento específico.
2.7. FrecuenciaEs una medida sobre la rata de ocurrencia de un evento expresado por el número de ocurren-cias en un tiempo dado. Ver también probabilidad.
2.8. amenazaLa fuente de daño potencial o una situación que potencialmente cause pérdidas.
2.9. pérdidaUna consecuencia negativa, financiera o de cualquier otra índole.
2.10. monitoreoVerificar, supervisar, observar o registrar el progreso de una actividad, acción o sistema sobre una base regular, con el fin deidentificarcambios.
2.11. organizaciónUna compañía, firma, empresa o asociación, u otra entidad de tipo legal o de cualquier índole, esto es incorporada o no, pública o privada, que tiene sus propias funciones y admi-nistración.
2.12. probabilidadLa posibilidad de que un evento específico o resultado, medido por la rata de eventos específicos o resultados dentro de un número total de posibles eventos o resultados. La probabilidad es expresada como un número entre 0 y 1, en donde cero indica que es imposible que el hecho ocurra y 1 indica que el evento es cierto.
2.13. riesgo residual Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas de tratamiento tomadas para mitigar del riesgo.
2.14. riesgoLa posibilidad de que algo suceda y que podría tener un impacto sobre los objetivos. Está medido en términos de consecuencias y probabilidad de ocurrencia.
2.15. aceptación del riesgoEs la decisión informada de aceptar las consecuencias y la probabilidad de un riesgo parti-cular.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
54
2.16. análisis del riesgoEl uso sistemático de información disponible para determinar con qué frecuencia un determi-nado evento puede ocurrir y la magnitud de sus consecuencias.
2.17. valoración del riesgo.El conjunto de procesos para analizar y evaluar el riesgo.
2.18. evitar el riesgo.Decisión informada de no involucrarse en una situación de riesgo. 2.19. control del riesgoSe refiere a la parte de la administración de riesgo, que involucra la implantación de políticas, es-tándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos.
2.20. ingeniería de riesgosEs la aplicación de principios y métodos de ingeniería para la administración del riesgo.
2.21. evaluación del riesgoEl proceso utilizado para determinar prioridades en la administración del riesgo por la com-paración de niveles de riesgo frente a estándares determinados, límites de niveles del riesgo u otros criterios.
2.22. Financiación el riesgoLos métodos aplicados para financiar la administración del riesgo y las consecuencias finan-cieras del riesgo.
2.23. identiFicación del riesgo.Proceso para determinar QuÉ puede suceder, porQuÉ y cómo.
2.24. administración del riesgoLa cultura, los procesos y las estructuras que están dirigidas hacia una efectiva administración de potenciales oportunidadesy efectosadversos.
2.25. apetito de riesgoEl nivel de riesgo que es aceptable para los accionistas, la junta directiva ó la dirección. Este puede ser establecido con relación a la organización como un todo, para diferentes grupos de riesgos ó en un nivel de riesgo individual.
2.26. proceso de administración del riesgoLa aplicación sistemática de políticas gerenciales, procedimientos y prácticas, en las activida-des para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos.
2.27. reducción del riesgoLa aplicación selectiva de técnicas apropiadas y principios gerenciales para reducir la proba-bilidad de ocurrencia de un evento, sus consecuencias o ambos.
55
3 El término stakeholder puede también incluir las partes interesadas, tal como esta definido en ISO 14050:1998 y en ISO 14004:1996.
ANEXO 1
2.28. retención del riesgoIntencionalmente o no, conservar la responsabilidad por pérdidas o provisiones para pérdidas, al interior de la empresa.
2.29. transFerir el riesgoTransferir total o parcialmente la responsabilidad de la provisión para pérdidas a un tercero a través de la ley, contratos, seguros u otro medio. Transferir el riesgo puede también hacer referencia a mover físicamente el riesgo o parte del mismo a otro sitio.
2.30. tratamiento del riesgo Seleccionar e implementar las opciones apropiadas para reducir el riesgo.
2.31. respuestas a riesgosLos medios a través de los cuales la organización decide gestionar riesgos individuales. Las principales categorías son: tolerar el riesgo; tratar el mismo reduciendo su impacto o posi-bilidad; transferirlo a otra organización o terminar la actividad que lo origina. Los controles internos son una forma de tratar un riesgo.
2.32. análisis de sensibilidadExaminar cómo los resultados del cálculo de un modelo varían cuando los supuestos indivi-duales son modificados.
2.33. stakeHolders3 Son las personas y las organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que ellos mismos pueden ser afectados por una decisión o actividad.
2.34. consejo El término Consejo se refiere al cuerpo de gobierno de una organización, tal como el con-sejo de administración, el consejo de supervisión, el responsable de un organismo o cuerpo legislativo, el comité o miembros de la dirección de una organización sin ánimo de lucro, o cualquier otro órgano de gobierno designado por la organización, a quien pueda reportar funcionalmente el director ejecutivo de auditoría.
2.35. controlCualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.
2.36. deFensorAquel quién apoya y defiende una persona o causa. Por lo tanto, un defensor de la gestión de riesgo promoverá sus beneficios, educará a la dirección de la organización y miembros sobre
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
56
las acciones que ellos necesitan realizar para su implementación y los animará y apoyará en la realización de esas acciones.
2.37. empresaCualquier organización establecida para alcanzar objetivos determinados.
2.38. FacilitaciónTrabajar con un grupo para hacer más fácil el logro de los objetivos o actividad que el grupo ha acordado alcanzar. Esto envuelve escuchar, retar, observar, cuestionar y apoyar el grupo y sus miembros. No incluye el hacer el trabajo o tomar decisiones.
2.39. marco de gestión de riesgo Totalidad de estructuras, metodologías, procedimientos y definiciones que la organización ha seleccionado para usar en la implementación de su proceso de gestión de riesgos.
2.40. madurez del riesgo Extensión a través de la cual ha sido adoptado y aplicado un enfoque robusto de gestión de riesgo, planificado por la dirección a través de la organización para identificar, evaluar, decidir la respuesta y reportar oportunidades y amenazas que afectan el alcanzar los objetivos de la organización.
2.41. servicios de aseguramiento Un examen objetivo de evidencias con el propósito de proveer una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de seguridad de sistemas y de due diligence.
2.42. servicios de consultoría Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y estén dirigidos a añadir valor y a me-jorar los procesos de gobierno, gestión de riesgos y control de una organización, sin que el auditor interno asuma responsabilidades de gestión. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitación y el entrenamiento.
57
aplicación de los reFerentes para el ejercicio proFesional de la auditoría
interna en el sector Financiero relacionados con las actividades de aseguramiento y
consultoría en la ermAnexo2reFerente general
reFerentes para aplicación
aseguramiento consultoría
n.° nombre n.° nombre n.º nombre
-2010 planificación
El director ejecutivo responsable de la función de auditoría interna debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de audi-toría interna. Dichos planes deberán ser consistentes con las metas de la organización.
2010
A-1
El plan de trabajo de la activi-dad de auditoría interna debe estar basado en una evaluación de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta dirección, el Comité de Auditoría y de la junta directiva.
2010
C-1
El Director Ejecutivo responsable de la función de auditoría interna debe considerar la aceptación de trabajos de consultoría que le sean propuestos, basado en el potencial del trabajo para mejo-rar la gestión de riesgos, añadir valor, y mejorar las operaciones de la organización.
Aquellos trabajos que hayan sido aceptados deben ser incluídos en el plan.
2100 naturalezadeltrabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de gestión de riesgos, control y gobierno, utilizando un en-foque sistemático y disciplinado.
-2110 gestiónderiesgos
La actividad de auditoría interna debe asistir a la organización me-diante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control.
2110
A-1
La actividad de auditoría interna debe supervisar y evaluar la efi-cacia del sistema de gestión de riesgos de la organización.
2110
C-1
Durante los trabajos de consulto-ría, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.
2110
A-2
La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de infor-mación de la organización, con relación a lo siguiente:
1) Confiabilidad e integridad de la información financiera y operativa,
2) Eficacia y eficiencia de las ope-raciones,
3) Protección de activos, y 4) Cumplimiento de leyes, regu-
laciones y contratos.
2110
C-2
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significa-tivas en la organización.
continúa
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
58
reFerente generalreFerentes para aplicación
aseguramiento consultoría
n.° nombre n.° nombre n.º nombre
-2120 control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de controles efec-tivos, mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora contínua.
2120
A-1
Basada en los resultados de la evaluación de riesgos, la acti-vidad de auditoría interna debe evaluar la adecuación y eficacia de los controles que compren-den el gobierno, las operaciones y los sistemas de información de la organización. Esto debe incluir lo siguiente:
1) Confiabilidad e integridad de la información financiera y operativa,
2) Eficacia y eficiencia de las operaciones,
3) Protección de activos, y 4) Cumplimiento de leyes, regu-
laciones y contratos.
2120
C-1
Durante los trabajos de con-sultoría, los auditores internos deben considerar los controles compatibles con los objetivos del trabajo y deben estar alertas a la existencia de debilidades de control significativas.
2120
A-2
Los auditores internos deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos, y de que éstos sean consistentes con aquellos de la organización.
2120
C-2
Los auditores internos deben incorporar los conocimientos de los controles obtenidos de los trabajos de consultoría en el proceso de identificación y evaluación de las exposiciones de riesgo significativas en la organización.
2120
A-3
Los auditores internos deben revisar las operaciones y progra-mas para cerciorarse de que los resultados sean consistentes con los objetivos y metas estableci-dos, y de que las operaciones y programas estén siendo implan-tados o desempeñados tal como fueron planeados.
2120
A-4
Se requiere criterio adecuado para evaluar controles. Los au-ditores internos deben cercio-rarse del alcance hasta el cual la dirección ha establecido crite-rios, indicadores o mediciones adecuados para determinar si los objetivos y metas han sido cumplidos. Si fueran apropiados, los auditores internos deben utilizar dichos criterios en su evaluación. Si no fueran apro-piados, los auditores internos deben trabajar con la dirección para desarrollar criterios de evaluación adecuados.
continuación
continúa
59
reFerente generalreFerentes para aplicación
aseguramiento consultoría
n.° nombre n.° nombre n.º nombre
-2130 gobierno
La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:
1) Promover la ética y los valores apropiados dentro de la organi-zación.
