Está en la página 1de 78

EN LA GESTIN DE RIESGOS EMPRESARIALES EN ENTIDADES BANCARIAS

ROL DE LA AUDITOrA INTErNA

COMIT DE AUDITORA

BOGOT D. C., NOVIEMBRE DE 2009

Presidente Mara Mercedes Cullar Vicepresidente Econmico Daniel Castellanos Directora de Operacin Bancaria Margarita Mara Henao Cabrera Documento elaborado por el Comit de Auditora de Asobancaria Revisin tcnica Ana Cristina Zambrano Preciado, CIA, CCSA, Presidenta- Directora Ejecutiva IIA Colombia Camila Quiones, Gerente, Deloitte &Touch Elsa Victoria Mena, Socia, Deloitte & Touch Jorge Alfredo Hernndez, Socio, Deloitte & Touch Wilmar Arturo Castellanos, CISA, CISM, CGEIT, Gerente, Deloitte Asesora de Comunicaciones Mara Constanza Meja M.

ASOBANCARIA Asociacin Bancaria y de Entidades Financieras de Colombia Asobancaria Carrera 9 No. 74 08 Piso 9 Telfono 326 6600 Fax: 326 6601 www.asobancaria.com info@asobancaria.com Diseo y armada electrnica maurogogo@gmail.com

CONTENIDO

INTRODUCCiN a. b.
1 2

5 7 7 9

Funcin de Auditora Interna (AI) Declaracin de posicin sobre el rol de la AI ante la gestin de riesgos

ANTECEDENTES ADMiNiSTRaCiN DE RiESGOS EN ENTiDaDES FiNaNCiERaS SEGN BaSiLEa II 2.1 Riesgo de crdito 2.1.1 Gobierno corporativo y vigilancia 2.1.2 Control del riesgo de crdito 2.2 Riesgo de mercado 2.3 Riesgo operativo 2.3.1 Criterios generales 2.4 Marco general de riesgo 2.4.1 Evaluacin rigurosa de capital 2.4.2 Evaluacin integral de los riesgos 2.4.3. Seguimiento e informacin 2.5 Examen de control interno 2.5.1 Requisitos generales de divulgacin cualitativa

11 11 11 11 12 13 13 13 13 14 15 16 16

ANTECEDENTES EN COLOMbia DE La PaRTiCiPaCiN DE La aUDiTORa iNTERNa EN La GESTiN DE RiESGO OPERaTiVO (RO) 3.1 Clain-Felaban 3.1.1 X Congreso Latinoamericano de Auditora Interna y Administracin de Riesgos, Cartagena 2006 3.2 Asociacin Bancaria de Colombia 3.2.1 V Congreso de Riesgo Financiero, Cartagena 2006 3.3 Superintendencia Financiera de Colombia (SFC)

17 17 17 18 20 20

ROL DE La aUDiTORa iNTERNa EN La GESTiN DE RiESGO EMPRESaRiaL 4.1 Rol de aseguramiento

21 22

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

4.2 Rol de consultora 4.3 Roles que la auditora interna no debe realizar 4.4 Aplicacin de los referentes para el ejercicio profesional de la auditora interna en el sector financiero, relacionadas con las actividades de aseguramiento y consultora en el ERM
5 6

23 23

24 25

NiVEL DE MaDUREZ DEL PROCESO DE GESTiN DE RiESGOS APLiCaCiN DE ObJETiVOS EN aSEGURaMiENTO Y CONSULTORa VS. ETaPaS DEL PROCESO DE GESTiN DE RiESGOS CONTROL iNTERNO

27 33

7.1 Control interno-Coso II 33 7.1.1 Gestin de riesgos 33 7.1.2 Ambiente interno 34 7.1.3 Establecimiento de objetivos 34 7.1.4 Identificacin de eventos 34 7.1.5 Evaluacin de riesgos 34 7.1.6 Respuesta al riesgo 35 7.1.7 Actividades de control 35 7.1.8 Informacin y comunicacin 35 7.1.9 El monitoreo 35 7.2 Modelo de control-COBIT 36 BibLiOGRaFa ANEXO 1 Gua para el uso de la Norma NTC 5254 Gestin del riesgo en el proceso de auditora interna 38 37

ANEXO 2 Aplicacin de los referentes para el ejercicio profesional de la auditora interna en el sector financiero relacionadas con las actividades de aseguramiento y consultora en la ERM

57

ANEXO 3 Una herramienta de autodiagnstico para la implementacin de la administracin del riesgo, por Basil Orsini 62

ANEXO 4 COBIT Tabla de resumen 73

INTRODUCCIN

El Subcomit de Riesgos del Comit Tcnico de Auditora de la Asociacin Bancaria de Colombia, dentro de sus trabajos de investigacin, desarroll el presente documento, el cual pretende ser una gua para las reas de auditora de las entidades financieras sobre el rol del auditor interno en la gestin de riesgos empresariales, particularmente en lo que se refiere al riesgo operativo (RO). Para ello, se recopil y analiz literatura sobre el tema, tanto de mbito nacional como internacional. Dentro de estos documentos se encuentran, entre otros: Basilea II, Nuevo Acuerdo de Capital de Basilea, abril de 2003. Referentes para el ejercicio profesional de la auditora interna, emitido por el Instituto de Auditores Internos www.theiia.org. Gua para el uso de la norma NTC 5254 Gestin del Riesgo, dentro del proceso de auditora interna, emitida por el ICONTEC, la cual es una adopcin modificada del estndar australiano AS/NZ-4360 - RISK MANAGEMENT. Lineamientos aplicables tomados de COSO II-ERM. COBIT, objetivos de control para informacin y tecnologa (TI). Proyecto de circular de la Superintendencia Financiera de Colombia SFC sobre Reglas relativas a la administracin de Riesgo Operativo Noviembre 2006. El presente documento tiene como objetivo primordial facilitar la aplicacin prctica de los lineamientos generales de Administracin de Riesgos Empresariales (ERM), publicados por Basilea II, COSO ERM, estndar Australiano AS/NZ-4360, ICONTEC y la Superintendencia Financiera, para desarrollar un marco de referencia circunscrito al rol que debe ejercer el Auditor Interno ante el ERM en las entidades del sector financiero colombiano. Gestionar los riesgos significa administrarlos para lograr un balance apropiado entre prdidas y utilidades, identificando las oportunidades para obtener beneficios y para minimizar los impactos adversos. Es una parte integral de una buena prctica gerencial y un elemento esencial de buen gobierno corporativo. Es un proceso iterativo que se conforma de pasos que, cuando se siguen en secuencia, permiten una mejora continua en el proceso de toma de decisiones y permite a las organizaciones


Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

optimizar su desempeo y lograr los objetivos propuestos con un grado de seguridad y riesgo razonables. La Gestin de Riesgo Empresarial implica establecer una infraestructura y cultura apropiada y aplicar un mtodo lgico y sistemtico para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear, comunicar y administrar riesgos residuales en cualquier actividad o proceso. Acorde con lo establecido en Basilea II, los bancos deben utilizar metodologas adecuadas para medir los diferentes riesgos a los que se enfrentan y as establecer capitales requeridos, buscando promover seguridad y solidez en sus operaciones, integrar a toda la organizacin en la implementacin de un proceso continuo de administracin de riesgo, asegurar la supervisin y control de la gestin de riesgos y cumplir a cabalidad con los lineamientos que adopten las entidades reguladoras de cada pas. En el caso colombiano, la SFC como adicin al captulo XXII de la Circular bsica contable y financiera (C.E. 100/95), ha establecido unas Reglas generales relativas a la administracin del riesgo operativo, entre las que se encuentran: La obligacin de que las entidades vigiladas desarrollen y adopten un sistema de administracin de riesgo operativo (SARO). Su mbito de aplicacin, definiciones de conceptos, factores, eventos, recursos, infraestructura, documentacin, componentes, controles, monitoreo y responsabilidades de los rganos de direccin, administracin y control. Considera con el mismo nivel de importancia, la administracin del riesgo operativo y los riesgos crediticio, de mercado y liquidez, y fija como un plazo prudencial julio de 2007, para que las entidades empiecen a dar cumplimiento. La gestin de riesgos debe formar parte de la cultura de una organizacin, es decir, debe estar incorporada en la filosofa, prcticas y procesos de negocio. Todos en la organizacin, incluidos la junta directiva, comit de auditora y la alta gerencia, deben estar completamente involucrados en la gestin de riesgos. Todas las organizaciones enfrentan cada vez mayor grado de incertidumbre, por efectos de la globalizacin, la complejidad de los negocios y los avances tecnolgicos, el desafo es determinar cunto de esta incertidumbre estamos preparados para aceptar. La incertidumbre representa tanto amenazas como oportunidades, con el potencial de minimizar o enriquecer la generacin de valor de las organizaciones. La gestin de riesgos empresariales provee una estructura conceptual para que la administracin conviva de manera racional con la incertidumbre, con los riesgos y oportunidades asociados, lo cual enriquece su capacidad para generar valor.

InTrodUccin

Con la evolucin y dinmica de los negocios se plantea una gran oportunidad para fortalecer y optimizar la funcin de auditora interna en el sentido de agregar valor y contribuir efectivamente al logro de los objetivos de las organizaciones. Por esta razn, el presente documento tambin pretende contribuir al anlisis y aplicacin prctica de la actividad de auditora interna en los procesos de gestin de riesgos en el sector financiero colombiano, tomando como referencia las dos definiciones bsicas del Instituto de Auditores Internos:
A.

FUNCIN DE AUDITORA INTERNA (AI):

Es una actividad de aseguramiento y consultora, que en forma independiente y objetiva desarrolla sus actividades para agregar valor y mejorar los procesos de gestin de riesgos, control y gobierno en la organizacin. La gestin de riesgos es un aspecto fundamental en el trabajo del auditor interno.
B. DECLARACIN DE POSICIN SOBRE EL ROL DE LA ANTE LA GESTIN DE RIESGOS:

AI

Establece la gua sobre los roles que estn permitidos y las salvaguardas necesarias para proteger la objetividad e independencia de la auditora interna. Inicia definiendo la gestin de riesgo empresarial (ERM1) como: Es un proceso estructurado, consistente y continuo implementado a travs de toda la organizacin para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el logro de sus objetivos. Luego establece que el rol fundamental de la auditora interna respecto al ERM es: Proveer aseguramiento objetivo a la Junta sobre la efectividad de las actividades de ERM en una organizacin, para ayudar a asegurar que los riesgos claves del negocio estn siendo gestionados apropiadamente y que el sistema de control interno est siendo operado efectivamente.

ERM Enterprise Risk Management Gestin de Riesgo Empresarial

ANTECEDENTES

Para entender la evolucin del riesgo en Colombia frente a la economa, es necesario remontarnos a sus orgenes. Las actividades financieras (si el trmino cabe, pues hablaramos de trueque en su contexto histrico), en pocas de los antiguos pobladores, estaban en funcin de las tierras y los cultivos, principalmente el maz como fuente primaria de subsistencia, que luego se convierte en el fundamento de la economa de muchos de nuestros pobladores en Colombia. Con la llegada de los espaoles se inicia el proceso histrico de identificacin de riesgos en transporte y embarque de oro y esmeraldas, con el fin de custodiar y minimizar los riesgos de robo. Pasando a los siglos XIX y XX, despus de la intencin fallida de establecer el Banco Nacional en 1880, el dficit fiscal que obliga al banco a prestarle al Gobierno recursos sin ningn control, genera repercusiones en la economa nacional y cierta prevencin contra el Banco Central, hasta su liquidacin. Con la venta de Panam en 1903 por 25 millones de dlares, se genera una buena liquidez y reactivacin de la economa; nace entonces la necesidad de crear el Banco Central, que se materializa solo hasta 1923 con la constitucin del Banco de la Repblica. Esta decisin nace en la presidencia de Pedro Nel Ospina, quien decide invitar al profesor de la Universidad de Harvard, Edwin Kremerer, y se consolida la misin que lleva su nombre, cuyo objetivo es estabilizar y controlar los recursos del Estado y el control de la moneda, as como tambin la creacin de la Contralora General de la Repblica y la Superintendencia Bancaria. Para evitar los descalabros econmicos que sufri el anterior Banco Central, se establecieron lmites, como la concentracin de emprstitos al Gobierno Nacional el cual no poda superar el 30% del capital del banco. En esta parte de la historia financiera de Colombia nacen los inicios de control de riesgos de mercado y de crdito como lmites de tasa de inters y algunas condiciones para la colocacin de prstamos. Los riesgos financieros materializados tuvieron un efecto importante sobre las finanzas del pas, originando un endeudamiento con los bancos ingleses. Con posterioridad a la misin Kremerer, se increment el endeudamiento con los bancos de Estados Unidos, lo cual requiri el establecimiento de controles que mitigaban los riesgos de liquidez y de mercado. La evolucin de las instituciones financieras en Colombia durante el perodo 1923-1995 registra reformas financieras como las de 1951 y 1990, destacndose los cambios institucionales y sus efectos sobre el desarrollo de la intermediacin financiera; sobresale la importancia del Banco


Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Central en trminos de la profundizacin de los mercados de capital y de la estabilizacin macroeconmica. En el proceso de liberalizacin financiera, la libertad en el otorgamiento del crdito lleva implcita la posibilidad de generar una mayor concentracin de riesgo. Tambin, la mayor exposicin al mercado trae consigo exigencias especiales en materia de su administracin y la informacin hacia el pblico en general, asociado adems con la persistencia de problemas en el mercado financiero, originados en las polticas defectuosas de los intermediarios del sistema, en lo que se refiere a la gestin de riesgos, que termina en una degradacin de la calidad de los compromisos bancarios y en una insuficiencia de fondos propios. La Superintendencia Bancaria nace como un organismo de control y vigilancia a las actividades de los bancos. Con la promulgacin de la Constitucin de 1991 se establece el control como una responsabilidad prioritaria de las organizaciones del Estado, fortaleciendo as las funciones de los entes reguladores. Actualmente, Colombia est fuertemente influenciada por las definiciones, estndares y mejores prcticas internacionales, como las expedidas por el Comit de Basilea COSO II ERM. As mismo, los resultados de experiencias internacionales se han venido tomando como marco de referencia, inclusive por los organismos de supervisin y control, para trabajar en la adopcin de una propuesta acorde con la realidad y exigencias del mercado financiero colombiano.

10

2
2.1 RIESGO DE CRDITO

ADMINISTRACIN DE RIESGOS
EN ENTIDADES fINANCIERAS SEGN BASILEA II

Es importante hacer un breve recuento de los apartes del Documento de Basilea II, en donde se deja un claro marco de accin, sobre los riesgos a que estn expuestos los bancos. A continuacin se citan textualmente los apartes que se consideran importantes sobre los riesgos, controles y la administracin de los mismos:

2.1.1 GOBIERNO CORPORATIVO Y VIGILANCIA 400. Todo aspecto importante de los procesos de calificacin y estimacin deber ser aprobado por el consejo de administracin del banco o por un comit delegado de ste y por la alta direccin.
Estas partes debern poseer un conocimiento general del sistema de calificacin de riesgos del banco y una comprensin detallada de los informes de gestin asociados a dicho sistema. La alta direccin deber informar al consejo de administracin a al comit delegado de las modificaciones o excepciones de importancia con respecto a las polticas establecidas que tengan efectos relevantes sobre la operativa del sistema de calificacin del banco.

2.1.2 CONTROL DEL RIESGO DE CRDITO 401. El banco deber contar con unidades independientes de control del riesgo de crdito, encargadas del diseo o seleccin, aplicacin y funcionamiento de sus sistemas internos de calificacin. La unidad o unidades debern ser funcionalmente independientes del personal y de las unidades administrativas responsables de generar las exposiciones.
Sus reas de responsabilidad debern incluir: a. Pruebas y seguimiento de los grados internos; b. Elaboracin y anlisis de informes sobre el sistema de calificacin del banco, incluyendo datos histricos de incumplimientos clasificados por calificaciones en el momento del incumplimiento y un ao antes de ste, anlisis de la migracin entre grados y seguimiento de las tendencias de los criterios bsicos de calificacin. c. Aplicacin de procedimientos destinados a comprobar que las definiciones de las calificaciones se aplican de manera coherente en los distintos departamentos y en las diversas reas geogrficas. d. Examen y documentacin de cualquier cambio en el proceso de calificacin, incluyendo las razones que lo motivaron; y

11

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

e. Examen de los criterios de calificacin al objeto de evaluar si continan cumpliendo la funcin de prediccin del riesgo. Las modificaciones introducidas en el proceso de calificacin, en sus criterios o en los parmetros individuales utilizados debern documentarse y conservarse para su examen por parte de las autoridades supervisoras.

2.2 RIESGO DE MERCADO


491. Se espera que el conjunto de prcticas del riesgo que utilizan los Bancos en sus inversiones accionaras de la cartera de inversin sea coherente con las directrices sobre buenas prcticas regularmente emitidas desde el comit y por los supervisores nacionales. Con respecto al desarrollo y utilizacin de modelos internos a efectos del capital regulador, las instituciones debern establecer polticas, procedimientos y controles que garanticen la integridad del modelo y de los procesos de modernizacin empleados en la derivacin de los requerimientos de capital regulador. a) Plena integracin del modelo interno dentro del conjunto del sistema de gestin de la informacin del banco y en la gestin de las posiciones accionaras de la cartera de inversin. Los modelos internos debern encontrarse plenamente integrados dentro de la infraestructura de gestin de riesgo de la institucin, incluyendo su uso en: El establecimiento de tasas crticas de rentabilidad de las inversiones y evaluacin de inversiones alternativas. La medicin y evaluacin del rendimiento de la cartera accionara (incluido el rendimiento ajustado de riesgo). La asignacin de capital econmico a las exposiciones accionaras y a la evaluacin de la suficiencia de capital en general, conforme a lo exigido en el segundo pilar. La institucin deber ser capaz de demostrar, por ejemplo mediante actas del comit de inversiones, que los resultados aportados por los modelos internos desempean una funcin esencial en el proceso de gestin de las inversiones. b) Sistemas y procedimientos de gestin establecidos y unidades de control, con el objeto de garantizar un examen peridico e independiente de todos los elementos del proceso interno de modelizacin, incluidos la aprobacin de las revisiones de los modelos, la actualizacin de los argumentos y el examen de sus resultados, tales como la verificacin directa de los clculos del riesgo. Deber prestarse especial atencin a las tcnicas de valoracin por aproximacin y de asociacin, as como otros componentes cruciales del modelo. Estos exmenes debern evaluar la precisin, exhaustividad y adecuacin de los argumentos y los resultados del modelo y centrarse en la bsqueda y mxima reduccin de errores potenciales asociados a debilidades conocidas del modelo, as como en la identificacin de debilidades desconocidas. Estos exmenes debern llevarse a cabo como parte de los programas de auditora interna o externa, realizados por una unidad independiente de control de riesgos o bien por una unidad externa. c) Sistemas y procedimientos adecuados de seguimiento de los lmites fijados a la Inversin y a las exposiciones de riesgo de las inversiones accionaras.

12

AdMinisTracin de riesgos en enTidades financieras segn Basilea II

d) Las unidades responsables del diseo y aplicacin del modelo debern ser funcionalmente independientes de las unidades responsables de la gestin de las inversiones individuales. e) El personal responsable de cualquiera de los aspectos del proceso de modelizacin deber estar adecuadamente capacitado. La direccin del banco deber asignar recursos competentes y suficientemente cualificados a las labores de modelizacin.

2.3 RIESGO OPERATIVO


607. El riesgo operativo se define como el riesgo de prdida resultante de una falta de adecuacin o de un fallo de los procesos, el personal y los sistemas internos o bien de acontecimientos externos. Esta definicin incluye riesgo legal (jurdico), pero excluye el riesgo estratgico y el riesgo de reputacin.

