UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL DIRECCIÓN GENERAL DE POSGRADOS
MAESTRÍA EN AUDITORÍA Y FINANZAS
TRABAJO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE:
MAGÍSTER EN AUDITORÍA Y FINANZAS
TEMA:
“DISEÑO DE AUDITORIA INTERNA BASADA EN RIESGOS OPERATIVOS PARA EL LOGRO DE LOS OBJETIVOS DEL BANCO DEL AUSTRO”
AUTOR:
MARIA LORENA PADILLA FIERRO
DIRECTOR:
HERMA CAMPOS R., M.SC
DERECHO DE AUTOR
UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL DIRECCIÓNGENERAL DE POSGRADOS MAESTRIA EN AUDITORIA Y FINANZAS
TESIS
TRABAJO DE GRADO
PARA LA OBTENCIÓN DEL TÍTULO DE MAESTRIA EN AUDITORIA Y FINANZAS
“DISEÑO DE AUDITORIA INTERNA BASADA EN RIESGOS OPERATIVOS PARA EL LOGRO DE LOS OBJETIVOS DEL BANCO
DEL AUSTRO”
Autor: María Lorena Padilla Fierro Directora de Tesis: Herma Campos Msc.
ii.
DEDICATORIA
Dedico este trabajo a Dios por haberme permitido culminar con esta etapa de formación profesional. A mi esposo por ser un apoyo incondicional, a mis queridos hijos que son mi fuente de inspiración y desarrollo
iii.
AGRADECIMIENTOS
Este trabajo es el resultado del esfuerzo conjunto por eso agradezco a mi directora de tesis Msc Herma Campos quien con su paciencia y enseñanza han hecho posible el desarrollo de esta investigación, finalmente un agradecimiento especial a esta prestigiosa Universidad que nos brindó aportes académicos para un futuro competitivo.
iv.
HOJA DE RESPONSABILIDAD
Del contenido de este documento se responsabiliza el autor,
v. CERTIFICADO
Por medio de la presente me permito certificar que el trabajo de fin de maestría titulado “Diseño de Auditoria Interna basada en Riesgos Operativos para el logro de los objetivos del Banco del Austro S.A.”, cuyo autor es la estudiante María Lorena Padilla Fierro, portadora de la C.C. # 0401131149, egresada del Programa de Auditoría y Finanzas; se encuentra terminado y ha cumplido con los objetivos establecidos en el Plan de Tesis aprobado por el Comité de Proyectos de la Dirección General de Posgrados.
Informe que pongo en su conocimiento para los fines consiguientes.
Atentamente,
vi. HOJA DE JURADO
Manuel Portilla R. Mgt. Lucy Vega M. Mgt.
Calificador 1 Calificador 2
Herma Campos R. M.Sc Directora de Tesis
DR. RODRIGO ALBUJA DIRECTOR DE POSGRADOS
TABLA DE CONTENIDO
Contenido Páginas Páginas preliminares.……..……….……… i-vi
CAPITULO I ... 8
INTRODUCCION ... 8
1.1 El problema ... 8
1.1.1 Planteamiento del problema ... 8
1.1.2 Formulación del problema ... 10
1.2 Objetivos ... 10
1.2.1 Objetivo general ... 10
1.2.2 Objetivos específicos ... 11
1.3 Justificación ... 11
1.4 Alcance ... 13
1.5 Hipótesis o proposiciones de investigación ... 14
1.6 Limitaciones y delimitaciones ... 14
CAPITULO II ... 16
MARCO DE REFERENCIA ... 16
2.1 Marco teórico ... 16
2.2 Marco conceptual ... 29
2.2.1 Definición de términos conceptuales: ... 29
2.3 Indicadores ... 32
2.4 Marco temporal y espacial... 32
CAPITULO III ... 34
METODOLOGIA ... 34
3.1 Diseño de Investigación ... 34
3.1.1 Métodos teóricos ... 34
3.1.2 Métodos empíricos ... 35
3.3 Población y Muestra ... 36
3.4 Herramientas e Instrumentos de Recolección de la Información ... 36
3.4.1 Procesamiento y Análisis de Datos ... 36
3.5 Hipótesis y variables ... 37
CAPITULO IV ... 38
RESULTADOS ... 38
CAPITULO V ... 76
CONCLUSIONES Y RECOMENDACIONES ... 76
5.1 Conclusiones ... 76
5.2 Recomendaciones ... 78
CAPITULO VI ... 81
PROPUESTA ... 81
INDICE DE TABLAS
Número y nombre de la tabla Páginas
Tabla 1. Categorías del riesgo de auditoría ………..26
Tabla 2. Resultado de la Evaluación de Control Interno………..39
Tabla 3. Pérdidas financieras por Riesgos Operativos ……….42
Tabla 4. Resultados del Plan anual de auditoría……..……….48
Tabla 5. Evaluación y calificación de los riesgos operativos .……….52
INDICE DE FIGURAS
Número y nombre de la figura Páginas
Gráfico 1. Tipos de eventos del riesgo operativo………23
