Auditoría de la Gestión
Integral de Riesgo
en Instituciones Bancarias
Presentado por:
Gustavo Díaz, CPA, MBA, CIA, CFSA, CCSA
Miembro Comité CLAIN-FELABAN
AGENDA
1. Modelo de las Tres líneas de Defensa para una Efectiva Administración de
Riesgos y Control.
2. Estructura - Gestión Integral de Riesgos.
3. ¿En qué consiste la Gestión Integral de Riegos?
4. Temas Generales a considerar en la Auditoría.
5. Temas Específicos para la Auditoría.
• Riesgo de Crédito.
• Riesgo de Liquidez
• Riesgo de Mercado.
• Riesgo Operativo.
• Riesgo de Cumplimiento.
6. Conclusiones.
2
Modelo de las Tres líneas de Defensa
para una Efectiva Administración de Riesgos y Control
CONSEJO DE ADMINISTRACIÓN/COMITÉ DE AUDITORÍA
ALTA DIRECCIÓN
1ª LÍNEA DE DEFENSA
2ª LÍNEA DE DEFENSA
3ª LÍNEA DE DEFENSA
Seguridad
Gestión de Riesgos
Calidad
Control Interno
Auditoría
Interna
Regulador
Gestión
Operativa
Auditoría Externa
Control Financiero
Inspección
Cumplimiento
Normativo
3
Estructura - Gestión Integral de Riesgos
Debe ser independiente de las unidades de negocios y funcionar bajo la supervisión
y dirección del Comité de riesgos o la instancia responsable de la gestión de riesgos
al más alto nivel. Los aspectos administrativos de sus funciones será supervisada por
la Gerencia General.
JUNTA DIRECTIVA
GERENCIA GENERAL
COMITÉ DE RIESGOS
GESTIÓN INTEGRAL DE
RIESGOS
RIESGO DE
CRÉDITO
RIESGO LEGAL
RIESGO DE
MERCADO
RIESGO
OPERATIVO
RIESGO DE
CUMPLIMIENTO
4
¿En qué consiste la Gestión Integral de Riegos?
• Lograr que la información generada
por la gestión permanente de todos
los tipos de riesgos sea utilizada
para obtener una perspectiva
completa sobre el grado de riesgo
que afronta y el apetito de riesgo
que establece la Institución ante
cualquier actividad, no sólo con el
fin de cumplir las regulaciones sino
para la toma de decisiones que
permitan el crecimiento sostenido
del negocio.
5
Temas Generales para la Auditoría
En primer lugar, se deben identificar bases o criterios contra los cuales
comparar los elementos de la gestión integral de riesgos presentes en la
entidad.
Los criterios los podemos encontrar de dos fuentes principales:
Regulaciones y Mejores Prácticas.
Regulaciones
• El Salvador: NPB4-47
• Nicaragua: Resolución CD-SIBOIF423-1-MAY30 -06
• Guatemala: Resolución JM-56-2011
• Colombia: Circular Externa N°100 de
1995 y normas relativas al SAR
• Costa Rica: Acuerdo SUGEF 2-10
• Panamá: Acuerdo No. 8-2010
• Perú: Resolución SBS-37-2008
• Argentina: Comunicación “A” 5203
Mejores Prácticas
• Management of Credit Risk.
• Revisions to the Basel II Market Risk
Framework.
• Buenas prácticas para la Gestión y
Supervisión del Riesgo Operativo.
• Principios para la adecuada Gestión y
Supervisión del Riesgo de Liquidez.
• Principios para la Realización y
Supervisión de Pruebas de Tensión.
6
Temas Generales para la Auditoría
• El enfoque de la Auditoría a la
Gestión Integral de Riesgos se basa
en una evaluación a nivel de entidad
de la gestión de los riesgos sobre
los componentes y principios del
Marco de Control Interno COSO.
• En una Actividad de Auditoría
Interna bajo un enfoque de Riesgos,
la revisión del diseño y efectividad
de los controles son evaluados a
nivel de procesos y/o transacciones
en cada auditoría planificada.
7
Temas Generales para la Auditoría
Monitoreo y
Supervisión
Ambiente de
Control
Información y
Comunicación
Evaluación de
Riesgos
Actividades de
Control
8
Temas Específicos para la Auditoría
Riesgo de Crédito
La estrategia debe incluir:
Objetivos cuantitativos y cualitativos que dirijan las actividades de
otorgamiento de crédito.