2) Asegurar la gestión y responsabi-lidad eficaces en el desempeño de la organización.
3) Comunicar eficazmente la informa-ción de riesgo y control a las áreas adecuadas de la organización.
4) Coordinar eficazmente las activi-dades y la información de comuni-cación entre la junta directiva, los auditores internos y externos y la alta gerencia.
2130
A-1
La actividad de auditoría interna debe evaluar el diseño, implan-tación y eficacia de los objetivos, programas y actividades de la organización relacionados con la ética.
2130
C-1
Los objetivos de los trabajos de consultoría deben ser compati-bles con los valores y las metas generales de la organización.
-2020 comunicaciónyaprobación
El director ejecutivo responsable de la función de auditoría interna debe comunicar los planes y requerimien-tos de recursos de la actividad de auditoría interna, incluyendo los posibles cambios significativos, a la alta dirección, al Comité de Auditoría y a la junta directiva para su adecua-da revisión y aprobación. El director ejecutivo responsable de la función de auditoría interna también debe comunicar el impacto de cualquier limitación de recursos.
-2060 InformealcomitédeAuditoría,lajuntadirectivaylaaltadirección
El director ejecutivo responsable de la función de auditoría interna debe informar periódicamente al Comité de Auditoría, la junta directiva y la alta dirección sobre la actividad de auditoría interna en lo referido a pro-pósito, autoridad, responsabilidad y desempeño de su plan. El informe también debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones nece-sarias o requeridas por el Comité de Auditoría, la junta directiva y la alta dirección.
continuación
continúa
ANEXO 2
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
60
reFerente generalreFerentes para aplicación
aseguramiento consultoría
n.° nombre n.° nombre n.º nombre
-2330 documentacióndelainformación
Los auditores internos deben docu-mentar información relevante que les permita soportar las conclusiones y los resultados del trabajo.
2330
A-1
El director ejecutivo responsable de la función de auditoría interna debe controlar el acceso a la documentación del trabajo. El director ejecutivo responsable de la función de auditoría interna debe obtener aprobación de la dirección superior o del área jurídica antes de dar a conocer tal documentación a terceros, según corresponda.
2330
C-1
El director ejecutivo responsable de la función de auditoría interna debe establecer políticas sobre la custodia y retención de la docu-mentación del trabajo, y sobre la posibilidad de darla a conocer a terceras partes, internas o ex-ternas. Estas políticas deben ser consistentes con las guías de la organización y cualquier regula-ción pertinente u otros requeri-mientos sobre este tema.
2330
A-2
El director ejecutivo responsable de la función de auditoría interna debe establecer requisitos de custodia para la documentación del trabajo. Estos requisitos de retención deben ser consistentes con las guías de la organización y cualquier regulación pertinente u otros requerimientos.
2400 comunicaciónderesultados
Los auditores internos deben comu-nicar los resultados del trabajo.
-2410 criteriosparalacomunicación
Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspon-dientes, las recomendaciones, y los planes de acción.
2410
A-1
La comunicación final de los resultados del trabajo debe incluir la opinión general y/o conclusiones del auditor interno, según corresponda
2410
C-1
Las comunicaciones sobre el pro-greso y los resultados de los tra-bajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.
2410
A-2
Se recomienda a los auditores internos a reconocer en las co-municaciones del trabajo cuan-do se observa un desempeño satisfactorio.
2410A-3
Cuando se envíen resultados de un trabajo a partes ajenas a la organización, la comunicación debe incluir las limitaciones a la distribución y uso de los resultados.
continuación
continúa
61
reFerente generalreFerentes para aplicación
aseguramiento consultoría
n.° nombre n.° nombre n.º nombre
-2420 calidaddelacomunicación
Las comunicaciones deben ser preci-sas, objetivas, claras, concisas, cons-tructivas, completas y oportunas.
-2421 erroresyomisiones
Si una comunicación final contiene un error u omisión significativos, el director ejecutivo responsable de la función de auditoría interna debe comunicar la información corregida a todas las partes que recibieron la comunicación original.
2600 decisióndeaceptacióndelosriesgosporladirección
Cuando el director ejecutivo res-ponsable de la función de auditoría interna considere que la alta direc-ción ha aceptado un nivel de riesgo residual que pueda ser excesivo para la organización, debe discutir esta cuestión con la alta gerencia. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo responsable de la función de audito-ría interna y la alta gerencia deben informar esta situación a la junta directiva para su resolución.
continuación
ANEXO 2
62
una Herramienta de autodiagnóstico
para la implementación de la administración del riesgo4, por basil orsini
Anexo3
4 Tomado de: Risk Watch - Mature Risk Management By BASIL ORSINI. A benchmarking tool from Human Resources Deve-lopment Canada facilitates assessments of risk management practices in the organization. BASIL ORSINI, CIA, CCSA, CGAP, CFE,es Director de Auditoría Interna del Departamento de Desarrollo de Recurso Humano de Canadá, Gatineau, Quebec.
Una herramienta de comparación del “Human Resources Development Canada” (Desarrollo de Recursos Humanos de Canadá) que facilita la evaluación de las prácticas de administración del riesgo en la organización.
Los auditores internos cada vez más usan evaluaciones de riesgo para planear proyectos de auditoría. A la vez, los gerentes generales se esfuerzan en transformar sus organizaciones en negocios de alto rendimiento, entendiendo que esto requiere cambios en las actitudes frente al manejo del riesgo y las expectativas. Esta transición les da una oportunidad a los auditores de realzar su valor mediante el desarrollo de métodos que relacionen mejor su trabajo con los riesgos claves en el negocio de la organización.
Vinculado a esta página hay un instrumento de diagnóstico que puede ayudar a los gerentes a evaluar la madurez en el manejo del riesgo en sus áreas, dando a los auditores una mejor apreciación de las transiciones involucradas en el medio empresarial para el manejo integra-do del riesgo de negocio, y apoyo en el entendimiento de la compañía de lo que implica la gestión de riesgos.
Desarrollado por “Human Resources Development Canadá” (HRDC), el departamento federal más grande del país, la herramienta de comparación describe un rango de prácticas – tanto deseables como no deseables – en la administración del riesgo. Gerentes y auditores pueden usarla para medir las fortalezas y debilidades de las prácticas de administración del riesgo y desarrollar planes de mejoramiento.
HRDC desarrolló la herramienta mediante un esfuerzo de colaboración con sus analistas de las oficinas regional y nacional. Bajo el mando del grupo de auditoría interno, estos analistas adaptaron los resultados de la investigación internacional consolidada por KPMG Canadá acerca de las me-jores prácticas en la administración del riesgo en organizaciones del sector público y privado.
La herramienta de diagnóstico organiza 20 indicadores de desempeño dentro de un marco holístico de cinco elementos de dirección. El situar a los empleados dentro de un marco ho-lístico que identifica tanto fortalezas como debilidades mejora el diálogo entre el individuo y el aprendizaje de equipo. Esto también promueve un lenguaje común y el entendimiento, que es clave en la transición a un acercamiento integrado. Los gerentes pueden usar la he-
6�
ANEXO �
rramienta de diagnóstico para medir el nivel de maduración de sus áreas, con o sin la activa participación de la auditoría interna.
La herramienta completa contiene cinco niveles progresivos de comportamiento en la ma-durez organizacional para describir cada indicador. Es aplicable a una variedad de riesgos de negocio, incluyendo de programa, operacional y riesgos de proyectos. La herramienta puede ser consultada en línea tanto en inglés como en francés. Los auditores y gerentes pueden adaptar los principios y este marco de diagnóstico para su propia organización.
El instrumento diagnóstico permite a auditores internos relacionar a gerentes y empleados de líneas diferentes de negocio en el desarrollo de un entendimiento colectivo de cómo integrar el manejo del riesgo. El proceso de administración del riesgo da ocasión para que los auditores y sus clientes trabajen juntos en predecir y definir un futuro con pocas sorpresas.
características de nuestra visión Futura de un ambiente de administración integrada del riesgo.
La cultura y filosofía existentes en la administración del riesgo, que ayuda a los gerentes, sucede en un ambiente dinámico. La administración del riesgo estará orientada al futuro y preactiva en contraposición a dirigir crisis, el enfoque incluirá aprovechar oportunidades, no simplemente la evasión del riesgo. No únicamente anticipando y mitigando el riesgo, sino también indicando como se tratan crisis cuando ellas ocurren, y como cambiar crisis por opor-tunidades. Un fuerte sentido de ética y valores debe manifestarse a través de la organización en orden de tener una adecuada gestión del riesgo.
Dar a los empleados capacitación en la gestión del riesgo. Identifican competencias en la gestión del riesgo.
Manejo del riesgo a todos los niveles de la organización. La gestión del riesgo alineada con la contabilidad de la organización. Las funciones y responsabilidades para la gestión del riesgo son claras. Riesgos estratégicos, operacionales y de proyectos están identificados y medidos.
Integración de la gestión del riesgo con los otros procesos administrativos de la organización. Por ejemplo, se encadenan con los valores y la ética, la planeación del negocio, la asignación de recursos, la calidad del servicio al cliente, las revelaciones externas sobre planes y prioridades. Considerar el rango total de riesgos incluyendo financieros y no financieros, ejemplo, riesgos involucrados en administración de proyectos, tecnologías de la información, consecuencias legales, recursos humanos, salud y seguridad, administración del cambio. La organización está adaptada para identificar, mitigar, reportar y comunicar riesgos, hay un apropiado nivel de documentación o diligencias previstas, ante decisiones con implicaciones de riesgo. Hay fuertes comunicaciones a través de la organización en términos de entendi-miento del riesgo y la forma para mitigar éste. La información sobre riesgos es comunicada de una forma transparente.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
64
Las herramientas y técnicas de gestión del riesgo están disponibles para, y comúnmente son aplicadas por, empleados. Se da capacitación sobre cómo usar esas herramientas y técnicas.