Gráfico 2. Evaluación del Control Interno………..40
Gráfico 3. Pérdidas por factores de Riesgo Operativo …….………..45
Gráfico 4. Pérdidas por Riesgo Operativo años (2010-2014)………..46
Gráfico 5. Cumplimiento Plan de Auditoría ……….………..49
Gráfico 6. Riesgo Operativo Administración ...……….………..59
Gráfico 7. Riesgo Operativo en Operaciones …...………….………..60
Gráfico 8. Riesgo Operativo en Sistemas …..…...………….………..61
Gráfico 9. Riesgo Operativo en Oficina ..…..…...………….………..61
Gráfico 10. Incumplimiento de regulaciones existentes en el Banco..………...69
INDICE DE CUADROS
Número y nombre del cuadro Páginas
Cuadro 1. Ponderación de nivel de confianza y riesgo ………..39
Cuadro 2. Resultados de Control Interno ………40
Cuadro 3. Pérdidas por factor de riesgo operativo …….……….45
Cuadro 4. Pérdidas por riesgo operativo ………..46
Cuadro 5. Ponderación de evaluación de calidad de servicio …..…….……… 51
Cuadro 6. Calificación del Riesgo ……...……….………..51
Cuadro 7. Resultado Riesgo Operativo en Administración …...………..59
Cuadro 8. Resultado Riesgo Operativo en Operaciones…… ………..60
INDICE DE ANEXOS
Número y nombre del Anexo Páginas
Anexo I: Cuestionario de Evaluación de Control Interno 91
7
RESUMEN
DISEÑO DE AUDITORIA INTERNA BASADA EN RIESGOS OPERATIVOS PARA EL LOGRO DE LOS OBJETIVOS DEL
BANCO DEL AUSTRO
LORENA PADILLA
En los últimos años se ha tomado conciencia de la importancia que reviste la gestión de riesgos, es por ello que toda organización debe contar con una herramienta que garantice una buena evaluación de los riesgos que están sometidos los procesos y actividades.
Las instituciones financieras son uno de los sectores importantes en la economía de un país, de ahí que el nuevo enfoque debe ser la Auditoría Interna basada en riesgos, es aquí que el auditor interno debe enfocar su trabajo en investigar principios y prácticas de la nueva gestión.
Finalmente con la identificación de eventos de mayor impacto se establece controles que deben ser implementados de manera efectiva y sustentable
8
CAPITULO I
INTRODUCCION
1.1 El problema
1.1.1 Planteamiento del problema
Frente a los cambios que hoy en día se presentan dentro de una economía globalizada que por su complejidad traen consigo la incertidumbre y el riesgo que las instituciones confrontan se hace necesario nuevos retos para enfrentar los cambios; de ahí que toda organización debe contar con una herramienta que garantice una buena evaluación de los riesgos que están sometidos los procesos y actividades. No existe ninguna forma de reducir el riesgo a cero, el riesgo es inherente en toda organización, de ahí que la dirección de las empresas debe determinar cuál es el nivel de riesgo que se considere aceptable y mantenerlo dentro de estos límites. Por consiguiente la Auditoría Interna debe funcionar para agregar valor y mejorar las operaciones que contribuyan al cumplimiento de sus objetivos y metas, es decir el auditor interno es la pieza clave en el análisis y posterior toma de decisiones por los órganos directivos para corregir, mitigar o contrarrestar el riesgo en sus organizaciones. (Instituto de Auditores Internos, 2006)
9 éticos, ambientales, financieros y operativos, explicar cómo los gestionan para lograr un nivel tolerable.
Las instituciones financieras son unos de los sectores importantes de la economía de un país. En los últimos años ha evolucionado notablemente, existen cambios tanto en la parte operativa, el mercado de valores, la complejidad del comercio exterior, así como en la automatización de los sistemas. El crecimiento que ha tenido el sector bancario en nuestro país hace que exista también una mayor exposición al riesgo dado los diferentes productos que se ofrece a los clientes en función a sus necesidades; en los últimos años los organismos de control han implementado metodologías de trabajo en función a la administración de riesgos. (Silva, 2005).
