Ver Presentación

Anuncio
EL ROL DE AUDITORIA INTERNA
Y EL ENFOQUE DE AUDITORIA
BASADA EN RIESGOS
Víctor Mancilla
Banrural, Guatemala
[email protected]
Contenido
• Marco regulatorio
• Líneas de defensa
• Principios COSO
• Apetito de riesgo
• Cadena de valor
• Cuadro de mando integral
• Matrices de riesgos
• Mapa de calor
• Conclusiones
Ley de Bancos y Grupos Financieros
•
ARTICULO 55. Riesgos. Los bancos y las empresas que
integran grupos financieros deberán contar con procesos
integrales que incluyan, según el caso, la administración de
riesgos de crédito, de mercado, de tasas de interés, de liquidez,
cambiario, de transferencia, operacional y otros a que estén
expuestos, que contengan sistemas de información y un comité
de gestión de riesgos, todo ello con el propósito de identificar,
medir, monitorear, controlar y prevenir los riesgos.
Ley de Bancos y Grupos Financieros
• ARTICULO 57. Control interno. Los bancos y las empresas que
integran grupos financieros deben mantener un sistema de control
interno adecuado a la naturaleza y escala de sus negocios, que
incluya disposiciones claras y definidas para la delegación de
autoridad y responsabilidad, separación de funciones, desembolso de
sus fondos, la contabilización de sus operaciones, salvaguarda de sus
activos, y una apropiada auditoria interna y externa independiente,
así como una unidad administrativa responsable de velar porque el
personal cumpla estos controles y las leyes y disposiciones aplicables.
Normativa prudencial relacionada con
la gestión de riesgos
• Reglamento para la Administración Integral de Riesgos
• Reglamento para la Administración del Riesgo de Crédito
• Reglamento para la Administración del Riesgo Tecnológico
• Reglamento para la Administración del Riesgo Cambiario
Crediticio
• Reglamento para la Administración del Riesgo de Liquidez
• Aspectos relativos a la Administración del Riesgo de Crédito,
de Liquidez y Operacional
Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna
• 2010 – Planificación
• El director ejecutivo de auditoría debe establecer un plan basado en los
riesgos, a fin de determinar las prioridades de la actividad de auditoría
interna. Dichos planes deberán ser consistentes con las metas de la
organización.
Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna
• 2120.A1 – La actividad de auditoría interna debe evaluar las exposiciones al
riesgo referidas a gobierno, operaciones y sistemas de información de
la organización, con relación a lo siguiente:
• Logro de los objetivos estratégicos de la organización,
• Fiabilidad de integridad de la información financiera y operativa,
• Eficacia y eficiencia de las operaciones y programas,
• Protección de activos, y
• Cumplimiento de leyes, regulaciones, políticas, procedimientos y
contratos.
Basilea II, ISO 31000, y COSO
Basilea II
Pilar I
Riesgo de crédito
Riesgo de Mercado
Riesgo de Tipo de Cambio
Riesgo Operacional
ISO 31000
Principios de gestión del riesgo
Estructura para la gestión del riesgo
Proceso de gestión del riesgo
COSO
8 Elementos
4 Objetivos
4 Niveles de alcance
Líneas de defensa
Relación entre los principios, estructura de
soporte y proceso de gestión de riesgo
Proceso de gestión del riesgo
Identificación de
Riesgos
Desarrollo de
Criterios de
Evaluación
Evaluación de
Riesgos
Evaluación de
Interacción
de Riesgos
Priorización de
Riesgos
Respuesta a
Riesgos
Respuesta a los riesgos
• Evitarlo
• Transferirlo
• Compartirlo
• Asumirlo
Coso II ERM
Principios COSO
• Ambiente de Control
1
2
3
4
5
Integridad y valores éticos
Funcionamiento del control interno
Estructura, líneas de reporte, autoridad y responsabilidad
Reclutar, desarrollar y retener el talento
Asignar responsables del control interno
Principios COSO
• Evaluación de Riesgos
6 Identificación y evaluación de riesgos relacionados con los objetivos
7 Determinación de cómo deben ser administrados los riesgos
8 Considerar la posibilidad de fraude en la evaluación de riesgos
9 Evaluar cambios en el entorno que impacten significativamente en el
CI
• Actividades de Control
10 Seleccionar y desarrollar actividades de control para mitigar los
riesgos
11 Seleccionar y desarrollar actividades de control sobre TI
12 Establecer políticas y procedimientos para implementar actividades
de control
Principios COSO
• Información y Comunicación
• 13 Manejo de información relevante para soportar el funcionamiento
del CI
• 14 Comunicar al personal información sobre objetivos y
responsabilidades del CI
• 15 Comunicar a terceros sobre aspectos que afectan el funcionamiento
del CI
• Monitoreo
• 16 Evaluaciones concurrentes para verificar el funcionamiento del CI