2.3.1 CRITERIOS GENERALES 620. A objeto de poder utilizar el mtodo estndar, como base para el mtodo avanzado - AMA, el banco deber demostrar a su supervisor que, como mnimo:
Su consejo de administracin y alta direccin, segn corresponda, se encuentran activamente implicados en la vigilancia del marco de gestin del riesgo operativo. Posee un sistema de gestin del riesgo conceptualmente slido y aplicado en su integridad; y Cuenta con recursos suficientes al objeto de utilizar la metodologa en las principales lneas de negocio, as como en las reas de control y auditora.

2.4 MARCO GENERAL DE RIESGO


688. El consejo de administracin del banco tiene la responsabilidad de determinar la tolerancia del banco al riesgo. Tambin deber garantizar que la direccin de la entidad establece un marco para la evaluacin de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y aplica el mtodo de seguimiento de la observancia de las polticas internas. Otra funcin importante del consejo de administracin consiste en adoptar y apoyar la utilizacin de slidos controles internos y polticas y procedimientos por escrito, as como garantizar que la direccin del banco comunica esta informacin en toda la organizacin.

2.4.1 EVALUACIN RIGUROSA DE CAPITAL 689. Los elementos fundamentales de una evaluacin rigurosa de capital incluyen:
Polticas y procedimientos diseados para garantizar que el banco identifica, cuantifica e informa de todos los riesgos importantes.

13

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Un proceso que relacione el capital con el nivel de riesgo. Un proceso que establezca los objetivos de suficiencia de capital en funcin del riesgo, tomando en consideracin el enfoque estratgico del banco y su plan de negocios; y Un proceso de controles, exmenes y auditoras internas al objeto de garantizar la integridad del proceso general de gestin.

2.4.2 EVALUACIN INTEGRAL DE LOS RIESGOS 690. El proceso de evaluacin del capital deber tener en cuenta todos los riesgos importantes a los que se enfrenta el banco. Si bien no todos los riesgos pueden medirse con exactitud, ser necesario desarrollar un proceso de estimacin de los riesgos. En consecuencia, un proceso de este tipo deber contemplar las siguientes exposiones al riesgo (que, por descontado, no constituyen una relacin completa de todos los riesgos existente).
691. Riesgo Crediticio: Los bancos debern contar con metodologas que les permita evaluar el riesgo de crdito de las exposiciones frente a prestatarios o contrapartes individuales, as como el riesgo de crdito de las carteras de exposiciones. En el caso de los bancos ms sofisticados, la evaluacin de riesgo de crdito a efectos de la suficiencia de capital deber cubrir, como mnimo, cuatro reas: sistemas de calificacin de riesgo, anlisis/ agregacin de carteras, titularizacin/derivados de crdito complejos, as como grandes exposiciones y concentraciones de riesgo. 692. Las calificaciones internas de riesgo son una importante herramienta de seguimiento del riesgo de crdito. Estas calificaciones debern estar diseadas para logra la identificacin y medicin del riesgo derivado de todas las exposiciones crediticias y debern integrarse dentro del anlisis general del riesgo de crdito y suficiencia de capital de la entidad. El sistema de calificaciones deber ofrecer calificaciones detalladas de todos los activos, y no slo de los activos cuestionados o problemticos. Las reservas dotadas para prstamos incobrables debern incluirse en la evaluacin del riesgo de crdito a efectos de la suficiencia del capital. 693. El anlisis del riesgo de crdito deber identificar adecuadamente cualquier deficiencia existente en las carteras, incluidas las concentraciones de riesgos. Tambin deber tener convenientemente en cuenta los riesgos asumidos en la gestin de las concentraciones de crdito y en otros mbitos de las carteras, como los programas de titularizacin y los derivados de crdito complejos. Adems, el anlisis del riesgo de crdito de la contraparte deber considerar la evaluacin pblica de cumplimiento, por parte del supervisor, de los principios bsicos de la Supervisin Bancaria Eficiente. 694. Riesgo Operativo: El Comit entiende que en la gestin del riesgo operativo deber aplicarse un rigor similar al utilizado en la gestin de otros riesgos bancarios significativos. Una gestin inadecuada del riesgo operativo puede resultar en una apreciacin errnea del perfil del riesgo/rentabilidad de la institucin y exponerla a prdidas sustanciales. 695. Los bancos debern desarrollar un marco para la gestin de riesgo operativo y evaluar la suficiencia de capital dentro de dicho marco. Este deber cubrir la propensin y la tolerancia del banco al riesgo operativo, especificadas mediante las polticas de gestin de
14

AdMinisTracin de riesgos en enTidades financieras segn Basilea II

dicho riesgo, incluidos el grado y el modo en que el riesgo operativo se transfiere fuera del banco. Tambin deber incluir las polticas a seguir por el banco en la identificacin evaluacin, seguimiento y control/cobertura de este riesgo. 696. Riesgo de mercado: Estas evaluacin se fundamenta en la medicin del valor en riesgo efectuada por el propio banco o en el mtodo estndar del riesgo de mercado. As mismo, la entidad deber prestar una especial atencin a la realizacin de pruebas de tensin a la hora de evaluar que su capital sea suficiente para sostener sus actividades de negociacin. 697. Riesgo de tipo de inters en la cartera de inversin: El proceso de clculo deber incluir todas las posiciones relevantes de tipo de inters del banco y considerar toda la informacin pertinente sobre modificaciones de los tipos de inters y plazos de vencimiento. Dicha informacin incluir habitualmente datos sobre posiciones vigentes y tipos de inters contractuales asociados con los instrumentos y carteras, pagos de principal, reprogramacin de fechas de pago de intereses, plazos de vencimiento, el ndice utilizado para la modificacin de los tipos de inters, as como los intereses mximos a mnimos del tipo de inters contractual en el caso de partidas a tipo de inters variable. El sistema deber adems contar con supuestos y tcnicas bien documentadas. 698. Con independencia del tipo y nivel de complejidad del sistema de medicin utilizado, la direccin del banco deber garantizar la adecuacin y exhaustividad del sistema. Dado que la calidad y fiabilidad del sistema de medicin depende en buena medida de la calidad de los datos y de los diversos supuestos utilizados en el modelo. La direccin debe prestar una especial atencin a estos aspectos. 699. Riesgos de Liquidez: La liquidez es fundamental para la contnua viabilidad de cualquier organizacin bancaria. Las posiciones de capital de los bancos pueden afectar a su capacidad para obtener liquidez, especialmente en momentos de crisis. Cada banco deber contar con adecuados sistemas de medicin, seguimiento y control del riesgo de liquidez. Los bancos debern evaluar la suficiencia de capital en funcin de sus propios perfiles de liquidez y de la liquidez de los mercados en que operan. 700. Otros riesgos: Si bien el comit reconoce la dificultad que entraa la medicin de los otros riesgos, tales como el riesgo de reputacin y el riesgo estratgico (Estratgico2), espera que el sector bancario desarrolle nuevas tcnicas de gestin de todos los aspectos incluidos en estos riesgos.

2.4.3 SEGUIMIENTO E INfORMACIN 701. El banco deber establecer un adecuado sistema de seguimiento e informacin sobre las exposiciones de riesgo y sobre los efectos de las modificaciones de su perfil de riesgo
2 Estratgico: Se asocia con la forma en que se administra la entidad, el manejo del riesgo estratgico se enfoca a asuntos globales relacionados con la misin y el cumplimiento de los objetivos estratgicos, la clara definicin de polticas, diseo y conceptualizacin de la entidad por parte de la alta Gerencia (Bibliografa: Gua de administracin del riesgo, Departamento Administrativo de la Funcin Pblica, autor Fernando Grillo Rubiano, Junio de 2004, segunda edicin).

15

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

en las necesidades de capital. La alta direccin o el consejo de administracin del banco debern recibir peridicamente informes sobre el perfil de riesgo y las necesidades de capital de la entidad. Estos informes debern permitir a la direccin: a. Evaluar el nivel y la tendencia de los riesgos relevantes y su efecto sobre los niveles de capital. b. Evaluar la sensibilidad y la racionabilidad de los supuestos bsicos utilizados en el sistema de medicin de capital. c. Determinar que el banco posee capital suficiente para cubrir los distintos riesgos y que satisface los objetivos de suficiencia de capital establecidos; y d. Evaluar sus requerimientos futuros de capital en funcin del perfil de riesgo conocido del banco y, con arreglo a ello, introducir los ajustes pertinentes en el plan estratgico.

2.5 EXAMEN DE CONTROL INTERNO


702. La estructura del control interno del banco es especial en el proceso de evaluacin del capital. Un control eficaz del proceso de evaluacin del capital incluye un examen independiente y, cuando proceda, la realizacin de auditoras internas o externas. El consejo de administracin del banco tiene la responsabilidad de garantizar que la direccin establece un sistema de evaluacin de los diversos riesgos, desarrolla un sistema para relacionar el riesgo con el nivel de capital del banco y establece un mtodo de seguimiento de la observancia de las polticas internas. El consejo de administracin deber verificar de manera peridica si su sistema de controles internos es adecuado para garantizar una conduccin ordenada y prudente del negocio. 703. El banco deber realizar exmenes peridicos de su proceso de gestin del riesgo a fin de garantizar su integridad, precisin y racionalidad. Las reas que debern ser examinadas incluyen: a. La adecuacin del proceso de evaluacin del capital del banco en funcin de la naturaleza, el mbito y complejidad de actividades. b. La identificacin de grandes exposiciones y concentraciones de riesgos. c. La exactitud y exhaustividad de los datos utilizados como inputs en el proceso de evaluacin. d. La racionalidad y validez de los escenarios utilizados en el proceso de evaluacin, y; e. La realizacin de pruebas de tensin y anlisis de los supuestos y de los inputs.

2.5.1 REQUISITOS GENERALES DE DIVULGACIN CUALITATIVA 773. Para cada mbito separado de riesgo (por ejemplo, de crdito, de mercado, operativo, de tipo de inters en la cartera de inversin, accionara), los bancos debern realizar una descripcin de sus objetivos y polticas de gestin del riesgo, incluyendo: a. Las estrategias y procesos. b. La estructura y organizacin de la unidad relevante de gestin del riesgo. c. El alcance y naturaleza de los sistemas de transferencia de la informacin y/o medicin del riesgo. d. Las polticas de cobertura y/o proteccin frente al riesgo y las estrategias y procesos para vigilar la eficacia de las coberturas/protecciones.

16

3
3.1 CLAIN FELABAN

DE LA PARTICIPACIN DE LA AUDITORA INTERNA EN LA GESTIN DE RIESGO OPERATIVO (RO)

ANTECEDENTES EN COLOMBIA

Los pocos antecedentes conocidos en materia del papel que la auditora interna ha jugado en la implementacin de un sistema de administracin de riesgo operativo en Colombia, se remontan a algunas referencias dentro del contexto latinoamericano a travs del Comit Latinoamericano de Auditores Internos (CLAIN) de FELABAN, los pronunciamientos de la Asociacin Bancaria y de la Superintendencia Financiera SFC.

En agosto 23 de 2004 se llev a cabo un chat organizado por el Comit de Directores del CLAIN, cuyo tema fue Basilea II Riesgo Operativo. Por Colombia participaron la representante de Felaban, Olga Luca Espinosa, y el Contralor del Banco Popular, Daro Moreno J. Las principales conclusiones fueron: En Colombia, Argentina y Costa Rica, para esa fecha no se conocan pronunciamientos de los entes reguladores. En Colombia y Venezuela, al margen del punto anterior, se han definido algunos lineamientos generales sobre el rol de la auditora interna en este proceso. Solamente el Banco Itahu de Brasil, cuenta con un modelo propio de medicin de RO. Los dems pases cuentan con modelos de medicin para riesgos de mercado y crdito La auditora interna ha venido participando y colaborando en las entidades en la definicin de procedimientos que permitan identificar, evaluar y monitorear el riesgo operativo En cuanto a la adopcin de modelos de medicin del RO, se coincide en que independientemente de cual sea el modelo, la auditora interna debe actuar como apoyo a las reas de riesgo en las etapas de desarrollo del modelo y posteriormente en asegurar el funcionamiento del mismo.

3.1.1 X CONGRESO L ATINOAMERICANO DE AUDITORA INTERNA Y ADMINISTRACIN DE RIESGOS C ARTAGENA 2006 De este evento que se llev a cabo en Cartagena en mayo de 2006, se destacan las siguientes intervenciones, en relacin con el tema de este documento: Implementacin de estndares de Auditora Interna en Colombia; publicacin del documento Referentes para el ejercicio de la Auditora Interna en el sector financiero colombiano Comit de Auditora Asociacin Bancaria Metodologa para identificacin de procesos y riesgos crticos Banco Itahu de Brasil El riesgo informtico y cmo evaluarlo Isaca Argentina

17

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Auditora en riesgos de Tesorera (Basilea II) Banespa Brasil Mtodos para evaluar un sistema de administracin de riesgos BBVA Espaa Cmo agregar valor en la Auditora Interna de las organizaciones IIA Repblica Dominicana Metodologa para evaluacin de control interno Bladex Panam Automatizacin del proceso de Auditora en gestin de riesgos Bancolombia Implementacin de un modelo de calidad en el proceso de Auditora Interna IIA Argentina

3.2 ASOCIACIN BANCARIA DE COLOMBIA


En la publicacin de La Semana Econmica No. 545 de la Asobancaria, de marzo 10 de 2006, se public el artculo La Gestin del Riesgo Operacional en Colombia, como un tema de gran importancia para la agenda del sector financiero colombiano. En dicha publicacin se destaca que: En los ltimos aos la administracin y mitigacin del riesgo han tomado especial importancia en el mbito financiero internacional. Las entidades financieras han realizado esfuerzos importantes en materia de gestin de riesgos, particularmente de mercado y de crdito. La creciente complejidad de los mercados y la constante diversificacin de los productos y servicios financieros, han generado al interior de la industria un proceso de concientizacin sobre la necesidad de profundizar en el tema de riesgo operacional. Se han recogido resultados interesantes de la experiencia internacional, para ser aplicadas al caso colombiano, en la medida en que las entidades y los mismos organismos de supervisin no han sido ajenos a la dinmica internacional. Se han realizado esfuerzos para proporcionar un ambiente de discusin tcnica entre el sector, representado por la asociacin y el ente supervisor, representado por la SFC. Para la clasificacin de actividades del sector financiero, se han tomado como referencia las del Comit de Basilea, que considera las siguientes lneas de negocio: Finanzas corporativas Negociacin y ventas Banca minorista Banca comercial Pagos y liquidaciones Servicios de agencias Administracin de activos Intermediacin minorista As mismo, en cuanto a los mecanismos de medicin se hace referencia a las metodologas de Basilea II, anotando que en cualquier caso se deben tener en cuenta criterios cualitativos y cuantitativos, que se alinearan en mejor forma con el mtodo de medicin avanzada (AMA), que permitira a cada entidad desarrollar su propio modelo interno para someterlo a aprobacin del ente supervisor. De las experiencias internacionales se hace especial mencin al estudio de la firma DMR-Consulting 2005 El Riesgo Operacional en las Entidades Financieras Latinoamericanas Situacin
18

AnTecedenTes en ColoMbia de la parTicipacin de la aUdiTora inTerna

actual y tendencias, el cual analiz la gestin del RO en la banca de Brasil, Mxico y Chile. De este estudio se destacan los siguientes aspectos: El 25% de las entidades analizadas espera, como principal resultado, la reduccin de prdidas asociadas a eventos de riesgo operacional. La percepcin de las entidades es que las lneas de negocios, finanzas corporativas, banca comercial y negociacin y ventas representan la mayor exposicin al riesgo operacional. Todas las entidades tienen conciencia sobre la necesidad de gestionar el riesgo operacional. El 44% de las entidades an no tiene definida una metodologa de clculo de capital por este tipo de riesgos; sus estimaciones se fundamentan en el modelo de medicin interna (21%) y en el estndar (20%). Las mayores dificultades para el proceso de definicin y estandarizacin de un sistema de gestin de RO, radican en la falta de informacin sobre eventos de riesgo operacional (30%) y el conocimiento precario en algunos casos sobre la identificacin y tratamiento de estos riesgos (23%). Colombia no ha sido ajena a la tendencia internacional, por tanto es uno de los temas de mayor importancia en la agenda reciente del sector. Se han definido los siguientes lineamientos: Las entidades deben seguir trabajando en el fortalecimiento tcnico y la redefinicin de la cultura organizacional. El proceso requiere el trabajo coordinado de las reas tcnicas y la alta gerencia, la separacin de funciones de planeacin y operatividad y de considerables inversiones en conocimiento. Las propias entidades son las responsables de medir y administrar sus propios riesgos operacionales. El sector y la Superintendencia Financiera han trabajado en el estudio y difusin de las mejores prcticas, as como el anlisis de la parte tcnica, en especial la construccin de bases de datos. Las consideraciones finales de la Asobancaria, giran alrededor de estos aspectos: En el caso colombiano existe consenso sobre el camino a seguir en materia de RO. El proceso debe atender dos principios fundamentales, no incurrir en experimentos prematuros y que el sector siga consolidando su posicin en materia de procurar su administracin a tono con los desarrollos observados a nivel internacional. No se debe perder de vista que en un futuro se requiere contar con metodologas de medicin acordes con la realidad del mercado. Se requiere trabajar en el rediseo de estructuras organizacionales, cambios culturales, integracin a todos los niveles y la separacin de funciones relativas a la gestin de riesgo operativo. Por ltimo, resulta de la mayor importancia, continuar con el debate tcnico entre las autoridades reguladoras y la industria financiera, para definir y adecuar los estndares y mejores prcticas internacionales a la realidad de nuestro pas. Slo as se garantizar el diseo de un marco normativo, regulatorio y de mercado que responda a las exigencias del cambiante entorno colombiano.

19

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

3.2.1 V CONGRESO DE RIESGO FINANCIERO C ARTAGENA 2006 Es importante mencionar, tambin, los temas tratados por los diferentes especialistas en la administracin de riesgos en el Congreso realizado el 16 de noviembre de 2006, bajo el auspicio de la Asobancaria.
En la sesin de apertura del evento, el dr. Carlos Alberto Sandoval, Vicepresidente Econmico de la Asociacin Bancaria y de Entidades Financieras, resalt la importancia del mismo, toda vez que se trataran temas relacionados con la evolucin de los mercados lo que exige la implementacin de buenas prcticas en medicin y administracin de riesgos. Sobre el Riesgo Operacional, mencion: En cuanto al riesgo operacional, en opinin de la Asobancaria, los lineamientos dados por la Circular Externa de la Superintendencia Financiera, son acordes con el espritu de las mejores prcticas promulgado por el Acuerdo de Basilea II; el proyecto de norma permitir darle un impulso a las tareas que ya venan adelantando de tiempo atrs los establecimientos financieros. En el transcurso del evento se presentaron panelistas internacionales expertos en el tema de administracin de riesgos de crdito, mercado y operacional. A continuacin se resumen los temas que consideramos ms importantes: Modelo de Pricing, fijacin de tasas ajustadas por riesgo - dr. Enrique Navarrete, matemtico y economista de la Universidad de Chicago Experiencia en la implementacin de la administracin de Riesgos en el Banco del Estado en Chile Presentacin del BBVA, dr. Jordi Garca - Taller de eventos significativos de Riesgo Operacional Gobierno corporativo y su importancia en la actividad financiera - dr. Roberto Borrs Polonia, funcionario de la SFC. Rendimiento sobre capital en riesgo (RAROC) - dr. Hernn R. Prez de Price Waterhouse.