10 permitirá a las instituciones financieras alcanzar los objetivos y generar valor a las partes interesadas, debido a que el mayor fondeo se basa en los ahorros de los depositantes, por lo que el Comité de Basilea implementa el Proceso de Administración de Riesgos y es así que la (Superintendencia de Bancos del Ecuador), con resolución No. JB-2004-631 del 22 de enero de 2004 incorporó el Capítulo I del Título X “De la Gestión integral y control de riesgos” según indica en la Codificación de Resoluciones Bancarias de la Superintendencia de Bancos.
1.1.2 Formulación del problema
El propósito de la presente investigación es diseñar un modelo de auditoría interna para el Banco del Austro S.A. basados en la normativa legal emitida por la Superintendencia de Bancos del Ecuador, para determinar los principales riesgos operativos a los que está expuesto el Banco y la aplicación de los controles que permitirán disminuir la pérdida financiera, cuidar la reputación y evitar eventos que pongan en riesgo a la institución.
¿De qué manera el diseño y futura implantación de auditoría interna basada en riesgos operativos permitirá alcanzar los objetivos del Banco del Austro?
1.2 Objetivos
1.2.1 Objetivo general
11
1.2.2 Objetivos específicos
Realizar un diagnóstico de los riesgos operativos actuales del Banco del Austro S.A.
Definir un modelo de Auditoría Interna basado en riesgos operativos aplicable al Banco.
Conocer los objetivos corporativos de la institución y establecer una relación con el modelo de Auditoría Interna seleccionado.
Identificar falencias en los procesos de control.
Determinar las necesidades de control interno del Banco.
Adaptar el modelo de Auditoria Interna basada en riesgos operativos a las necesidades de control interno del Banco.
Hacer una propuesta de actividades que minimice el riesgo operativo del Banco.
1.3 Justificación
12 estrategias y objetivos que permiten establecer un punto de equilibrio entre rentabilidad y riesgos asociados. (Torres, 2006)
El rol de la auditoría interna frente a la gestión de riesgo empresarial es dar aseguramiento objetivo a los directivos sobre la efectividad de las actividades del sistema de control interno de una entidad. Es importante señalar que la gerencia mantiene la responsabilidad de la gestión de riesgos es así que el auditor interno será quien soporte a las decisiones gerenciales sobre riesgos. (Gangoiti, 2012)
Esta investigación tendrá un impacto en la sociedad ya que el Modelo de Auditoría basada en riesgos permitirá a las Instituciones Financieras privadas proteger los intereses del público, accionistas, proveedores, empleados y así contribuir con la económica del país.
La presente investigación no tendrá un impacto teórico, ya que se considera que se generaría un impacto práctico al contarse con una herramienta Matriz de Riesgos Operativos la misma que permite realizar una planificación de actividades direccionada al control y minimización de riesgos a nivel institucional.
13 el sueño de las personas en el ámbito el Buen Vivir, por lo que desde el sector financiero se aporta a la construcción de un estado basado en el bienestar de todos los ciudadanos.
Con la presente investigación se pretende aportar con una herramienta metodológica de Auditoría Interna basada en riegos operativos que servirá de guía para la ejecución de actividades de control del Banco.
Para esta investigación poseo la debida experiencia y acceso a la información debido a que generará valor agregado en las actividades del Banco, adicionalmente considero poseer los recursos económicos, espacio y tiempo para llevar a cabo la investigación.
1.4 Alcance
La presente investigación tiene como finalidad convertirse en un aporte significativo a las áreas de Riesgos y Auditoría Interna del Banco del Austro S.A. en donde se espera detectar las debilidades a través de la identificación de puntos vulnerables en las tecnologías de información y aquellas que hacen referencia específicamente a la gestión del riesgo operativo en las instituciones financieras, utilizando como guía de trabajo un enfoque de riesgos conforme lo requiere la legislación ecuatoriana y las mejores prácticas establecidas por el Comité de Basilea.
14 Aunque todas las áreas y departamentos de la
entidad estaban de algún modo implicados en este marco de gestión integral del riesgo operacional, el departamento de auditoría interna, aunque quede relegado a desempeñar un papel supervisor como establecen los principios de Basilea, seguía ocupando un lugar destacado al ser quien en la mayoría de los casos había impulsado e iniciado los procesos (Fernández, 2007: p. 83).
Con el manejo oportuno, adecuado y efectivo del riesgo operativo la institución se fortalece radicalmente, ganando de esta manera, el sistema financiero, los socios, clientes; en sí todos los actores de la sociedad.