• 17 Evaluar y comunicar las deficiencias en el CI en forma oportuna
Apetito de riesgo
• El apetito de riesgo es el nivel de riesgo que la empresa
quiere aceptar
• La tolerancia al riesgo es la desviación respecto del apetito
• La capacidad de riesgo es el nivel máximo de riesgo que una
organización puede soportar en la persecución de sus
objetivos
El proceso de fijación del apetito de riesgo debe ser específico
para cada empresa y debe estar a cargo del órgano máximo
Apetito de riesgo
Apetito de riesgo
Acciones que un directorio puede tomar para ayudar a formar un
enfoque de Gestión Inteligente de Riesgos:
1. Definir el rol de supervisión del directorio
2. Fomentar una Cultura Inteligente de Riesgo
3. Ayudar a la gerencia a incorporar la Inteligencia al Riesgo en la
estrategia
4. Ayudar a definir el apetito al riesgo
5. Ejecutar el proceso de Gobierno Inteligente de Riesgo
6. Comparar y evaluar el proceso de Gobierno
Apetito de riesgo
Pasos del Modelo de Gestión de Riesgos
•
•
•
•
•
•
Definición del marco estratégico
Establecimiento de principios
Descripción organizativa
Asignación de niveles de riesgo
Metodología de cálculo
Comunicación, actividades de control, supervisión
Apetito de riesgo
Ventajas de su implantación
• Estrategia
• Mejora la planificación estratégica
• Aumenta la efectividad del proceso de toma de decisiones
• Desarrolla esquemas de seguimiento y medición del
desempeño más eficientes, completos y justos
• Operaciones
• Mejora el análisis coste-beneficio de las decisiones
• Asigna recursos de forma más eficiente
Apetito de riesgo
• Información
• Comunica la actitud de la alta dirección frente al riesgo
• Considera todos los grupos de interés y sus preferencias
• Desarrolla un sistema de reporte integrado
• Crea una comunicación basada en pautas comunes
• Cumplimiento
• Cumplir con la legislación y las mejores prácticas de
gestión
• Mejorar la transparencia
• Implantar una cultura de gestión de riesgos
Selección del Nivel de Riesgo
Riesgo insuficiente
Riesgo óptimo
Riesgo excesivo
Valor
agregado
esperado
Nivel de Riesgo
Procesos Principales
• Planificación
• Siniestros
• Mercadeo
• Administración de carteras y cobros
• Desarrollo y diseño de productos • Servicios
• Tesorería
• Fidecomisos
• Captación
• Gobierno y control
• Colocación
• Información financiera y no financiera
• Suscripción
• Infraestructura y aprovisionamiento
• Emisión
• Talento humano
• Reaseguro
Cadena de Valor
Cuadro de Mando Integral
Escalas para medir el riesgo
Escalas para medir el riesgo
Matriz de riesgos
Matriz de riesgos
Matriz de riesgos
Matriz de riesgos
Cédula de consolidación
3.- ANÁLISIS DE RIESGOS
CÓDIGO:
FECHA:
MODELO ESTÁNDAR DE CONTROL INTERNO - NIVEL 04
EDICIÓN
ELABORADO POR:
MACROPROCESO: TESORERÍA
REVISADO POR:
1.0
APROBADO POR:
OBSERVACIONES:
PROCESO:
ÁREA:
COMPILADORES:
HERRAMIENTAS Y TÉCNICAS:
FECHA DE IDENTIFICACIÓN DE RIESGOS
C
REF.
R01
R02
R03
RIESGO IDENTIFICADO
A
M
B
IMPACTO
4
ALTO
C
A
M
B
PROBABILIDAD
3
ALTA
C
A
M
GERENTE MACROPROCESO
B
NIVEL DEL
RIESGO
12
DUEÑO DE PROCESO
CRIT
C
APTITUD DE LAS ACTIVIDADES DE CONTROL EXISTENTES
A
M
B
RIESGO
REMANENTE
0.25
9
1
MOD
Mapa de calor
Mapa de Calor
Conclusiones:
•
La gestión de los riesgos no es una opción, es una exigencia
inherente al qué hacer de cualquier negocio y en el caso de la
industria financiera es, además, mandatorio.
•
La gestión de riesgos es un proceso integral que debe estar
alineado con los objetivos estratégicos corporativos.
•
La gestión de riesgos administrada estratégicamente se
constituye en una ventaja competitiva para la empresa.
•
Un aspecto crítico que debe estar definido con precisión es el
nivel de apetito de riesgo, tolerancia al riesgo y capacidad de
riesgo
Conclusiones:
•
El auditor interno está obligado por las NIEPAI a realizar la actividad
de aseguramiento de los procesos de gestión de riesgos, gobierno y
control.
•
El auditor al diseñar su plan de trabajo debe priorizar la evaluación
de los riesgos más relevantes de los principales procesos
misionales, con base en el resultado del mapa de riesgos.
•
Para cumplir con su objetivo, el auditor, debe desarrollar
competencias para manejar apropiadamente conceptos de
planeación estratégica, mercadeo, gestión de riesgos, gestión de
procesos y de talento humano.
•
Es aconsejable la implementación de una herramienta de control de
la ejecución de la estrategia, que puede ser el Cuadro de Mando
Integral (CMI o BSC), que permita dar seguimiento a la alineación
entre los planes operativos, la estructura organizacional y los
objetivos estratégicos.
¡MUCHAS GRACIAS!
Descargar