1 ADMINISTRACION DE RIESGO OPERATIVO PARA EL AREA DE CONTABILIDAD
EN GLOBAL SECURITIES S.A
ELABORADO POR:
JUAN PABLO RODRIGUEZ DEL VALLE Código: 1017288
LINDA SUSANA VILLA JARAMILLO Código: 1016263
Anteproyecto presentado para optar al título de Contador Público
Asesor German Escobar
UNIVERSIDAD DE SAN BUENAVENTURA
FACULTAD DE CIENCIAS EMPRESARIALES
MEDELLIN – ANT
2012
2 TABLA DE CONTENIDO
LISTAS ADICIONALES
GRAFICO1.GENERALIDADES DEL RIESGO……….……….30
CUADRO 1. NORMO GRAMA SOBRE SISTEMA ADMINISTRACIÓN DE RIESGO OPERATIVO SARO………..………30
GRAFICO 2. COMPONENTES DEL CONTROL………..………..39
CUADRO 2 .PORTAFOLIO DE PRODUCTOS Y SERVICIOS………..………...46
GRAFICO 3. ORGANIGRAMA GENERAL DE GLOBAL SECURITIES. S.A. COMISIONISTA DE BOLSA………..……….47
GRAFICO 4. AREA DE CONTRABILIDAD………..……….48
GRAFICO 5. ESTRUCTURA ORGANIZACIONAL………...………65
GRAFICO 6. FLUJOGRAMA DEL PROCESO DEL AREA CONTABLE………...…….72
CUADRO 4. PROCEDIMIENTO PARA EL REGISTRO CONTABLE DE LOS RIESGOS OPERATIVO………..73
ANEXO A. ENTREVISTA SEMIESTRUCTURADA……….…………78
GLOSARIO……….……….…………5
INTRODUCCION………..………11
1. PLANTEAMIENTO DEL PROBLEMA………..………...1
1.1 DESCRPCION DEL PROBLEMA………...….…..……….…....12
1.2. FORMULACION DEL PROBLEMA ...………..……...………..…..18
1.3 SISTEMATIZACION DEL PROBLEMA………...…………..………..…18
2. OBJETIVOS GENERALES Y ESPECIFICOS……….………....19
3. JUSTIFICACION…..………...20
4. MARCO TEORICO..………….………...………..…....22
3
4.1 GENERALIDADEL DEL RIESGO………..………..….22
4.2 GENERALIDADES DEL CONTROL………….………..……..31
4.3 MARCO HISTORICO………...………..……….43
4.3.1 GENERALIDADES DE LA COMPAÑÍA………..………..…...43
4.3.1.1 RESELA HISTORICA………..………...43
4.3.1.2 MISION………….………...45
4.3.1.3 VISION………...45
4.3.1.4 OBJETO SOCIAL……….………...45
4.3.2 PORTAFOLIO DE PRODUCTOS Y SERVICIOS………..…46
4.3.3 ORGANIGRAMA………...………..…....47
5. DISEÑO METODOLOGICO……….………....49
5.1 ENFOQUE……….………..….49
5.2 TIPO DE ESTUDIO………..…...49
5.3 METODO DE INVESTIGACION………..………..…...49
5.4 POBLACION Y MUESTRA……….………...……50
5.5 VARIABLES O CATEGORIAS DE ANALISIS………..……..50
5.6 FUENTES Y TECNICAS PARA LA RECOLECCION DE LA INFORMACION………...51
5.7 TRATAMIENTO Y PROCEDIMIENTO PARA EL ANALISIS DE LA INFORMACION……….………...52
6. RESULTADOS………...………..………..53
6.1 PRESENTACION DE RESULTADOS…..………..………...…………53
6.2 ANALISIS DE RESULTADOS………...……….…………..…….53
6.3 PROCESO CONTABLE………...………...……….……….…..54
7. CONCLUSIONES……….………..……...59
8. RECOMENDACIONES………..…...62
8.1 MODELO PROPUESTO………..……63
8.2 ASPECTOS GENERALES………...………...………..……..63
4
8.3 SISTEMA DE ADMINISTRACION DE RIESGO OPERATIVO………..….……...65
8.4 MATRIZ SARO (Anexo)……….………..……..68
8.5 SEVERIDAD DEL RIESGO………..…..65
8.6 MATRIZ DE RIESGOS………..………..…...70
8.7 FLUJOGRAMA DEL PROCESO DEL AREA CONTABLE………...………..71
8.8 PROCEDIMIENTO PARA EL REGISTRO CONTABLE DE LOS RIESGOS OPERATIVOS ………...73
REFERNCIAS BIBLIOGRAFICAS………..………77
5 GLOSARIO
ACTIVIDAD: conjunto de operaciones destinadas para cumplir un procedimiento.
ADMINISTRACIÓN DE PORTAFOLIOS DE TERCEROS: es una actividad que realizan las firmas comisionistas de bolsa para lograr el fortalecimiento del capital en el mediano y largo plazo, delegando en expertos el manejo operativo y financiero de su portafolio.
ARCHIVO PLANO: base de datos que lee información de un archivo de texto, este archivo de texto tiene datos delimitados ya sean en filas o columnas, que después de una orden genera información requerida por el usurario.
BACK OFFICE: área encargada de realizar los aspectos operativos de la tesorería tales como el cierre, registro y autorización final a las operaciones.
CARTERA COLECTIVA: es todo mecanismo o vehículo de captación o administración de sumas de dinero u otros activos, integrado con el aporte de un número plural de personas, recursos que serán gestionados de manera colectiva para obtener resultados económicos también colectivos.
COMITÉ DE BASILEA: es la denominación usual con la que se conoce al Comité de Supervisión Bancaria de Basilea (BCBS, sigla de Basel Committee on Banking Supervision en inglés), la organización mundial que reúne a las autoridades de supervisión bancaria, cuya función es fortalecer la solidez de los sistemas financieros. Entre las normas de importancia que el Comité ha emitido, se encuentran las recomendaciones sobre blanqueo de capitales.
CUENTAS DE MARGEN: contratos celebrados para realizar operaciones de contado de compraventa de valores, por cuenta de un cliente, por montos superiores a los recursos aportados por éste.
6 CUENTA PROPIA:es una cuenta de intermediación en el mercado de valores, registrada por cuenta de la firma comisionista para generar dinamizar el mercado público de valores y generar Ingresos adicionales a los del contrato de comisión.
DECEVAL: depósito centralizado de valores de Colombia, es la encargada de recibir bajo custodia los títulos inscritos en el Registro Nacional de Valores con el fin de administrarlos.
DCV: depósito central de valores, es un sistema diseñado para el depósito, custodia y administración de títulos valores en forma de registros electrónicos, el objetivo primordial es eliminar el riesgo que representa el manejo de títulos físicos, facilitar las transacciones en el mercado secundario y realizar en forma segura y ágil el cobro de capital o de rendimientos financieros.
FRONT OFFICE: área encargada directamente de la negociación, de las relaciones con los clientes y de los aspectos comerciales de la tesorería.