Identificación del tipo de mercado al cual se orienta la
actividad crediticia.
Consideración de los aspectos coyunturales de la economía y los
cambios resultantes en la composición y calidad de la cartera de
crédito.
•
Estructura de Riesgo de Crédito.
9
Temas Específicos para la Auditoría
Riesgo de Crédito
El Marco
General
debe
incluir
como
mínimo:
Proceso sólidos de originación y seguimiento de créditos.
Un proceso apropiado para la administración, evaluación y
seguimiento de los créditos.
Controles adecuados del riesgo de crédito.
Metodologías adecuadas para valuar sus activos, para evaluar
la suficiencia de las provisiones contables y para difundir
información relacionada con su riesgo de crédito.
10
Temas Específicos para la Auditoría
Riesgo de Crédito
Las políticas y procedimientos deben ser aprobadas por la Junta
Directiva y deben:
• Mercados objetivos y productos.
• Revisión de los créditos de manera individual.
• Establecer límites.
• Grupos económicos y partes relacionadas.
• Evaluar escenarios negativos y su posible incidencia
en los deudores y contrapartes.
• Mitigadores de riesgo aceptables.
• Procedimientos y nivel de aprobación.
11
Temas Específicos para la Auditoría
Riesgo de Liquidez
La estrategia debe permitir:
Establecer una provisión de fondos que les asegure una efectiva diversificación de
las fuentes y las características del fondeo.
Evaluar regularmente su capacidad de obtener fondos rápidamente de cada
fuente e identificar y seguir los factores que puedan afectar esa capacidad.
Diversificar las fuentes de financiamiento disponibles en el corto, mediano y
largo plazo.
Promover la diversificación aplicando límites a las contrapartes, tipos de
instrumentos, y por moneda y mercado geográfico;
Limitar la concentración en una fuente específica de financiamiento.
•
Estructura de Riesgo de Liquidez.
12
Temas Específicos para la Auditoría
Riesgo de Liquidez
El Marco
General
debe
incluir
como
mínimo:
Un proceso eficaz, viable y consistente que le permita
obtener un flujo de fondos proyectado dinámico que incluya
supuestos sobre los posibles comportamientos y respuestas de
las principales contrapartes ante cambios en las condiciones.
Realizar supuestos factibles sobre sus necesidades futuras de
liquidez tanto en el corto como en el largo plazo que
reflejen la complejidad de sus negocios, productos y de los
mercados con los que opera. Verificar la validez supuestos
utilizados.
Evaluar, en particular para los principales proveedores de
fondos, la probabilidad de renovación del fondeo en
situaciones normales y de estrés.
13
Temas Específicos para la Auditoría
Riesgo de Liquidez
Las políticas y procedimientos deben ser aprobadas por la Junta
Directiva y deben:
• Definir e identificar el riesgo de liquidez.
• Interacciones entre las exposiciones al riesgo de
liquidez de fondeo y al riesgo de liquidez de
mercado.
• Valuación de los activos.
• Interacciones con otros riesgos.
• Proyección de flujos de fondos.
• Alertas tempranas.
14
Temas Específicos para la Auditoría
Riesgo de Mercado
La estrategia debe permitir:
Coordinar la información, la gestión, la toma de decisiones y los riesgos de
mercado para una gestión más eficiente.
Incluir la realización de pruebas de estrés y el establecimiento de límites
que reflejen el nivel de tolerancia al riesgo de mercado de la entidad, que
debe ser apropiado para su estrategia de negocios.
Entender las interacciones existentes entre el riesgo de mercado y los
demás riesgos de la entidad financiera.
•
Estructura de Riesgo de Mercado.
15
Temas Específicos para la Auditoría
Riesgo de Mercado
El Marco
General
debe
incluir
como
mínimo:
La documentación formal que describa sus principios
básicos y explique las técnicas utilizadas para cuantificar el
riesgo de mercado.
Las políticas y procedimientos deben establecer
criterios
claramente
definidos para determinar las
posiciones a incluir y excluir de la cartera de negociación,
así como la metodología de valuación utilizada, ajustes de
valuación y validación independiente.