En esta investigación se realizará una diagnóstico de los riesgos operativos a fin de identificar falencias en los procesos de control, determinar cuáles son las necesidades de control para poder efectuar una propuesta de actividades que minimice el riesgo operativo del Banco del Austro y así definir un modelo de Auditoría Interna basado en riesgos operativos, lo que permitirá adaptar dicho modelo a las necesidades de control del Banco.
1.5 Hipótesis o proposiciones de investigación
Si se diseña y luego se aplica la Auditoría Interna basada en riesgos operativos entonces se logra realizar actividades de control que permiten el logro de los objetivos del Banco.
1.6 Limitaciones y delimitaciones
15 Banco. Podría servir como base de prácticas de auditoría para otras instituciones financieras.
16
CAPITULO II
MARCO DE REFERENCIA
2.1 Marco teórico
Dadas las transformaciones en los modelos de operación de negocios, la auditoría de hoy enfrenta la necesidad de cambiar de un enfoque de verificación de soportes de transacciones con posterioridad a los hechos a un enfoque preventivo y proactivo basado en la valoración de los riesgos del negocio y la evaluación de la efectividad y eficiencia de los procedimientos y controles internos establecidos en las organizaciones. (Torres, 2006)
(Silva, 2005) Señala que en las entidades financieras la administración tiene exigencias tendientes a mejorar el control y alinear sus procesos en la consecución de la misión y visión por lo que se implantan controles internos. Concebido es que los controles internos promueven la eficiencia, reducen los riesgos de pérdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de las leyes regulaciones. Una parte importante es la gestión de riesgos porque permite a una entidad establecer y evaluar sus controles internos e informar a la dirección de que dichos controles son sólidos.
17 dirección debe determinar la cantidad de incertidumbre que la empresa está preparada para aceptar. La gestión integral de riesgo permite a la administración tratar efectivamente la incertidumbre, riesgo y oportunidad, de tal modo de aumentar la capacidad de la entidad de construir valor y con ello se consigue:
Alinear la estrategia de la organización con el riesgo
Incrementar la respuesta al riesgo
Proveer respuestas integradas a múltiples riesgos.
Identificar oportunidades.
Mejorar la distribución de capital.
Reducir las pérdidas y sorpresas operacionales
Identificar y administrar riesgos que enfrenta la organización.
La evaluación del riesgo de control es el proceso de evaluar la efectividad de los procedimientos y políticas de la estructura de control interno de una entidad para evitar o detectar las declaraciones incorrectas importantes en los estados financieros. Después de obtener el conocimiento de la estructura de control interno, el auditor puede evaluar el riego de control al nivel máximo para algunas o todas las aseveraciones, porque considera que los procedimientos y políticas probablemente no sean adecuados o porque no resulta práctico evaluar su efectividad (Rozen, 2011).
18 Cabe indicar que la Auditoría Interna no ha tenido un buen posicionamiento en las organizaciones ejerciendo funciones limitadas de revisión, es por ello que se debe evolucionar con un nuevo escenario adecuado a las exigencias del mercado con un plan a mediano y largo plazo; el rol del auditor interno pasó de revisor a asesor de los diferentes departamento a fin de que estos cumplan con sus misiones; procurando una mayor participación en las actividades y orientados en los objetivos de la empresa. De ahí que la Auditoría Interna
“es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” (Instituto de Auditores Internos, 2006: p 17).
El Auditor Interno debe trabajar en todas las áreas de la organización relacionados con la identificación de riesgos relevantes, la estimación de la frecuencia con que se presentan los riesgos identificados así como la valoración de la posible pérdida que pueda ocasionar y una determinación de los objetivos de control más convenientes. Durante la evaluación de la cantidad y calidad de las exposiciones al riesgo se debe tener en cuenta la necesidad de garantizar a un nivel razonable la integridad de la información, eficacia de las operaciones, el cumplimiento de leyes, reglamentos y políticas.
“En consecuencia, la misión de este profesional está sujeta a especiales riesgos, por lo mismo estará sujeta también a una integra formación moral. Es decir si la profesión reviste de perfeccionamiento técnico, de vocación, las prácticas morales son las más valiosas” (Rivera, 1998: p. 223).