INTERFASE: zona de contacto, conexión entre 2 componentes de “Hardware” entre dos aplicaciones o entre un usuario y una aplicación, que facilitan el intercambio e datos.
INSTRUMENTO FINANCIERO:es un contrato que da lugar, simultáneamente, a un activo financiero en una empresa y a un pasivo financiero o un instrumento de capital en otra empresa.
INVERSIONISTAS: son aquellas personas naturales o jurídicas que disponen de recursos y optan por comprar/vender títulos valores en busca de rentabilidad.
LEY SARBANEX OXLEY: es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada Sox, Sarbox o SOA.
7 La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor.
Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
MERCADO DE CAPITALES: mercado en el cual se hacen transacciones de fondos, es decir, dineros que se encuentran invertidos a largo plazo. En estos mercados también se incluyen a las entidades o instituciones que conceden y piden préstamos.
MERCADO DE RENTA FIJA: allí se llevan a cabo todas las transacciones entre los intermediarios financieros, que están con déficit o superávit de recursos. Para tal fin disponen de efectivo o títulos valores. El mercado de renta fija se caracteriza por ofrecer una rentabilidad fija a los inversionistas sin importar los movimientos futuros del mercado.
MERCADO DE RENTA VARIABLE: el mercado de renta variable es aquel en donde la rentabilidad de la inversión, está ligada a las utilidades obtenidas por la empresa en la cual se invirtió y por las ganancias de capital obtenidas por la diferencia entre el precio de compra y venta. Este mercado está compuesto por acciones, bonos convertibles en acciones-Boceas, derechos de suscripción y títulos provenientes de procesos de titularización donde la rentabilidad no está asociada a una tasa de interés específica.
MIDDLE OFFICE: área encargada, entre otras funciones, de la medición de riesgos, de la verificación del cumplimiento de las políticas y límites establecidos, y de efectuar los análisis de riesgos. Esta área es la encargada de elaborar reportes sobre el cumplimiento de las políticas y límites y de los niveles de exposición de los diferentes riesgos inherentes a las operaciones de tesorería. Por otra parte, el Middle Office es el área encargada de la revisión y evaluación periódica de las metodologías de valoración de instrumentos financieros y de medición de riesgos.
8 NORMOGRAMA: instrumento que le permite a las entidades delimitar su ámbito de responsabilidad, y soportar sus planes, programas, procesos y servicios.
OPERACIONES A PLAZO: son operaciones de compra y venta de valores a plazo; aquellas que en el momento en que se celebran, se pacta que su cumplimiento se realizará en una fecha posterior, no después de trescientos sesenta y cinco (365) días calendario.
OPERACIONES SIMULTÁNEAS: transacciones de valores compuestas por dos operaciones de compraventa, la primera denominada operación de salida y la segunda operación de regreso, celebradas en un mismo momento, sobre el mismo valor nominal y título de la misma clase y especie, y por los mismos agentes. Las dos operaciones de compraventa conllevan el traspaso efectivo de la propiedad de los valores entre el vendedor y comprador.
PRENÓMINA: es un proceso final del sistema que permite una gran cantidad de opciones y configuraciones que permitirán obtener la información necesaria para que el sistema de nómina pueda realizar los cálculos de impuestos y demás retenciones fiscales requeridas.
PROCEDIMIENTO: es una descripción detallada de las actividades necesarias para realizar un proceso.
PROCESO: es un conjunto de actividades que se realizan teniendo en cuenta entradas, transformación y salidas, buscando la elaboración de un producto y/o servicio.
O y D: software Oferta y Demanda para firmas comisionistas de Colombia, el cual permite a las firmas comisionistas manejar e integrar en sus registros contables y de control, la información generada en el proceso bursátil. Garantiza que la firma cumpla con las normas de la Bolsa de Valores de Colombia, la Superintendencia Financiera y la DIAN.
9 REPOS: operaciones de venta con pacto de recompra, en las cuales el comprador adquiere la obligación de transferir nuevamente al vendedor inicial la propiedad de los títulos negociados, dentro del plazo determinado y bajo las condiciones previamente convenidas en el negocio inicial.
RIESGO OPERATIVO: es entendido como la posibilidad de ocurrencia de pérdidas financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos.
SAFYR: Sistemas de Análisis Financiero y Rentable; está diseñada para el manejo del Back-Office de las entidades financieras, tanto de portafolios de inversión de títulos de renta fija como variable, posición propia, administración de portafolios de terceros y fondos de valores, entre sus principales características se encuentra la automatización de todos los procesos y la capacidad de interactuar con otras aplicaciones del mercado como sistemas transaccionales, sistemas contables, Infoval, entre otros.
SARO: Sistema de administración de riesgo operativo
TESORERÍA ADMINISTRATIVA: se encargada de la dirección responsable de la custodia e inversión del dinero, garantía del crédito, cobro de cuentas, suministro de fondos y seguimiento del mercado de valores en una empresa.
TESORERÍA OPERATIVA: se encarga del manejo del dinero de los clientes, las operaciones por cuenta propia y las operaciones que surgen producto del objeto socia.
10 TÍTULOS: son documentos necesarios para legitimar el ejercicio del derecho literal y autónomo que en ellos se incorpora. Pueden ser de contenido crediticio, corporativos o de participación, y de tradición o representativos de mercancías. Se clasifican en títulos nominativos, a la orden y al portador.
UPS: (Sistema de Alimentación ininterrumpida) Son dispositivos formados por un estabilizador de tensión y baterías internas. Protege los equipos de las variaciones de la tensión eléctrica y en caso de corte de energía, mantienen un suministro de energía durante algunos minutos.
INTRODUCCION
El trabajo de monografía se desarrolla como requisito para optar al título de contadores públicos de la Universidad San Buenaventura, se desarrolla en Global Securities S.A., Comisionista de Bolsa, con el objetivo de proponer un modelo para la administración del riesgo operativo en el área de contabilidad; con un enfoque cualitativo donde se utiliza la recolección de datos sin medición numérica, evaluación de controles y actividades en una determinada muestra, para el apoyo teórico se consultó la Ley Sarbanex Oxley, el informe del Comité de Basilea, la Circular Externa 041 de 2007 expedida por la Superintendencia Financiera de Colombia, la cual hace referencia a la administración del riesgo operativo, y el informe COSO (Comité de Patrocinadores de la Comisión Treadway).
El trabajo comprende ocho numerales, el primero de los cuales describe los objetivos generales y específicos, relacionados con el trabajo de la consultoría. En el segundo se señalan las generalidades del centro de práctica,
11 como es la reseña histórica, misión, visión, objeto social, portafolio de productos y servicios y organigrama. Los aspectos teóricos en relación con el riesgo, la fundamentación legal del riesgo operativo, las generalidades del control y las herramientas para la identificación, medición y valoración del riesgo, se encuentran en el Marco Teórico, numeral tercero. El tipo y método de investigación, las fuentes de información y las técnicas para su recolección, se encuentran especificadas en el numeral cuarto, Diseño Metodológico.