La organización está adaptada al manejo del riesgo en un ambiente altamente público y político. Las implicaciones legales están consideradas. La credibilidad y reputación de la or-ganización es mantenida
introducción a la Herramienta de medición marco
El desafío de reunir los objetivos con los recursos disponibles nunca ha sido mayor. Una de las llaves para alcanzar estos objetivos es el manejo del riesgo eficiente y eficazmente. Los siguientes indicadores de administración del riesgo ayudan a la organización a medir el gra-do de implementación de la administración del riesgo en sus organizaciones. Estos índices identifican medidas de administración del riesgo. Esta herramienta puede ser usada como una herramienta de auto-diagnóstico, o como una herramienta de entrevista. Contribuye en la planeación porque capacita a los gerentes para enfocarse en ciertas áreas, dada la identi-ficación de fortalezas y debilidades en la organización. La herramienta puede ser usada para identificar riesgos específicos a líneas de negocio, ya sea programa o corporativa. La herra-mienta alienta un acceso a un lenguaje común; no obstante esto, permite variabilidad dentro de la organización, adaptándola a las necesidades de las unidades operativas.
Estos indicadores fueron desarrollados por auditores internos en HRDC con el soporte de KPMG Canadá. El criterio esta basado en mejores prácticas internacionales en administración del riesgo. Cada indicador es medido sobre un rango continuo de 1 (baja madurez) a 5 (alta madurez) que corresponde al nivel de madurez del ambiente de administración del riesgo. Los cinco principales indicadores de administración del riesgo son:
1. cultura/FilosoFía organizacional valoralacontribucióndelosempleadosenlaadministracióndelriesgo.Los em-pleados son alentados y se les reconoce por identificar riesgos y oportunidades, y por la determinación de riesgos que no están siendo manejados
culturadeadministracióndel riesgo. La administración del riesgo es realizada en todos los niveles y está integrada con las prácticas de administración de la organización. Las expectativas individuales y de la organización para la administración del riesgo están alineadas.
papelyresponsabilidadesenelmanejodelriesgo. El papel y las responsabilidades son entendidas y la administración del riesgo está interiorizando en todas las conductas de los empleados.
encadenamientoalosvaloresylaética. Los acercamientos de la organización a la administración del riesgo reflejan ética y valores tales como sensibilidad a consideraciones políticas y legales.
65
ANEXO �
2. liderazgo y compromiso liderazgodelgerentegeneral. Los gerentes generales están comprometidos con el establecimiento de la administración del riesgo a todos los niveles de la organización.
políticaderiesgoymarcodereferenciaparalaadministración. La organización provee una perspectiva multi-disciplinaria para la medición y la comunicación de riesgos estratégicos y operativos.
papelyresponsabilidadesdelgerentegeneral. La administración asumió un papel de liderazgo en la implementación del concepto del arte de la administración del riesgo
3. integración con sistemas y practicas de administración departamental encadenamientoa losnegociosy laplaneaciónoperativa. La administración del riesgo está integrada dentro de la planeación de negocios y de toma de decisiones a niveles corporativos y operacionales
encadenamientoa lamedicióndeldesempeño. La organización supervisa los re-sultados de la medición del riesgo en el tiempo. Se encadenan las medidas estratégicas y operacionales.
encadenamientoalacalidaddelservicio. La administración del riesgo está integrada con las iniciativas de calidad del servicio. La mayor parte de la organización tiene formal-mente adoptadas algunas medidas de calidad.
encadenamientoala informacióndeadministracióndepartamental. Acceso en línea para administrar información mediante sofisticadas herramientas y modelos de soporte en la toma de decisiones disponibles para soportar la medición y supervisión del riesgo.
encadenamientoalacomunicacióninternayretroalimentaciónsobreriesgos. Las mejores prácticas se comparten en medio de las unidades organizacionales en una ma-nera estructurada. Las organizaciones utilizan un rango de medios, incluyendo el Internet, para comunicar la medición del riesgo en el medio organizacional e involucra a todos los empleados en la administración del riesgo.
encadenamientoalacomunicaciónconinversionistas. La organización y sus inver-sionistas reconocen y aceptan que algunos resultados negativos son inevitables y están, sin embargo, comunicados.
4. Habilidades en administración del riesgo competencias en administración del riesgo. La organización está continuamente renovando las competencias en administración del riesgo y es conocida externamente por su capacitación en administración del riesgo.
técnicasenadministracióndelriesgo. Las herramientas y técnicas de administración de riesgo departamentales están integradas con las técnicas de administración del riesgo.
soportedeespecialistas. Existen centros de excelencia para la administración del riesgo con la capacidad de aconsejar públicamente acerca del manejo del riesgo sobre una base integrada por equipos multidisciplinarios.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
66
5. reporte y control exploracióndeamenazasyoportunidadesexternas. La organización usa el arte de las metodologías de la exploración ambiental para compartir resultados con los principales inversionistas.
controles. El ambiente de control está encadenado a los objetivos departamentales y al apetito y tolerancia al riesgo. La administración del riesgo se implementó en consideración a la significancía del riesgo, el costo/beneficio de los controles, y la mezcla de los tipos de controles.
justificación. La diligencia prevista en la toma de decisiones se evidencia a través de un aceptable nivel de documentación. Los procesos de la organización para la administración del riesgo sigue el criterio de un cuerpo reconocido.
mediciónysupervisión.La administración mide el funcionamiento contra indicadores, y los resultados son rastreados en el tiempo. La administración desarrolla proyectos para mejorar el funcionamiento, y la acción es tomada como requerido.
67
Fil
oso
Fía/c
ult
ur
a o
rg
an
iza
cio
na
l
niv
el d
e m
ad
ur
ac
ión
12
34
5
val
ora
ció
nd
ela
co
ntr
ibu
ció
nd
elo
sem
ple
ado
sen
la
adm
inis
trac
ión
del
ri
esg
o
Un
alto
niv
el d
e es
cept
icis
mo
exis
ten
te e
n l
a o
rgan
iza-
ción
.
El p
erso
nal p
erci
be m
ensa
jes
mez
clad
os s
obre
la to
lera
ncia
al
rie
sgo
La a
dmin
istr
ació
n no
val
ora
la c
ontr
ibuc
ión
de l
os e
m-
plea
dos
en la
adm
inis
trac
ión
del r
iesg
o.
Los
dire
ctor
es c
onsu
ltan
a
su p
erso
nal
y le
s p
erm
iten
p
arti
cip
ar e
n in
icia
tiva
s d
e ad
min
istr
ació
n de
l rie
sgo.
El
pers
onal
con
trib
uye
a m
ane-
jar e
l rie
sgo
reco
noci
do s
obre
un
a ba
se “
ad h
oc”
La a
dmin
istr
ació
n de
l rie
sgo
es c
onsi
dera
da e
n té
rmin
os d
e re
com
pens
as y
san
cion
es.
El a
mbi
ente
de
trab
ajo
so-
port
a un
ace
rcam
ient
o pr
o-ac
tivo
al m
anej
o de
l rie
sgo.
La
in
form
ació
n d
el r
iesg
o es
co
mp
arti
da.
Un
fu
erte
se
ntid
o de
trab
ajo
en e
quip
o ex
iste
a t
ravé
s de
la
orga
ni-
zaci
ón.
Reco
noci
mie
nto
y si
stem
as
de r
ecom
pens
as a
lient
an a
l p
erso
nal
a m
anej
ar r
iesg
o y
a to
mar
ven
taja
s d
e la
s op
ortu
nida
des.
La d
irecc
ión
se e
ncar
ga d
el
estu
dio
de r
esul
tado
s po
siti
-vo
s y
nega
tivos
.
La d
irec
ció
n al
ien
ta a
su
s em
plea
dos
a id
entif
icar
nue
-vo
s re
tos
y op
ortu
nida
des,
as
í co
mo
lo
s ri
esg
os
qu
e n
o es
tán
apro
pia
dam
ente
m
anej
ados
cu
ltu
rad
ead
min
istr
ació
nd
el
ries
go
El e
nfoq
ue e
s pr
imar
iam
ente
so
bre
la r
espu
esta
a c
risis
y
tiend
e a
ser r
eact
ivo
más
que
pr
oact
ivo.
Las
per
sona
s ti
ende
n a
ser
adve
rsas
al r
iesg
o.
El r
iesg
o se
iden
tific
a pr
ima-
riam
ente
a n
ivel
ope
raci
onal
y
de p
roye
cto.
El
conc
epto
de
adm
inis
trac
ión
del r
iesg
o es
ent
endi
do in
tuiti
vam
ente
y
prac
ticad
o so
bre
una
base
ad
hoc
. U
na a
pro
xim
ació
n ca
utel
osa
es t
omad
a so
bre
toda
la
adm
inis
trac
ión
del
rie
sgo.
La a
dmin
istr
ació
n de
l rie
sgo
se h
ace
pro
activ
amen
te p
ara
antic
ipar
ries
gos y
des
arro
llar
pla
nes
de
mit
igac
ión
. La
ad
min
istr
ació
n d
el r
iesg
o co
nsid
era
ries
gos
emer
gen-
tes
y es
pro
activ
o.
El e
nfoq
ue e
stá
en la
s op
or-
tuni
dade
s, y
no
just
amen
te
en l
a m
itiga
ción
del
rie
sgo.
La
s im
plic
acio
nes
del r
iesg
o so
n co
nsid
erad
as e
n to
das l
as
deci
sion
es im
port
ante
s.
Los
ries
gos
son
man
ejad
os
todo
el t
iem
po. L
as p
erso
nas
son
anim
adas
a se
r inn
ovad
o-ra
s. L
a or
gani
zaci
ón a
lient
a un
a cu
ltura
de
cont
inua
ca-
pac
itac
ión
y p
arti
cip
ació
n.
Los
emp
lead
os e
stán
alt
a-m
ente
com
prom
etid
os e
n lo
s lo
gros
de
la o
rgan
izac
ión
y su
p
apel
en
la a
dmin
istr
ació
n de
l rie
sgo.