3.3 SUPERINTENDENCIA FINANCIERA DE COLOMBIA SFC


El ltimo pronunciamiento oficial que se conoce hace referencia a la circular externa No. 048 y 049 de 2006, sobre Reglas relativas a la administracin del riesgo operativo, adicionando el captulo XXIII de la Circular Bsica Contable y Financiera (C.E. 100/95). Dicha circular contempla una serie de consideraciones, definiciones, marco de referencia de lo que debe contener el sistema de administracin de riesgo operativo (SARO), recursos, responsables por la administracin, monitoreo y control (URS), plataforma tecnolgica, documentacin, divulgacin, capacitacin y revelacin contable, que permiten a las entidades vigiladas dimensionar el alcance de este proceso, establecer su grado de madurez y adoptar las decisiones que correspondan para cumplir con los lineamientos establecidos por el regulador.

20

EN LA GESTIN DE RIESGO EMPRESARIAL

ROL DE LA AUDITORA INTERNA

Uno de los requerimientos claves de los rganos de administracin y control de las entidades, comit de auditora, junta directiva o sus equivalentes y alta gerencia, es obtener aseguramiento de que el proceso de gestin de riesgos se est aplicando efectivamente y que los riesgos claves estn siendo controlados y administrados, dentro de niveles aceptables. La auditora interna es una funcin organizacional establecida por la alta direccin para monitorear la gestin de riesgos y los procesos de control, evaluar las valoraciones del riesgo y los controles internos implementados para asegurarse que sean eficaces, asesorar en el diseo y mejora del sistema de control interno y estrategias de mitigacin del riesgo y mantener seguimiento al cumplimiento de las polticas y procedimientos establecidos por la administracin. Es posible que el aseguramiento provenga de diferentes fuentes, pero de estas, el de la gerencia es fundamental, complementado con el que provea de forma objetiva. La auditora interna que se constituye para la gerencia en una fuente clave. Otras fuentes incluyen a los auditores externos y revisiones de especialistas independientes. La auditora interna provee aseguramiento normalmente en tres reas: Procesos de gestin de riesgos, tanto en su diseo, como en el seguimiento. Gestin de aquellos riesgos clasificados como claves, incluyendo efectividad de los controles y otras respuestas a stos; y Confiabilidad y oportunidad en evaluaciones apropiadas y reportes de riesgo, as como del estatus de controles. La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta. Su rol principal con relacin al ERM es proveer aseguramiento objetivo a la junta sobre la efectividad de la gestin de riesgo. Igualmente, investigaciones han demostrado que la junta de directores y los auditores internos estn de acuerdo en que las dos formas ms importantes en que la auditora interna provee valor a la organizacin, son: Brindando aseguramiento objetivo de que los principales riesgos de negocio estn siendo manejados apropiadamente; y

21

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Proveyendo aseguramiento de que la gestin de riesgo y el marco de control interno estn operando efectivamente. Los factores claves que deben ser tomados en consideracin cuando se determina el rol de auditora interna ante la gestin de riesgo empresarial, contemplan: Si la actividad a realizar representa alguna amenaza a la independencia y objetividad de la funcin de auditora interna; y Si podra mejorar los procesos de gestin de riesgo, control y gobierno de la organizacin. La auditora interna puede proveer servicios de aseguramiento que mejoren y agreguen valor a los procesos de gobierno, gestin de riesgos y control de la organizacin. El alcance de la consultora de auditora interna en ERM depende de otros recursos, internos y externos, disponibles para la junta y de la madurez del riesgo de la organizacin y su posibilidad de variar en el tiempo. La experiencia del auditor interno, le permite ser un facilitador para actuar inclusive como defensor y hasta como gerente del proyecto de ERM, especialmente en la etapa inicial de su introduccin; al respecto la SFC, en su proyecto de circular no comparte esta apreciacin y restringe la responsabilidad de los rganos de control de la entidad en cualquier etapa de administracin del riesgo operativo. Cuando se incrementa la madurez de riesgo en la organizacin y la gestin de riesgo se encaja ms en las operaciones del negocio, el rol de auditora interna de defensor de ERM se puede reducir, hasta desaparecer. De manera similar, si la organizacin emplea los servicios de un especialista o posee una funcin de gestin de riesgo, la auditora interna podra agregar mayor valor a travs de concentrarse en su rol de aseguramiento, en vez de realizar mayores actividades de consultora. Independiente de que exista o no una gestin de riesgos formalizada, el auditor interno debe basar sus actividades de planeacin y ejecucin en un enfoque basado en riesgos. Si existe una estructura estndar de valoracin y gestin, se utiliza para enfocarse hacia riesgos claves, teniendo en cuenta el contexto de la organizacin, la tolerancia al riesgo y si existe como poltica corporativa, en caso contrario aplica su propio criterio y lo valida con la direccin.

4.1 ROL DE ASEGURAMIENTO


Las siguientes actividades forman parte del objetivo amplio de brindar aseguramiento sobre la gestin de riesgos, enmarcadas en el cumplimiento de las normas y estndares internacionales para el ejercicio profesional de la auditora interna: Brindar aseguramiento sobre procesos de gestin de riesgos. Brindar aseguramiento de que los riesgos son correctamente evaluados.

22

Rol de la aUdiTora inTerna en la gesTin de riesgo eMpresarial

Evaluacin de los procesos de gestin de riesgos. Evaluacin de los reportes de riesgos claves; y Revisin del manejo de los riesgos claves. En el caso colombiano, la SFC asigna a la auditora interna como funciones: Evaluar peridicamente la efectividad y cumplimiento de las etapas y elementos del SARO Informar de los resultados al representante legal y unidad responsable del SARO (URS) Efectuar una revisin peridica del registro de eventos de riesgo operativo, perfiles de riesgo y exposicin a prdidas. Asegurar que los niveles de riesgo residual, se encuentren dentro de los establecidos por la entidad.

4.2 ROL DE CONSULTORA


Es importante resaltar que si la auditora interna no ha adoptado todava el enfoque basado en riesgos, representado por las actividades de aseguramiento anteriormente detalladas, no podra estar preparada para realizar actividades de consultora. Algunos de los roles de consultora que la auditora interna puede realizar son: Facilitacin, identificacin y evaluacin de riesgos. Entrenamiento a la gerencia sobre respuesta a riesgos. Coordinacin de actividades de ERM. Consolidacin de reportes sobre riesgos. Mantenimiento y desarrollo del marco de ERM. Defender el establecimiento del ERM; y Desarrollo de estrategias de gestin de riesgo para aprobacin de la junta. El factor clave en la decisin sobre si los servicios de consultora son compatibles con el rol de aseguramiento, consiste en determinar si el auditor interno est asumiendo alguna responsabilidad gerencial. En el caso de ERM, la auditora interna puede proveer servicios de consultora mientras no tenga rol activo en la gestin de riesgos, esa es una responsabilidad de la gerencia, mientras la alta direccin se responsabilice y apoye el ERM. En el evento en que la auditora interna acte asesorando y soportando al equipo gerencial en el establecimiento y mejora de los procesos de gestin de riesgo, su plan de trabajo debe incluir una estrategia clara y un tiempo asignado para transferir la responsabilidad de estas actividades a los miembros del equipo gerencial.

4.3 ROLES QUE LA AUDITORA INTERNA NO DEBE REALIZAR


En cumplimiento de las normas internacionales para el ejercicio profesional de la auditora interna, las siguientes actividades no las debe realizar la auditora interna: Establecer el apetito de riesgo.
23

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Imponer procesos de gestin de riesgo. Manejar el aseguramiento sobre los riesgos. Tomar decisiones en respuesta a los riesgos. Implementar respuestas a riesgos a favor de la administracin. Tener responsabilidad en la administracin y/o gestin de riesgo.

4.4 APLICACIN DE LOS REfERENTES PARA EL EJERCICIO PROfESIONAL DE LA AUDITORA INTERNA EN EL SECTOR FINANCIERO, RELACIONADOS CON LAS ACTIVIDADES DE ASEGURAMIENTO Y CONSULTORA EN EL ERM
Para la realizacin de las actividades ya sea de aseguramiento y/o consultora, el Instituto de Auditores Internos ha emitido un conjunto de normas y referentes de aplicacin para la mejor prctica de la funcin de auditora interna. En el anexo nm. 2 se resumen las normas y referentes de aplicacin que se destacan para la prctica de la actividad de auditora interna ante la gestin de riesgos.

24

DEL PROCESO DE GESTIN DE RIESGOS

NIVEL DE MADUREZ

Paralelo al surgimiento del enfoque de gestin de riesgos empresariales, la funcin de auditora interna tambin ha cambiado de un enfoque de auditora, basado en el cumplimiento de controles, hacia un enfoque mucho ms amplio basado en la administracin del riesgo en el gobierno corporativo y en el objetivo de agregar valor a las organizaciones, asumiendo un rol importante en el proceso de gestin de riesgos empresariales y suministrando aseguramiento a la gerencia sobre las polticas y procedimientos del ERM. Todo esto sin comprometer la independencia y objetividad de la funcin de auditora interna. Es importante entender que no todas las organizaciones tienen el mismo estado de implementacin y madurez de su proceso de gestin de riesgos empresarial. Por ello, el enfoque de auditora variar de acuerdo con el nivel de madurez de dicho proceso entre las siguientes alternativas:

MADUREZ,

ESTADO DE ERM

C ARACTERSTICAS CLAVES
No existe un enfoque formal de administracin del riesgo. Existen esfuerzos aislados de gestin de riesgos.

ENfOQUE DE AUDITORA INTERNA


Promover la gestin de administracin del riesgo y establecer la planeacin con base en una valoracin de riesgos realizada por la auditora interna. Promover el enfoque de gestin de riesgos a nivel organizacional y establecer la planeacin con base en una valoracin de riesgos realizada por la auditora interna. Ser facilitador en la implementacin del proceso de gestin del riesgo empresarial y utilizar la valoracin de riesgos de la administracin donde sea apropiado para establecer la planeacin de auditoras. Auditar los procesos de gestin de riesgos y utilizar la valoracin de riesgos de la administracin donde sea apropiado, como complemento a la planeacin de auditora. Auditar los procesos de gestin de riesgos y utilizar la valoracin de riesgos de la administracin donde sea apropiado como complemento a la planeacin de auditora.

1. Incipiente

2. Conocido

3. Definido

La estrategia y polticas de gestin de riesgos han sido definidas y comunicadas. As mismo, el lmite del riesgo est definido. El proceso de gestin de riesgo empresarial est desarrollado y comunicado.

4. Administrado

5. Optimizado

La administracin del riesgo y el control interno estn completamente inmersos en las operaciones y procesos de la organizacin.

25

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Se sugiere como primera actividad para identificar el enfoque y alcance requerido de la funcin de auditora interna segn el estado de implementacin del proceso de gestin de riesgos en la organizacin, llevar a cabo un ejercicio de autoevaluacin del grado de madurez. Al respecto, el grupo de estudio analiz el documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Development Canada facilitates assessments of risk management practices in the organization, en el cual se provee una lista de chequeo para evaluar las principales caractersticas de modelo de gestin de riesgos en cada una de sus etapas (ver anexo nm.3).

26

EN ASEGURAMIENTO Y CONSULTORA VS. ETAPAS DEL PROCESO DE GESTIN DE RIESGOS

APLICACIN DE OBJETIVOS

El presente captulo detalla en cada una de las etapas del proceso de gestin de riesgos, cules seran los principales objetivos de aseguramiento y consultora que la auditora interna puede y debe llevar a cabo bajo los lineamientos del Instituto de Auditores Internos y de las mejores prcticas aplicadas al sector financiero colombiano. Para el entendimiento del alcance de cada etapa, en el anexo nm. 1, se detallan, de acuerdo con la norma NTC-5254, las principales actividades en cada una de las fases del proceso de gestin de riesgos.

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: eSTABLeCeR eL CONTeXTO


OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
1. Asegurarse de que las polticas relacionadas con la gestin, evaluacin, administracin, monitoreo y revisin establecidas en el ERM se estn aplicando y los recursos asignados se utilizan de manera eficiente. 2. Elaborar un plan anual de auditora basado en riesgos. 3. Verificar que la administracin de la entidad en su fase de establecimiento de contexto, se haya fundamentado en : Metodologas de reconocido valor. Que se hayan identificado todos los pblicos relacionados a nivel interno y externo con base en el conocimiento del negocio y las interrelaciones donde se pueda generar riesgo. Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas. Que se conozcan los objetivos y las metas de la orga nizacin. Que exista alineacin entre el plan estratgico y las estrategias de riesgo. Que se establezca interrelacin permanente entre grupos internos y externos con todos los procesos. Que se cuente con un presupuesto asignado para el proceso de administracin y mantenimiento del proceso general de riesgo. Que se haya efectuado definicin de la estructura de administracin de riesgo a travs de procesos.

CONSULTORA
1. Sugerir opciones de mejoramiento que le permitan a la empresa ubicarse dentro de los procesos de globalizacin actuales para enfrentar un contexto adecuado en ERM.

27

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: eSTABLeCeR eL CONTeXTO


OPCIN ERM
ERM en proceso en la organizacin

A SEGURAMIENTO
1. Verificar que la administracin de la entidad en su fase de establecimiento de contexto, se haya fundamentado en: Metodologas de reconocido valor. Que se hayan identificado como fuente todos los pblicos relacionados a nivel interno y externo con base en el conocimiento del negocio y las interrelaciones donde se pueda generar riesgo. Que se hayan identificado riesgos potenciales con base en las fuentes internas y externas. Que se conozcan los objetivos y las metas de la orga nizacin. Que exista alineacin entre el plan estratgico y estrategias de riesgo. Que se establezca interrelacin permanente entre grupos internos y externos con todos los procesos. Que se cuente con un presupuesto asignado para el proceso de administracin y mantenimiento del proceso general de riesgo. Que se haya efectuada definicin de la estructura de administracin e riesgo a travs de procesos. Se defina, documente y capacite a los empleados so bre el Gobierno Corporativo, Sipla y Cdigo de tica.

CONSULTORA
1. Apoyar a la organizacin en el diagnstico del nivel y grado de madurez de los procesos de administracin de los riesgos, ayudando a identificar las fortalezas y debilidades de las prcticas existentes para desarrollar luego planes de mejoramiento. 2. Sugerir y ser facilitador de metodologas con base en estndares internacionales con el fin de que la administracin pueda conocerlas y asimilarlas. 3. Establecer un plan para alcanzar el nivel deseado en la ERM, basados en la identificacin de brechas entre el estado actual y el deseado, diseando as, las estrategias ptimas para alcanzarlo.

No existe ERM en la organizacin

1. Apoyar a la organizacin en el diagnstico del nivel y grado de madurez de los procesos de administracin de los riesgos, ayudando a identificar las fortalezas y debilidades de las prcticas existentes para desarrollar luego, planes de mejoramiento 1. Sugerir y ser facilitador de metodologas con base en estndares internacionales con el fin de que la administracin pueda conocerlas y asimilarlas.

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: eVALUACIN De RIeSGOS (IDeNTIFICACIN, ANLISIS Y eVALUACIN De RIeSGOS)
OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
1. Alinear las funciones de aseguramiento del ERM a cargo de la administracin, con la actividad de auditora interna, para lo cual se debe: Adoptar un enfoque de auditora basado en riesgos, que sea compatible con el ERM adoptado por la organizacin y enfocar los esfuerzos de auditora alrededor de estos procesos.

CONSULTORA

CONTINA

28

Aplicacin de obJeTivos en asegUraMienTo Y consUlTora vs. eTapas del proceso

CONTINUACIN

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: eVALUACIN De RIeSGOS (IDeNTIFICACIN, ANLISIS Y eVALUACIN De RIeSGOS)
OPCIN ERM A SEGURAMIENTO
Elaborar el plan de auditora anual basado en riesgos, que permita proveer a la alta gerencia un concepto razonable e independiente sobre: Los procesos de gestin de riesgos que la organizacin ha implementado y que funcionan en forma adecuada y de acuerdo con lo establecido. Los procesos de gestin de riesgos tienen un diseo adecuado. Verificar si la metodologa de identificacin, anlisis y evaluacin de riesgos contempla todas las variables del proceso de gestin de riesgos. El tratamiento de los riesgos es adecuado y efectivo. Existen, funcionan y son suficientes los controles internos que la administracin ha implementado para tratar los riesgos. Se realizan actividades de supervisin para reevaluar peridicamente los riesgos y la eficacia de los controles que manejan el riesgo. Los rganos de direccin reciben informes peridicos sobre los resultados de los procesos de gestin de riesgos. 2. Asegurar que la organizacin ha identificado los riesgos claves del negocio, que dichos riesgos son conocidos y entendidos por los administradores de los procesos, y que las acciones para su tratamiento estn alineadas con los objetivos y estrategias corporativas. ERM en proceso en la organizacin No existe ERM en la organizacin Colaborar con la administracin y el Comit de Auditora mediante el examen, evaluacin, informe y recomendacin de mejoras sobre la adecuacin y eficacia de los procesos de gestin de riesgos, actividades de alta prioridad en la planeacin de las auditoras del departamento. Cumplir un rol proactivo en el establecimiento inicial del proceso de gestin de riesgos garantizando la objetividad e independencia necesarias. Ayudar a la organizacin a identificar, evaluar e implantar metodologas de gestin de riesgos y controles para tratar aquellos riesgos. Facilitar a la administracin tcnicas y herramientas que utiliza la auditora interna para identificar y analizar los riesgos y controles CSA. Servir como educadores, participar en foros y grupos de trabajo de identificacin y anlisis de riesgos con la administracin.

CONSULTORA

29

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: TRATAMIeNTO De RIeSGOS


OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
Los responsables de la Gestin del Riesgo han debido: Identificar las opciones para tratar el riesgo. Evaluar dichas opciones. Preparar los planes para el tratamiento del riesgo; e Implementar dichas acciones. Los responsables de la gestin de riesgos peridicamente deben: Evaluar las opciones para tratar el riesgo. Decidir ajustes sobre dichas opciones. Ajustar los planes para el tratamiento del riesgo; e Implementar dichas acciones. El auditor interno debe evaluar, sobre el proceso de tratamiento de riesgo, que la administracin haya adoptado el mismo con base en: Metodologas de reconocido valor que involucren identificar, evaluar y seleccionar opciones de tratamiento. Que las opciones de tratamiento de riesgo se hayan im plementado y operen a cabalidad. Que est acorde a los necesidades propias de la entidad.

CONSULTORA
Recomendar alternativas que permitan mejorar el tratamiento del riesgo definido por la organizacin.

ERM en proceso en la organizacin

Relacionado con el tratamiento del riesgo. Los responsables de la gestin del riesgo han debido: Identificar las opciones para tratar el riesgo. Evaluar dichas opciones. Preparar los planes para el tratamiento del riesgo; e Implementar.

Recomendar alternativas que permitan mejorar el tratamiento del riesgo definido por la organizacin.

No existe ERM en la organizacin

Entrenamiento a la gerencia sobre el tratamiento del riesgo. Coordinar actividades sobre tratamiento del riesgo. Consolidacin de reportes sobre el tratamiento del riesgo. Desarrollo de estrategias sobre el tratamiento del riesgo.

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: MONITOReAR Y ReVISAR


OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
Revisar y evaluar peridicamente la eficacia de todo el proceso de ERM (aprobaciones impartidas por la junta directiva, estructura organizacional, metodologas y procesos, base de datos y tecnologa de soporte). Dentro de las auditoras regulares, obtener evidencia si el sistema de la ERM est funcionando (Revisin del manejo de los riesgos claves; as como, la evaluacin de los reportes de dichos riesgos). Llevar a cabo el monitoreo continuo de operaciones sensibles.