PALABRAS CLAVES: SARO, riesgo operativo contabilidad, Ley Sarbanex Oxley, Comité de Basilea, matriz SARO
12 TEMA:
ADMINISTRACION DE RIESGO OPERATIVO PARA EL AREA DE CONTABILIDAD
EN GLOBAL SECURITIES S.A
1. PLANTEAMIENTO DEL PROBLEMA
1.1 Descripción del problema de investigación
El riesgo, desde un concepto general, puede definirse como la probabilidad que ocurra un evento incierto, el cual puede perjudicar una operación productiva, cuando se cambian las condiciones definidas como estándar para garantizar el funcionamiento de un sistema productivo en conjunto. “Los administradores se deben centrar cuidadosamente en los riesgos en todos los niveles de la entidad y realizar las acciones necesarias para administrarlas” (Mantilla Blanco Samuel Alberto. 2001. pp. p. 47)
La esencia del riesgo también consiste en medir las probabilidades y las pérdidas estimadas; toda actividad está expuesta a diversos riesgos, convirtiéndose la sumatoria de todos en un riesgo total, el cual está compuesto en dos partes: el riesgo sistemático que es el riesgo atribuible a factores que afectan a todo el mercado y el riesgo no sistemático que es aquel que afecta un solo activo.
Desde el concepto financiero, el riesgo es un evento adverso que puede llegar a afectar las actividades relacionadas con el manejo, aprovechamiento e inversión de los recursos captados del público, es por esto que las entidades de vigilancia y control, de manera permanente expiden normas tendientes a garantizar que el desarrollo de estas actividades financieras se ejecuten en concordancia con el interés público, velando por el respeto de los derechos
13 de los usuarios que acceden a los servicios ofrecidos por las diferentes entidades que conforman el sistema financiero colombiano, tales como ahorradores, depositantes, inversionistas y asegurados.
Los órganos de regulación y control del sistema financiero, en especial la Superintendencia de Valores, fusionada en el año 2002 con la Superintendencia Financiera de Colombia, fundamentaron parte de su regulación en los principios del Comité de Basilea, los cuales formulan pautas y recomendaciones para que las entidades financieras definan lineamientos tendientes a la identificación, medición, evaluación y monitoreo de los riesgos.
El Comité de Basilea sobre el Control de los Bancos, es un comité de superintendencias bancarias, establecido en 1975 por los gobernadores de los bancos centrales del grupo de los diez países más industrializados del mundo; es el principal foro de cooperación internacional en materia de regulación bancaria y su cometido consiste en mejorar la supervisión de los bancos que operan en los mercados internacionales. Los países miembros del comité son Alemania, Bélgica, Canadá, Estados Unidos, Francia, Italia, Japón, Luxemburgo, Holanda, el Reino Unido, Suecia, Suiza, y España.
Los principios de Basilea tienen por objeto servir de referencia para los superintendentes y demás autoridades públicas dentro de los países e internacionalmente, con el fin de ayudar a establecer sistemas financieros sólidos capaces de absorber las situaciones de crisis y de servir de amortiguadores de los efectos depresivos sobre las economías y los mercados.
Formula pautas y parámetros a través de recomendaciones en la búsqueda de estándares para que las entidades encargadas de la supervisión y el control en cada uno de los países, ajusten dichas medidas hacia lineamientos a sus propios sistemas internos y con esto reducir el riesgo de las operaciones del sector bancario.
Del Pino Estela Marina.1988. Capitulo 2.Reforma del Estado del Banco Central de la Republica Argenitona.
Regulación y Supervisión del sistema financiero en los años 90. Capitulo 2. El Acuerdo de Basilea de 1988.
14 Regulación Prudencial y Capitales mínimos. Historia de Basilea y su membresía. Buenos Aires. 2003. Tesis de Maestría. (Administración y Políticas Públicas). Universidad de San Andrés. (Pag6)
Este acuerdo se adoptó para contribuir al fortalecimiento del sistema financiero mundial, debido a que cualquier deficiencia de éste, sea en un país desarrollado o en desarrollo, puede poner en peligro la estabilidad financiera; los principales temas que trata son el buen gobierno corporativo, el manejo del riesgo de crédito, el manejo de las tasas de interés, manejo de liquidez, manejo del riesgo operativo y el marco de los sistemas de control interno, entre otros.
Actualmente la Superintendencia Financiera de Colombia y la Bolsa de Valores de Colombia, tienen un marco regulatorio bastante extenso sobre los riesgos, definido con base en los principios del Comité de Basilea; han clasificado los riesgos en cuantificables y no cuantificables; a continuación de hará una descripción de cada una de estas clasificaciones.
Ley Sarbanes Oxley (SARBOX): esta ley se originó cuando en Estados Unidos de América se presentaron una serie de fraudes en la información financiera, que generó un impacto económico para los inversionistas mundiales.
Aunque la ley SAROX ha sido un impacto para las empresas; ha promovido el cambio en su sistema de control interno brindando así un mejoramiento oportuno a las políticas y procedimientos, mostrando el tiempo real de la información financiera, y documentar así a las auditorías cuando esta lo requiera.
La SAROX regula las funciones financieras, contables y de auditoría, y penaliza en una forma severa el crimen corporativo. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, cayeron ante el atractivo de ganar dinero fácil a través de empresas y corporaciones, engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores.
15 Esta ley tiene como objetivo principal brindar seguridad a las compañías que cotizan en la bolsa de valores de New York y dar una mayor certidumbre a los inversionistas; exigiendo una revisión mas rigurosa en la información financiera, previniendo la ocurrencia de problemas contables y de reporte con un nivel mayor de transparencia y responsabilidad, además promueve estándares nuevos o mejorados para la generación de informes y establece penas para quienes no lo cumplan.
Como aspectos generales se destaca la responsabilidad a nivel administrativo fortaleciendo la autoridad y las obligaciones de los auditores internos y externos.
El Comité de Auditoría, define mecanismo para evitar conflictos de interés, protege a los inversionistas y mantiene la integridad en los mercados de valores a través de mayor actividad y autoridad en reglamentación, mejora lineamientos sobre estándares contables, estándares de gobierno corporativo e incremento en el régimen sancionatorio.
La ley SAROX cuenta con tres secciones importantes, las cuales son:
Sección 302: principalmente está centrada en la realidad de los reportes financieros, ya que las áreas
administrativas y financieras deben presentar con exactitud un informe oportuno que muestra la información real, y a su vez la efectividad que tienen los controles en las compañías.
Sección 404: ésta determina que todas las compañías debe tener sus reportes financieros documentados, no
solo por el hecho de dar un reporte exacto sino también para certificar sus resultados ante las auditorías externas, esta sección es la más importante de la ley SAROX porque exige a las compañías que sus procedimientos estén sujetos a una evaluación diaria del control,
16
Sección 409: ésta sección exige a las compañías mostrar el tiempo real de todos los procesos de la empresa,
para que así se reporten las dificultades que puedan generar riesgo que requieran de un control inmediato, pues la eficacia de un proceso depende de la aplicación de un control a tiempo.
La Firma Comisionista de Bolsa debe aplicar la Ley Sarbanes Oxley, desarrollado controles para los diferentes riesgos que se pueden presentar, como lo son el riesgo operativo, de mercado, de crédito y liquidez a través de la organización de sus políticas, procedimientos y manuales, los cuales brindaran confianza a los clientes en sus inversiones financieras.
