Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Obligatorio
Definicin de
Auditora Interna
Cdigo de tica
Normas
Internacionales
para la Prctica
Profesional de
Auditora Interna
Documentos de
posicionamiento
Muy recomendado
Consejos para
la Prctica
Guas para la
Prctica
Caracterstica
Antecedentes
1. Incipiente
No existe un enfoque de
gestin del riesgo
2. Conocido
3. Definido
4. Administrado
El proceso de gestin de
riesgos se desarrolla en
forma frecuente y se
comunica para la toma de
decisiones.
5. Optimizado
10
11
Administracin LBTR
Apertura
sistema LBTR
Actualizar/modificar
normas y procedimientos
sistema de pagos
Reconocimiento de
acuerdo de pagos
Revisin recursos de
recuperacin por
sanciones
Gestin y liquidacin
de operaciones (CCE,
transferencias, etc)
Administracin de
facilidades
intradiarias LBTR
Monitoreo flujo
operaciones LBTR
Autorizacin
funcionamiento empresas
servicio de canje y
compensacin ESEC
Adicin/modificacin/
cancelacin ctas.
cte. LBTR
Aprobacin reglamentos
internos s. pagos y
estatutos de ESEC
Canalizar inst.
transferencia
recursos
Verificacin cumplimiento
entregables (C. 012-2010
BCRP)
Estadsticas, reportes
sistema de pagos
Cierre S. LBTR
Liquidacin y Control de
Operaciones
Control depsitos
especiales y
plazo
Control
operaciones
cambiarias
Control
operaciones
valores emitidos
Entrada
Resultado Mesa
Negociacin BCR
(Subastas, c/v
ME, colocacin
valores, etc)
Control
operaciones
valores recompra
Registro pago
intereses encaje
Registro crdito
intradiarias
Registro inst.
transf. fondos
inst. pblicas e
internacionales
Salida
Flujo, saldos
Cta Cte en
BCRP
12
Universo de
pruebas de
auditora
13
14
15
16
Riesgo compartido
entre BCRP y
entidades financieras:
Estratgico
Operacional
SLMV
LBTR
Estratgico
Reputacin
Financiero
Operacional
Rueda de Bolsa y
Valores del Tesoro
Mensajes Swift
Descripcin
CCE
Cheques y
transferencia de crdito
Riesgo externo de
entidades financieras:
Estratgico
Financiero
Operacional
17
18
19
IDENTIFICACIN
PROCESO
RIESGO
Riesgo operacional TI
X
X
X
X
IMPACTOS
1. No poder completar procesos de liquidacin ya iniciados
2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR
4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema
3. Error Tecnologico en el Sistema LBTR
LBTR
4. Se produzca una falla en el nodo de comunicaciones del
BCRP
5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)
ANALISIS
BANCO CENTRAL DE RESERVA
DELY EVALUACIN
PER
VALORIZACION
RIESGO INHERENTE
RIESGO RESIDUAL
30
15
TRATAMIENTO: ACCIONES
SUGERIDAS PARA REDUCIR LA SEMAFORO DE ACUERDO A MAPA DE RIESGOS
PROBABILIDAD
RIESGO ALTO
RIESGO EXTREMO
CALIFICACIN
Controlado
No Controlado
Principales Controles:
- Revisin de pruebas sistema de contingencia extrema
- Vigencia de plizas de seguros para demanda por terceros por fallas operativas
- Vigencia y actualizacin de procedimientos
- Verificar funcionamiento de puntos de comunicacin
- Verificar mantenimiento de equipos e instalaciones
- Revisar correccin de eventos adversos
Cuestionario
1. Cultura/Filosofa Organizacional
2. Conocido
25%
3. Definido
4. Administrado
5. Optimizado
25%
20%
15%
15%
100%
5.1 Controles
5.2 Documentacin
TOTAL
23
Taller de RCSA
24
Taller de RCSA.
25
Consenso
por
auditados
y
auditores
Reporte gestin
de riesgos
26
Tipo de riesgo
Controles
Votacin annima
(Bajo)
Error registro de
transferencias en
sistema LBTR
Operacional:
Procesos
Demora
confirmacin
transferencias al
exterior
Conciliacin en lnea
Cumplimiento manual operativo
Operacional:
TI
Fallas al inicio en
sistema LBTR
Divulgar sistema CE
Realizar pruebas registro de
incidentes
Fallas de
conectividad LBTR
5
(Alto)
Operacional:
Personas
Operacional:
TI
Observaciones
X
X
X
X
X
n.n.n..