16
Temas Específicos para la Auditoría
Riesgo de Mercado
Las políticas y procedimientos deben ser aprobadas por la Junta
Directiva y deben:
• Identificación de los riesgos de mercado.
• Cuantificación de la exposición al riesgo.
• Estructura de límites.
• Niveles de riesgo de mercado asumidos.
17
Temas Específicos para la Auditoría
Riesgo Operativo
La estrategia debe:
Definir los recursos adecuados en términos de personal capacitado,
procesos, sistemas de información y todo el ambiente necesario para la
gestión del riesgo operativo.
Incluir el establecimiento de una metodología que permita llevar a cabo la
identificación, medición, mitigación, monitoreo y control e información del
riesgo operativo.
•
Estructura de Riesgo de Operativo.
18
Temas Específicos para la Auditoría
Riesgo Operativo
La metodología debe:
Estar debidamente documentada.
Ser implementada en todas las áreas del
Banco.
Estar integrada a todos los procesos de gestión de riesgos
de la institución.
Establecer procedimientos que aseguren su cumplimiento.
19
Temas Específicos para la Auditoría
Riesgo Operativo
El Marco
General
debe
incluir
como
mínimo:
Manual de gestión que agrupe las políticas, funciones y
responsabilidades de las áreas involucradas, la metodología y la
periodicidad con la que se debe informar a la Junta Directiva y a
la Gerencia Superior sobre la exposición al riesgo operativo.
Realización de autoevaluaciones que detecten las fortalezas y
debilidades del entorno de control en las operaciones y
actividades de servicios en el negocio bancario.
Diseño e implementación de bases de datos en las cuales se
recopilan los eventos e incidencias de pérdida.
Planes de continuidad del negocio que garanticen la continuidad
ante la ocurrencia de eventos que puedan crear una interrupción
o inestabilidad en sus operaciones.
20
Temas Específicos para la Auditoría
Riesgo Operativo
Las políticas y procedimientos deben ser aprobadas por la Junta
Directiva y deben:
• Definir el nivel de riesgo aceptable por el Banco.
• Nuevas operaciones, productos y servicios.
• Indicadores de riesgo operativo.
• Considerar los siguientes factores: Recursos Humanos,
procesos internos, tecnología, procesos externos.
• Metodología de riesgo operacional.
• Eventos o incidencias de riesgo operativo.
21
Temas Específicos para la Auditoría
Riesgo de Cumplimiento
La estrategia debe:
Contemplar todas las áreas de riesgo, incluidos los nuevos productos,
servicios o clientes específicos, entidades y ubicaciones geográficas.
Un programa de Cumplimiento diseñado en función de los riesgos
identificados,
Incluir las leyes y regulaciones aplicables vigentes.
•
Estructura de Riesgo de Cumplimiento.
22
Temas Específicos para la Auditoría
Riesgo de Cumplimiento
El Marco
General
debe
incluir
como
mínimo:
Políticas de aceptación de clientes, lineamientos para la
actualización de la información de los clientes y metodología
para asignación de riesgos a los clientes según sus perfiles.
Procedimientos de verificación contra listas de control y
herramientas utilizadas para detectar patrones de actividad
anómalos o sospechosos para todas las cuentas.
Procedimientos de monitoreo de las transacciones de los
clientes y procedimientos para reporte de operaciones
sospechosas a las autoridades competentes.
23
Temas Específicos para la Auditoría
Riesgo de Cumplimiento
Las políticas y procedimientos deben ser aprobadas por la Junta
Directiva y deben incluir:
• Información de los clientes.
• Categorizar los clientes.
• Procesos de Debida Diligencia y
Reforzada.
• Excepciones documentarias.
Debida Diligencia
24
CONCLUSIONES





La auditoría debe considerar el marco regulatorio existente y
abarcar los principales riesgos que se gestionan.
Esta auditoría debe hacerse al menos cada año.
El equipo de trabajo de auditoría debe estar calificado para
realizarla.
Los resultados de esta auditoría se deben considerar en el
plan de trabajo.
Los resultados deben ser informados al Comité de Auditoría.
25
Descargar

ANALISIS Y EVALUACION DEL CONTROL INTERNO …