Los riesgos en el sistema financiero, se clasifican en riesgos cuantificables y no cuantificables, a continuación se hace una breve exposición de ellos:
Riesgos cuantificables: se define como una amenaza, peligro o incertidumbre a la que se ve enfrentada la organización, que permite cuantificar sus posibles consecuencias en términos monetarios cuanto este se materialice; para así proteger el patrimonio de la entidad y prevenir insolvencias.
Riesgo de mercado: se deriva de cambios en los precios de los activos y pasivos financieros y se mide a través
de los cambios en el valor de las posiciones abiertas, este puede generar la pérdida potencial por cambios en variables tales como tasa de interés, tasa de cambio y los precios.
Riesgo de crédito: probabilidad de que los intereses o el capital, o ambos, de un préstamo no sean pagados; se
presenta cuando las contrapartes están dispuestas o imposibilitadas para cumplir sus obligaciones contractuales, este también puede conducir a perdidas cuando los deudores son clasificados duramente por las agencias crediticias, generando con esto una caída en el valor de mercado de sus obligaciones.
17
Riesgo de liquidez: es aquel que genera o puede generar la pérdida potencial por no poder realizar una transacción a precios de mercado, debido a una baja frecuencia de negociación
También se entiende por riesgo de liquidez aquel que genera o puede generar, la pérdida potencial por no poder cumplir con las obligaciones inicialmente pactadas o incurrir en costos excesivos para su cumplimiento, venta anticipada o forzosa de activos a descuentos inusuales.
Riesgo contraparte.
Riesgo emisor
Riesgo reputacional
Riesgo legal
Riesgo operacional
18 1.2 formulación del problema de investigación
¿Cuáles son los riesgos operativos a los que esta expuesta el área de contabilidad de GLOBAL SECURITIES S.A, que dificulten el cumplimiento de las disposiciones emanadas de la Superintendencia Financiera de Colombia?
1.3 Sistematización del problema.
¿Qué actividades desarrollan los integrantes del área de contabilidad de GLOBAL SECURITIES S.A que contribuyan a la disminución del riesgo operativo?
¿Cuáles son las medidas para mitigar el riesgo?
¿Que parámetros o manuales hay para la contabilización de las cuentas de resultado según lo que dispone la ley Colombiana?
¿Es necesaria la información de las áreas externas a contabilidad para poder desarrollar la matriz SARO?
19 2. OBJETIVOS
OBJETIVO GENERAL
Presentar un modelo para la administración del riesgo operativo en el área de Contabilidad de Global Securities S.
A., Comisionista de Bolsa, a la luz de la circular externa 041 de 2007 y la ley Sarbanes Oxley, facilitándole a la administración el cumplimiento de las disposiciones emanadas de la Superintendencia Financiera de Colombia
OBJETIVOS ESPECÍFICOS
Identificar las actividades ejecutadas en el área de Contabilidad, mediante la observación directa y aplicando entrevistas semiestructuradas al personal que interviene en los procesos, detallándolas en una matriz de descripción de actividades, que permitan su clasificación de acuerdo con el rol asignado a cada empleado involucrado.
Describir los riesgos evidenciados en la ejecución de las actividades en el área objeto de estudio, utilizando una matriz de riesgos, categorizándolos en humanos, físicos, financieros y de información, y proponiendo acciones de mejoramiento que le permitan a la administración la mitigación de los riesgos evidenciados.
Determinar la matriz SARO para el contexto del área contable, con base en la evaluación realizada a la generación de información contable desde otras áreas y a las actividades ejecutadas en el área contable, principal componente del modelo SARO para el área objeto de estudio.
Definir parámetros para la contabilización en cuentas de resultado, de la materialización de los riesgos operativos, con base en disposiciones de la Superintendencia Financiera de Colombia.
20 3. JUSTIFICACION
Global Securities S.A., Comisionista de Bolsa, en su interés de continuar con la implementación del Sistema de Administración de Riesgo operativo SARO, requisito exigido por la Superintendencia Financiera de Colombia, se interesó en la propuesta de un trabajo de consultoría que le ayudara a identificar los riesgos operativos existentes en la ejecución de las actividades en el área contable, de tal manera que se evaluaran los procesos relacionados con la generación de información contable desde las diferentes áreas que componen la organización, que puedan acarrear el incumplimiento de la normatividad de la Superintendencia Financiera de Colombia.
El presente trabajo tiene como objetivo proponer un modelo para la administración del riesgo operativo en el área de contabilidad, proporcionando herramientas para fortalecer el proceso de recolección de información del riesgo inherente, de manera que se facilite en cumplimiento de los objetivos y cualidades de la información contable, por medio de las recomendaciones oportunas, claras, útiles y confiables para mejorar el flujo de la información y garantizar que de los registros que respaldan la gestión de los administradores, sean confiables, íntegros y oportunos.
Para el cumplimiento de los objetivos propuestos, se identificaron y describieron los riesgos actuales en el área de contabilidad, partiendo de la observación directa de las actividades ejecutadas, aplicando entrevistas semiestructuras al personal que interviene en los procesos, permitiendo obtener información detallada para la elaboración de la matriz de descripción de actividades, la identificación de los riesgos humanos, físicos, financieros y de información y proponiendo acciones de mejoramiento, con base en las cuales se sugiere un modelo para la administración del riesgo operativo para el área contable.
Se utilizaron varias fuentes de información, tales como la observación directa de las actividades y entrevistas semiestructuradas aplicadas al personal de contabilidad, permitiendo la elaboración de una matriz de riesgo donde se identifica las probables eventualidades que se presentan en el desarrollo de una actividad, a partir de esta información,
21 se construye una matriz de verificación de los controles que se han implementado tendientes a disminuir y controlar los riesgos a los que se enfrenta la firma comisionista.
El trabajo se desarrolla solo para el área contable, teniendo en cuenta, primero, la necesidad del Centro de Práctica y segundo, el tiempo disponible para el proceso de consultoría, el cual no permite ampliar el objetivo hacia otras áreas de la organización pendientes de la evaluación de los procesos para la implementación del SARO.
Al equipo de trabajo, esta consultoría le proporcionó la posibilidad de crecer profesionalmente al aplicar conocimientos adquiridos durante el transcurso de su formación como contadores, además, el trabajo en equipo, contribuyó a compartir, complementar y unificar criterios referentes con el tema, fortaleciendo las relaciones interpersonales, importantes en el desempeño laboral y personal.
Además de la necesidad y conveniencia en que se fundamenta el sistema de administración de riesgo operativo, la presente consultoría se hizo con el propósito de servir de apoyo a los administradores de GLOBAL SECURITIES S.A.
COMISIONISTA DE BOLSA, en tanto que es obligación hacer el máximo esfuerzo para asegurar el cumplimiento de la normatividad exigida por la Superintendencia Financiera de Colombia y generen efectivamente los resultados esperados, a fin de obtener una información integra, confiable, verificable que sirva para la toma de decisiones.