27
28
29
Se toma de
inventario de
procedimientos
Se emplea un
estndar de
conceptos de
controles
- Segregacin de funciones
- Costo beneficio
- Acceso a activos y archivos
- Verificacin y conciliacin
- Evaluacin de desempeo
- Rendicin de cuentas
- Documentacin fsica y virtual (Procesos,
actividades y tareas)
- Revisin (Procesos, actividades y tareas)
30
31
32
Informacin
elaborada y
actualizada por el
equipo de auditores
desde el inicio del
cambio de
metodologa
Consecuencia 1:
No poder ejecutar
liquidacin iniciada
Causa 3:
Fallas nodo de
comunicaciones
Causa 4:
Factores externos
(incendio,
recalentamiento)
Riesgo
operacional
(No poder
liquidar
transferencias
)
Consecuencia 2:
Unidades operativas
no pueden utilizar
sistema
Consecuencia 3:
Excesiva carga
manual de personal
LBTR
Consecuencia 4:
Detener operatividad
LBTR
Consecuencia 5:
No poder completar
liquidaciones
Causa 5:
Problemas de
conectividad
Causa 6:
Error humano
desconocimiento
Perfeccionar el Sistema
Contingencia externa
Causa 2:
Error tecnolgico
Causa 1:
Cada del LBTR
Consecuencia 6:
Error en transferencias
Controles
preventivos
Seleccin
de
controles
crticos
Acciones
tratamiento
de riesgos
35
Planeamiento
Trabajo de Campo
Informe
Anlisis de cumplimiento y
sustantivas de las pruebas respecto
al control interno
36
Tipo de riesgo
Controles
Pruebas de auditora
Operacional:
Personas
Error registro de
transferencias en sistema
LBTR
Operacional:
Procesos
Demora confirmacin
transferencias al exterior
Conciliacin en lnea
Cumplimiento manual operativo
Operacional: TI
Divulgar manual de
contingencia
Delegacin de
responsabilidades
Revisin de incidentes
Operacional: TI
Divulgar sistema CE
Realizar pruebas registro de
incidentes
n.n.n..
37
Poblacin
Mtodo
muestreo
Atributos
Tamao
muestra
23 000 transacciones
Seleccin
muestra
Nivel
confianza
95%
Error
tolerable
3%
Precisin
2%
38
Efectividad de Controles
Riesgo
Inherente
C1 + C2 + C3 + Cn
Riesgo
Residual
Apetito al riesgo
E1
E2
E3
E4
E5
C1
C2
Cn
A=
B=
C=
D=
E=
Optimizado
Administrado
Definido
Conocido
Incipiente
39
Matriz
controles y/o
taller RCSA
Resultados
madurez de
riesgos
Hiptesis
preliminar
conocimiento
materia
auditable
Controles crticos
Fase: Trabajo de
campo
Fase: Informe
Programa de auditora
Plan de muestreo
Resultados pruebas
auditora
40
41
42
Anexo
Desarrollo del Sistema de Pagos en el Per
43
Referencias
Assessing the Adequacy of Risk Management: Using ISO 31000 (2010)
www.theiia.org
Formulating and Expressing Internal Audit Opinions (2011) www.theiia.org
Coordinating Risk Management and Assurance (2012) www.theiia.org
Selecting, Using and Creating Maturity Models: A Tool for Assurance and
Consulting Engagements (2013) www.theiia.org
IIA Position Paper: The Role of Internal Auditing in Enterprise - Wide Risk
Management (2004) www.theiia.org
IIA Position Paper: The Three Lines of Defense in Effective Risk Management
and Control (2013) www.theiia.org
Position Statement: Risk Based Internal Auditing (2003) www.iia.org.uk
Embracing Enterprise Risk Management (2011) www.coso.org
Developing Key Risk Indicators to Strengthen Enterprise Risk Management
(2010) www.coso.org
Enterprise Risk Management: Understanding and Communicating and Risk
Appetite (2012) www.coso.org
Risk Assessment in Practice (2012) www.coso.org
Gua: Definicin e implantacin de Apetito de Riesgo (2013) www.iai.es
BANCO CENTRAL DE RESERVA DEL PER
44
Gracias
juan.villanueva@bcrp.gob.pe
45