CONSULTORA
Facilitar la centralizacin, monitoreo y control de los procesos de ERM. Apoyar el diseo indicadores de gestin, procesos y riesgos como herramienta para evaluar todo el proceso ERM. Recomendar las mejoras apropiadas a las polticas, procedimientos y al proceso de ERM.
CONTINA

30

Aplicacin de obJeTivos en asegUraMienTo Y consUlTora vs. eTapas del proceso

CONTINUACIN

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: MONITOReAR Y ReVISAR


OPCIN ERM
ERM en proceso en la organizacin

A SEGURAMIENTO
Conocimiento del proceso ERM y cmo se est implementando actualmente. Asegurar la autoevaluacin del control en las diferentes fases de implementacin del ERM. Llevar a cabo revisiones sobre la marcha para asegurar su implementacin. Asegurar que la entidad tenga una poltica formal y procedimientos para gobernar los procesos de ERM. Revisiones con objetivos especiales o especficos de reas de alto riesgo.

CONSULTORA
Facilitar la implementacin de acciones de mejoramiento continuo a los cambios que se presenten en la poltica y objetivos de ERM. Verificar el estado de las acciones correctivas y preventivas para evaluar la eficacia de dichas acciones. Facilitar el establecimiento de indicadores de gestin, procesos y riesgos como herramienta para controlar el avance o estado de los objetivos de la ERM. Asesorar a la organizacin en la toma de conciencia en todos los niveles, acerca de los beneficios de la ERM. Disear e implementar un sistema de mecanismos de medicin y de seguimiento de las actividades expuestas a riesgos. Apoyo al cumplimiento de los objetivos corporativos y planes estratgicos del banco. Facilitar el diseo de procesos y controles que contribuyan a la eficiencia operativa y a reducir el riesgo.

No existe ERM en la organizacin

Evaluacin regular de las estrategias, polticas, procedimientos y prcticas de la entidad. Asegurar que se establezcan y se mantengan los procesos necesarios de monitoreo del sistema de control interno. Asegurar que las estrategias gerenciales (financieras, clientes, procesos internos y crecimiento) sean realmente efectivas. Informar a la alta gerencia sobre el cumplimiento del control interno en el desarrollo de las operaciones.

ROL DE LA AUDITORA INTERNA EN LA ERM. ETAPA: DOCUMeNTAR Y ReGISTRAR eL PROCeSO


OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
Obtener evidencia del proceso de ERM. Mantener bases de conocimiento de la organizacin. Soportar decisiones, planes de accin e implementacin. Mantener rastros de auditora. Elaborar planes anuales basados en riesgos.

CONSULTORA
Presentar recomendaciones de mejoramiento sobre el tratamiento de la documentacin de ERM.

ERM en proceso en la organizacin No existe ERM en la organizacin

Identificar necesidades de documentacin y opciones de manejo y administracin. Evaluar alternativas de implementacin. Monitorear el proceso.

Recomendar acciones de mejora en la implementacin del proceso.

Asesorar a la alta gerencia sobre la recopilacin y tratamiento de la documentacin de ERM. Monitorear la implementacin.

31

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

ROL DE LA AUDITORA INTERNA EN LA ERM ETAPA: COMUNICAR Y CONSULTAR


OPCIN ERM
Existe la ERM en la organizacin

A SEGURAMIENTO
Asegurar la adopcin de polticas de comunicacin. Evaluar mecanismos y medios de comunicacin. Monitorear resultados y efectuar seguimiento. Evaluar nivel de concientizacin en riesgos y autocontrol. Evaluar impacto en el contexto interno y externo.

CONSULTORA
Apoyar un plan de mejoramiento contino sobre el proceso de comunicacin de la organizacin, tanto en su interior como a nivel estratgico e institucional

ERM en proceso en la organizacin No existe ERM en la organizacin

Identificar opciones y mejores prcticas. Acompaar el diseo e implementacin con nfasis en riesgos y controles. Monitorear el proceso.

Presentar propuestas de mejoramiento con base en resultados de evaluacin y monitoreo.

Asesorar a la alta direccin en la identificacin de opciones y diseo del proceso. Acompaar la implementacin. Monitorear el proceso.

32

7
7.1 CONTROL INTERNO - COSO II
Efectividad y eficiencia de las operaciones Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones aplicables

CONTROL INTERNO

Proceso implementado (efectuado) por el consejo de administracin, la direccin y dems personal de una entidad, diseado para brindar seguridad razonable respecto de la consecucin de los objetivos institucionales en las siguientes categoras:

7.1.1 GESTIN DE RIESGOS Proceso efectuado por el consejo de administracin, la direccin y dems personal de una entidad, que se aplica en el establecimiento de estrategias diseadas para identificar los eventos potenciales que puedan afectar a la entidad y administrar los riesgos facilitando una seguridad razonable respecto del logro de los objetivos. COMPONENTES DE LA GESTIN DE RIESGOS CORPORATIVOS

33

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

7.1.2 AMBIENTE INTERNO: Base fundamental de todos los componentes de la gestin de riesgos corporativos, ya que establece la disciplina, la estructura y la filosofa para su administracin.
Filosofa de administracin de riesgos Riesgo aceptado Integridad y valores ticos Compromiso con la competencia Estructura organizacional Asignacin de autoridad y responsabilidad Estndares de recursos humanos

7.1.3 ESTABLECIMIENTO DE OBJETIVOS: Definicin de objetivos a travs de un proceso en que los mismos apoyen la misin de la entidad y sean consecuentes con el riesgo aceptado. Objetivos estratgicos Objetivos relacionados Operativos De reporte De cumplimiento 7.1.4 IDENTIfICACIN DE EVENTOS: Identificacin de situaciones que podran suceder generando riesgos de prdida u oportunidades de mejoramiento para el logro de los objetivos (identificacin, probabilidad e impacto). Externos Econmicos Medioambientales Polticos Sociales Tecnolgicos Internos Infraestructura Personal Procesos Tecnologa 7.1.5 EVALUACIN DE RIESGOS: Anlisis de riesgos considerando su probabilidad e impacto para saber cmo sern administrados. Riesgo inherente (ausencia de acciones) Riesgo residual (despus de acciones) Tcnicas de avaluacin Benchmarking Modelos probabilsticas Modelos no probabilsticos

34

ConTrol inTerno

7.1.6 RESPUESTA AL RIESGO: Evitar, reducir, compartir o aceptar los riesgos desarrollando acciones para alinearlo al riesgo aceptado. Evaluacin de posibles respuestas Evaluacin del efecto sobre la probabilidad y el impacto Evaluacin del costo y el beneficio Oportunidades en las opciones de respuesta Respuestas seleccionadas Perspectiva de portafolio de riesgos 7.1.7 ACTIVIDADES DE CONTROL: Polticas y procedimientos que contribuyen a que la respuesta a los riesgos sea eficaz. Integracin con la respuesta al riesgo Tipos de actividades de control Revisin de alto nivel Gestin directa de funciones o actividades Procesamiento de informacin Controles fsicos Indicadores de rendimiento Segregacin de funciones Polticas y procedimientos Controles sobre los sistemas de informacin Controles Generales Controles de aplicacin 7.1.8 INfORMACIN Y COMUNICACIN: Informacin relevante identificada, analizada y comunicada en forma oportuna que permita a los funcionarios asumir sus responsabilidades en forma efectiva. Informacin Sistemas estratgicos e integrados Integracin con las operaciones Profundidad y oportunidad de la informacin Calidad de la informacin Comunicacin Comunicacin interna Comunicacin externa Medios de comunicacin 7.1.9 EL MONITOREO: Evaluacin del desempeo de los componentes de la gestin de riesgos en el transcurso del tiempo. Actividades de monitoreo permanente Revisin de informes operativos, usados para gestionar las operaciones de modo permanente, se pueden detectar inexactitudes o excepciones a los resultados Cambios en la informacin incluida en los modelos de valoracin de riesgo centrndose en estimaciones esperadas.
35

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Reclamaciones de clientes. Comunicaciones de los reguladores sobre incumplimientos Evaluaciones independientes Auditoras externas Consultoras

7.2 MODELO DE CONTROL - COBIT


Existen referentes como el modelo COBIT (Control Objectives for Information and Related Technology), cuyo objetivo est dirigido al control de la informacin y tecnologas afines, el cual se ha convertido en un estndar internacional para el gobierno de las Tecnologas de Informacin, su gestin y control. El objetivo principal de la estructura COBIT es posibilitar el desarrollo de una poltica clara y una buena prctica para el control de TI en toda la industria. Esta estructura cuenta con 34 procesos de TI, agrupados en cuatro dominios: planeamiento y organizacin, adquisicin e implementacin, entrega y soporte, y monitoreo. Adicionalmente existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de TI contra un conjunto de objetivos de control detallados (302 en total), con el fin de proporcionar a la gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. Proporciona prcticas sanas a travs de un marco referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. El impacto en los recursos de TI es enfatizado en el marco referencial de COBIT conjuntamente con los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Anexo Nm. 4. COBIT: TABLA DE RESUMEN

36

BIBLIOGRAfA

Gua para el uso de la Norma NTC 5254 Gestin del Riesgo dentro del proceso de Auditora Interna. ICONTEC. 2004 El nuevo acuerdo de Basilea II, emitido en abril de 2003, Banco de Pagos Internacionales. Declaracin de Posicin - El Rol de la Auditora Interna en la Gestin de Riesgo Empresarial. Instituto de Auditores Internos. Septiembre 20 de 2004 Position Statement Risk Based Internal Auditing. The Institute of Internal Auditors UK and Ireland Administracin del Riesgo Estndar AS / NZ 4360 Australian Standard Risk Management, Sydney, 1.999 Normas Internacionales para el Ejercicio Profesional de la Auditora Interna. Instituto de Auditores Internos. Enero 2004 y los Consejos para la Prctica Profesional. www.theiia.org Documento en Estudio Norma IRAM 17550 Gestin de Riesgos Directivas Generales, Instituto Argentino de Normalizacin. Noviembre 2004. Documento Risk Watch - Mature Risk Management By BASIL ORSINI - A benchmarking tool from Human Resources Development Canada facilitates assessments of risk management practices in the organization. Salomn Kalmanovitz, Banco la Repblica Nueva Historia de Colombia, Editorial Planeta 1989 Documentos Asociacin Bancaria de Colombia

37

Anexo
1. GENERAL

GESTIN DEL RIESGO EN EL PROCESO

GUA PARA EL USO DE LA NORMA NTC 5254


DE AUDITORA INTERNA

Tomando como referencia la definicin dada por la Norma NTC5254, la gestin de riesgos es una parte integrante de la buena gestin de cualquier organizacin. La gestin de riesgos es un proceso multifactico y sistemtico, por lo cual las actividades involucradas son a menudo llevadas a cabo por un equipo multidisciplinario. Es un proceso iterativo de mejora continua, cuya incorporacin en las prcticas o procesos de negocio existentes resulta beneficiosa.

1.1. ELEMENTOS PRINCIPALES Los elementos principales del proceso de gestin de riesgos, como se puede ver en la figura1, son los siguientes: FIGURA 1 VISIN GENERAL. PROCESO DE GESTIN DE RIESGOS

RIeSGOS ReSIDUALeS
38

anexo 1

a) Establecer el contexto: Establecer los contextos externo, interno y de gestin de riesgos en los cuales tendr lugar el resto del proceso. Deben fijarse los criterios contra los cuales se evaluarn los riesgos y definirse la estructura del anlisis. b) Identificar riesgos: Identificar qu, por qu, dnde, cundo y cmo los eventos podran impedir, degradar, demorar o mejorar el logro de los objetivos estratgicos y de negocio de la organizacin. Se deben tener en cuenta todos los riesgos, estn no bajo el control de la administracin. c) Analizar riesgos: Identificar y evaluar los controles existentes. Determinar consecuencias y probabilidad de ocurrencia, y por ende el nivel de riesgo. El anlisis debera considerar el rango de consecuencias potenciales y cmo stas podran ocurrir. d) Evaluar riesgos: Comparar los niveles estimados de riesgo contra los criterios preestablecidos y considerar el balance entre beneficios potenciales y resultados adversos. Esto posibilita la toma decisiones con respecto a la extensin y naturaleza del tratamiento requerido y la prioridad de tratamiento de los riesgos. Si los niveles de riesgo establecidos son bajos podra caer en una categora aceptable y no se requerira tratamiento. e) Tratar riesgos: Si los niveles de riesgo establecidos son bajos y son tolerables entonces no se requiere tratamiento. Para otros riesgos, se deben desarrollar e implementar estrategias y planes de accin especficos que sean costo-efectivos para aumentar los beneficios potenciales y reducir los costos potenciales. f) Monitorear y revisar: Es necesario monitorear la efectividad de todos los pasos del proceso de gestin de riesgos. Esto es parte importante del mejoramiento continuo.
Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades

g) Comunicar y consultar: Comunicar y consultar con los interesados internos y externos segn resulte apropiado en cada etapa del proceso de gestin de riesgos, y con respecto al proceso como un todo. h) Riesgos residuales: Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas tomadas para el manejo del riesgo.
La administracin del riesgo puede ser aplicada a diferentes niveles en la organizacin. Puede ser aplicada, tanto en el nivel estratgico como en el nivel tctico y en el operacional. Puede ser aplicada a proyectos especficos, para asesorar en la toma de decisiones o para administrar especficamente reas reconocidas de riesgo. La administracin del riesgo es un proceso iterativo que puede contribuir al mejoramiento organizacional. Con cada ciclo, los criterios de riesgo pueden ser ms exigentes, para lograr progresivamente mejores niveles de administracin del riesgo.

39

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

En cada etapa del proceso deben mantenerse registros adecuados, suficientes para satisfacer una auditora independiente. Estos registros permiten que la toma de decisiones sea entendida como parte de un proceso de mejoramiento continuo.

1.2. RESPONSABILIDAD POR LA GESTIN DE RIESGOS EMPRESARIALES (ERM) La junta posee la responsabilidad de asegurarse que los riesgos son gestionados.
En la prctica, la junta delega en el equipo gerencial la operacin del marco de gestin de riesgo, quienes son los responsables de realizar las actividades establecidas y necesarias. Podra existir una funcin separada que coordine y maneje estas actividades; y aplique destrezas y conocimientos especiales.

1.3. BENEfICIOS DE LA GESTIN DE RIESGO EMPRESARIAL La Gestin de Riesgo Empresarial puede realizar una enorme contribucin ayudando a la organizacin a gestionar los riesgos para poder alcanzar sus objetivos. Los beneficios incluyen:
Mayor posibilidad de alcanzar los objetivos; Consolidacin de reportes de riesgos distintos a nivel de la junta; Incrementa el entendimiento de riesgos claves y sus ms amplias implicaciones; Identificacin y comparte riesgos alrededor del negocio; Creacin de mayor enfoque de la gerencia en asuntos que realmente importan; Menos sorpresas y crisis; Mayor enfoque interno en hacer lo correcto en la forma correcta; Incrementa la posibilidad de que cambios en iniciativas puedan ser logrados; Capacidad de tomar mayor riesgo por mayores recompensas; y Ms informacin sobre riesgos tomados y decisiones realizadas. A continuacin se detallan las principales actividades en cada una de las etapas:

2. ETAPA ESTABLECER EL CONTEXTO


2.1. GENERAL Establecer el contexto define los parmetros bsicos dentro de los cuales los riesgos deben ser gestionados y define el alcance del proceso de gestin de riesgos. El contexto incluye el ambiente interno y externo de la organizacin y el propsito de la gestin de riesgos. Igualmente considera las interfaces entre el ambiente interno y el ambiente externo.
Es importante asegurar que los objetivos definidos para el proceso de gestin de riesgos considere el ambiente organizacional y el ambiente externo.

2.2. ESTABLECER EL CONTEXTO INTERNO Antes de comenzar una actividad de gestin de riesgos, a cualquier nivel, es necesario comprender la organizacin, considerando aspectos clave como: Cultura Interesados internos
40

anexo 1

Estructura Capacidades en trminos de recursos tales como gente, sistemas, procesos, capital Metas y objetivos y las estrategias que se han establecido para lograrlos Establecer el contexto interno es importante por las siguientes razones: La gestin de riesgos tiene lugar en el contexto de las metas y objetivos de la organizacin. El riesgo principal para la mayora de las organizaciones es fallar en el logro de sus objetivos estratgicos, de negocio o de proyectos, o que los interesados perciban que se ha fallado en lograrlos. Las polticas, metas e intereses organizacionales ayudan a definir la poltica de riesgo de la organizacin; y Los objetivos y criterios especficos de un proyecto o actividad deben considerarse a la luz de los objetivos de la organizacin como un todo.

2.3 ESTABLECER EL CONTEXTO EXTERNO Este paso define la relacin entre la organizacin y el entorno externo donde opera. El contexto externo incluye por ejemplo: El ambiente de negocios, social, regulatorio, cultural, competitivo, financiero y poltico Las fortalezas, debilidades, oportunidades y amenazas Interesados externos Motivadores clave del negocio
Se deben considerar las percepciones y valores de los interesados externos y establecer polticas para comunicarse con ellos. Establecer el contexto externo es importante para asegurar que: Los interesados y sus objetivos son considerados para desarrollar los criterios de gestin de riesgos. Las amenazas y oportunidades generadas externamente son consideradas de manera apropiada. Debe llevarse a cabo un anlisis estratgico. El mismo debe ser aprobado a nivel ejecutivo, para establecer los parmetros bsicos y proveer una gua para los procesos de gestin de riesgos ms detallados. Debera existir una relacin estrecha entre la poltica y objetivos de gestin de riesgos de una organizacin y su misin y objetivos estratgicos.

2.4. ESTABLECER EL CONTEXTO DE GESTIN DE RIESGOS Deben establecerse las metas, objetivos, estrategias, alcance y parmetros de la actividad o de la parte de la organizacin a la cual se est aplicando el proceso de gestin de riesgos.
El proceso debera ser llevado a cabo con plena consideracin de la necesidad de balancear costos, beneficios y oportunidades. Tambin deberan especificarse los recursos requeridos y los registros que deben mantenerse.

41

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

El hecho de establecer el alcance y los lmites de aplicacin del proceso de gestin de riesgos involucra: Definir la organizacin, proceso, proyecto o actividad y establecer sus metas y objetivos. Especificar la naturaleza de las decisiones que deben tomarse. Definir la extensin de la actividad o funcin del proyecto en trminos de tiempo y localizacin. Identificar cualquier estudio necesario sobre estructura y el alcance, y los objetivos, alcance y recursos requeridos para desarrollar el estudio. Definir la profundidad y amplitud de las actividades de gestin de riesgos a llevar a cabo, considerando inclusiones o exclusiones especficas. Los aspectos especficos que tambin deberan ser discutidos incluyen: Los roles y responsabilidades de las distintas partes de la organizacin que participan en el proceso de gestin de riesgos. Las relaciones entre el proyecto o actividad y otros proyectos o partes de la organizacin.

2.5. DESARROLLAR CRITERIOS DE EVALUACIN DE RIESGOS Se deben decidir los criterios contra los cuales se van a evaluar los riesgos.
Las decisiones concernientes a si se requiere un tratamiento del riesgo deberan estar basadas en criterios operacionales, tcnicos, financieros, legales, sociales, humanitarios u otros. Los criterios deben reflejar el contexto definido previamente. Esto a menudo depende de las polticas internas, metas y objetivos de una organizacin y de los intereses de los distintos interesados. Los criterios podran estar afectados por las percepciones de los interesados y por requerimientos legales o regulatorios. Es importante que se determinen los criterios apropiados desde el comienzo. Aunque los criterios para la toma de decisiones son inicialmente desarrollados como parte del establecimiento del contexto de gestin de riesgos, los mismos deben ser posteriormente desarrollados y perfeccionados a medida que se identifiquen riesgos particulares y se escojan tcnicas de anlisis de riesgos. Los criterios de riesgo deberan corresponder a los tipos de riesgos y la forma en que se expresan los niveles de riesgo.