22 4. MARCO TEORICO
A continuación se expone el enfoque teórico que el grupo considera que le permitirá fundamentar las razones por las cuales la firma Comisionista de Bolsa debe implementar la administración del riesgo operativo, para ello se desarrollan conceptos del Comité de Basilea y las generalidades de Ley Sarbanes Oxley; se trata el tema de riesgos y sus clasificaciones, en el sector financiero, así como su fundamento legal emanado de los organismos de vigilancia y control; por último, se tratan aspectos del control y se hace una breve descripción de las herramientas para la evaluación, medición y valoración del riesgo.
4.1 GENERALIDADES DEL RIESGO
El riego, desde un concepto general, puede definirse como la probabilidad que ocurra un evento incierto, el cual puede perjudicar una operación productiva, cuando se cambian las condiciones definidas como estándar para garantizar el funcionamiento de un sistema productivo en conjunto. “Los administradores se deben centrar cuidadosamente en los riesgos en todos los niveles de la entidad y realizar las acciones necesarias para administrarlas”. (Samuel Alberto Mantilla Blanco.2001. pp. p. 47).
La esencia del riesgo también consiste en medir las probabilidades y las pérdidas estimadas; toda actividad está expuesta a diversos riesgos, convirtiéndose la sumatoria de todos en un riesgo total, el cual está compuesto en dos partes: el riesgo sistemático que es el riesgo atribuible a factores que afectan a todo el mercado y el riesgo no sistemático que es aquel que afecta un solo activo.
Desde el concepto financiero, el riesgo es un evento adverso que puede llegar a afectar las actividades relacionadas con el manejo, aprovechamiento e inversión de los recursos captados del público, es por esto que las entidades de vigilancia y control, de manera permanente expiden normas tendientes a garantizar que el desarrollo de estas
23 actividades financieras se ejecuten en concordancia con el interés público, velando por el respeto de los derechos de los usuarios que acceden a los servicios ofrecidos por las diferentes entidades que conforman el sistema financiero colombiano, tales como ahorradores, depositantes, inversionistas y asegurados.
Los órganos de regulación y control del sistema financiero, en especial la Superintendencia de Valores, fusionada en el año 2002 con la Superintendencia Financiera de Colombia, fundamentaron parte de su regulación en los principios del Comité de Basilea, los cuales formulan pautas y recomendaciones para que las entidades financieras definan lineamientos tendientes a la identificación, medición, evaluación y monitoreo de los riesgos.
El Comité de Basilea sobre el Control de los Bancos, es un comité de superintendencias bancarias, establecido en 1975 por los gobernadores de los bancos centrales del grupo de los diez países más industrializados del mundo; es el principal foro de cooperación internacional en materia de regulación bancaria y su cometido consiste en mejorar la supervisión de los bancos que operan en los mercados internacionales. Los países miembros del comité son Alemania, Bélgica, Canadá, Estados Unidos, Francia, Italia, Japón, Luxemburgo, Holanda, el Reino Unido, Suecia, Suiza, y España.
Los principios de Basilea tienen por objeto servir de referencia para los superintendentes y demás autoridades públicas dentro de los países e internacionalmente, con el fin de ayudar a establecer sistemas financieros sólidos capaces de absorber las situaciones de crisis y de servir de amortiguadores de los efectos depresivos sobre las economías y los mercados.
Formula pautas y parámetros a través de recomendaciones en la búsqueda de estándares para que las entidades encargadas de la supervisión y el control en cada uno de los países, ajusten dichas medidas hacia lineamientos a sus propios sistemas internos y con esto reducir el riesgo de las operaciones del sector bancario.
Del Pino Estela Marina.1988. Capitulo 2. El Acuerdo de Basilea 1988.
24 Este acuerdo se adoptó para contribuir al fortalecimiento del sistema financiero mundial, debido a que cualquier deficiencia de éste, sea en un país desarrollado o en desarrollo, puede poner en peligro la estabilidad financiera; los principales temas que trata son el buen gobierno corporativo, el manejo del riesgo de crédito, el manejo de las tasas de interés, manejo de liquidez, manejo del riesgo operativo y el marco de los sistemas de control interno, entre otros.
Actualmente la Superintendencia Financiera de Colombia y la Bolsa de Valores de Colombia, tienen un marco regulatorio bastante extenso sobre los riesgos, definido con base en los principios del Comité de Basilea; han clasificado los riesgos en cuantificables y no cuantificables; a continuación de hará una descripción de cada una de estas clasificaciones.
Ley Sarbanes Oxley (SARBOX): esta ley se originó cuando en Estados Unidos de América se presentaron una serie de fraudes en la información financiera, que generó un impacto económico para los inversionistas mundiales.
Aunque la ley SAROX ha sido un impacto para las empresas; ha promovido el cambio en su sistema de control interno brindando así un mejoramiento oportuno a las políticas y procedimientos, mostrando el tiempo real de la información financiera, y documentar así a las auditorías cuando esta lo requiera.
La SAROX regula las funciones financieras, contables y de auditoría, y penaliza en una forma severa el crimen corporativo. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, cayeron ante el atractivo de ganar dinero fácil a través de empresas y corporaciones, engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores.
Esta ley tiene como objetivo principal brindar seguridad a las compañías que cotizan en la bolsa de valores de New York y dar una mayor certidumbre a los inversionistas; exigiendo una revisión mas rigurosa en la información
25 financiera, previniendo la ocurrencia de problemas contables y de reporte con un nivel mayor de transparencia y responsabilidad, además promueve estándares nuevos o mejorados para la generación de informes y establece penas para quienes no lo cumplan.
Como aspectos generales se destaca la responsabilidad a nivel administrativo fortaleciendo la autoridad y las obligaciones de los auditores internos y externos.
El Comité de Auditoría, define mecanismo para evitar conflictos de interés, protege a los inversionistas y mantiene la integridad en los mercados de valores a través de mayor actividad y autoridad en reglamentación, mejora lineamientos sobre estándares contables, estándares de gobierno corporativo e incremento en el régimen sancionatorio.
La ley SAROX cuenta con tres secciones importantes, las cuales son:
Sección 302: principalmente está centrada en la realidad de los reportes financieros, ya que las áreas
administrativas y financieras deben presentar con exactitud un informe oportuno que muestra la información real, y a su vez la efectividad que tienen los controles en las compañías.
Sección 404: ésta determina que todas las compañías debe tener sus reportes financieros documentados, no
solo por el hecho de dar un reporte exacto sino también para certificar sus resultados ante las auditorías externas, esta sección es la más importante de la ley SAROX porque exige a las compañías que sus procedimientos estén sujetos a una evaluación diaria del control,
26
Sección 409: ésta sección exige a las compañías mostrar el tiempo real de todos los procesos de la empresa,
para que así se reporten las dificultades que puedan generar riesgo que requieran de un control inmediato, pues la eficacia de un proceso depende de la aplicación de un control a tiempo.
La Firma Comisionista de Bolsa debe aplicar la Ley Sarbanes Oxley, desarrollado controles para los diferentes riesgos que se pueden presentar, como lo son el riesgo operativo, de mercado, de crédito y liquidez a través de la organización de sus políticas, procedimientos y manuales, los cuales brindaran confianza a los clientes en sus inversiones financieras.