La a
dmin
istr
ació
n de
l rie
sgo
es h
echa
a t
odo
nive
l en
la
org
aniz
ació
n,
y es
tá f
uer
-te
men
te i
nteg
rad
o co
n la
s pr
ácti
cas
de a
dmin
istr
ació
n de
la
orga
niza
ción
. La
s ex
-pe
ctat
ivas
ind
ivid
uale
s y
de
la o
rgan
izac
ión
en l
a ad
mi-
nist
raci
ón d
el r
iesg
o es
tán
sinc
roni
zada
s.
pap
ely
re
spo
nsa
bili
dad
es
ene
lman
ejo
del
ri
esg
o
Los
empl
eado
s no
se
ven
a si
m
ism
os c
omo
resp
onsa
bles
de
l m
anej
o de
l ri
esgo
. Lo
s pa
pele
s y
resp
onsa
bilid
ades
no
est
án d
ocum
enta
das y
no
son
clar
as.
El p
apel
y l
as r
esp
onsa
bili-
dade
s de
los
em
plea
dos
en
el m
anej
o de
l ri
esgo
est
án
sien
do e
stab
leci
das
(Ej.
des-
crip
ción
de
trab
ajos
) per
o no
so
n en
tend
idos
o s
egui
dos
en u
na m
aner
a co
nsis
tent
e,
los
indi
vidu
os e
ntie
nden
su
pape
l en
la g
estió
n de
l rie
sgo
intu
itiva
men
te.
Las r
espo
nsab
ilida
des y
com
-pr
omis
os e
n la
adm
inis
tra-
ción
del
rie
sgo
está
n cl
aros
, so
n co
mun
icad
os,
ente
ndi-
dos
y se
guid
os.
La a
dmin
istr
ació
n de
l rie
sgo
está
incl
uida
en
la c
ondu
cta
de lo
s adm
inis
trad
ores
, est
án
emp
od
erad
os
a m
anej
ar
ries
gos.
Las
res
pons
abili
da-
des
de l
os d
irec
tore
s en
el
man
ejo
del
ries
go s
on u
na
part
e in
tegr
al e
n la
med
ició
n de
sus
obj
etiv
os y
con
trat
os
de r
endi
mie
nto.
La a
dmin
istr
ació
n de
l rie
sgo
está
incl
uida
en
la c
ondu
cta
de lo
s em
plea
dos
a to
dos
los
nive
les
de l
a or
gani
zaci
ón.
Todo
s lo
s em
plea
dos
se v
en
a si
mis
mos
com
o ad
min
is-
trad
ore
s d
e ri
esg
o. L
a ad
-m
inis
trac
ión
del
ries
go e
stá
perf
ecta
men
te a
linea
das c
on
toda
s la
s re
spon
sabi
lidad
es
orga
niza
cion
ales
.
enca
den
amie
nto
a
laé
tica
ylo
sva
lore
sN
o ha
y po
lític
as d
e ét
ica
u o
rien
taci
on
es e
spec
ific
as.
Las
decl
arac
ione
s de
pol
ítica
so
n pu
blic
adas
en
una
base
“a
d ho
c”.
No
hay
una
clar
a de
clar
ació
n d
e va
lore
s co
mp
arti
do
s o
prin
cipi
os o
ate
nció
n a
cues
-ti
on
es l
egal
es o
asp
ecto
s po
lític
os.
La o
rgan
izac
ión
tiene
una
de-
clar
ació
n de
étic
a. L
a fil
osof
ía
de a
dmin
istr
ació
n de
l rie
sgo
está
ref
leja
da
en c
ód
igo
s es
crito
s de
dec
lara
cion
es d
e ét
ica
y va
lore
s. L
a fi
loso
fía
esta
ata
da a
con
side
raci
ones
po
lític
as y
lega
les.
Las
pol
íti-
cas e
scrit
as s
on c
omun
icad
as
a tr
avés
de
la o
rgan
izac
ión,
pe
ro s
on a
plic
adas
inco
nsis
-te
ntem
ente
.
Los
prin
cipi
os/o
rien
taci
ones
de
étic
a y
valo
res
y la
s co
n-si
der
acio
nes
leg
ales
/pol
íti-
cas
son
ente
ndid
os p
or l
os
empl
eado
s, y
son
apl
icad
os
cons
iste
ntem
ente
a tr
avés
de
la o
rgan
izac
ión.
La a
prox
imac
ión
a la
adm
i-ni
stra
ción
del
rie
sgo
está
es-
trec
ham
ente
alin
eada
con
los
valo
res
y pr
inci
pios
étic
os.
La é
tica
y lo
s va
lore
s ay
udan
al
adm
inis
trad
or a
tom
ar u
n ba
lanc
eado
ace
rcam
ient
o a
la a
dmin
istr
ació
n de
l rie
sgo
y a
reco
ncili
arlo
con
las f
uerz
as
exte
rnas
de
la c
ompe
tenc
ia.
La é
tica
y l
os v
alor
es r
eco
-n
oce
n co
nsi
der
acio
nes
de
ries
go
y so
n re
gula
rmen
te
los
lleva
dos
afue
ra.
Mej
oram
ient
os s
on h
echo
s.
La é
tica,
val
ores
y s
ensi
bilid
ad
a co
nsid
erac
ione
s leg
ales
/po-
lític
as s
on c
onsi
sten
tem
ente
re
flej
adas
en
las
prá
ctic
as
y ac
cion
es d
e la
org
aniz
a-ci
ón,
y el
ace
rcam
ient
o a
la
adm
inis
trac
ión
del
rie
sgo.
U
na
atm
ósf
era
de
mu
tua
vera
cida
d ex
iste
a t
odos
los
ni
vele
s. P
ocas
infr
acci
ones
o
inci
dent
es o
curr
en
ANEXO �
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
68
lid
era
zgo
y c
om
pro
mis
o e
n l
a a
dm
inis
tra
ció
n d
el r
iesg
o
lev
el o
F m
atu
rit
y1
23
45
lid
eraz
go
del
g
eren
teg
ener
alEl
man
ejo
del
riesg
o es
una
p
reo
cup
ació
n d
e lo
s g
e-re
ntes
, y
es t
rata
do
info
r-m
alm
ente
. Lo
s co
nce
pto
s de
man
ejo
del
riesg
o es
tán
mal
def
inid
os y
no
bien
en-
tend
idos
.
Las
inic
iativ
as d
e ad
min
istr
a-ci
ón d
el r
iesg
o es
tán
sopo
r-ta
das
por
el g
eren
te g
ener
al
sobr
e un
a ba
se “
ad h
oc”.
Los
ries
go
s so
n t
rata
do
s p
or l
os
ger
ente
s co
n b
ase
en c
onoc
imie
ntos
ad
hoc
a tr
avés
de
la o
rgan
izac
ión.
La
adm
inis
trac
ión
del r
iesg
o es
p
ract
icad
a re
gula
rmen
te a
ni
vel f
unci
onal
/ope
raci
onal
.
La a
dmin
istr
ació
n de
l rie
sgo
es u
na
acti
vid
ad f
orm
al y
re
gula
r de
l ger
ente
gen
eral
. El
ger
ente
gen
eral
iden
tific
a la
s prin
cipa
les á
reas
de
riesg
o y
cond
uce
a la
iden
tific
ació
n y
eval
uaci
ón d
e lo
s rie
sgos
es-
trat
égic
os d
e la
org
aniz
ació
n,
en c
onju
nció
n co
n el
pro
ceso
de
pla
nific
ació
n es
trat
égic
a,
y as
igna
rec
urso
s pa
ra d
irigi
r rie
sgos
.
El g
eren
te g
ener
al e
stá
en
el r
iesg
o. D
efie
nde
y su
per-
visa
el m
arco
de
man
ejo
del
ries
go d
epar
tam
enta
l. Es
tá
visi
ble
men
te i
mp
licad
o en
la
s in
icia
tivas
y p
ráct
icas
de
man
ejo
del r
iesg
o. C
omun
ica
la im
port
anci
a de
l man
ejo
del
riesg
o y
da e
jem
plo.
Des
arro
-lla
pla
nes
de
cont
ing
enci
a pa
ra p
oten
cial
es c
onse
cuen
-ci
as a
dver
sas.
Rec
urso
s ref
le-
jan
prio
ridad
es.
Lide
razg
o en
la
adm
inis
tra-
ción
del
rie
sgo
está
inm
erso
en
to
do
s lo
s n
ivel
es d
e la
o
rgan
izac
ión
. Lo
s ri
esg
os
estr
atég
icos
y o
pera
cion
ales
so
n m
anej
ados
en
una
form
a in
tegr
ada.
polít
icas
de
ries
go
y
elm
arco
de
refe
ren
cia
par
ala
ad
min
istr
ació
n
Sólo
las
polít
icas
de
agen
cias
ce
ntra
les
está
n di
spon
ible
s.
No
hay
una
docu
men
taci
ón
form
al d
e la
s po
lític
as d
e ad
-m
inis
trac
ión
del r
iesg
o a
nive
l de
part
amen
tal.
Alg
unas
po-
lític
as d
e ad
min
istr
ació
n de
l rie
sgo
han
sido
form
alm
ente
do
cum
enta
das
para
man
ejar
rie
sgos
esp
ecífi
cos.
En e
l ám
bito
dep
arta
men
tal
el m
arco
de
adm
inis
trac
ión
del
ries
go e
stá
bien
com
u-ni
cado
, us
ando
un
leng
uaje
co
mún
.
Pres
ente
en
las
pri
ncip
ales
ár
eas
de r
iesg
o, e
stá
sien
do
aplic
ado
a tr
avés
de
la o
rga-
niza
ción
y p
or l
os i
nver
sio
-ni
stas
, es
te m
arco
pre
sent
a lo
s ro
les,
res
pons
abili
dade
s y
prac
tica
s p
ara
la g
esti
ón
del r
iesg
o.
Las
polít
icas
de
adm
inis
tra-
ción
del
rie
sgo
par
a ár
eas
esp
ecíf
icas
de
la o
rgan
i-za
ció
n es
tán
form
alm
ente
do
cum
enta
das,
com
unic
adas
y
segu
idas
.