2.6. DEfINIR LA ESTRUCTURA PARA LA GESTIN DE DE RIESGO Esto involucra subdividir la actividad, proceso, proyecto o cambio en un conjunto de elementos o pasos. Estos elementos proveen una estructura lgica que ayuda a asegurar que no se pasen por alto riesgos significativos. La estructura escogida depende de la naturaleza de los riesgos y del alcance del proyecto, proceso o actividad.

3. IDENTIfICACIN DE RIESGOS
3.1. GENERAL Este paso procura identificar los riesgos a gestionar.

42

anexo 1

La identificacin completa de riesgos utilizando un proceso sistemtico bien estructurado es crtica, porque un riesgo potencial no identificado en esta etapa quedara excluido de anlisis posteriores. La identificacin debera incluir todos los riesgos, estn o no bajo control de la organizacin.

3.2. QU PUEDE SUCEDER, DNDE Y CUNDO? El propsito es generar una lista amplia de fuentes de riesgos y eventos que podran tener un impacto en el logro de cada uno de los objetivos identificados en la etapa de establecer el contexto. Estos eventos podran impedir, degradar, demorar o mejorar el logro de esos objetivos. Estos eventos son considerados luego en mayor detalle para identificar lo que puede suceder. 3.3. CMO Y POR QU PUEDE SUCEDER? Una vez identificado lo que podra suceder, es necesario considerar las causas y escenarios posibles. Hay muchas formas en que puede suceder un evento. Es importante que no se omita ninguna causa significativa. 3.4. HERRAMIENTAS Y TCNICAS Los enfoques utilizados para identificar riesgos incluyen listados de control (checklists), juicios basados en la experiencia y registros, diagramas de flujo, tcnicas como lluvia de ideas (brainstorming), anlisis de sistemas, anlisis de escenarios y tcnicas de ingeniera de sistemas. Ver una explicacin ms detallada en el HB 436 de 2004 del Standards Australia / Standards New Zealand.
El enfoque utilizado depender de la naturaleza de las actividades bajo revisin, de los tipos de riesgos, del contexto organizacional y del propsito del estudio de gestin de riesgos.

4. ANLISIS DE RIESGO
4.1. GENERAL El objetivo del anlisis de riesgos es desarrollar un entendimiento de los riesgos. Provee informacin que respalda la toma de decisiones sobre si los riesgos necesitan ser tratados y sobre las estrategias ms apropiadas y costo-efectivas de tratamiento de los riesgos.
El anlisis de riesgos involucra considerar las fuentes de riesgo, sus consecuencias positivas y negativas y la probabilidad de que estas puedan ocurrir. Deben identificarse los factores que afectan, las probabilidades y las consecuencias. El riesgo es analizado combinando consecuencias y sus probabilidades. En la mayora de los casos se toman en cuenta las medidas de control existentes. Se puede llevar a cabo un anlisis preliminar para combinar riesgos similares o excluir del estudio detallado a los riesgos de bajo impacto. Siempre que sea posible, los riesgos excluidos deberan ser listados para demostrar que el anlisis de riesgos es completo.

43

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

4.2. EVALUAR LOS CONTROLES EXISTENTES Se deben identificar los procesos, dispositivos o prcticas existentes que actan para minimizar los riesgos negativos o para mejorar los riesgos positivos y evaluar sus fortalezas y debilidades. Los controles pueden surgir como resultado de actividades previas de tratamiento del riesgo. 4.3. CONSECUENCIAS Y PROBABILIDADES La magnitud de las consecuencias de un evento, en el caso de que ste ocurriera, y la probabilidad del evento y sus consecuencias asociadas, se evalan en el contexto de la eficacia de las estrategias y controles existentes. Un evento puede tener mltiples consecuencias y afectar diferentes objetivos.
Las consecuencias y probabilidades se combinan para producir un nivel de riesgo. Las consecuencias y probabilidades se pueden determinar utilizando clculos y anlisis estadstico. Alternativamente, cuando no se dispone de datos anteriores confiables o relevantes, se pueden realizar estimaciones subjetivas que reflejan el grado de conviccin que tiene un individuo o un grupo sobre si un evento o resultado particular ocurrir. Para evitar prejuicios subjetivos, cuando se analizan las consecuencias y probabilidades deberan utilizarse las fuentes de informacin y tcnicas ms pertinentes. Las fuentes de informacin podran incluir: Registros anteriores. Prctica y experiencia relevante. Prcticas y experiencia de la industria o actividad. Publicaciones relevantes. Investigaciones de mercado. Resultados de consultas pblicas. Experimentos y prototipos. Modelos econmicos, de ingeniera u otros; Opiniones y juicios de especialistas y expertos. Las tcnicas incluyen: Entrevistas estructuradas con expertos en el rea de inters. Utilizacin de grupos multidisciplinarios de expertos. Evaluaciones individuales utilizando cuestionarios. y Uso de modelos y simulaciones. Siempre que sea posible, debera incluirse la confianza depositada en las estimaciones de los niveles de riesgo.

4.4. TIPOS DE ANLISIS El anlisis de riesgo puede ser llevado a cabo a distintos niveles de detalle dependiendo del riesgo, del propsito del anlisis y de la informacin, datos y recursos disponibles. El anlisis puede ser cualitativo, semi-cuantitativo o cuantitativo o una combinacin de ellos, dependiendo de las circunstancias.
44

anexo 1

El orden de complejidad y los costos de estos anlisis, en orden ascendente, es: cualitativo, semi-cuantitativo y cuantitativo. En la prctica, a menudo se utiliza primero el anlisis cualitativo para obtener una indicacin general del nivel de riesgo y para revelar los aspectos principales de riesgo. Luego puede ser necesario llevar a cabo anlisis ms especficos o cuantitativos sobre los principales aspectos de riesgo. La forma del anlisis debera ser consistente con los criterios de evaluacin de riesgos desarrollados como parte del establecimiento del contexto. En detalle, los tipos de anlisis son: a) Anlisis cualitativo El anlisis cualitativo utiliza palabras o escalas descriptivas para describir la magnitud de las consecuencias potenciales y la probabilidad de que esas consecuencias ocurran. Estas escalas pueden ser adaptadas o ajustadas para adaptarse a las circunstancias, y pueden utilizarse distintas descripciones para riesgos diferentes. El anlisis cualitativo puede utilizarse: i. Como un filtro inicial para identificar los riesgos que requieren un anlisis ms detallado. ii. Cuando el nivel de riesgo no justifica el tiempo y el esfuerzo requerido para otro tipo de anlisis. iii. Cuando esta clase de anlisis es apropiado para las decisiones que requieren ser tomadas o iv. Cuando los datos numricos o los recursos son inadecuados para un anlisis cuantitativo.

b) Anlisis semi-cuantitativo En el anlisis semi-cuantitativo, se le asignan valores a las escalas nominales cualitativas, tales como las descritas arriba. El objetivo es producir una escala de priorizacin ms detallada que la que se logra normalmente en el anlisis cualitativo y no sugerir valores reales de los riesgos, tales como los que se procuran en el anlisis cuantitativo. Sin embargo, dado que el nmero asignado a cada descripcin puede no representar una relacin exacta de la magnitud real de las consecuencias o probabilidades, los nmeros slo pueden ser combinados utilizando una frmula apropiada que reconozca las limitaciones del tipo de escala utilizada.
Debe tenerse cuidado con el uso del anlisis semi-cuantitativo porque los nmeros escogidos podran no reflejar apropiadamente las relatividades y esto podra conducir a resultados inconsistentes, anmalos o inapropiados. El anlisis semi-cuantitativo podra no diferenciar apropiadamente entre distintos riesgos, particularmente cuando las consecuencias o las probabilidades son extremas.

c) Anlisis cuantitativo El anlisis cuantitativo utiliza valores numricos tanto para las consecuencias como para las probabilidades, utilizando datos de una variedad de fuentes. La calidad del anlisis depende de la precisin e integridad de los valores numricos y de la validez de los modelos utilizados.
45

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Las consecuencias podran ser estimadas modelando los resultados de un evento o conjunto de eventos, o mediante extrapolacin de estudios experimentales o datos del pasado. Las consecuencias podran ser expresadas en trminos de criterios de impacto monetarios, tcnicos o humanos, o cualquiera de los otros criterios referidos en 6.1.5. En algunos casos, se requiere ms de un valor numrico para especificar consecuencias para distintos momentos, lugares, grupos o situaciones. La forma en la cual se expresan las probabilidades y consecuencias, y las formas en las cuales las mismas se combinan para proveer un nivel de riesgo varan de acuerdo con el tipo de riesgo y el propsito para el cual se va a utilizar el resultado de la evaluacin del riesgo. Puede considerarse y comunicarse eficazmente el efecto de la incertidumbre y variabilidad de cada factor sobre el nivel de riesgo.

4.5. ANLISIS DE SENSIBILIDAD Dado que algunas de las estimaciones cuantitativas realizadas en el anlisis del riesgo requieren ajustes, debera llevarse a cabo un anlisis de sensibilidad para verificar el efecto de la incertidumbre en las suposiciones y datos. El anlisis de sensibilidad es tambin una forma de comprobar la adecuacin y efectividad de los controles y de las opciones de tratamiento de riesgos potenciales.

5. EVALUACIN DE RIESGO
La evaluacin de riesgo involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con los criterios de riesgo previamente establecidos. El objetivo de la evaluacin de riesgos es tomar decisiones, basadas en los resultados del anlisis de riesgo, acerca de los riesgos que requieren tratamiento y sus prioridades. Deberan considerarse los objetivos de la organizacin y la gama de oportunidades que podran resultar del riesgo. Cuando deba realizarse una seleccin entre distintas opciones, el mayor potencial de prdidas debera asociarse con los mayores beneficios potenciales y la seleccin apropiada depender del contexto de la organizacin. Las decisiones deberan tomar en cuenta el amplio contexto del riesgo, e incluir consideraciones de la tolerancia de los riesgos de terceras partes distintas de la organizacin que se benefician del mismo. Los riesgos bajos o tolerables podran ser aceptados con un tratamiento futuro mnimo. Los mismos deberan ser monitoreados y revisados peridicamente para asegurar que se mantienen igual. Si los riesgos no son bajos o tolerables, deberan ser tratados utilizando una o ms de las opciones consideradas.

46

anexo 1

En algunas circunstancias, la evaluacin de riesgos podra conducir a la decisin de llevar a cabo un mayor anlisis.

6. TRATAMIENTO DEL RIESGO


6.1. GENERAL El tratamiento del riesgo involucra identificar el rango de opciones para tratar el riesgo, evaluar esas opciones, preparar planes de tratamiento del riesgo e implementarlos. 6.2. IDENTIfICAR OPCIONES PARA TRATAMIENTO DEL RIESGO Las opciones de tratamiento de riesgos, que no son necesariamente mutuamente excluyentes o apropiadas en todas las circunstancias, incluyen: Evitar el riesgo decidiendo no seguir adelante con la actividad que probablemente crea el riesgo. El escape al riesgo puede ocurrir inadecuadamente a raz de la tendencia de algunas personas u organizaciones a tener aversin a los riesgos. El escape inadecuado al riesgo puede aumentar la significacin de otros riesgos o podra conducir a la prdida de oportunidades de obtener beneficios.
La aversin al riesgo puede resultar en: decisiones de evitar o ignorar riesgos, independientemente de la informacin disponible y de los costos incurridos en el tratamiento de esos riesgos; fallas al tratar los riesgos; dejar las opciones crticas y/o decisiones a otras partes; diferir las decisiones que la organizacin no puede evitar; seleccionar una opcin porque representa un riesgo potencial ms bajo independientemente de los beneficios. Cambiar la probabilidad de ocurrencia, para mejorar la probabilidad de resultados beneficiosos y reducir la probabilidad de prdidas. Cambiar las consecuencias, para aumentar la magnitud de los beneficios y reducir la magnitud de las prdidas. Esto tambin podra incluir respuesta a la emergencia, planes de contingencia y de recuperacin de desastres. Transferir el riesgo. Esto involucra a otras partes que sostienen o comparten alguna parte del riesgo. Los mecanismos incluyen el uso de contratos, acuerdos de seguros y estructuras organizacionales tales como sociedades y joint ventures. Generalmente hay algn costo financiero o beneficio asociado a la transferencia de parte del riesgo a otra organizacin, tal como el premio pagado por los seguros. Idealmente, las responsabilidades por el tratamiento de los riesgos deberan ser asignadas a las partes ms aptas para controlarlos. Las responsabilidades deberan ser acordadas entre las partes lo antes posible. La transferencia de un riesgo a otras partes, o la transferencia fsica a otros lugares, reduce el riesgo original para la organizacin que transfiere, pero podra no disminuir el nivel global de riesgo para la sociedad. A menudo, tal transferencia de riesgo slo cambia un tipo de riesgo por otro,

47

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

de forma tal, que ambas partes terminan con los tipos de riesgos que estn ms aptos para tolerar, tratar o retener. Cuando los riesgos son total o parcialmente transferidos, la organizacin que transfiere el riesgo ha adquirido un nuevo riesgo, y es que la organizacin a la cual se ha transferido no pueda administrarlo eficazmente. Retener el riesgo. Luego que los riesgos han sido reducidos o transferidos, podran existir riesgos residuales que son retenidos. Los riesgos tambin podran ser retenidos en forma predeterminada, por ejemplo: cuando hay una falla para identificar o transferir adecuadamente, o bien tratar los riesgos.

6.3. EVALUAR LAS OPCIONES DE TRATAMIENTO DE RIESGOS Las opciones deberan ser evaluadas sobre la base del grado de reduccin de las prdidas, y el alcance de los beneficios adicionales u oportunidades creadas, tomando en cuenta los criterios desarrollados. Se pueden considerar y aplicar una cantidad de opciones, ya sea individualmente o combinadas.
El anlisis de sensibilidad es una forma de comprobar la eficacia de las distintas opciones para tratar el riesgo. La seleccin de la opcin ms apropiada involucra balancear el costo de implementacin de cada opcin contra los beneficios derivados de ella. En general, el costo de administrar los riesgos necesita ser conmensurado con los beneficios obtenidos. Cuando se logran grandes cambios en el riesgo se puede hacer con un costo relativamente bajo, y deberan ser implementados. Otras opciones de mejora podran ser antieconmicas y se necesita ejercitar el juicio para determinar si las mismas son justificables. Las decisiones deberan tomar en cuenta la necesidad de considerar cuidadosamente los riesgos raros, pero severos, que justificaran acciones de tratamiento de riesgos que no seran justificables en el terreno de lo estrictamente econmico. Cuando se analizan los costos versus los beneficios, es importante considerar todos los costos y perjuicios, como asimismo, todos los beneficios y oportunidades. A menudo los beneficios secundarios/colaterales de adoptar una determinada estrategia de riesgos pueden ser importantes. Mientras que un control en particular puede ser muy eficaz en la reduccin de la probabilidad de un tipo especfico de prdida, el mismo tambin puede quitar la oportunidad de beneficios. En muchos casos, es improbable que cualquier opcin de tratamiento de riesgos sea una solucin completa para un problema en particular. A menudo la organizacin se beneficiar
48

anexo 1

sustancialmente por una combinacin de opciones tales como cambiar la probabilidad de los riesgos, cambiar sus consecuencias, y transferir o retener cualquier riesgo residual. Un ejemplo es el uso eficaz de contratos y financiamiento de riesgos sustentado por un programa de reduccin de riesgos. Cuando el costo acumulativo de efectuar todos los tratamientos de riesgos excede el presupuesto disponible, el plan debera identificar claramente el orden de prioridad en el cual deberan ser implementados los tratamientos individuales de riesgo. El ordenamiento puede ser establecido utilizando distintas tcnicas, incluyendo anlisis de importancia de los riesgos y de costo-beneficio. Los requerimientos de cumplimiento legal deben estar por encima de los anlisis de costo-beneficio. Los tratamientos de riesgos que no pueden ser implementados dentro del lmite del presupuesto disponible deben esperar la disponibilidad de recursos futuros o, si por cualquier razn algunos o todos los tratamientos restantes son considerados importantes, deber analizarse el caso para lograr financiacin adicional. En todos los casos es importante comparar el costo total de no tomar ninguna accin, contra el aparente ahorro presupuestario. Las opciones de tratamiento de riesgos deberan considerar los valores y percepciones de los interesados y las formas ms apropiadas de comunicarse con ellos. Las estrategias de tratamiento de riesgos podran por si mismas introducir nuevos riesgos. Estos riesgos necesitan ser identificados, evaluados, tratados y monitoreados como parte del proceso iterativo. Si luego de un tratamiento hay un riesgo residual, debera tomarse una decisin sobre si debe retener este riesgo o repetir el proceso.

6.4. PREPARACIN E IMPLEMENTACIN DE PLANES DE TRATAMIENTO Los planes deberan documentar cmo sern implementadas las opciones escogidas.
Los planes de tratamiento deberan identificar las responsabilidades, las fechas programadas, los resultados esperados de los tratamientos, el presupuesto, las medidas del desempeo y el proceso de revisin a poner en prctica. Los planes tambin deberan incluir mecanismos para evaluar la implementacin de las opciones respecto de criterios de desempeo, las responsabilidades individuales y otros objetivos, y procesos para monitorear los logros respecto de hitos crticos de implementacin. La implementacin exitosa del plan de tratamiento del riesgo requiere un sistema de administracin eficaz que especifique los mtodos escogidos, asigne responsabilidades individuales por las acciones y las controle con relacin a criterios especificados.

7. CONTROL Y REVISIN
Es necesario controlar la eficacia de todos los pasos del proceso de gestin de riesgos. Este es un paso importante para la mejora continua.
49

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Los riesgos y la eficacia de las medidas de tratamiento necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades. La auto-evaluacin del control provee un medio para la revisin continua de los riesgos y de sus controles. Es esencial la revisin sobre la marcha para asegurar que el plan de administracin se mantenga apropiado. Los factores que podran afectar la probabilidad y consecuencia de un resultado podran cambiar, como tambin los que afectan la conveniencia o costo de las opciones de tratamiento. Es en consecuencia necesario repetir el ciclo de gestin de riesgos regularmente. La revisin es una parte integral de los planes de tratamiento de la administracin de riesgos. El progreso real respecto de los planes de tratamiento de los riesgos provee una medida importante de desempeo y debera ser incorporado en el sistema de informacin, medicin y administracin de desempeo de la organizacin. El control tambin involucra aprender de los eventos y de sus resultados.

8. DOCUMENTAR Y REGISTRAR EL PROCESO DE GESTIN DE RIESGOS


Debe registrarse en forma adecuada cada etapa del proceso de gestin de riesgos. Deberan documentarse las hiptesis, mtodos, fuentes de datos, anlisis, resultados y razones para las decisiones. Los registros de tales procesos son un aspecto importante de un buen gobierno corporativo. Ellos sirven para: Demostrar que el proceso es conducido apropiadamente. Proveer evidencia de un enfoque sistemtico de identificacin y anlisis de riesgos. Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organizacin. Proveer a los tomadores de decisiones relevantes de un plan de gestin de riesgos para aprobacin y subsecuente implementacin. Proveer un mecanismo y herramienta de responsabilidad. Facilitar el continuo monitoreo y revisin. Proveer una pista de auditora. Compartir y comunicar informacin. Las decisiones concernientes al alcance y mtodos de documentacin y registro podran involucrar costos y beneficios; deberan tomarse en cuenta estas razones para mantener la documentacin. Una gestin de riesgos efectiva requiere documentacin apropiada y suficiente en cada etapa del proceso, que incluya objetivos, fuentes, administracin, tratamiento y plan de accin. Debe contemplar polticas y procedimientos, declaraciones de conformidad, funciones y responsabilidades, registros de riesgos y controles, planes de mejoramiento, resultados, monitoreo

50

anexo 1

y auditoras.