19 fraude, la malversación y el dolo; y, considerando que la empresa pública o privada es la cédula la que coadyuva en el desarrollo del país, por tanto la responsabilidad se convierte en el fortalecimiento para el normal crecimiento de la actividad económica. Para un desempeño eficiente el auditor debe mantener un perfil acorde a los avances de la sociedad, poseer actitudes y aptitudes que le permitan desarrollar un trabajo de acuerdo a la necesidad de sus clientes, en base a la realidad nacional pero siempre en observancia de los lineamientos que reviste su profesión. La auditoría interna encaja dentro de la evaluación de riesgos son quienes deben estar alertas ante los riesgos significativos que puedan afectar a los objetivos a las operaciones o a los recursos; sin embargo los procesos de aseguramiento no garantizan que se puedan identificar todos los riesgos significativos.
El control interno está orientado a prevenir o detectar errores e irregularidades, la diferencia entre error e irregularidad está dada en la intención del hecho, el error se refiere a las omisiones no intencionales y el término irregularidad se refiere a errores intencionales, de ahí que los controles internos deben brindar una confianza razonable de que las operaciones han sido elaboradas en base a un esquema de control. En la actualidad los miembros de la administración de una entidad están enfocados en asumir responsabilidades de control a fin de poder actuar en el momento de su implantación, dejando de lado que estos controles recaigan en la propia organización. (Becchio J., 2011)
20 además de prevenir fraudes, errores, violación a principios y normas. Una adecuada diligencia sobres estos aspectos es una parte clave de estos controles, sin la debida diligencia, los bancos pueden llegar a estar sujetos a riesgos inherentes a su actividad tales como riesgo de crédito, liquidez, tasa y mercado, reputación, operativos, legales y de control.
En el Ecuador una de las principales causas de la crisis financiera en la década de los noventa fue la ausencia de políticas de gestión de riesgos sin considerar a los riesgos asociados. Entre las principales causas fue la falta de control por parte de la Superintendencia de Bancos en lo que respecta principalmente a créditos vinculados, empresas fantasmas todo ello causo el perjuicio a miles de depositantes generando un malestar social. Es importante rescatar que todo banquero debe tener principios éticos y morales por cuanto es quien administra el dinero de terceros, los mismos que deben ser examinados en forma periódica para evitar una nueva crisis. Con lo cual las instituciones financieras tienen necesidad de identificar, medir y controlar con precisión, los niveles de riesgos asumidos, ante estos los organismos de control financiero han orientado su trabajo hacia la supervisión preventiva de riesgos. (Gonzalez J., 2007)
Según (Gonzalez J, 2007) el acuerdo de Basilea II es una regulación bancaria que entró en vigencia en el año 2006 en donde exige a las entidades financieras mayor preocupación por la medición y gestión de riesgos; este acuerdo introduce tres pilares fundamentales:
Pilar I: Establecer requisitos mínimos de capital
21
Pilar III: Disciplina del mercado, referida a la transparencia informativa sobre el riesgo y el capital de cada entidad.
Toda organización se ve afectada por los riesgos tales como riesgo de negocio, riesgo operacional y riesgo financiero; es así que un Banco tiene sus propios riesgos producto de la actividad financiera tales como: riesgo de crédito o insolvencia, riesgo de interés, riesgo de liquidez y riesgo de mercado. En las entidades financieras el riesgo de mayor importancia es el riesgo de crédito y de mercado. (Lizarzaburo, 2012)
La administración de riesgos surge por la necesidad de investigar a que están expuestas las empresas y seleccionar las herramientas de control a utilizar para minimizarlo, lo más importante es que la alta Dirección sea consciente de las amenazas de los riesgos específicos del giro del negocio y tengan en cuenta las diferentes alternativas para neutralizar y que ponen en peligro la existencia de la empresa. (Rozen, 2011)
Según los autores Torres & Lizarzaburo el riesgo afecta a todas las organizaciones, lo esencial es implementar procedimientos de control, de ahí que la gestión de riesgo se compone de tres elementos que son:
Establecimiento del contexto: consiste establecer hasta que punto una empresa está dispuesta asumir el riesgo
Análisis del riego: es medir en función a vulnerabilidad, causa e impacto.
Tratamiento del riesgo: una vez conocido el riesgo es necesario tratarlo mediante eliminación, transferencia.