Met
odol
ogía
s de
ges
tión
de
riesg
o es
tán
disp
onib
les y
son
cons
iste
ntes
con
las
polít
icas
y
prac
ticas
de
adm
inis
trac
ión
de r
iesg
o de
part
amen
tal.
Las a
dher
enci
as a
las p
olíti
cas
de g
estió
n de
l rie
sgo
depa
r-ta
men
tal s
on s
uper
visa
das
y lle
vada
s a
cabo
. U
na m
eto-
dolo
gía
de g
estió
n de
rie
sgo
está
dis
pon
ible
, es
de
fáci
l en
tend
imie
nto
y ad
apta
ble
a va
rios
tip
os d
e ri
esgo
. Se
ti
enen
def
inid
os n
ivel
es d
e rie
sgo
acep
tabl
es p
ara
área
s es
peci
ficas
.
La p
olíti
ca d
e rie
sgo
mue
stra
lo
s ni
vele
s de
rie
sgo
acep
ta-
bles
por
dep
arta
men
tos.
Una
pe
rspe
ctiv
a m
ultid
isci
plin
aria
pa
ra l
a m
edic
ión
y re
spon
-sa
bilid
ad d
e lo
s ri
esgo
s es
-tr
atég
icos
y o
pera
tivo
s es
tá
disp
onib
le.
pap
ely
re
spo
nsa
bili
dad
es
del
ger
ente
gen
eral
El p
apel
y la
s re
spon
sabi
lida-
des
par
a la
adm
inis
trac
ión
del
ries
go n
o es
tán
clar
os.
Las
func
ione
s de
aud
itoría
y
revi
sión
son
vis
tas
com
o lo
s re
spon
sabl
es e
n la
iden
tific
a-ci
ón d
e lo
s rie
sgos
.
Los
espe
cial
ista
s so
n lo
s re
s-p
onsa
bles
de
gest
iona
r lo
s rie
sgos
y t
omar
las
acci
ones
es
est
as á
reas
. Ger
ente
s tan
to
a n
ivel
co
rpo
rati
vo c
om
o o
per
acio
nal
id
enti
fica
n y
re
spon
den
a lo
s ri
esgo
s de
un
a fo
rma
bási
ca e
intu
itiva
(a
d ho
c).
Un
proc
eso
form
al e
stá
dis-
poni
ble
por l
o qu
e el
ger
ente
ge
nera
l as
ume
resp
onsa
bi-
lidad
es p
or l
a an
tici
paci
ón,
sup
ervi
sió
n y
tom
a m
edi-
das
en p
ráct
icas
de
gest
ión
del
ries
go.
Los
ries
gos
son
iden
tific
ados
por
el
gere
nte
gene
ral
sobr
e un
a ba
se c
o-
lect
iva
y d
esar
rolla
pla
nes
de
acc
ión.
Las
resp
onsa
bilid
ades
por
la
gest
ión
del
ries
go s
on b
ien
ente
ndid
as p
or l
os g
eren
tes
a to
dos l
os n
ivel
es d
e la
org
a-ni
zaci
ón. L
a re
spon
sabi
lidad
d
e g
esti
ón d
el r
iesg
o es
tá
form
alm
ente
for
mul
adas
en
regi
stro
s de
acue
rdos
y/o
do-
cum
ento
s de
bue
n go
bier
no
y so
n co
mun
icad
as, a
plic
adas
y
supe
rvis
adas
.
La d
irec
ció
n h
a as
um
ido
un
ro
l d
e lid
eraz
go
en
la
adm
inis
trac
ión
por
el e
sta-
do
de
imp
lem
enta
ció
n d
e lo
s co
nce
pto
s d
el a
rte
de
gest
iona
r los
rie
sgos
y e
s co
-no
cida
com
o un
a in
nova
dora
en
ést
a ár
ea.
Los
ger
ente
s so
n a
men
ud
o lla
mad
os
a pr
opor
cion
ar c
onse
jos
a la
s ag
enci
as c
entr
ales
y o
tras
or
gani
zaci
ones
.
69
ANEXO �
inte
gr
ac
ión c
on o
tro
s si
stem
as
y pr
ác
tic
as
de
ad
min
istr
ac
ión
niv
el d
e m
ad
ur
ez1
23
45
enca
den
amie
nto
a
los
neg
oci
os
yla
pla
nea
ció
n
op
erat
iva
La a
dmin
istr
ació
n de
rie
sgos
n
o e
stá
enca
den
ada
con
los
proc
esos
de
plan
eaci
ón
op
erac
iona
l y
de
neg
oci
o.
La a
dmin
istr
ació
n de
l rie
sgo
no e
s to
mad
a co
mo
par
te
de la
pla
neac
ión
de n
egoc
io
ni d
entr
o de
un
cam
ino
for-
mal
izad
o.
Ries
gos
func
iona
les
son
ma-
neja
dos e
n un
a ba
se “
únic
a”.
El m
anej
o de
l rie
sgo
es to
ma-
do c
omo
part
e de
la p
lani
fi-
caci
ón d
el n
egoc
io/o
pera
cio-
nal
en e
l ni
vel
func
iona
l. La
ge
stió
n de
l rie
sgo
en a
lgun
as
inst
anci
as e
s to
mad
a co
mo
par
te d
e la
pla
neac
ión
del
nego
cio/
oper
acio
nal p
ero
no
es c
onsi
sten
te a
tra
vés
de la
or
gani
zaci
ón.
La a
dmin
istr
ació
n de
l rie
sgo
es u
na p
arte
int
egra
l de
la
plan
eaci
ón e
stra
tégi
ca y
de
nego
cio
a ni
vel d
epar
tam
en-
tal y
ope
raci
onal
. Los
ries
gos
está
n id
enti
fica
do
s en
lo
s pl
anes
ope
raci
onal
es/d
e ne
-go
cio,
y s
e de
sarr
olla
n pl
anes
d
e m
itig
ació
n. L
os r
iesg
os
estr
atég
icos
y o
pera
cion
ales
es
tán
alin
eado
s.
Los
plan
es d
e ne
goci
o/op
e-ra
cion
ales
por
tod
a la
org
a-ni
zaci
ón d
esta
can
cues
tione
s y
ries
gos
que
son
los
más
cr
ític
os p
ara
el é
xito
de
la
org
aniz
ació
n,
su n
ivel
de
prio
ridad
, su
s im
plic
acio
nes
en r
ecur
sos
y la
s m
edid
as
que
redu
cen
la p
roba
bilid
ad
e im
pact
o de
los
rie
sgos
. El
in
gres
o d
e in
vers
ioni
stas
y
clie
ntes
y s
us i
mpl
icac
ione
s,
son
co
nsi
der
ado
s en
lo
s an
ális
is d
e rie
sgo.
Inte
grac
ión
de I
nfor
mac
ión
finan
cier
a y
no f
inan
cier
a es
ut
iliza
da p
ara
la m
edic
ión
de
los
ries
gos
de
la o
rgan
iza-
ción
. U
n ra
ngo
de t
écni
cas
son
usad
as p
ara
la m
edic
ión
de
los
ries
go
s co
mo
par
te
de l
a pl
anea
ción
de
los
ne-
goci
os.
enca
den
amie
nto
a
lam
edic
ión
del
d
esem
peñ
o
La g
esti
ón
del
rie
sgo
no
es c
on
sid
erad
a co
mo
un
a m
edid
a de
des
empe
ño d
e-pa
rtam
enta
l.
La s
uper
visi
ón d
e lo
s rie
sgos
ha
ce p
arte
de
las
med
idas
de
dese
mpe
ño a
niv
el fu
ncio
nal.
Las
med
idas
de
dese
mpe
ño
del
rie
sgo
han
sid
o d
esa-
rrol
lada
s a
nive
l ope
raci
onal
p
ero
no
son
aplic
adas
en
form
a co
nsis
tent
e a
trav
és
de la
org
aniz
ació
n.
Exis
ten
resu
ltad
os d
e d
es-
empe
ño p
ara
la m
edic
ión
de
riesg
o a
nive
l de
proy
ecto
u
op
erac
ión
. Lo
s re
sult
ado
s so
n s
up
ervi
sad
os
con
tra
obje
tivos
. La
info
rmac
ión
es
valo
rada
por
ger
ente
s loc
ales
y
es u
sada
par
a la
tom
a de
d
ecis
ion
es y
la
pla
nea
ción
de
l neg
ocio
.
Exis
ten
res
ult
ado
s d
e la
s m
edid
as d
e rie
sgo
en l
a or
-ga
niza
ción
a n
ivel
est
raté
gico
y
oper
acio
nal.
Los r
esul
tado
s so
n in
terp
reta
dos
con
rela
-ci
ón a
los r
esul
tado
s de
otro
s in
dic
ado
res
corp
ora
tivo
s,
resa
ltad
os c
on s
egui
mie
nto
en e
l tie
mpo
. Es
tos
resu
lta-
dos
son
com
part
idos
en
una
form
a bá
sica
. Las
med
idas
de
riesg
o se
ref
inan
sob
re u
na
base
en
curs
o.
Los r
esul
tado
s de
las m
edid
as
de r
iesg
o so
n se
guid
as e
n el
ti
emp
o, l
as m
edic
ione
s es
-tr
atég
icas
y o
pera
tivas
est
án
enla
zada
s. L
os r
esul
tado
s de
la
s m
edid
as d
e ri
esg
o so
n us
ados
par
a re
tirar
neg
ocio
s po
r los
rie
sgos
eva
luad
os. L
a in
form
ació
n es
tá r
ealm
ente
ac
cesi
ble
por m
edio
de
sist
e-m
as d
e in
form
ació
n.
enca
den
amie
nto
al
niv
eld
ese
rvic
ioEl
man
ejo
del
ries
go n
o es
co
nsid
erad
o en
la re
aliz
ació
n de
mej
oras
a l
a en
treg
a de
se
rvic
ios.