9. COMUNICACIN Y CONSULTA
La comunicacin y la consulta son importantes en cada paso del proceso de gestin de riesgos. Es importante desarrollar un plan de comunicacin tanto para los interesados internos como externos desde la etapa ms temprana del proceso. Este plan debera considerar aspectos relativos tanto al riesgo en si mismo, como al proceso para administrarlo. Comunicacin y consulta involucran un dilogo permanente entre los interesados, con esfuerzos focalizados en la consulta y retroalimentacin, ms que en un flujo de informacin de una sola va desde el tomador de decisiones hacia los interesados. Es til un enfoque de equipo de consulta para ayudar a definir el contexto de la comunicacin en forma apropiada, e identificar los riesgos eficazmente. Posteriormente se debern reunir distintas reas de especialidad en el anlisis de riesgos, para asegurar que se consideran los diferentes puntos de vista en la evaluacin de los riesgos y para lograr una administracin apropiada de cambios durante el tratamiento de estos. El involucrarse tambin posibilita que se asuma la propiedad de los riesgos por parte de los gerentes y el compromiso de los interesados. Les permite apreciar los beneficios de controles particulares y la necesidad de aprobar y sustentar un plan de tratamiento. Son importantes las comunicaciones internas y externas eficaces para asegurar que aquellos responsables por implementar gestin de riesgos, y aquellos con un inters establecido, comprendan la base sobre la cual se toman las decisiones y por en qu se requieren determinadas acciones. Las percepciones sobre el riesgo pueden variar debido a diferencias en los valores, necesidades, suposiciones, conceptos y preocupaciones de los interesados, en la medida que se relacionen con el riesgo o los aspectos bajo discusin. Es probable que los interesados emitan juicios sobre la aceptabilidad de un riesgo, basados en su percepcin. Dado que los puntos de vista de los interesados pueden tener un impacto significativo en las decisiones tomadas, es importante que sus percepciones del riesgo, y sus percepciones sobre los beneficios, sean identificadas y registradas, y las razones subyacentes comprendidas y consideradas. La informacin sobre el desempeo de la gestin de riesgos, particularmente la relativa al progreso en su desarrollo e implementacin del plan de gestin de riesgos debe ser comunicada a los interesados. Los mecanismos de actualizacin permanente, medicin e informes peridicos son tambin caractersticas del buen gobierno corporativo. Particularmente es importante la comunicacin de las polticas, en la medida en que abarcan desde la infraestructura, hasta la creacin de una cultura organizacional alrededor de la gestin del riesgo; comprende entre otros aspectos:
51

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

La conformacin del equipo de alta direccin que responde por el proceso Promover la toma de conciencia sobre el control y el riesgo Mantener a toda la organizacin en dilogo permanente Adquirir y compartir experiencias y mejores prcticas en ERM Consultoras Asegurar mecanismos apropiados de reconocimiento y sancin, en funcin del riesgo Establecer el manejo de indicadores de riesgo y su inclusin en la evaluacin de desempeo. Las partes interesadas en la comunicacin deben ser parte integral de la gestin de riesgo, en razn a su diversidad, percepcin y participacin, niveles de inters, conocimientos en ERM y la manera como se vean afectadas por una decisin. Entre otras son: El recurso humano de la organizacin (Directivos, empleados, administradores, asesores, terceros) Empresas o contrapartes comerciales Sindicatos Agremiaciones a nivel de industria, sector, grupo econmico, poltica Compaas de Seguros Organismos de regulacin y entes gubernamentales Clientes Contratistas y proveedores Medios de comunicacin Comunidades locales (reas de influencia) Sociedad en general

II. DEfINICIONES
Para el propsito de este documento se aplican las siguientes definiciones2:

2.1 CONSECUENCIA El resultado de un evento expresado en forma cualitativa o cuantitativa, que genera prdida, dao, desventaja o ganancia. 2.2. COSTO Los costos tanto directos como indirectos de una actividad involucran un impacto negativo, incluyendo dinero, tiempo, trabajo, interrupcin, goodwill, prdidas polticas e intangibles. 2.3. EVENTO Un incidente o suceso, que ocurre en un determinado lugar durante un determinado intervalo de tiempo. 2.4. RBOL DE ANLISIS DE CAUSAS. Es una tcnica que describe el posible rango y secuencia de los resultados que pueden originarse de un evento inicial.

Definiciones tomadas de los documentos: ADMINISTRACION DEL RIESGO ESTANDAR AS/NZ 4360 y de Declaracin de Posicin: Rol de la Auditora Interna en la Gestin de Riesgo Empresarial www.theiia.org

52

anexo 1

2.5. ANLISIS DE MODOS DE fALLAS Y EfECTOS FAILURE MODE AND EffECTS ANALYSIS (FMEA) Es un procedimiento mediante el cual se analizan los modos potenciales de fallas en un sistema tcnico. 2.6. RBOL DE AN LISIS DE fALLAS Es un mtodo de ingeniera de sistemas que representa la combinacin lgica de varios estados del sistema y las posibles causas que pueden contribuir a un evento especfico. 2.7. FRECUENCIA Es una medida sobre la rata de ocurrencia de un evento expresado por el nmero de ocurrencias en un tiempo dado. Ver tambin probabilidad. 2.8. AMENAZA La fuente de dao potencial o una situacin que potencialmente cause prdidas. 2.9. PRDIDA Una consecuencia negativa, financiera o de cualquier otra ndole. 2.10. MONITOREO Verificar, supervisar, observar o registrar el progreso de una actividad, accin o sistema sobre una base regular, con el fin de identificar cambios. 2.11. ORGANIZACIN Una compaa, firma, empresa o asociacin, u otra entidad de tipo legal o de cualquier ndole, esto es incorporada o no, pblica o privada, que tiene sus propias funciones y administracin. 2.12. PROBABILIDAD La posibilidad de que un evento especfico o resultado, medido por la rata de eventos especficos o resultados dentro de un nmero total de posibles eventos o resultados. La probabilidad es expresada como un nmero entre 0 y 1, en donde cero indica que es imposible que el hecho ocurra y 1 indica que el evento es cierto. 2.13. RIESGO RESIDUAL Se refiere al margen o residuo de riesgo que puede darse a pesar de las medidas de tratamiento tomadas para mitigar del riesgo. 2.14. RIESGO La posibilidad de que algo suceda y que podra tener un impacto sobre los objetivos. Est medido en trminos de consecuencias y probabilidad de ocurrencia. 2.15. ACEPTACIN DEL RIESGO Es la decisin informada de aceptar las consecuencias y la probabilidad de un riesgo particular.

53

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

2.16. ANLISIS DEL RIESGO El uso sistemtico de informacin disponible para determinar con qu frecuencia un determinado evento puede ocurrir y la magnitud de sus consecuencias. 2.17. VALORACIN DEL RIESGO. El conjunto de procesos para analizar y evaluar el riesgo. 2.18. EVITAR EL RIESGO. Decisin informada de no involucrarse en una situacin de riesgo. 2.19. CONTROL DEL RIESGO Se refiere a la parte de la administracin de riesgo, que involucra la implantacin de polticas, estndares, procedimientos y cambios fsicos para eliminar o minimizar los riesgos adversos. 2.20. INGENIERA DE RIESGOS Es la aplicacin de principios y mtodos de ingeniera para la administracin del riesgo. 2.21. EVALUACIN DEL RIESGO El proceso utilizado para determinar prioridades en la administracin del riesgo por la comparacin de niveles de riesgo frente a estndares determinados, lmites de niveles del riesgo u otros criterios. 2.22. FINANCIACIN EL RIESGO Los mtodos aplicados para financiar la administracin del riesgo y las consecuencias financieras del riesgo. 2.23. IDENTIfICACIN DEL RIESGO. Proceso para determinar QU puede suceder, POR QU y CMO. 2.24. ADMINISTRACIN DEL RIESGO La cultura, los procesos y las estructuras que estn dirigidas hacia una efectiva administracin de potenciales oportunidades y efectos adversos. 2.25. APETITO DE RIESGO El nivel de riesgo que es aceptable para los accionistas, la junta directiva la direccin. Este puede ser establecido con relacin a la organizacin como un todo, para diferentes grupos de riesgos en un nivel de riesgo individual. 2.26. PROCESO DE ADMINISTRACIN DEL RIESGO La aplicacin sistemtica de polticas gerenciales, procedimientos y prcticas, en las actividades para establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos. 2.27. REDUCCIN DEL RIESGO La aplicacin selectiva de tcnicas apropiadas y principios gerenciales para reducir la probabilidad de ocurrencia de un evento, sus consecuencias o ambos.
54

anexo 1

2.28. RETENCIN DEL RIESGO Intencionalmente o no, conservar la responsabilidad por prdidas o provisiones para prdidas, al interior de la empresa. 2.29. TRANSfERIR EL RIESGO Transferir total o parcialmente la responsabilidad de la provisin para prdidas a un tercero a travs de la ley, contratos, seguros u otro medio. Transferir el riesgo puede tambin hacer referencia a mover fsicamente el riesgo o parte del mismo a otro sitio. 2.30. TRATAMIENTO DEL RIESGO Seleccionar e implementar las opciones apropiadas para reducir el riesgo. 2.31. RESPUESTAS A RIESGOS Los medios a travs de los cuales la organizacin decide gestionar riesgos individuales. Las principales categoras son: tolerar el riesgo; tratar el mismo reduciendo su impacto o posibilidad; transferirlo a otra organizacin o terminar la actividad que lo origina. Los controles internos son una forma de tratar un riesgo. 2.32. ANLISIS DE SENSIBILIDAD Examinar cmo los resultados del clculo de un modelo varan cuando los supuestos individuales son modificados. 2.33. STAKEhOLDERS3 Son las personas y las organizaciones quienes pueden ser afectadas, son afectadas por, o perciben que ellos mismos pueden ser afectados por una decisin o actividad. 2.34. CONSEJO El trmino Consejo se refiere al cuerpo de gobierno de una organizacin, tal como el consejo de administracin, el consejo de supervisin, el responsable de un organismo o cuerpo legislativo, el comit o miembros de la direccin de una organizacin sin nimo de lucro, o cualquier otro rgano de gobierno designado por la organizacin, a quien pueda reportar funcionalmente el director ejecutivo de auditora. 2.35. CONTROL Cualquier medida que tome la direccin, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidas. La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los objetivos y metas. 2.36. DEfENSOR Aquel quin apoya y defiende una persona o causa. Por lo tanto, un defensor de la gestin de riesgo promover sus beneficios, educar a la direccin de la organizacin y miembros sobre

El trmino stakeholder puede tambin incluir las partes interesadas, tal como esta definido en ISO 14050:1998 y en ISO 14004:1996.

55

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

las acciones que ellos necesitan realizar para su implementacin y los animar y apoyar en la realizacin de esas acciones.

2.37. EMPRESA Cualquier organizacin establecida para alcanzar objetivos determinados. 2.38. FACILITACIN Trabajar con un grupo para hacer ms fcil el logro de los objetivos o actividad que el grupo ha acordado alcanzar. Esto envuelve escuchar, retar, observar, cuestionar y apoyar el grupo y sus miembros. No incluye el hacer el trabajo o tomar decisiones. 2.39. MARCO DE GESTIN DE RIESGO Totalidad de estructuras, metodologas, procedimientos y definiciones que la organizacin ha seleccionado para usar en la implementacin de su proceso de gestin de riesgos. 2.40. MADUREZ DEL RIESGO Extensin a travs de la cual ha sido adoptado y aplicado un enfoque robusto de gestin de riesgo, planificado por la direccin a travs de la organizacin para identificar, evaluar, decidir la respuesta y reportar oportunidades y amenazas que afectan el alcanzar los objetivos de la organizacin. 2.41. SERVICIOS DE A SEGURAMIENTO Un examen objetivo de evidencias con el propsito de proveer una evaluacin independiente de los procesos de gestin de riesgos, control y gobierno de una organizacin. Por ejemplo: trabajos financieros, de desempeo, de cumplimiento, de seguridad de sistemas y de due diligence. 2.42. SERVICIOS DE CONSULTORA Actividades de asesoramiento y servicios relacionados, proporcionadas a los clientes, cuya naturaleza y alcance estn acordados con los mismos y estn dirigidos a aadir valor y a mejorar los procesos de gobierno, gestin de riesgos y control de una organizacin, sin que el auditor interno asuma responsabilidades de gestin. Algunos ejemplos de estas actividades son el consejo, el asesoramiento, la facilitacin y el entrenamiento.

56

Anexo
REfERENTE GENERAL N.
-2010

2
N.
2010 A-1

PARA EL EJERCICIO PROfESIONAL DE LA AUDITORA INTERNA EN EL SECTOR fINANCIERO RELACIONADOS CON LAS ACTIVIDADES DE ASEGURAMIENTO Y CONSULTORA EN LA ERM

APLICACIN DE LOS REfERENTES

REfERENTES PARA APLICACIN A SEGURAMIENTO NOMBRE


El plan de trabajo de la actividad de auditora interna debe estar basado en una evaluacin de riesgos, realizada al menos anualmente. En este proceso deben tenerse en cuenta los comentarios de la alta direccin, el Comit de Auditora y de la junta directiva.

CONSULTORA N.
2010 C-1

NOMBRE
Planificacin El director ejecutivo responsable de la funcin de auditora interna debe establecer planes basados en los riesgos, a fin de determinar las prioridades de la actividad de auditora interna. Dichos planes debern ser consistentes con las metas de la organizacin.

NOMBRE
El Director Ejecutivo responsable de la funcin de auditora interna debe considerar la aceptacin de trabajos de consultora que le sean propuestos, basado en el potencial del trabajo para mejorar la gestin de riesgos, aadir valor, y mejorar las operaciones de la organizacin. Aquellos trabajos que hayan sido aceptados deben ser includos en el plan.

2100

Naturaleza del trabajo La actividad de auditora interna debe evaluar y contribuir a la mejora de los procesos de gestin de riesgos, control y gobierno, utilizando un enfoque sistemtico y disciplinado.

-2110

Gestin de riesgos La actividad de auditora interna debe asistir a la organizacin mediante la identificacin y evaluacin de las exposiciones significativas a los riesgos, y la contribucin a la mejora de los sistemas de gestin de riesgos y control.

2110 A-1

La actividad de auditora interna debe supervisar y evaluar la eficacia del sistema de gestin de riesgos de la organizacin.

2110 C-1

Durante los trabajos de consultora, los auditores internos deben considerar el riesgo compatible con los objetivos del trabajo y estar alertas a la existencia de otros riesgos significativos.

2110 A-2

La actividad de auditora interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de informacin de la organizacin, con relacin a lo siguiente: 1) Confiabilidad e integridad de la informacin financiera y operativa, 2) Eficacia y eficiencia de las ope raciones, 3) Proteccin de activos, y 4) Cumplimiento de leyes, regulaciones y contratos.

2110 C-2

Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de consultora en el proceso de identificacin y evaluacin de las exposiciones de riesgo significativas en la organizacin.

CONTINA

57

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

CONTINUACIN

REfERENTE GENERAL N.
-2120 Control La actividad de auditora interna debe asistir a la organizacin en el mantenimiento de controles efectivos, mediante la evaluacin de la eficacia y eficiencia de los mismos y promoviendo la mejora contnua.

REfERENTES PARA APLICACIN A SEGURAMIENTO N.


2120 A-1

CONSULTORA N.
2120 C-1

NOMBRE

NOMBRE
Basada en los resultados de la evaluacin de riesgos, la actividad de auditora interna debe evaluar la adecuacin y eficacia de los controles que comprenden el gobierno, las operaciones y los sistemas de informacin de la organizacin. Esto debe incluir lo siguiente: 1) Confiabilidad e integridad de la informacin financiera y operativa, 2) Eficacia y eficiencia de las operaciones, 3) Proteccin de activos, y 4) Cumplimiento de leyes, regulaciones y contratos.

NOMBRE
Durante los trabajos de consultora, los auditores internos deben considerar los controles compatibles con los objetivos del trabajo y deben estar alertas a la existencia de debilidades de control significativas.

2120 A-2

Los auditores internos deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos, y de que stos sean consistentes con aquellos de la organizacin. Los auditores internos deben revisar las operaciones y programas para cerciorarse de que los resultados sean consistentes con los objetivos y metas establecidos, y de que las operaciones y programas estn siendo implantados o desempeados tal como fueron planeados. Se requiere criterio adecuado para evaluar controles. Los auditores internos deben cerciorarse del alcance hasta el cual la direccin ha establecido criterios, indicadores o mediciones adecuados para determinar si los objetivos y metas han sido cumplidos. Si fueran apropiados, los auditores internos deben utilizar dichos criterios en su evaluacin. Si no fueran apropiados, los auditores internos deben trabajar con la direccin para desarrollar criterios de evaluacin adecuados.

2120 C-2

Los auditores internos deben incorporar los conocimientos de los controles obtenidos de los trabajos de consultora en el proceso de identificacin y evaluacin de las exposiciones de riesgo significativas en la organizacin.

2120 A-3

2120 A-4

CONTINA

58

anexo 2

CONTINUACIN

REfERENTE GENERAL N.
-2130 Gobierno La actividad de auditora interna debe evaluar y hacer las recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: 1) Promover la tica y los valores apropiados dentro de la organizacin. 2) Asegurar la gestin y responsabilidad eficaces en el desempeo de la organizacin. 3) Comunicar eficazmente la informacin de riesgo y control a las reas adecuadas de la organizacin. 4) Coordinar eficazmente las actividades y la informacin de comunicacin entre la junta directiva, los auditores internos y externos y la alta gerencia. -2020 Comunicacin y aprobacin El director ejecutivo responsable de la funcin de auditora interna debe comunicar los planes y requerimientos de recursos de la actividad de auditora interna, incluyendo los posibles cambios significativos, a la alta direccin, al Comit de Auditora y a la junta directiva para su adecuada revisin y aprobacin. El director ejecutivo responsable de la funcin de auditora interna tambin debe comunicar el impacto de cualquier limitacin de recursos. -2060 Informe al Comit de Auditora, la junta directiva y la alta direccin El director ejecutivo responsable de la funcin de auditora interna debe informar peridicamente al Comit de Auditora, la junta directiva y la alta direccin sobre la actividad de auditora interna en lo referido a propsito, autoridad, responsabilidad y desempeo de su plan. El informe tambin debe incluir exposiciones de riesgo relevantes y cuestiones de control, cuestiones de gobierno corporativo y otras cuestiones necesarias o requeridas por el Comit de Auditora, la junta directiva y la alta direccin.

REfERENTES PARA APLICACIN A SEGURAMIENTO N.


2130 A-1

CONSULTORA N.
2130 C-1

NOMBRE

NOMBRE
La actividad de auditora interna debe evaluar el diseo, implantacin y eficacia de los objetivos, programas y actividades de la organizacin relacionados con la tica.

NOMBRE
Los objetivos de los trabajos de consultora deben ser compatibles con los valores y las metas generales de la organizacin.

CONTINA

59

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

CONTINUACIN

REfERENTE GENERAL N.
-2330

REfERENTES PARA APLICACIN A SEGURAMIENTO N. NOMBRE N. CONSULTORA NOMBRE

NOMBRE
Documentacin de la informacin Los auditores internos deben documentar informacin relevante que les permita soportar las conclusiones y los resultados del trabajo.

2330 A-1

El director ejecutivo responsable de la funcin de auditora interna debe controlar el acceso a la documentacin del trabajo. El director ejecutivo responsable de la funcin de auditora interna debe obtener aprobacin de la direccin superior o del rea jurdica antes de dar a conocer tal documentacin a terceros, segn corresponda.