22 objetivo es brindar una seguridad razonable para la toma de decisiones basadas en análisis y no en percepciones; la gestión del riesgo debería ser parte de la cultura organizacional, estar incorporada en las prácticas y procesos de una organización: De ahí que la gestión de riesgos se relaciona con otras disciplinas como Gobierno Corporativo y Responsabilidad Social. (Torres, 2006)
Debido a la importancia que tienen las instituciones financieras en la economía es importante contar con un Gobierno Corporativo y se lo define como una serie de relaciones entre la gerencia de la compañía, su directorio, sus accionistas y otros grupos de interés, el gobierno corporativo ayuda a establecer una estructura sobre la que se fijan
los objetivos de la organización y los medios para alcanzarlos. Las prácticas
de un buen Gobierno Corporativo son esenciales para mantener la confianza
pública en el sistema bancario. (Becchio, 2011)
(Torres, 2006) Indica que el Buen Gobierno surge en Estados Unidos con la publicación del Informe Coso, consiste que las empresas cuenten con un sistema de establecimiento de políticas, estrategias y controles orientados al logro de los objetivos empresariales, las principales funciones del buen gobierno son:
Estructura, composición y equilibrio del directorio.
Normativa y controles eficaces por los que se debe regir el directorio
Control sobre las actuaciones de los directores autorizados.
Desarrollar códigos de conducta y de ética.
Dependencia de la función de auditoría.
Definir los objetivos, políticas y estrategias de la empresa.
Implantación de normas.
Gestionar el riesgo.
23
Establecer procedimientos y proceso.
El riesgo operativo es la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en los procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos (Superintendencia de Bancos, 2005).
En coordinación con el sector financiero, el Comité de Basilea ha identificado los siguientes tipos de eventos que pueden resultar en pérdidas sustanciales por riesgo operativo (Comité de Basilea, 2003):
Gráfico 1. Tipos de eventos del riesgo operativo
Fuente: Comité de Basilea 2003
Elaboración del autor
Los factores del Riesgo Operativo según la Codificación de Resoluciones
Bancarias de la Superintendencia de Bancos son: RIESGO
OPERATIVO
FUENTES
•Procesos internos •Personas
•Tecnología de información •Eventos externos
EVENTOS •Fraude interno •Fraude externo •Relaciones y seguridad
social
•Clientes, productos y prácticas comerciales •Daños o pérdidas de
activos
•Interrupción del Negocio y Sistemas
24
Procesos: se debe contar con procesos alineados con la estrategia y agrupados así: procesos gobernantes o estratégicos, procesos productivos fundamentales u operativos y proceso habilitantes, de soporte o apoyo. Las instituciones deben definir políticas para un diseño, control, actualización y seguimiento de los procesos.
Personas: administrar el capital humano e identificar las fallas asociadas al personal como falta de personal adecuado, negligencia, error humano, nepotismo, mal ambiente laboral y los procesos corresponden a: proceso de incorporación, procesos de permanencia y procesos de desvinculación.
Tecnología de información: contar con tecnología de información que permite la captura, procesamiento, almacenamiento y transmisión de la información de forma oportuna y confiable para la adecuada toma de decisiones de la alta gerencia.
Eventos externos: ocurrencia de eventos ajenos al control de la institución tales como: falla en servicios públicos, desastres naturales, atentados y otros que pongan en riesgo las actividades.
Los Eventos de Riesgo Operativo según la Codificación de Resoluciones Bancarias de la Superintendencia de Banco son:
Fraude interno: es la apropiación indebida de bienes o no cumplimiento de regulaciones, leyes que generan pérdidas producto de la mala actuación encaminada a defraudar en las que participan al menos una parte interna de la entidad.
25 aquí se incluyen los eventos de robos, falsificación, ataques informáticos, otros.
Relaciones laborales y seguridad en el puesto de trabajo: son las pérdidas que se originan por la incompatibilidad de la legislación o acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el pago de reclamaciones por daños personales, o sobre casos relacionados con discriminación en el trabajo.
Clientes, productos y prácticas empresariales: por el incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos se generan pérdidas.
Daños a activos materiales: pérdidas derivadas de daños o perjuicios a activos físicos como consecuencia de desastres naturales u otros eventos de fuentes externas.
Interrupción del negocio y fallos en los sistemas: pérdidas derivadas de incidencias o interrupciones en el negocio y de fallas en los sistemas.
Ejecución, entrega y gestión de procesos: en el procesamiento de operaciones o en la gestión de procesos se producen errores que generen pérdidas.
26 El plan de auditoría debe contar con un enfoque de gestión de riesgos, este plan debe reflejar las estrategias y la dirección más actualizada, existen casos que el plan se debe revisar de forma periódica respondiendo a los cambios del negocio, controles de la organización. De ahí que la actividad de auditoría interna no es inmune a los riesgos, por lo que el riesgo de auditoría tiene tres categorías: fallos de auditoría, fallo aseguramiento y riesgo de reputación. (Tabla 1)
Tabla 1. Categorías del riesgo de auditoría
Riesgos de Auditoría Prácticas para mitigar los riesgos
Fallos de Auditoría
No cumplimiento de normas internacionales para la práctica profesional de auditoría interna.