La e
valu
ació
n de
ries
go e
s he-
cha
cons
ider
ando
opc
ione
s de
ent
rega
de
serv
icio
a n
ivel
de
pro
yect
o y
oper
acio
nal.
Esto
no
es h
echo
de
form
a co
nsi
sten
te a
tra
vés
de
la
orga
niza
ción
.
La g
esti
ón d
el r
iesg
o si
em-
pre
se
incl
uye
com
o p
arte
d
el p
roce
so d
e n
ego
cio
e in
icia
tiva
s d
e m
ejor
a en
la
entr
ega
de s
ervi
cios
. El
per
-so
nal
ha s
ido
entr
enad
o en
la
apl
icac
ión
de t
écni
cas
de
eval
uaci
ón d
e ri
esgo
con
si-
dera
ndo
opci
ones
.
Los
riesg
os h
an s
ido
iden
ti-
fica
dos
para
los
pri
ncip
ales
pr
oces
os d
e en
treg
a de
ser
vi-
cio
y so
n bi
en d
ocum
enta
dos
y en
tend
idos
a tr
avés
de
la o
r-ga
niza
ción
. C
ontr
oles
apr
o-p
iado
s en
rel
ació
n co
n lo
s rie
sgos
est
án d
ispo
nibl
es.
La m
ayor
par
te d
e la
org
a-n
izac
ión
tie
ne
ado
pta
das
fo
rmal
men
te m
edid
as d
e ca
lidad
com
o IS
O90
00.
Los
riesg
os h
an si
do id
entif
icad
os
com
o pa
rte
de e
se p
roce
so d
e ac
redi
taci
ón.
co
nti
nú
a
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
70
inte
gr
ac
ión c
on o
tro
s si
stem
as
y pr
ác
tic
as
de
ad
min
istr
ac
ión
niv
el d
e m
ad
ur
ez1
23
45
enca
den
amie
nto
a
lain
form
ació
n
de
adm
inis
trac
ión
d
epar
tam
enta
l
Info
rmac
ión
limit
ada
está
di
spon
ible
par
a ay
udar
en
la
eval
uaci
ón d
e rie
sgo.
La i
nfo
rmac
ión
op
erat
iva
exis
tent
e pa
ra a
sist
ir co
n la
ev
alua
ció
n d
e ri
esg
o va
ría
en g
rado
s po
r la
s un
idad
es
de
la o
rgan
izac
ión.
La
in-
form
ació
n e
s u
sual
men
te
reco
lect
ada
sobr
e un
a ba
se
inde
pend
ient
e.
La i
nfor
mac
ión
exis
te a
alto
n
ivel
par
a la
org
aniz
ació
n co
mo
un to
do, p
ero
con
limi-
tada
cap
acid
ad d
e de
talla
rla.
Info
rmac
ión
oper
ativ
a co
m-
plem
enta
ria e
stá
loca
lmen
te
ubic
ada
La i
nfor
mac
ión
de r
esul
ta-
dos
es f
ácilm
ente
acc
esib
le
por
toda
la o
rgan
izac
ión
en
sist
emas
de
info
rmac
ión.
La
info
rmac
ión
es u
sada
en
un
proc
eso
bási
co d
e m
edic
ión
de r
iesg
os.
Acc
eso
en l
ínea
a i
nfor
ma-
ción
adm
inis
trat
iva
med
iant
e so
fist
icad
as h
erra
mie
nta
s de
sop
orte
de
deci
sion
es y
m
od
elo
s d
isp
on
ible
s p
ara
sopo
rtar
la
eval
uaci
ón y
su-
perv
isió
n de
l rie
sgo
enca
den
amie
nto
a
lac
om
un
icac
ión
in
tern
ay
retr
oal
imen
taci
ón
so
bre
rie
sgo
s
No
hay
cana
les d
e co
mun
ica-
ción
for
mal
dis
pues
tos
para
re
port
ar e
vent
os d
e rie
sgo
Las
com
unic
acio
nes
inte
rnas
de
rie
sgo
se d
an p
rinc
ipal
-m
ente
com
o cu
mpl
imie
nto
a la
legi
slac
ión,
la re
gula
ción
y
la p
olíti
ca in
tern
a.
Hay
com
unic
ació
n “a
d ho
c”
sobr
e ev
ento
s de
ries
go d
en-
tro
de l
as u
nida
des
orga
ni-
zaci
onal
es p
ara
la t
oma
de
deci
sion
es
Los g
eren
tes t
iend
en a
trab
a-ja
r po
r se
para
do c
on a
lgun
a in
tera
cció
n.
Hay
co
mun
icac
ión
dir
ecta
y
tran
spar
ente
a t
odo
nive
l en
la
org
aniz
ació
n s
ob
re
riesg
os y
acc
ione
s to
mad
as.
Los
gere
ntes
pro
veen
retr
oa-
limen
taci
ón s
obre
la g
estió
n de
l rie
sgo
dent
ro d
e su
s jer
ar-
quía
s. A
lgo
de i
nfor
mac
ión
se c
ompa
rte
a tr
avés
de
la
orga
niza
ción
.
La i
nfor
mac
ión
de
ges
tión
d
el r
iesg
o e
s co
mp
arti
da
entr
e la
s un
idad
es o
rgan
iza-
cion
ales
. Los
em
plea
dos
son
mot
ivad
os a
dis
cutir
mej
ores
pr
áctic
as y
ens
eñar
lecc
ione
s.
esfu
erzo
s pr
o-ac
tivos
se
ha-
cen
par
a co
mp
arti
r nu
evas
id
eas
y le
ccio
nes
apre
ndid
as
dent
ro d
e la
org
aniz
ació
n.
Las m
ejor
es p
ráct
icas
se
com
-p
arte
n en
tre
las
un
idad
es
org
aniz
acio
nale
s d
e fo
rma
estr
uctu
rada
. Un
gran
ran
go
de m
edio
s (c
omo
Inte
rnet
) es
usa
do
par
a co
mu
nic
ar
even
tos
de r
iesg
o a
toda
la
orga
niza
ción
, e
invo
lucr
ar a
to
dos
los
em
ple
ados
en
la
gest
ión
del
riesg
o. L
a in
for-
mac
ión
sobr
e m
ejor
es p
ráct
i-ca
s es
inte
grad
a y
fáci
lmen
te
acce
sibl
e.
enca
den
amie
nto
a
lac
om
un
icac
ión
co
n
inve
rsio
nis
tas
Los
inve
rsio
nist
as h
an s
ido
iden
tifi
cado
s, p
ero
no h
ay
un
a co
mu
nic
ació
n f
orm
al
o co
noci
mie
nto
de s
us n
e-ce
sida
des
de i
nfor
mac
ión
o to
lera
ncia
al r
iesg
o.
Se d
an c
omun
icac
ione
s “a
d ho
c” c
on lo
s in
vers
ioni
stas
y
hay
algú
n en
tend
imie
nto
de
sus
nece
sida
des
de in
form
a-ci
ón y
tole
ranc
ia a
l rie
sgo.
La
info
rmac
ión
es c
omun
icad
a so
bre
la b
ase
de “
nece
sito
co
noce
r”
Proc
esos
y m
arco
s ha
n si
do
impl
emen
tado
s pa
ra r
egul
ar
la c
om
un
icac
ión
co
n l
os
inve
rsio
nist
as (
acci
oni
stas
) so
bre
ries
go y
op
erac
ione
s y
tole
ran
cia
al r
iesg
o.
La
info
rmac
ión
es c
ompa
rtid
a ab
iert
amen
te c
on l
os i
nver
-si
onis
tas
sobr
e un
a ba
se d
e to
tal t
rans
pare
ncia
y e
s fá
cil-
men
te a
cces
ible
en
un fo
rma-
to “
amig
able
al u
suar
io”.
Las
estr
ateg
ias,
ob
jeti
vos,
ri
esgo
s y
táct
icas
de
la o
r-g
aniz
ació
n p
ara
ges
tio
nar
lo
s rie
sgos
y l
a to
lera
ncia
al
ries
go s
on e
fect
ivam
ente
y
efic
ien
tem
ente
co
mu
nic
a-do
s a
los
inve
rsio
nist
as.
La
orga
niza
ción
reg
ular
men
te
rep
ort
a su
des
emp
eño
en
la g
esti
ón
del
rie
sgo.
Re-
tro
alim
enta
cio
nes
de
los
inve
rsio
nist
as s
on o
bten
idas
e
inco
rpor
adas
en
el c
iclo
de
plan
eaci
ón d
el r
iesg
o.
La o
rgan
izac
ión
y su
s in
ver-
sion
ista
s re
cono
cen
y ac
ep-
tan
que
algu
nos
resu
ltad
os
nega
tivo
s so
n in
evit
able
s y
está
n p
revi
amen
te,
com
u-
nica
dos.
La a
ten
ció
n a
la m
edic
ión
de
la g
esti
ón
del
rie
sgo
y lo
s in
tere
ses
de lo
s in
vers
io-
nis
tas
está
n ó
pti
mam
ente
ba
lanc
eado
s. L
a or
gani
zaci
ón
tien
e al
ta c
redi
bilid
ad a
los
oj
os d
e lo
s in
vers
ioni
stas
con
re
spec
to a
la a
dmin
istr
ació
n de
l rie
sgo.
co
nti
nu
ac
ión
71
ANEXO �
Ha
bil
ida
des
en l
a a
dm
inis
tra
ció
n d
el r
iesg
o
niv
el d
e m
ad
ur
ez1
23
45
co
mp
eten
cias
en
ad
min
istr
ació
nd
el
ries
go
Exis
te p
oca
o ni
ngun
a in
for-
mac
ión
a ce
rca
de r
eque
ri-
mie
ntos
de
com
pete
ncia
s de
ad
min
istr
ació
n d
el r
iesg
o.
La g
estió
n de
l rie
sgo
no s
e p
erci
be
com
o un
a co
mp
e-te
ncia
form
al. E
l con
cept
o de
ad
min
istr
ació
n de
l rie
sgo
no
esta
bie
n en
tend
ido.