2330 C-1

El director ejecutivo responsable de la funcin de auditora interna debe establecer polticas sobre la custodia y retencin de la documentacin del trabajo, y sobre la posibilidad de darla a conocer a terceras partes, internas o externas. Estas polticas deben ser consistentes con las guas de la organizacin y cualquier regulacin pertinente u otros requerimientos sobre este tema.

2330 A-2

El director ejecutivo responsable de la funcin de auditora interna debe establecer requisitos de custodia para la documentacin del trabajo. Estos requisitos de retencin deben ser consistentes con las guas de la organizacin y cualquier regulacin pertinente u otros requerimientos.

2400

Comunicacin de resultados Los auditores internos deben comunicar los resultados del trabajo.

-2410

Criterios para la comunicacin Las comunicaciones deben incluir los objetivos y alcance del trabajo as como las conclusiones correspondientes, las recomendaciones, y los planes de accin.

2410 A-1

La comunicacin final de los resultados del trabajo debe incluir la opinin general y/o conclusiones del auditor interno, segn corresponda

2410 C-1

Las comunicaciones sobre el progreso y los resultados de los trabajos de consultora variarn en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente.

2410 A-2

Se recomienda a los auditores internos a reconocer en las comunicaciones del trabajo cuando se observa un desempeo satisfactorio. Cuando se enven resultados de un trabajo a partes ajenas a la organizacin, la comunicacin debe incluir las limitaciones a la distribucin y uso de los resultados.
CONTINA

2410 A-3

60

anexo 2

CONTINUACIN

REfERENTE GENERAL N.
-2420

REfERENTES PARA APLICACIN A SEGURAMIENTO N. NOMBRE N. CONSULTORA NOMBRE

NOMBRE
Calidad de la comunicacin Las comunicaciones deben ser precisas, objetivas, claras, concisas, constructivas, completas y oportunas.

-2421

Errores y omisiones una comunicacin final contiene Si un error u omisin significativos, el director ejecutivo responsable de la funcin de auditora interna debe comunicar la informacin corregida a todas las partes que recibieron la comunicacin original.

2600

Decisin de aceptacin de los riesgos por la direccin Cuando el director ejecutivo responsable de la funcin de auditora interna considere que la alta direccin ha aceptado un nivel de riesgo residual que pueda ser excesivo para la organizacin, debe discutir esta cuestin con la alta gerencia. Si la decisin referida al riesgo residual no se resuelve, el director ejecutivo responsable de la funcin de auditora interna y la alta gerencia deben informar esta situacin a la junta directiva para su resolucin.

61

Anexo

PARA LA IMPLEMENTACIN DE LA ADMINISTRACIN DEL RIESGO4, POR BASIL ORSINI

DE AUTODIAGNSTICO

UNA hERRAMIENTA

Una herramienta de comparacin del Human Resources Development Canada (Desarrollo de Recursos Humanos de Canad) que facilita la evaluacin de las prcticas de administracin del riesgo en la organizacin. Los auditores internos cada vez ms usan evaluaciones de riesgo para planear proyectos de auditora. A la vez, los gerentes generales se esfuerzan en transformar sus organizaciones en negocios de alto rendimiento, entendiendo que esto requiere cambios en las actitudes frente al manejo del riesgo y las expectativas. Esta transicin les da una oportunidad a los auditores de realzar su valor mediante el desarrollo de mtodos que relacionen mejor su trabajo con los riesgos claves en el negocio de la organizacin. Vinculado a esta pgina hay un instrumento de diagnstico que puede ayudar a los gerentes a evaluar la madurez en el manejo del riesgo en sus reas, dando a los auditores una mejor apreciacin de las transiciones involucradas en el medio empresarial para el manejo integrado del riesgo de negocio, y apoyo en el entendimiento de la compaa de lo que implica la gestin de riesgos. Desarrollado por Human Resources Development Canad (HRDC), el departamento federal ms grande del pas, la herramienta de comparacin describe un rango de prcticas tanto deseables como no deseables en la administracin del riesgo. Gerentes y auditores pueden usarla para medir las fortalezas y debilidades de las prcticas de administracin del riesgo y desarrollar planes de mejoramiento. HRDC desarroll la herramienta mediante un esfuerzo de colaboracin con sus analistas de las oficinas regional y nacional. Bajo el mando del grupo de auditora interno, estos analistas adaptaron los resultados de la investigacin internacional consolidada por KPMG Canad acerca de las mejores prcticas en la administracin del riesgo en organizaciones del sector pblico y privado. La herramienta de diagnstico organiza 20 indicadores de desempeo dentro de un marco holstico de cinco elementos de direccin. El situar a los empleados dentro de un marco holstico que identifica tanto fortalezas como debilidades mejora el dilogo entre el individuo y el aprendizaje de equipo. Esto tambin promueve un lenguaje comn y el entendimiento, que es clave en la transicin a un acercamiento integrado. Los gerentes pueden usar la he4

Tomado de: Risk Watch - Mature Risk Management By BASIL ORSINI. A benchmarking tool from Human Resources Development Canada facilitates assessments of risk management practices in the organization. BASIL ORSINI, CIA, CCSA, CGAP, CFE,es Director de Auditora Interna del Departamento de Desarrollo de Recurso Humano de Canad, Gatineau, Quebec.

62

anexo 3

rramienta de diagnstico para medir el nivel de maduracin de sus reas, con o sin la activa participacin de la auditora interna. La herramienta completa contiene cinco niveles progresivos de comportamiento en la madurez organizacional para describir cada indicador. Es aplicable a una variedad de riesgos de negocio, incluyendo de programa, operacional y riesgos de proyectos. La herramienta puede ser consultada en lnea tanto en ingls como en francs. Los auditores y gerentes pueden adaptar los principios y este marco de diagnstico para su propia organizacin. El instrumento diagnstico permite a auditores internos relacionar a gerentes y empleados de lneas diferentes de negocio en el desarrollo de un entendimiento colectivo de cmo integrar el manejo del riesgo. El proceso de administracin del riesgo da ocasin para que los auditores y sus clientes trabajen juntos en predecir y definir un futuro con pocas sorpresas.

CARACTERSTICAS DE NUESTRA VISIN fUTURA DE UN AMBIENTE DE ADMINISTRACIN INTEGRADA DEL RIESGO.


La cultura y filosofa existentes en la administracin del riesgo, que ayuda a los gerentes, sucede en un ambiente dinmico. La administracin del riesgo estar orientada al futuro y preactiva en contraposicin a dirigir crisis, el enfoque incluir aprovechar oportunidades, no simplemente la evasin del riesgo. No nicamente anticipando y mitigando el riesgo, sino tambin indicando como se tratan crisis cuando ellas ocurren, y como cambiar crisis por oportunidades. Un fuerte sentido de tica y valores debe manifestarse a travs de la organizacin en orden de tener una adecuada gestin del riesgo. Dar a los empleados capacitacin en la gestin del riesgo. Identifican competencias en la gestin del riesgo. Manejo del riesgo a todos los niveles de la organizacin. La gestin del riesgo alineada con la contabilidad de la organizacin. Las funciones y responsabilidades para la gestin del riesgo son claras. Riesgos estratgicos, operacionales y de proyectos estn identificados y medidos. Integracin de la gestin del riesgo con los otros procesos administrativos de la organizacin. Por ejemplo, se encadenan con los valores y la tica, la planeacin del negocio, la asignacin de recursos, la calidad del servicio al cliente, las revelaciones externas sobre planes y prioridades. Considerar el rango total de riesgos incluyendo financieros y no financieros, ejemplo, riesgos involucrados en administracin de proyectos, tecnologas de la informacin, consecuencias legales, recursos humanos, salud y seguridad, administracin del cambio. La organizacin est adaptada para identificar, mitigar, reportar y comunicar riesgos, hay un apropiado nivel de documentacin o diligencias previstas, ante decisiones con implicaciones de riesgo. Hay fuertes comunicaciones a travs de la organizacin en trminos de entendimiento del riesgo y la forma para mitigar ste. La informacin sobre riesgos es comunicada de una forma transparente.

63

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Las herramientas y tcnicas de gestin del riesgo estn disponibles para, y comnmente son aplicadas por, empleados. Se da capacitacin sobre cmo usar esas herramientas y tcnicas. La organizacin est adaptada al manejo del riesgo en un ambiente altamente pblico y poltico. Las implicaciones legales estn consideradas. La credibilidad y reputacin de la organizacin es mantenida

INTRODUCCIN A LA hERRAMIENTA DE MEDICIN MARCO


El desafo de reunir los objetivos con los recursos disponibles nunca ha sido mayor. Una de las llaves para alcanzar estos objetivos es el manejo del riesgo eficiente y eficazmente. Los siguientes indicadores de administracin del riesgo ayudan a la organizacin a medir el grado de implementacin de la administracin del riesgo en sus organizaciones. Estos ndices identifican medidas de administracin del riesgo. Esta herramienta puede ser usada como una herramienta de auto-diagnstico, o como una herramienta de entrevista. Contribuye en la planeacin porque capacita a los gerentes para enfocarse en ciertas reas, dada la identificacin de fortalezas y debilidades en la organizacin. La herramienta puede ser usada para identificar riesgos especficos a lneas de negocio, ya sea programa o corporativa. La herramienta alienta un acceso a un lenguaje comn; no obstante esto, permite variabilidad dentro de la organizacin, adaptndola a las necesidades de las unidades operativas. Estos indicadores fueron desarrollados por auditores internos en HRDC con el soporte de KPMG Canad. El criterio esta basado en mejores prcticas internacionales en administracin del riesgo. Cada indicador es medido sobre un rango continuo de 1 (baja madurez) a 5 (alta madurez) que corresponde al nivel de madurez del ambiente de administracin del riesgo. Los cinco principales indicadores de administracin del riesgo son:

1. CULTURA /fILOSOfA ORGANIZACIONAL Valora la contribucin de los empleados en la administracin del riesgo. Los empleados son alentados y se les reconoce por identificar riesgos y oportunidades, y por la determinacin de riesgos que no estn siendo manejados Cultura de administracin del riesgo. La administracin del riesgo es realizada en todos los niveles y est integrada con las prcticas de administracin de la organizacin. Las expectativas individuales y de la organizacin para la administracin del riesgo estn alineadas. Papel y responsabilidades en el manejo del riesgo. El papel y las responsabilidades son entendidas y la administracin del riesgo est interiorizando en todas las conductas de los empleados. Encadenamiento a los valores y la tica. Los acercamientos de la organizacin a la administracin del riesgo reflejan tica y valores tales como sensibilidad a consideraciones polticas y legales.

64

anexo 3

2. LIDERAZGO Y COMPROMISO Liderazgo del gerente general. Los gerentes generales estn comprometidos con el establecimiento de la administracin del riesgo a todos los niveles de la organizacin. Poltica de riesgo y marco de referencia para la administracin. La organizacin provee una perspectiva multi-disciplinaria para la medicin y la comunicacin de riesgos estratgicos y operativos. Papel y responsabilidades del gerente general. La administracin asumi un papel de liderazgo en la implementacin del concepto del arte de la administracin del riesgo 3. INTEGRACIN CON SISTEMAS Y PRACTICAS DE ADMINISTRACIN DEPARTAMENTAL Encadenamiento a los negocios y la planeacin operativa. La administracin del riesgo est integrada dentro de la planeacin de negocios y de toma de decisiones a niveles corporativos y operacionales Encadenamiento a la medicin del desempeo. La organizacin supervisa los resultados de la medicin del riesgo en el tiempo. Se encadenan las medidas estratgicas y operacionales. Encadenamiento a la calidad del servicio. La administracin del riesgo est integrada con las iniciativas de calidad del servicio. La mayor parte de la organizacin tiene formalmente adoptadas algunas medidas de calidad. Encadenamiento a la informacin de administracin departamental. Acceso en lnea para administrar informacin mediante sofisticadas herramientas y modelos de soporte en la toma de decisiones disponibles para soportar la medicin y supervisin del riesgo. Encadenamiento a la comunicacin interna y retroalimentacin sobre riesgos. Las mejores prcticas se comparten en medio de las unidades organizacionales en una manera estructurada. Las organizaciones utilizan un rango de medios, incluyendo el Internet, para comunicar la medicin del riesgo en el medio organizacional e involucra a todos los empleados en la administracin del riesgo. Encadenamiento a la comunicacin con inversionistas. La organizacin y sus inversionistas reconocen y aceptan que algunos resultados negativos son inevitables y estn, sin embargo, comunicados. 4. HABILIDADES EN ADMINISTRACIN DEL RIESGO Competencias en administracin del riesgo. La organizacin est continuamente renovando las competencias en administracin del riesgo y es conocida externamente por su capacitacin en administracin del riesgo. Tcnicas en administracin del riesgo. Las herramientas y tcnicas de administracin de riesgo departamentales estn integradas con las tcnicas de administracin del riesgo. Soporte de especialistas. Existen centros de excelencia para la administracin del riesgo con la capacidad de aconsejar pblicamente acerca del manejo del riesgo sobre una base integrada por equipos multidisciplinarios.

65

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

5. REPORTE Y CONTROL Exploracin de amenazas y oportunidades externas. La organizacin usa el arte de las metodologas de la exploracin ambiental para compartir resultados con los principales inversionistas. Controles. El ambiente de control est encadenado a los objetivos departamentales y al apetito y tolerancia al riesgo. La administracin del riesgo se implement en consideracin a la significanca del riesgo, el costo/beneficio de los controles, y la mezcla de los tipos de controles. Justificacin. La diligencia prevista en la toma de decisiones se evidencia a travs de un aceptable nivel de documentacin. Los procesos de la organizacin para la administracin del riesgo sigue el criterio de un cuerpo reconocido. Medicin y supervisin. La administracin mide el funcionamiento contra indicadores, y los resultados son rastreados en el tiempo. La administracin desarrolla proyectos para mejorar el funcionamiento, y la accin es tomada como requerido.

66

FILOSOfA/CULTURA ORGANIZACIONAL
1
Reconocimiento y sistemas de recompensas alientan al personal a manejar riesgo y a tomar ventajas de las oportunidades. La direccin se encarga del estudio de resultados positivos y negativos. La direccin alienta a sus empleados a identificar nuevos retos y oportunidades, as como los riesgos que no estn apropiadamente manejados

NIVEL DE MADURACIN 2 3 4 5

anexo 3

Valoracin de la contribucin de los empleados en la administracin del riesgo Los directores consultan a su personal y les permiten participar en iniciativas de administracin del riesgo. El personal contribuye a manejar el riesgo reconocido sobre una base ad hoc La administracin del riesgo es considerada en trminos de recompensas y sanciones. Las personas tienden a ser adversas al riesgo. El riesgo se identifica primariamente a nivel operacional y de proyecto. El concepto de administracin del riesgo es entendido intuitivamente y practicado sobre una base ad hoc. Una aproximacin cautelosa es tomada sobre toda la administracin del riesgo. El enfoque est en las oportunidades, y no justamente en la mitigacin del riesgo. Las implicaciones del riesgo son consideradas en todas las decisiones importantes. Las responsabilidades y compromisos en la administracin del riesgo estn claros, son comunicados, entendidos y seguidos. El papel y las responsabilidades de los empleados en el manejo del riesgo estn siendo establecidas (Ej. descripcin de trabajos) pero no son entendidos o seguidos en una manera consistente, los individuos entienden su papel en la gestin del riesgo intuitivamente. La administracin del riesgo est incluida en la conducta de los administradores, estn empoderados a manejar riesgos. Las responsabilidades de los directores en el manejo del riesgo son una parte integral en la medicin de sus objetivos y contratos de rendimiento. La administracin del riesgo se hace pro activamente para anticipar riesgos y desarrollar planes de mitigacin. L a administracin del riesgo considera riesgos emergentes y es proactivo. Los riesgos son manejados todo el tiempo. Las personas son animadas a ser innovadoras. La organizacin alienta una cultura de continua capacitacin y participacin. Los empleados estn altamente comprometidos en los logros de la organizacin y su papel en la administracin del riesgo. El ambiente de trabajo soporta un acercamiento proactivo al manejo del riesgo. La informacin del riesgo es compartida. Un fuerte sentido de trabajo en equipo existe a travs de la organizacin.

Un alto nivel de escepticismo existente en la organizacin.

El personal percibe mensajes mezclados sobre la tolerancia al riesgo

La administracin no valora la contribucin de los empleados en la administracin del riesgo.

Cultura de administracin del riesgo

El enfoque es primariamente sobre la respuesta a crisis y tiende a ser reactivo ms que proactivo.

La administracin del riesgo es hecha a todo nivel en la organizacin, y est fuertemente integrado con las prcticas de administracin de la organizacin. Las expectativas individuales y de la organizacin en la administracin del riesgo estn sincronizadas.

Papel y responsabilidades en el manejo del riesgo

Los empleados no se ven a si mismos como responsables del manejo del riesgo. Los papeles y responsabilidades no estn documentadas y no son claras.

La administracin del riesgo est incluida en la conducta de los empleados a todos los niveles de la organizacin. Todos los empleados se ven a si mismos como administradores de riesgo. La administracin del riesgo est perfectamente alineadas con todas las responsabilidades organizacionales.

Encadenamiento a la tica y los valores

No hay polticas de tica u orientaciones especificas. Las declaraciones de poltica son publicadas en una base ad hoc.

67

No hay una clara declaracin de valores compartidos o principios o atencin a cuestiones legales o aspectos polticos.

Los principios/orientaciones de tica y valores y las consideraciones legales/polticas son entendidos por los empleados, y son aplicados consistentemente a travs de la organizacin. La aproximacin a la administracin del riesgo est estrechamente alineada con los valores y principios ticos.

La tica y los valores ayudan al administrador a tomar un balanceado acercamiento a la administracin del riesgo y a reconciliarlo con las fuerzas externas de la competencia. La tica y los valores reconocen consideraciones de riesgo y son regularmente los llevados afuera. Mejoramientos son hechos.

La organizacin tiene una declaracin de tica. La filosofa de administracin del riesgo est reflejada en cdigos escritos de declaraciones de tica y valores. La filosofa esta atada a consideraciones polticas y legales. Las polticas escritas son comunicadas a travs de la organizacin, pero son aplicadas inconsistentemente.

La tica, valores y sensibilidad a consideraciones legales/polticas son consistentemente reflejadas en las prcticas y acciones de la organizacin, y el acercamiento a la administracin del riesgo. Una atmsfera de mutua veracidad existe a todos los niveles. Pocas infracciones o incidentes ocurren

68 1
Las iniciativas de administracin del riesgo estn soportadas por el gerente general sobre una base ad hoc. Los riesgos son tratados por los gerentes con base en conocimientos ad hoc a travs de la organizacin. La administracin del riesgo es practicada regularmente a nivel funcional/operacional. La administracin del riesgo es una actividad formal y regular del gerente general. El gerente general identifica las principales reas de riesgo y conduce a la identificacin y evaluacin de los riesgos estratgicos de la organizacin, en conjuncin con el proceso de planificacin estratgica, y asigna recursos para dirigir riesgos. Las polticas de administracin del riesgo para reas especficas de la organizacin estn formalmente documentadas, comunicadas y seguidas. Metodologas de gestin de riesgo estn disponibles y son consistentes con las polticas y practicas de administracin de riesgo departamental. Las adherencias a las polticas de gestin del riesgo departamental son supervisadas y llevadas a cabo. Una metodologa de gestin de riesgo est disponible, es de fcil entendimiento y adaptable a varios tipos de riesgo. Se tienen definidos niveles de riesgo aceptables para reas especificas. El gerente general est en el riesgo. Defiende y supervisa el marco de manejo del riesgo departamental. Est visiblemente implicado en las iniciativas y prcticas de manejo del riesgo. Comunica la importancia del manejo del riesgo y da ejemplo. Desarrolla planes de contingencia para potenciales consecuencias adversas. Recursos reflejan prioridades. Liderazgo en la administracin del riesgo est inmerso en todos los niveles de la organizacin. Los riesgos estratgicos y operacionales son manejados en una forma integrada.