Revisar periódicamente el plan anual y realizar un proceso de planificación efectivo.
Programa no apropiado de aseguramiento de calidad.
Implementar programa de Aseguramiento de Calidad.
Falta de evaluación de riesgos para identificar áreas críticas de auditoría.
Falla en los procedimientos y pruebas de riesgos y controles.
Diseñar auditoría de forma efectiva
Uso de equipos que no poseen el nivel de competencia de acuerdo al riesgo del área.
Distribuir adecuadamente los recursos.
Decisión errada ante un evidencia de un fraude; no es material, falta recursos para la situación observada.
Fortalecer la revisión gerencial.
Fallo Aseguramiento
Es el nivel de confianza basado en percepciones en lugar de hechos, cuando la actividad de auditoría interna está envuelta en un asunto puede crear un nivel falso de aseguramiento.
Comunicar el rol de la auditoría interna a la alta gerencia, comité y partes claves interesadas.
Comunicar que cubre la evaluación del riesgo.
Implementar un proceso de aceptación de proyecto el cual incluye el rol de auditoría.
Si los auditores internos son usados como miembros de un equipo de proyecto debe documentarse su rol y alcance.
27 …Continuación
Riesgo Reputación
La confianza en la calidad del trabajo es lo principal, por ello se debe impulsar en mantener la credibilidad.
Mejorar todo el proceso de auditoría.
Evaluar periódicamente la actividad de auditoría para mitigar riesgos.
Reforzar el código de Ética.
Asegurar que auditoría interna cumpla con políticas y procedimientos de la empresa
Fuente:Instituto de Auditores Internos
Elaboración del autor
El riesgo operativo es la pérdida ocasionada por fallas de los procesos, el personal y los sistemas internos o externos, es complejo como consecuencia de la diversidad de las causas; este riesgo suele presentar de acuerdo a la diversidad de frecuencias de los eventos que pueden ser diarios, cada semana o mes, sin que exista regularidad, esto varia según la naturaleza de cada entidad. (Comité de Basilea, 2003)
El riesgo operativo había sido considerado como no cuantificable, de acuerdo al Comité de Basilea y con los eventos de pérdidas significativos asociados a este riesgo, puede representar peligros a la solidez y seguridad del sistema financiero internacional; por tal razón la administración de riesgos operativos es un tema de estudio reciente a nivel mundial. La gestión del riesgo se realiza en base a controles internos y auditorías, esto permite identificar las fuentes de exposición al riesgo operativo, pero no permiten cuantificarlo. (Díez, 2012)
28 negocio, daño a los activos físicos, interrupción del negocio y fallas en los sistemas, ejecución y manejo de procesos. Las fuentes de información para estos eventos suelen provenir de datos históricos de pérdidas al interior de la entidad, datos sobre pérdidas de otras entidades del sector, indicadores de riesgo que alerten sobre la ocurrencia de pérdidas y juicio de los expertos de la probabilidad de que ocurrencia de estos eventos. Con la aplicación de una metodología para el riesgo operativo permite identificar las principales fuentes de riesgo, cuantificar la exposición al mismo y calcular las provisiones para cubrir cualquier evento de pérdida que se presente. (Lizarzaburo, 2012)
La naturaleza de las actividades primarias de las Instituciones Financieras, esto es la intermediación de recursos del público a través de captaciones u otras obligaciones para ser transformados en préstamos e inversiones con diversos plazos de vencimiento, involucran concomitantemente el que éstas tengan que asumir una amplia gama de riesgos que deben ser medidos, controlados, administrados y gestionados adecuadamente, a fin de que contribuyan positivamente a los resultados operativos y a mantener la viabilidad de la entidad financiera como negocio en marcha en el mediano y largo plazo, asegurando en la medida de lo posible operaciones sanas y sólidas. El manejo efectivo del riesgo en un Banco involucra contar con procesos, políticas, tecnología y sistemas de control adecuados. (Rozen, 2011)
29 crítico de la estrategia de la institución y del proceso de toma de decisiones de la administración de la entidad. La gestión de riesgo operativo debe permitir al Directorio y a la Alta Gerencia contar con una visión clara de la importancia relativa de los diferentes tipos de exposición al riesgo operativo y su prioridad, con el objeto de alertarlos en la toma de decisiones y acciones. La función de Auditoría Interna coadyuva al mejoramiento de la efectividad de la administración de riesgos a través de una evaluación periódica, pero no es directamente responsable de la gestión del riesgo operativo. (Instituto de Auditores Internos, 2006)
La administración del riesgo operativo constituye un proceso continuo y permanente, es necesario que las entidades conformen bases de datos centralizadas, suficientes y de calidad, que le permita registrar, ordenar, clasificar y disponer de información sobre los eventos de riesgo operativo; fallas o insuficiencias incluidas las de orden legal; y, factores de riesgo operativo clasificados por línea de negocio, determinando la frecuencia con que se repite cada evento y el efecto cuantitativo de pérdida producida y otra información que la entidad considere necesaria y oportuna, para que a futuro pueda estimar las pérdidas esperadas e inesperadas atribuibles a este riesgo.