Las
com
pete
ncia
s en
con
o-
cim
ient
o d
e ri
esg
o se
han
id
enti
fica
do
y el
hue
co d
e ha
bilid
ades
se
ha e
stab
leci
-do
. Se
sion
es d
e co
ncie
ncia
se
han
real
izad
o pe
ro p
oca
o ni
ngun
a ca
paci
taci
ón fo
rmal
ha
sid
o da
da.
Educ
ació
n en
el m
anej
o de
l ri
esgo
tie
ne a
lta
prio
rida
d.
El h
ueco
de
habi
lidad
es e
stá
sien
do
ate
nd
ido
. R
equ
e-ri
mie
nto
s d
e ca
pac
itac
ión
está
n si
end
o en
cau
sad
os.
H
ay u
n “c
ruce
-fér
til”
ent
re
espe
cial
ista
s y
gere
ntes
.
Las c
ompe
tenc
ias y
la c
apac
i-ta
ción
en
gest
ión
del r
iesg
o so
n un
com
pone
nte
inte
gral
de
los
pla
nes
de e
nseñ
anza
in
div
idu
al.
Los
emp
lead
os
han
sid
o en
tren
ado
s y
los
huec
os d
e ha
bilid
ades
ate
n-d
ido
s. L
a ca
pac
itac
ión
en
ges
tió
n d
el r
iesg
o es
un
a pa
rte
inte
gral
del
pro
gram
a d
e ca
pac
itac
ión
dep
arta
-m
enta
l..
Las
may
ores
inv
ersi
ones
es-
tán
en e
l des
arro
llo d
el p
er-
sona
l. La
org
aniz
ació
n es
tá
cont
inu
amen
te r
eno
van
do
las
com
pete
ncia
s re
quer
ida
en l
a ge
stió
n de
l ri
esgo
. La
or
gani
zaci
ón e
s con
ocid
a po
r su
cap
acit
ació
n en
ges
tión
de
rie
sgo.
técn
icas
en
ges
tió
n
del
rie
sgo
Lim
itad
as t
écni
cas
y he
rra-
mie
ntas
est
án d
isp
on
ible
s pa
ra l
a co
nduc
ción
de
aná-
lisis
de
riesg
os. L
os g
eren
tes
tien
den
a us
ar s
us p
ropi
os
acer
cam
ient
os in
divi
dual
es.
Las
técn
icas
lim
itad
as s
e fo
caliz
an e
n ár
eas e
spec
ífica
s (p
or
ej.
ries
go
fin
anci
ero,
rie
sgo
ambi
enta
l, se
gurid
ad
ocup
acio
nal
y sa
lud,
adm
i-ni
stra
ción
de
proy
ecto
s de
te
cnol
ogía
de
info
rmac
ión)
.
Ger
ente
s ac
ced
en a
var
ios
mod
elos
ana
lític
os,
técn
icas
e
inst
rum
ento
s d
e to
ma
de
dec
isió
n q
ue
inte
gra
n in
form
ació
n fin
anci
era
y no
fi
nanc
iera
par
a an
ális
is d
e rie
sgo.
Las
her
ram
ient
as s
on
utili
zada
s co
n el
sop
orte
de
espe
cial
ista
s. L
os e
spec
ialis
-ta
s en
tiend
en lo
s be
nefic
ios
y lim
itac
ione
s de
las
her
ra-
mie
ntas
y m
odel
os
Hay
un
a g
ama
bie
n d
esa-
rrol
lada
y a
mpl
ia d
e in
stru
-m
ento
s de
apo
yo e
n la
tom
a d
e d
ecis
ion
es y
mo
del
os
tota
lmen
te e
nte
nd
ido
s y
usad
os p
or t
odo
el
per
so-
nal.
El p
erso
nal e
ntie
nde
los
ben
efic
ios
y lím
ites
de
las
herr
amie
ntas
y m
odel
os. L
as
herr
amie
ntas
son
una
par
te
inte
gral
del
aná
lisis
del
ries
go
hec
ho
com
o so
po
rte
par
a la
tom
a de
dec
isio
nes.
Más
h
erra
mie
nta
s so
fist
icad
as
está
n di
spon
ible
s. H
ay tr
ans-
fere
nci
a d
e co
no
cim
ien
to
entr
e lo
s es
peci
alis
tas
y lo
s ge
rent
es.
Las
herr
amie
ntas
de
gest
ión
del
ries
go e
stán
int
egra
das
con
las
técn
icas
y h
erra
mie
n-ta
s d
e ad
min
istr
ació
n d
e-pa
rtam
enta
l. Ex
iste
n fu
erte
s la
zos
con
los
sist
emas
de
in-
form
ació
n de
ges
tión
depa
r-ta
men
tal.
Las
herr
amie
ntas
y
mod
elos
son
eva
luad
os p
e-rió
dica
men
te y
act
ualiz
ados
co
n ba
se e
n la
s más
reci
ente
s te
cnol
ogía
s.
sop
ort
ed
ees
pec
ialis
tas
Los
esp
ecia
lista
s n
o es
tán
disp
onib
les
para
pro
veer
los
anál
isis
de
riesg
o qu
e re
quie
-re
n lo
s ge
rent
es p
ara
sopo
r-ta
r la
tom
a de
dec
isio
nes.
Los
esp
ecia
lista
s re
aliz
an
el a
nális
is d
e ri
esgo
bás
ico
de l
as o
pcio
nes
de l
a di
rec-
ción
par
a ap
oyar
la t
oma
de
deci
sion
es,
en r
esp
uest
a a
requ
erim
ient
os e
spec
ífico
s y
com
o pa
rte
de s
us m
anda
tos
de c
ontr
ol i
nter
no.
Los
es-
peci
alis
tas
bási
cam
ente
son
us
ados
esp
orád
icam
ente
. Los
ge
rent
es e
ntie
nden
cua
ndo
nece
sita
n so
port
e
Los
espe
cial
ista
s so
n co
noci
-do
s en
tod
a la
org
aniz
ació
n y
son
a m
enu
do
llam
ado
s po
r los
ger
ente
s par
a pr
ovee
r an
ális
is y
con
sejo
con
resp
ec-
to a
la
gest
ión
de e
vent
os
de
ries
go
esp
ecíf
ico
s. L
os
esp
ecia
lista
s d
an s
ervi
cio
s d
e m
aner
a o
po
rtu
na.
Lo
s ge
rent
es s
on c
onci
ente
s de
có
mo
usar
mej
or e
l sop
orte
de
los
espe
cial
ista
s.
Los
reto
s y
el p
apel
de
los
expe
rtos
con
sejo
s de
los
es-
peci
alis
tas
son
valo
rado
s po
r to
dos
los
nive
les
de la
adm
i-ni
stra
ción
. Lo
s es
peci
alis
tas
son
vist
os c
omo
la p
rinci
pal
man
era
de in
icia
r el
cam
bio.
El
los
tiene
n el
con
ocim
ient
o de
pro
gram
as y
ope
raci
ones
, y
pued
en a
plic
ar h
erra
mie
n-ta
s m
ás a
vanz
adas
. Lo
s ge
-re
ntes
est
án f
amili
ariz
ados
co
n el
gru
po d
e he
rram
ient
as
disp
onib
les.
Exi
sten
cen
tro
s d
e ex
ce-
len
cia
par
a la
ges
tió
n d
el
ries
go
con
la h
abili
dad
de
acon
seja
r so
bre
even
tos
de
gest
ión
del
ries
go,
con
una
bas
e in
tegr
ada
de e
quip
os
mul
tidi
scip
linar
ios.
Lo
s es
-pe
cial
ista
s tie
nen
un a
mpl
io
ente
nd
imie
nto
en a
sunt
os
estr
atég
icos
, ope
raci
onal
es y
fu
ncio
nale
s. L
os e
spec
ialis
tas
goza
n de
rec
onoc
imie
nto
al
exte
rior
de la
org
aniz
ació
n.
ROL DE LA AuDItORíA INtERNA EN LA GEStIóN DE RIESGOS EmPRESARIALES EN ENtIDADES BANCARIAS
72
rep
or
te y
co
ntr
ol
niv
el d
e m
ad
ur
ez1
23
45
exp
lora
ció
n
de
amen
azas
y
op
ort
un
idad
es
exte
rnas
Se h
acen
in
vest
igac
ion
es
ambi
enta
les
no f
orm
ales
. La
eval
uaci
ón d
e op
ortu
nida
des
y am
enaz
as e
xter
nas
se h
ace
con
base
s in
form
ales
.
Las
inve
stig
acio
nes
ambi
en-
tale
s se
hac
en c
on b
ases
li-
mita
das.
Hay
poc
a o
ning
una
agre
gaci
ón d
e re
sult
ados
.
Las
inve
stig
acio
nes
ambi
en-
tale
s se
hac
en r
egul
arm
ente
so
bre
sopo
rtes
de
plan
eaci
ón
estr
atég
ica.
Los
res
ulta
dos
del a
mbi
ente
exp
lora
do s
on
entr
ada
de l
plan
est
raté
gico
y
son
cons
ider
ado
s us
ual-
men
te p
or lo
s ge
rent
es.
Los
resu
ltad
os d
e la
s in
ves-
tiga
cion
es a
mbi
enta
les
son
revi
sado
s en
el
tiem
po.
Se
hace
n an
ális
is d
e lo
s pa
tro
-ne
s y
tend
enci
as y
est
os s
on
usad
os c
omo
entr
adas
en
los
proc
esos
de
plan
eaci
ón.
La o
rgan
izac
ión
usa
las
más
re
cien
tes
met
odol
ogía
s pa
ra
inve
stig
acio
nes a
mbi
enta
les.
Lo
s re
sult
ados
se
com
part
en
con
los
prin
cipa
les
inve
rsio
-ni
stas
(acc
ioni
stas
).
co
ntr
ole
sLo
s co
ntro
les
exis
tent
es n
o es
tán
unid
os a
los
obje
tivos
co
rpo
rati
vos
o a
pet
ito
al
riesg
o. N
o ha
y cr
iterio
s pa
ra
eval
uar
cuan
do la
s pr
áctic
as
de
ges
tió
n d
el r
iesg
o so
n ef
icie
ntes
y e
fect
ivas
.