LIDERAZGO Y COMPROMISO EN LA ADMINISTRACIN DEL RIESGO


2 3 4 5

LEVEL Of MATURITY

Liderazgo del gerente general

El manejo del riesgo es una preocupacin de los ge rentes, y es tratado informalmente. Los conceptos de manejo del riesgo estn mal definidos y no bien entendidos.

Polticas de riesgo y el marco de referencia para la administracin


En el mbito departamental el marco de administracin del riesgo est bien comunicado, usando un lenguaje comn. Presente en las principales reas de riesgo, est siendo aplicado a travs de la organizacin y por los inversionistas, este marco presenta los roles, responsabilidades y practicas para la gestin del riesgo. Los especialistas son los responsables de gestionar los riesgos y tomar las acciones es estas reas. Gerentes tanto a nivel corporativo como operacional identifican y responden a los riesgos de una forma bsica e intuitiva (ad hoc). Un proceso formal est disponible por lo que el gerente general asume responsabilidades por la anticipacin, supervisin y toma medidas en prcticas de gestin del riesgo. Los riesgos son identificados por el gerente general sobre una base colectiva y desarrolla planes de accin.

Slo las polticas de agencias centrales estn disponibles. No hay una documentacin formal de las polticas de administracin del riesgo a nivel departamental. Algunas polticas de administracin del riesgo han sido formalmente documentadas para manejar riesgos especficos.

La poltica de riesgo muestra los niveles de riesgo aceptables por departamentos. Una perspectiva multidisciplinaria para la medicin y responsabilidad de los riesgos estratgicos y operativos est disponible.

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Papel y responsabilidades del gerente general

El papel y las responsabilidades para la administracin del riesgo no estn claros. Las funciones de auditora y revisin son vistas como los responsables en la identificacin de los riesgos.

Las responsabilidades por la gestin del riesgo son bien entendidas por los gerentes a todos los niveles de la organizacin. La responsabilidad de gestin del riesgo est formalmente formuladas en registros de acuerdos y/o documentos de buen gobierno y son comunicadas, aplicadas y supervisadas.

L a direccin ha asumido un rol de liderazgo en la administracin por el estado de implementacin de los conceptos del arte de gestionar los riesgos y es conocida como una innovadora en sta rea. Los gerentes son a menudo llamados a proporcionar consejos a las agencias centrales y otras organizaciones.

anexo 3

INTEGRACIN CON OTROS SISTEMAS Y PRCTICAS DE ADMINISTRACIN


1
Riesgos funcionales son manejados en una base nica. El manejo del riesgo es tomado como parte de la planificacin del negocio/operacional en el nivel funcional. La gestin del riesgo en algunas instancias es tomada como parte de la planeacin del negocio/operacional pero no es consistente a travs de la organizacin. La administracin del riesgo es una parte integral de la planeacin estratgica y de negocio a nivel departamental y operacional. Los riesgos estn identificados en los planes operacionales/de negocio, y se desarrollan planes de mitigacin. Los riesgos estratgicos y operacionales estn alineados. Los planes de negocio/operacionales por toda la organizacin destacan cuestiones y riesgos que son los ms crticos para el xito de la organizacin, su nivel de prioridad, sus implicaciones en recursos y las medidas que reducen la probabilidad e impacto de los riesgos. El ingreso de inversionistas y clientes y sus implicaciones, son considerados en los anlisis de riesgo. Existen resultados de las medidas de riesgo en la organizacin a nivel estratgico y operacional. Los resultados son interpretados con relacin a los resultados de otros indicadores corporativos, resaltados con seguimiento en el tiempo. Estos resultados son compartidos en una forma bsica. Las medidas de riesgo se refinan sobre una base en curso. Los riesgos han sido identificados para los principales procesos de entrega de servicio y son bien documentados y entendidos a travs de la organizacin. Controles apropiados en relacin con los riesgos estn disponibles. Integracin de Informacin financiera y no financiera es utilizada para la medicin de los riesgos de la organizacin. Un rango de tcnicas son usadas para la medicin de los riesgos como parte de la planeacin de los negocios.

NIVEL DE MADUREZ 2 3 4 5

Encadenamiento a los negocios y la planeacin operativa

La administracin de riesgos no est encadenada con los procesos de planeacin operacional y de negocio. La administracin del riesgo no es tomada como parte de la planeacin de negocio ni dentro de un camino formalizado.

Encadenamiento a la medicin del desempeo La supervisin de los riesgos hace parte de las medidas de desempeo a nivel funcional. Las medidas de desempeo del riesgo han sido desarrolladas a nivel operacional pero no son aplicadas en forma consistente a travs de la organizacin. Existen resultados de desempeo para la medicin de riesgo a nivel de proyecto u operacin. Los resultados son super vis ados contra objetivos. La informacin es valorada por gerentes locales y es usada para la toma de decisiones y la planeacin del negocio.

L a gestin del riesgo no es considerada como una medida de desempeo departamental.

Los resultados de las medidas de riesgo son seguidas en el tiempo, las mediciones estratgicas y operativas estn enlazadas. Los resultados de las medidas de riesgo son usados para retirar negocios por los riesgos evaluados. La informacin est realmente accesible por medio de sistemas de informacin.

Encadenamiento al nivel de servicio La evaluacin de riesgo es hecha considerando opciones de entrega de servicio a nivel de proyecto y operacional. Esto no es hecho de forma consistente a travs de la organizacin.

El manejo del riesgo no es considerado en la realizacin de mejoras a la entrega de servicios.

La gestin del riesgo siempre se incluye como parte del proceso de negocio e iniciativas de mejora en la entrega de servicios. El personal ha sido entrenado en la aplicacin de tcnicas de evaluacin de riesgo considerando opciones.

La mayor parte de la organizacin tiene adoptadas formalmente medidas de calidad como ISO9000. Los riesgos han sido identificados como parte de ese proceso de acreditacin.

69

CONTINA

CONTINUACIN

70 1
La informacin operativa existente para asistir con la evaluacin de riesgo vara en grados por las unidades de la organizacin. La informacin es usualmente recolectada sobre una base independiente. Hay comunicacin ad hoc sobre eventos de riesgo dentro de las unidades organizacionales para la toma de decisiones Los gerentes tienden a trabajar por separado con alguna interaccin. La informacin existe a alto nivel para la organizacin como un todo, pero con limitada capacidad de detallarla. Informacin operativa complementaria est localmente ubicada La informacin de resultados es fcilmente accesible por toda la organizacin en sistemas de informacin. La informacin es usada en un proceso bsico de medicin de riesgos.

INTEGRACIN CON OTROS SISTEMAS Y PRCTICAS DE ADMINISTRACIN


2 3 4 5
Acceso en lnea a informacin administrativa mediante sofisticadas herramientas de soporte de decisiones y modelos disponibles para soportar la evaluacin y supervisin del riesgo

NIVEL DE MADUREZ

Encadenamiento a la informacin de administracin departamental

Informacin limitada est disponible para ayudar en la evaluacin de riesgo.

Encadenamiento a la comunicacin interna y retroalimentacin sobre riesgos Hay comunicacin directa y transparente a todo nivel en la organizacin sobre riesgos y acciones tomadas. Los gerentes proveen retroalimentacin sobre la gestin del riesgo dentro de sus jerarquas. Algo de informacin se comparte a travs de la organizacin.

No hay canales de comunicacin formal dispuestos para reportar eventos de riesgo

Las comunicaciones internas de riesgo se dan principalmente como cumplimiento a la legislacin, la regulacin y la poltica interna.

La informacin de gestin del riesgo es compartida entre las unidades organizacionales. Los empleados son motivados a discutir mejores prcticas y ensear lecciones. esfuerzos pro-activos se hacen para compartir nuevas ideas y lecciones aprendidas dentro de la organizacin.

Las mejores prcticas se comparten entre las unidades organizacionales de forma estructurada. Un gran rango de medios (como Internet) es usado para comunicar eventos de riesgo a toda la organizacin, e involucrar a todos los empleados en la gestin del riesgo. La informacin sobre mejores prcticas es integrada y fcilmente accesible. Las estrategias, objetivos, riesgos y tcticas de la organizacin para gestionar los riesgos y la tolerancia al riesgo son efectivamente y eficientemente comunicados a los inversionistas. La organizacin regularmente reporta su desempeo en la gestin del riesgo. Retroalimentaciones de los inversionistas son obtenidas e incorporadas en el ciclo de planeacin del riesgo. La organizacin y sus inversionistas reconocen y aceptan que algunos resultados negativos son inevitables y estn previamente, comunicados. La atencin a la medicin de la gestin del riesgo y los intereses de los inversionistas estn ptimamente balanceados. La organizacin tiene alta credibilidad a los ojos de los inversionistas con respecto a la administracin del riesgo.

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Encadenamiento a la comunicacin con inversionistas Se dan comunicaciones ad hoc con los inversionistas y hay algn entendimiento de sus necesidades de informacin y tolerancia al riesgo. La informacin es comunicada sobre la base de necesito conocer

Los inversionistas han sido identificados, pero no hay una comunicacin formal o conocimiento de sus necesidades de informacin o tolerancia al riesgo.

Procesos y marcos han sido implementados para regular la comunicacin con los inversionistas (accionistas) sobre riesgo y operaciones y tolerancia al riesgo. La informacin es compartida abiertamente con los inversionistas sobre una base de total transparencia y es fcilmente accesible en un formato amigable al usuario.

HABILIDADES EN LA ADMINISTRACIN DEL RIESGO


1
Las competencias en conocimiento de riesgo se han identificado y el hueco de habilidades se ha establecido. Sesiones de conciencia se han realizado pero poca o ninguna capacitacin formal ha sido dada. Educacin en el manejo del riesgo tiene alta prioridad. El hueco de habilidades est siendo atendido. Reque rimientos de capacitacin estn siendo encausados. Hay un cruce-frtil entre especialistas y gerentes. Las competencias y la capacitacin en gestin del riesgo son un componente integral de los planes de enseanza individual. Los empleados han sido entrenados y los huecos de habilidades atendidos. La capacitacin en gestin del riesgo es una parte integral del programa de capacitacin departamental.. Hay una gama bien desarrollada y amplia de instrumentos de apoyo en la toma de decisiones y modelos totalmente entendidos y usados por todo el personal. El personal entiende los beneficios y lmites de las herramientas y modelos. Las herramientas son una parte integral del anlisis del riesgo hecho como soporte para la toma de decisiones. Ms herramientas sofisticadas estn disponibles. Hay transferencia de conocimiento entre los especialistas y los gerentes. Las herramientas de gestin del riesgo estn integradas con las tcnicas y herramientas de administracin departamental. Existen fuertes lazos con los sistemas de informacin de gestin departamental. Las herramientas y modelos son evaluados peridicamente y actualizados con base en las ms recientes tecnologas. Las mayores inversiones estn en el desarrollo del personal. La organizacin est continuamente renovando las competencias requerida en la gestin del riesgo. La organizacin es conocida por su capacitacin en gestin de riesgo.

NIVEL DE MADUREZ

anexo 3

Competencias en administracin del riesgo

Existe poca o ninguna informacin a cerca de requerimientos de competencias de administracin del riesgo. La gestin del riesgo no se percibe como una competencia formal. El concepto de administracin del riesgo no esta bien entendido.

Tcnicas en gestin del riesgo L as tcnicas limitadas se focalizan en reas especficas (por ej. riesgo financiero, riesgo ambiental, seguridad ocupacional y salud, administracin de proyectos de tecnologa de informacin). Gerentes acceden a varios modelos analticos, tcnicas e instrumentos de toma de decisin que integran informacin financiera y no financiera para anlisis de riesgo. Las herramientas son utilizadas con el soporte de especialistas. Los especialistas entienden los beneficios y limitaciones de las herramientas y modelos

Limitadas tcnicas y herramientas estn disponibles para la conduccin de anlisis de riesgos. Los gerentes tienden a usar sus propios acercamientos individuales.

Soporte de especialistas

Los especialistas no estn disponibles para proveer los anlisis de riesgo que requieren los gerentes para soportar la toma de decisiones.

71

Los especialistas realizan el anlisis de riesgo bsico de las opciones de la direccin para apoyar la toma de decisiones, en respuesta a requerimientos especficos y como parte de sus mandatos de control interno. Los especialistas bsicamente son usados espordicamente. Los gerentes entienden cuando necesitan soporte

Los especialistas son conocidos en toda la organizacin y son a menudo llamados por los gerentes para proveer anlisis y consejo con respecto a la gestin de eventos de riesgo especficos. Los especialistas dan servicios de manera oportuna. Los gerentes son concientes de cmo usar mejor el soporte de los especialistas.

Los retos y el papel de los expertos consejos de los especialistas son valorados por todos los niveles de la administracin. Los especialistas son vistos como la principal manera de iniciar el cambio. Ellos tienen el conocimiento de programas y operaciones, y pueden aplicar herramientas ms avanzadas. Los gerentes estn familiarizados con el grupo de herramientas disponibles.

Ex isten centros de exce lencia para la gestin del riesgo con la habilidad de aconsejar sobre eventos de gestin del riesgo, con una base integrada de equipos multidisciplinarios. Los especialistas tienen un amplio entendimiento en asuntos estratgicos, operacionales y funcionales. Los especialistas gozan de reconocimiento al exterior de la organizacin.

REPORTE Y CONTROL
1
Las investigaciones ambientales se hacen con bases limitadas. Hay poca o ninguna agregacin de resultados. Las investigaciones ambientales se hacen regularmente sobre soportes de planeacin estratgica. Los resultados del ambiente explorado son entrada de l plan estratgico y son considerados usualmente por los gerentes. Los controles han sido establecidos para reflejar los objetivos y el apetito al riesgo. El cumplimiento de esos controles es supervisado y medido para cada funcin. El costo/beneficio de los controles es considerado regularmente en la implementacin de prcticas de administracin del riesgo. Los controles puestos estn desarrollados tanto para prevenir consecuencias negativas lo mismo que para promover resultados positivos. El significado del riesgo lo mismo que el costo/beneficio de los controles son considerados en la implementacin de practicas de gestin del riesgo. El ambiente de control est encadenado a los objetivos departamentales y el apetito al riesgo. La gestin, del riesgo se implement considerando al significado del riesgo, el costo/beneficio de los controles y la mezcla de los tipos de control. Las herramientas estn puestas para medir la representatividad de los riesgos, calcular el costo/beneficio de los controles y establecer la mezcla apropiada de controles. Los procesos de la organizacin (incluyendo la gestin del riesgo) siguen formales criterios de calidad de una institucin reconocida por ej. Cumplir ISO y satisfacer estndares de documentacin ISO. La informacin ha sido recogida para medir resultados alcanzados, como consecuencia del mejor manejo del riesgo. La Informacin no est disponible en una base de tendencias. El funcionamiento es medido contra indicadores y los resultados son rastreados en el tiempo. Los planes de accin son desarrollados para mejorar el funcionamiento, y acciones se toman cuando se requiere. Los indicadores de funcionamiento y las pruebas patrn son refinadas y puestas al da en una base en curso. Los resultados de las investigaciones ambientales son revisados en el tiempo. Se hacen anlisis de los patrones y tendencias y estos son usados como entradas en los procesos de planeacin. La organizacin usa las ms recientes metodologas para investigaciones ambientales. Los resultados se comparten con los principales inversionistas (accionistas).

NIVEL DE MADUREZ

72
Los controles son usados sobre una base emprica para responder a nuevos riesgos y a cambios ambientales. El costo/beneficio de los controles es considerado sobre una base emprica. Se presenta justificacin emprica de las decisiones e incluye documentacin de supuestos, mtodos, fuente de datos y resultados. Documentacin apropiada de las decisiones esta fcilmente disponible en papel y formatos electrnicos y es apropiado en lnea con los controles, polticas y procedimientos. El progreso en la imple mentacin de la gestin del riesgo ha sido evaluado. Indicadores para medir resultados, como consecuencia del mejor manejo del riesgo, han sido desarrollados. El alcance de la documentacin formal est atado a la significanca del riesgo y la documentacin es accesible a la organizacin con frecuencia para supervisin, toma de decisiones y entrenamiento organizacional. El marco de evaluacin existe para medir el progreso en la implementacin de la gestin del riesgo. El criterio se ha sido desarrollado y esta generalmente aceptado por la administracin.

Exploracin de amenazas y oportunidades externas

Se hacen investigaciones ambientales no formales. La evaluacin de oportunidades y amenazas externas se hace con bases informales.

Controles

Los controles existentes no estn unidos a los objetivos corporativos o apetito al riesgo. No hay criterios para evaluar cuando las prcticas de gestin del riesgo son eficientes y efectivas.

Justificacin

No hay justificacin de las decisiones o es incompleta.

Rol de la aUdiTora inTerna en la gesTin de riesgos eMpresariales en enTidades bancarias

Medicin y supervisin

No se tiene un marco de medicin para evaluar las prcticas de gestin del riesgo.

Anexo

4
PROCESOS
PC1 Definir objetivos y metas del proceso Definir el propietario del proceso Disear un proceso repetible Definir roles y responsabilidades Definir polticas, planes y procedimientos Definir mejoramiento en el desempeo del proceso PC2 PC3 PC4 PC5 PC6

TABLA DE RESUMEN

COBIT

OBJETIVOS DE CONTROL PARA LA INfORMACIN Y TECNOLOGAS AfINES

CONTROLES GENRICOS DE CONTROL PARA LOS PROCESOS DE TECNOLOGA DE INfORMACIN

CONTROLES
DE PROCESO

A PLICACIN
AC1 Preparar y autorizar datos fuente Recolectar e ingresar datos fuente Verificar que los datos son completos, autnticos y exactos Mantener la validez e integridad del procesamiento Revisar y reconciliar datos de salida y manejar errores Verificar la integridad y autenticidad de las transacciones AC2 AC3 AC4 AC5 AC6

CONTROLES DE
APLICACIN

73

CONTROLES GENERALES DE TECNOLOGA DE INfORMACIN


CRITERIOS DE INfORMACIN
E E EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD P A T F D

RECURSOS DE TI
RECURSOS HUMANOS SISTEMAS DE INFORMACIN TECNOLOGA INSTALACIONES DATOS

TABLA RESUMEN

C I A C R

DOMINIO
PO1 PO2 Planeacin y organizacin PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11 AI1 Adquisicin e implementacin AI2 AI3 AI4 AI5 AI6

PROCESO
E E

CRITERIOS DE INfORMACIN
C I A C R P

RECURSOS DE TI
A T F D

Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI) Comunicar la direccin y objetivos de la gerencia Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgos Administrar proyectos Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios

P P P P P P P P S P P P P P P P P

S S S S P S P P S P P S P P P S S S S P P S P S S S S S P S P P P S S S S S S

X X

X X

X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

X X X X

X X X X X

74

anexo 4

CRITERIOS DE INfORMACIN
E E EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD P A T F D

RECURSOS DE TI
RECURSOS HUMANOS SISTEMAS DE INFORMACIN TECNOLOGA INSTALACIONES DATOS

TABLA RESUMEN

C I A C R

DOMINIO
DS1 DS2 DS3 DS4 Entrega de servicios y soporte DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Monitoreo M1 M2 M3 M4

PROCESO
E E

CRITERIOS DE INfORMACIN
C I A C R P

RECURSOS DE TI
A T F D

Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente

P P P P

P P P S

S S

S S

S S S P

S S

S S

X X

X X X

X X X X X X

X X X X X X

X X

X S S P X X X X

X X X

X X X

P P P P P P P S

X X X X X X X X X

S S P P P S S S S S S S S S

S X P

P P P P P

P S P P P S S S S

S S S S S

X S S S S X X X X

X X X X X X X X X

X X X X X

X X X X X

75