Los riesgos en el sistema financiero, se clasifican en riesgos cuantificables y no cuantificables, a continuación se hace una breve exposición de ellos:
Riesgos cuantificables: se define como una amenaza, peligro o incertidumbre a la que se ve enfrentada la organización, que permite cuantificar sus posibles consecuencias en términos monetarios cuanto este se materialice; para así proteger el patrimonio de la entidad y prevenir insolvencias.
Riesgo de mercado: se deriva de cambios en los precios de los activos y pasivos financieros y se mide a través
de los cambios en el valor de las posiciones abiertas, este puede generar la pérdida potencial por cambios en variables tales como tasa de interés, tasa de cambio y los precios.
Riesgo de crédito: probabilidad de que los intereses o el capital, o ambos, de un préstamo no sean pagados; se
presenta cuando las contrapartes están dispuestas o imposibilitadas para cumplir sus obligaciones contractuales, este también puede conducir a perdidas cuando los deudores son clasificados duramente por las agencias crediticias, generando con esto una caída en el valor de mercado de sus obligaciones.
27
Riesgo de liquidez: es aquel que genera o puede generar la pérdida potencial por no poder realizar una transacción a precios de mercado, debido a una baja frecuencia de negociación
También se entiende por riesgo de liquidez aquel que genera o puede generar, la pérdida potencial por no poder cumplir con las obligaciones inicialmente pactadas o incurrir en costos excesivos para su cumplimiento, venta anticipada o forzosa de activos a descuentos inusuales.
Riesgo contraparte: debe entenderse como aquel que genera o puede generar la pérdida potencial por incumplimiento de la contraparte debido a una situación de iliquidez o insolvencia, o falta de capacidad operativa.
También se entiende por riesgo de contraparte aquel que genera o puede generar la pérdida por incumplimiento de la contraparte debido a actuaciones impropias, ilegales o deshonestas. Esta modalidad de riesgo de contraparte también se conoce como riesgo moral.
Riesgo emisor: es aquel que genera o puede generar la pérdida por incumplimiento de las obligaciones dinerarias que adquiere la empresa o institución que emite el instrumento financiero.
Riesgos no cuantificables: se define como una amenaza, peligro o incertidumbre a que se va enfrentar la empresa y no permite determinar sus consecuencias en términos monetarios.
Riesgo reputacional: es el riesgo de que se forme una opinión pública negativa sobre el servicio prestado. El
riesgo reputacional puede derivar en acciones que fomenten la creación de una mala imagen o un posicionamiento negativo en la mente de los clientes, de tal forma que se produzca una migración de fondos hacia otras entidades debido a una pérdida de credibilidad. Este riesgo también aparece vinculado al carácter estratégico de la banca
28 electrónica, es decir, el hecho de no participar en este segmento influye significativamente en la imagen corporativa de la entidad financiera.
Riesgo legal: es aquel que genera o puede generar la pérdida potencial por el incumplimiento de las
disposiciones legales, reglamentarias y contractuales, la expedición de resoluciones administrativas y judiciales desfavorables, la aplicación de sanciones en relación con las líneas de negocio, operaciones y demás actividades que realicen las sociedades comisionistas, así como la débil estructuración de los contratos y la deficiente formalización y constitución de las garantías.
Dentro del riesgo legal se encuentra el riesgo de lavado de activos, respecto del cual las sociedades comisionistas deben cumplir estrictamente con los mecanismos y reglas de conducta establecidos por la Superintendencia de Valores
Riesgo operacional: es la posibilidad de que se produzca una pérdida financiera debido a acontecimientos
inesperados en el entorno operativo y tecnológico de la entidad, generalmente las causas de tales riesgos comprenden aspectos como: deficiencias de control interno, procedimientos inadecuados, errores humanos, fraudes, fallos en los sistemas informáticos, mal manejo o custodia de títulos físicos, inadecuado control de las transferencias de títulos mediante los depósitos de valores, entre otros.
Este riesgo genera o puede generar la pérdida potencial por fallas o deficiencias en los sistemas de información, en el sistema de control interno o por errores en el procesamiento de las operaciones, este tipo de riesgo consta de siete categorías de eventos que son:
Fraude interno: actos que de forma intencionada que buscan apropiarse de los activos de la entidad, e implica como mínimo a un empleado.
29 Fraude externo: son cometidos por personas ajenas a la entidad y buscan apropiarse indebidamente de los activos de la misma.
Prácticas de empleo, salud y seguridad del trabajo: actos que son inconsistentes con las leyes y acuerdos de seguridad y salud en el trabajo.
Prácticas con clientes, productos y de negocio: fallas no intencionales que impiden satisfacer una obligación profesional con los clientes.
Daños en activos físicos: pérdidas o daños a los activos físicos en la entidad, por causa de desastres naturales u otros sucesos.
Interrupción del negocio y fallas en los sistemas: son las interrupciones que se producen en una empresa por motivos tecnológicos y fallas en los sistemas.
Ejecución, entrega y gestión de los procesos: hace referencia a las fallas en el procesamiento de las transacciones o en la gestión de los procesos.
Bolsa de Valores de Colombia, Medellín. 234p. Recuperado
dehttp://www.bvc.com.co/normatividad/reglamento general-BVC-V2004MAY.pdf. Pag 28.
30 A continuación se presenta un esquema de las generalidades del riego
Gráfico 1. Generalidades del riesgo
Fuente: elaborado por el equipo consultor
Fundamento legal del riesgo operativo, SARO: sobre la administración del riesgo operativo la Superintendencia Financiera de Colombia ha expedido la siguiente normatividad:
Cuadro 1. Normo grama sobre Sistema Administración de Riesgo Operativo SARO
NORMA ARTÍCULO DESCRIPCIÓN
Resolución 138 de 2001
Consideraciones Teniendo en cuenta la evolución del mercado de valores, es necesario tener una estructura para el cubrimiento de los riesgos Artículo 3.7.1.1 Las sociedades comisionistas de bolsa
deberán contar con una estructura para el cubrimiento del riesgo
Artículo 3.7.1.2 La comisionista de bolsa velarán para que la estructura para el cubrimiento del riesgo esté actualizada
Circular externa 048 de 2006
La Superintendencia Financiera incluye dentro de la estructura organizacional una delegatura para el riesgo operativo
Circular externa 049 Instrucciones para la adopción de un Sistema
31
de 2006 Administrativo de Riesgo Operacional.
Circular externa 041 de 2007
Consideraciones generales
Las entidades sometidas a la inspección y vigilancia de SFC deben desarrollar, implementar, establecer y mantener SARO Numeral 3 Previa la implementación de las etapas del
SARO se debe establecer las políticas, objetivos, procedimientos para la administración del riesgo operativo.
Numeral 3.2 Deben existir políticas, procedimientos, documentos, estructura organizacional, registro de eventos de riesgo operativo.