Los
con
tro
les
son
usa
do
s so
bre
una
base
em
píric
a pa
ra
resp
onde
r a
nuev
os r
iesg
os
y a
cam
bios
am
bien
tale
s. E
l co
sto/
bene
fici
o de
los
con
-tr
oles
es
cons
ider
ado
sobr
e un
a ba
se e
mpí
rica.
Los
cont
role
s ha
n si
do e
s-ta
blec
idos
par
a re
flej
ar l
os
obje
tivos
y e
l ape
tito
al r
ies-
go. E
l cum
plim
ient
o de
eso
s co
ntro
les
es s
uper
visa
do y
m
edid
o pa
ra c
ada
func
ión.
El
co
sto
/ben
efic
io d
e lo
s co
ntr
ole
s es
co
nsi
der
ado
regu
larm
ente
en
la i
mp
le-
men
taci
ón d
e pr
ácti
cas
de
adm
inis
trac
ión
del r
iesg
o.
Los
cont
role
s pu
esto
s es
tán
desa
rrol
lado
s tan
to p
ara
pre-
veni
r co
nsec
uenc
ias
nega
ti-
vas
lo m
ism
o qu
e pa
ra p
ro-
mov
er r
esul
tado
s po
siti
vos.
El
sig
nifi
cado
del
rie
sgo
lo
mis
mo
que
el c
osto
/ben
efic
io
de lo
s con
trol
es s
on c
onsi
de-
rado
s en
la im
plem
enta
ción
de
pra
ctic
as d
e ge
stió
n de
l rie
sgo.
El a
mbi
ente
de
cont
rol
está
en
cade
nado
a l
os o
bjet
ivos
d
epar
tam
enta
les
y el
ap
e-ti
to a
l ri
esg
o. L
a g
esti
ón,
d
el r
iesg
o se
im
ple
men
tó
cons
ider
ando
al
sign
ific
ado
del r
iesg
o, e
l cos
to/b
enef
icio
de
los
con
trol
es y
la
mez
cla
de l
os t
ipos
de
cont
rol.
Las
herr
amie
ntas
est
án p
uest
as
para
med
ir la
rep
rese
ntat
i-vi
dad
de lo
s rie
sgos
, cal
cula
r el
cos
to/b
enef
icio
de
los c
on-
trol
es y
est
able
cer
la m
ezcl
a ap
ropi
ada
de c
ontr
oles
.
just
ific
ació
nN
o ha
y ju
stif
icac
ión
de l
as
deci
sion
es o
es
inco
mpl
eta.
Se p
rese
nta
ju
stif
icac
ión
empí
rica
de la
s de
cisi
ones
e
incl
uye
do
cum
enta
ción
de
supu
esto
s, m
étod
os,
fuen
te
de d
atos
y r
esul
tado
s.
Do
cum
enta
ción
ap
rop
iada
de
las
dec
isio
nes
esta
fác
il-m
ente
dis
pon
ible
en
pap
el
y fo
rmat
os e
lect
róni
cos
y es
ap
ropi
ado
en l
ínea
con
los
co
ntro
les,
pol
ítica
s y
proc
e-di
mie
ntos
.
El a
lcan
ce d
e la
doc
umen
-ta
ción
for
mal
est
á at
ado
a la
sig
nifi
canc
ía d
el r
iesg
o y
la d
ocum
enta
ción
es
acce
-si
ble
a la
org
aniz
ació
n co
n fr
ecue
ncia
par
a su
perv
isió
n,
tom
a de
dec
isio
nes
y en
tre-
nam
ient
o or
gani
zaci
onal
.
Los
proc
esos
de
la o
rgan
iza-
ción
(in
cluy
endo
la
gest
ión
del
ries
go)
sigu
en f
orm
ales
cr
iter
ios
de c
alid
ad d
e un
a in
stit
ució
n re
cono
cida
por
ej
. C
umpl
ir IS
O y
sat
isfa
cer
está
ndar
es d
e do
cum
enta
-ci
ón IS
O.
med
ició
ny
su
per
visi
ón
No
se ti
ene
un m
arco
de
me-
dici
ón p
ara
eval
uar l
as p
ráct
i-ca
s de
ges
tión
del r
iesg
o.
El m
arco
de
eval
uaci
ón e
xist
e pa
ra m
edir
el p
rogr
eso
en la
im
plem
enta
ción
de
la g
es-
tión
del r
iesg
o. E
l crit
erio
se
ha s
ido
desa
rrol
lado
y e
sta
gene
ralm
ente
ace
ptad
o po
r la
adm
inis
trac
ión.
El p
rog
reso
en
la
imp
le-
men
taci
ón
de
la g
esti
ón
del r
iesg
o ha
sid
o ev
alua
do.
Indi
cado
res p
ara
med
ir re
sul-
tado
s, c
omo
cons
ecue
ncia
de
l mej
or m
anej
o de
l rie
sgo,
ha
n si
do d
esar
rolla
dos.
La in
form
ació
n ha
sid
o re
co-
gida
par
a m
edir
resu
ltad
os
alca
nza
do
s, c
om
o c
on
se-
cuen
cia
del
mej
or
man
ejo
del r
iesg
o. L
a In
form
ació
n no
es
tá d
ispo
nibl
e en
una
bas
e de
ten
denc
ias.
El f
unci
onam
ient
o es
med
i-do
con
tra
indi
cado
res
y lo
s re
sult
ados
son
rast
read
os e
n el
tie
mpo
. Lo
s pl
anes
de
ac-
ción
son
des
arro
llado
s pa
ra
mej
orar
el
func
iona
mie
nto,
y
acci
ones
se
tom
an c
uand
o se
req
uier
e. L
os i
ndic
ador
es
de
fun
cio
nam
ien
to y
las
pr
ueba
s pat
rón
son
refin
adas
y
pues
tas
al d
ía e
n un
a ba
se
en c
urso
.
7�
cobittabla de resumenAnexo4
objetivos de control para la inFormación y tecnologías aFines
controles de proceso
procesos
pc1 Definir objetivos y metas del proceso
pc2 Definir el propietario del proceso
pc3 Diseñar un proceso repetible
pc4 Definir roles y responsabilidades
pc5 Definir políticas, planes y procedimientos
pc6 Definir mejoramiento en el desempeño del proceso
controles de aplicación
aplicación
Ac1 Preparar y autorizar datos fuente
Ac2 Recolectar e ingresar datos fuente
Ac3 Verificar que los datos son completos, auténticos y exactos
Ac4 Mantener la validez e integridad del procesamiento
Ac5 Revisar y reconciliar datos de salida y manejar errores
Ac6 Verificar la integridad y autenticidad de las transacciones
controles genéricos de control para los procesos de tecnología de inFormación
74
dominio proceso
criterios de inFormación
recursos de ti
e e c i a c r p a t F d
plan
eaci
ón
yo
rgan
izac
ión
PO1 Definir un plan estratégico de sistemas P S X X X X X
PO2 Definir la arquitectura de información P S S S X X
PO3 Determinar la dirección tecnológica P S X X
PO4 Definir la organización y sus relaciones P S X
PO5 Administrar las inversiones (en TI) P P S X X X X
PO6 Comunicar la dirección y objetivos de la gerencia P S X
PO7 Administrar los recursos humanos P P X
PO8 Asegurar el apego a disposiciones externas P P S X X X
PO9 Evaluar riesgos S S P P P S S X X X X X
PO10 Administrar proyectos P P X X X X
PO11 Administrar calidad P P P S X X
Ad
qu
isic
ión
e
imp
lem
enta
ció
n
AI1 Identificar soluciones de automatización P S X X X
AI2 Adquirir y mantener software de aplicación P P S S S X
AI3 Adquirir y mantener la arquitectura tecnológica P P S X
AI4 Desarrollar y mantener procedimientos P P S S S X X X X
AI5 Instalar y acreditar sistemas de información P S S X X X X X
AI6 Administrar cambios P P P P S X X X X X
controles generales de tecnología de inFormación
tabla resumen
criterios de inFormación recursos de ti
e EFECTIVIDAD p RECURSOS HUMANOS
e EFICIENCIA A SISTEMAS DE INFORMACIÓN
c CONFIDENCIALIDAD t TECNOLOGÍA
I INTEGRIDAD f INSTALACIONES
A DISPONIBILIDAD d DATOS
c CUMPLIMIENTO
r CONFIABILIDAD
75
dominio proceso
criterios de inFormación
recursos de ti
e e c i a c r p a t F d
entr
ega
de
serv
icio
s y
sop
ort
e
DS1 Definir niveles de servicio P P S S S S S X X X X X
DS2 Administrar servicios de terceros P P S S S S S X X X X X
DS3 Administrar desempeño y capacidad P P S X X X
DS4 Asegurar continuidad de servicio P S P X X X X X
DS5 Garantizar la seguridad de sistemas P P S S S X X X X X
DS6 Identificar y asignar costos P P X X X X X
DS7 Educar y capacitar a usuarios P S X
DS8 Apoyar y orientar a clientes P X X
DS9 Administrar la configuración P S S X X X
DS10 Administrar problemas e incidentes P P S X X X X X
DS11 Administrar la información P P X
DS12 Administrar las instalaciones P P X
DS13 Administrar la operación P P S S X X X X
mo
nit
ore
o M1 Monitorear el proceso P S S S S S S X X X X X
M2 Evaluar lo adecuado del control interno P P S S S S S X X X X X
M3 Obtener aseguramiento independiente P P S S S S S X X X X X
M4 Proporcionar auditoría independiente P P S S S S S X X X X X
tabla resumen
criterios de inFormación recursos de ti
e EFECTIVIDAD p RECURSOS HUMANOS
e EFICIENCIA A SISTEMAS DE INFORMACIÓN
c CONFIDENCIALIDAD t TECNOLOGÍA
I INTEGRIDAD f INSTALACIONES
A DISPONIBILIDAD d DATOS
c CUMPLIMIENTO
r CONFIABILIDAD
ANEXO 4