*Fuente: elaborado por el equipo consultor
4.2 GENERALIDADES DEL CONTROL
Se entiende como control el conjunto de principios, fundamentos, reglas, acciones, mecanismos, instrumentos y procedimientos que ordenados y relacionados entre si conforman una organización, la cual ejecuta todas las actividades inherentes a la gestión, para integrar los demás procesos como planificación, ejecución y supervisión dando cumplimiento a la función administrativa, con la finalidad de evaluar las operaciones con seguridad razonable con miras a cumplir los objetivos de la compañía.
“Para hablar del control el equipo consultor considera, que se debe tratar desde su evolución con fundamentos en el artículo del contador Rafael Franco Ruiz”. (FRANCO RUIZ, Rafael. Marzo,2001.Pag. 195-221).se realiza a continuación una breve descripción de la evolución del control interno.
Evolución del control: se conocen dos vertientes de la teoría del control, como son la Latina y la Anglosajona, en donde la primera vertiente tuvo un origen como la necesidad de cuidar los intereses de las organizaciones privadas, el enfoque Latino nace en las estructuras estatales durante el paso de la barbarie a la civilización, ubicándose en primera instancia en las ciudades-estado de la Grecia clásica y desarrollándose plenamente durante la gloriosa época del Imperio Romano.
32 El control Latino tiene su origen en el Estado y luego se desplazó al sector privado con una gran influencia en las comunidades religiosas, las cuales eran las organizaciones económicas más poderosas de la edad media.
Lo más sobresaliente de las instituciones religiosas de esta época fue la Compañía de Jesús, la cual fue fundada por Ignacio de Loyola, para convertirla en fuente de financiación de las guerras santas; esta comunidad se estableció para proteger el patrimonio económico de la nobleza.
El enfoque Latino está conformado como control único, actuando integralmente, en una forma previa, perceptiva y posterior, directa y permanentemente sobre todos los recursos empresariales, tiene como objetivos proteger los intereses del Estado y la comunidad bajo la vigilancia y poder de censura.
En la vertiente anglosajona del control presenta dos modelos que son el clásico y el neoclásico, donde el clásico da un enfoque de no-intervencionismo del Estado en la actividad privada, su objetivo es detectar fraudes mediante la evaluación de cifras contables, integrándose al concepto de auditoría externa, la cual cumple la función de verificar la gestión administrativa y el correcto uso de los recursos.
El modelo clásico tiene su origen en el siglo XV, donde apareció un sector que evaluaba la razonabilidad de las cuentas de ingresos y gastos, que rendían los terceros que eran contratados por los propietarios de compañías navieras para el manejo de las naves, ante la inseguridad que representaban los piratas.
En el modelo Neoclásico el desarrollo del pensamiento administrativo fue fundamental para nuevas estructuras del control, dándose las variantes de la auditoría administrativa y la auditoría operacional donde se garantiza el control a los administradores de las organizaciones y la independencia frente a los procesos de trabajo; dentro del desarrollo administrativo también se empezó a hablar de selección de personal y reglamentaciones para regular los procesos operativos.
33 Componentes del control: el equipo consultor considera que el informe COSO actualizó la práctica del control interno, definiendo este como el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de la eficacia y eficiencia de las operaciones financiera y el cumplimiento de leyes y normas.
El control consta de cinco componentes interrelacionados que se derivan de la forma como la administración maneje el negocio, estos se tratarán a continuación:
Ambiente de control: pretende definir o establecer si el ambiente general de la organización está en un estado
o nivel adecuado para que la organización funcione efectivamente, influyendo de manera profunda en la planificación, la disciplina y estructura, la gestión de operaciones y en los procesos de mejoramiento, manteniendo su orientación hacia el cumplimiento de su funciones.
El ambiente de control busca condiciones ideales en la empresa que permiten la correcta y completa implementación de los mecanismos de control interno. Este ofrece un entorno ideal que fomenta la aplicación de los mecanismos y actividades de control y crea la necesidad y el compromiso de cada uno de los miembros de una organización con el objetivo de asegurar el cumplimiento de cada uno de los objetivos y propósitos de la misma. Si la parte humana de la empresa está convencida de la importancia de aplicar un control sobre los procesos que realiza y además encuentra condiciones que favorecen dicha aplicación, muy seguramente que este componente humano asumirá un papel protagónico en el propósito de lograr que la empresa marche a la perfección en todos sus aspectos.
Como se puede anotar, el ambiente de control forma parte exclusivamente del factor humano, pues es este el que está en disposición y en condiciones de aplicar o no los mecanismos de control. Corresponde a este la
34 implementación, seguimiento y evaluación del control; así que se debe hacer énfasis en la importancia de fomentar en el personal la cultura y el hábito del control, además de lograr que ellos tengan conciencia de la necesidad y responsabilidad ineludible con el control que se debe ejercer en cada una de las actividades que realicen dentro de la empresa.
Ahora, que se entiende por ambiente de control. Como bien resulta claro que no basta con implementar un mecanismo de control, sino existen las condiciones que así lo permitan, se debe propiciar o facilitar la aplicación efectiva de esos mecanismos establecidos. Se requiere de un entorno y unas condiciones que ofrezcan la posibilidad de ejercer control.
Como ya es claro que el control depende del factor humano, entonces es hacia éste que se deben enfocar los esfuerzos necesarios para lograr formar un ambiente para la aplicación de las actividades de control. El Entorno de control favorece la estructura en la que se deben cumplir los objetivos y la preparación del hombre que hará que se cumplan.
Evaluación del riesgo: las organizaciones, cualquiera que sea su tamaño, se enfrentan a diversos riesgos de
origen externos e internos que tienen que ser evaluados. Una condición previa a la evaluación del riesgo es la identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos debido a que las condiciones económicas, industriales, legislativas y operativas continuarán cambiando continuamente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio. La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos para identificar, analizar y tratar los riesgos correspondientes en las distintas áreas.
35 Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe identificar y analizar riesgos, cuantificarlos y prever la probabilidad de que ocurran así como las posibles consecuencias. La evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso continuo, una actividad básica de la organización, como la evaluación continua de la utilización de los sistemas de información.
Los procesos de evaluación del riesgo deben estar orientados al futuro, permitiendo a la dirección anticipar los nuevos riesgos y adoptar las medidas oportunas para minimizar y/o eliminar el impacto de los mismos en el logro de los resultados esperados. La evaluación del riesgo tiene un carácter preventivo y se debe convertir en parte natural del proceso de planificación de la empresa.
Actividades de control: las organizaciones deben contar con políticas, sistemas y procedimientos que ayudan
a cumplir los objetivos, las actividades de control son las políticas y los procedimientos que asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Y también se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la empresa.
Las actividades de control existen a través de toda la organización y se dan en toda la organización, a todos los niveles y en todas las funciones, e incluyen tareas tales como; aprobaciones, autorizaciones, verificaciones, conciliaciones, análisis de la eficacia operativa, seguridad de los activos, y segregación de funciones. En algunos entornos, las actividades de control se clasifican en; controles preventivos, controles de detección, controles correctivos, controles manuales o de usuario, controles informáticos o de tecnología de información, y controles de la dirección. Independientemente de la clasificación que se adopte, las actividades de control deben ser adecuadas para los riesgos.
Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de control les impidan operar de manera eficiente, lo que disminuye la calidad del sistema de control.
36
Información y comunicación: la información es un recurso más con el que cuenta la empresa para cumplir sus
objetivos, esta debe ser administrada de la mejor manera y útil para la toma de decisiones, es importante que la información esté acorde con las necesidades que se presentan en la organización y garantizar la efectividad y eficacia que busca la administración.
Se debe identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades.
Los sistemas informáticos producen informes que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada, dichos sistemas no sólo manejan datos generados internamente, sino también información sobre acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de gestión así como para la presentación de información a terceros. También debe haber una comunicación eficaz en un sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa.
El mensaje por parte de la alta dirección a todo el personal ha de ser claro; las responsabilidades del control han de tomarse en serio. Los empleados tienen que comprender cuál es el papel en el sistema de control interno y como las actividades individuales estén relacionadas con el trabajo de los demás. Por otra parte, han de tener medios para comunicar la información significativa a los niveles superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores, organismos de control y propietarios.
En la actualidad nadie concibe la gestión de una empresa sin sistemas de información. La tecnología de información se ha convertido en algo tan corriente que se da por descontada. En muchas organizaciones los directores se quejan de que los voluminosos informes que reciben les exigen revisar demasiados datos para extraer la información pertinente, en tales casos puede haber comunicación pero la información está presentada de manera
37 que el individuo no la puede utilizar o no la utiliza real y efectivamente.
Para ser verdaderamente efectiva la tecnología de la información debe estar integrada en las operaciones de manera que soporte estrategias proactivas en lugar de reactivas. Todo el personal, especialmente el que cumple importantes funciones operativas o financieras, debe recibir y entender el mensaje de la alta dirección, de que las obligaciones en materia de control deben tomare en serio. Asimismo debe conocer su propio papel en el sistema de control interno, así como la forma en que sus actividades individuales se relacionan con el trabajo de los demás, si no se conoce el sistema de control, los cometidos específicos y las obligaciones en el sistema, es probable que surjan problemas. Los empleados también deben conocer cómo sus actividades se relacionan con el trabajo de los demás.
El libre flujo de ideas y el intercambio de información son vitales. La comunicación en sentido ascendente es con frecuencia la más difícil, especialmente en las organizaciones grandes. Sin embargo, es evidente la importancia que tiene.
Además de la comunicación interna debe existir una comunicación efectiva con entidades externas tales como accionistas, autoridades, proveedores y clientes. Ello contribuye a que las entidades correspondientes comprendan lo que ocurre dentro de la organización y se mantengan bien informadas. Por otra parte, la información comunicada por entidades externas a menudo contiene datos importantes sobre el sistema de control interno
Supervisión y seguimiento: ayuda a valorar periódicamente la calidad de todo el sistema de control, con los
parámetros establecidos que aseguren la exactitud y validez de la información, los sistemas de control interno requieren supervisión, es decir, un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas cosas.
38 La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones.
El alcance y la frecuencia de las evaluaciones periódicas dependerán esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de los aspectos significativos observados.
Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso funciona según lo previsto. Esto es muy importante porque a medida que cambian los factores internos y externos, controles que una vez resultaron idóneos y efectivos pueden dejar de ser adecuados y de dar a la dirección la razonable seguridad que ofrecían antes; El alcance y frecuencia de las actividades de supervisión dependen de los riesgos a controlar y del grado de confianza que inspira a la dirección el proceso de control. La supervisión de los controles internos puede realizarse mediante actividades continuas incorporadas a los procesos empresariales y mediante evaluaciones separadas por parte de la dirección, de la función de auditoría interna o de personas independientes. Las actividades de supervisión continua destinadas a comprobar la eficacia de los controles internos incluyen las actividades periódicas de dirección y supervisión, comparaciones, conciliaciones, y otras acciones de rutina.
A diferencia del manejo que se le ha dado al control, existe la ley Sarbanes Oxley que ha sido más dinámica porque les da responsabilidad de evaluación a los auditores, y no a los administradores.
La ley SARBOX es el complemento de los componentes del control para mejoras las técnicas empleadas par las empresas en la actualidad. En relación a lo anterior se hará una breve reseña acerca de la Ley SAROX y sus secciones de mayor importancia para el desarrollo de esta consultoría.
A continuación se presenta un esquema de los componentes del control según el informe COSO
39 Gráfico 2. Componentes del control
Fuente: elaborado por el equipo consultor.
Procedimientos de riesgo operativo y de control: los procedimientos que se deben seguir para realizar los diferentes procesos de identificación, medición, control y monitoreo del riesgo operativo son:
Identificación de Riesgos: el proceso de la identificación del riesgo debe ser permanente, interactivo e
integrado al proceso de planeación, debe contener una metodología que ayude a la identificación y documentación de los procesos en la cual se describa el nombre del proceso, versión, autor, cargo y fecha de creación; la descripción con el nombre del proceso, descripción, objetivo, actividad inicial, actividad final y las áreas que intervienen; los indicadores, flujo gramas y las contingencias que se tienen.
Identificar los eventos de riesgo operativo. En esta etapa se debe responder a las preguntas qué, como y por
qué se pueden originar hechos que influyen en la obtención de resultados. Una manera de realizar la identificación de los eventos de riesgo es a través de la elaboración de un mapa de riesgos, el cual como herramienta metodológica permite hacer un inventario de los mismos ordenada y sistemáticamente, definiendo en primera
Evaluación de riesgo
Supervisión y seguimiento
Ambiente de control
Actividades de control
Información y comunicación
CONTROL
40 instancia los riesgos, posteriormente presentando una descripción de cada uno de ellos y las posibles consecuencias.
Reportes de los responsables del proceso: Una vez identificados todos los procesos y conocido los posibles
eventos, el siguiente paso es verificar si dichos eventos se han materializado en el pasado o se prestan las condiciones para que se dé en el futuro.
Medición de Riesgos: el objetivo de esta etapa es establecer una valoración y priorización de los riesgos con
base en la información ofrecida por los mapas elaborados en la etapa de identificación, con el fin de clasificar los riesgos y proveer información para establecer el nivel de riesgo y las acciones que se van a implementar.
Los pasos a seguir para valorar el riesgo operativo son los siguientes:
La unidad de riesgo operativo medirá la probabilidad de que se presente cada uno de los riesgos identificados
en la etapa anterior. Para tal efecto acogerá criterios tanto cualitativos como cuantitativos. Para la determinación de la probabilidad se debe considerar un horizonte de tiempo de un año.
Criterios cuantitativos: en este caso la unidad de riesgo operativo tomará como fuente de información
primaria el registro de eventos de riesgo operativo administrado por este. Con base en este registro se podrá conocer que tanto se ha materializado un riesgo en la compañía.
Criterios cualitativos: dicha medición se realizará cuando no se cuente con información histórica acerca de la materialización de un riesgo o cuando dicho riesgo no se ha presentado en la Organización, para tal efecto se tendrá en cuenta factores internos y externos que puedan propiciar el riesgo.