(Díez, 2012)
2.2 Marco conceptual
2.2.1 Definición de términos conceptuales:
30 revisión de operaciones contables y de otra naturaleza, con la finalidad de prestar un servicio a la dirección. (Madariaga, 2004)
Riesgo Operativo.- Es la posibilidad de que se produzcan pérdidas debido a eventos originados en fallas o insuficiencia de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos. Incluye el riesgo legal pero excluye los riesgos sistémico y de reputación. Agrupa una variedad de riesgos relacionados con deficiencias de control interno; sistemas, procesos y procedimientos inadecuados; errores humanos y fraudes; fallas en los sistemas informáticos; ocurrencia de eventos externos o internos adversos, es decir, aquellos que afectan la capacidad de la institución para responder por sus compromisos de manera oportuna, o comprometen sus intereses. (Superintendencia de Bancos, 2005)
Actividades.- El análisis de las actividades de control es utilizado para comprobar o verificar, mediante pruebas selectivas, que las principales observaciones detectadas como consecuencia del análisis de los demás componentes son correctas. (Laski, 2006)
Control Interno.- Los modernos conceptos de control establecen que éste constituye una función inherente a la gestión, integrada al funcionamiento organización y a la dirección institucional; y por lo tanto, dejar de ser una función asignada a un área específica de la organización como contaduría o auditoría interna. El control, bajo esta nueva concepción, se orienta a procurar todas las condiciones necesarias para que un equipo de trabajo ponga su mejor esfuerzo en pos de lograr los resultados deseados o planificados, ya que promueve y fomenta el buen funcionamiento de la organización. (Laski, 2006)
31 de la organización. El entorno de control proporciona disciplina y estructura para la consecución de los objetivos principales del sistema de control interno. (Instituto de Auditores Internos, 2006)
Pérdidas financieras.- Resultado de la gestión de una empresa caracterizada por el hecho de que los Costos han sido mayores que los Ingresos del período. Contablemente, las pérdidas también como resultado una disminución del patrimonio de la empresa. (Diccionario Economía, 2014)
Evaluación de riesgos.- Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos. La evaluación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto. (Price Waterhouse Coopers, 2004)
Incumplimiento.- El término incumplimiento se usa para referirse a actos de omisión o comisión por parte de la entidad que se está siendo auditada, ya sea en forma intencional o no intencional, y que son contrarios a las leyes y reglamentos vigentes. (ISA, 1996)
Identificación de eventos.- Se debe identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos. Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados. Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos. (Price Waterhouse Coopers, 2004)
32 de riesgo de la entidad. Las respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido. En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos (Price Waterhouse Coopers, 2004).
2.3 Indicadores
Evaluar el Ambiente de Control Interno
Pérdidas financieras ocasionadas por Riesgos Operativos Cumplimiento del Plan Anual de Auditoría
Evaluar los riesgos operativos en base a la matriz de riesgos Incumplimiento de las regulaciones existentes en el Banco Identificar eventos y respuestas a los riesgos
2.4 Marco temporal y espacial
La presente investigación se realizó en el Banco del Austro S.A. que es una institución financiera que lleva en el mercado más de tres décadas, orientada a satisfacer las necesidades de los ecuatorianos, quien creen que valores como solidez, eficiencia y sobre todo integridad son vitales para construir un negocio; siendo el último atributo el que más caracteriza a este Banco, el cual siempre estará cerca de la gente compartiendo sus ideales y haciendo realidad su más anhelados sueños. Más de 80 oficinas a nivel nacional cuentan con todos los productos y servicios que el Banco ofrece a sus clientes, que conjugados con la atención personalizada y el apoyo tecnológico que requiere la banca moderna, marcan la diferencia del Banco del Austro.
33 la líder del segmento de bancos medianos del país, la Matriz se encuentra ubicada ubicado en la calle Sucre y Borrero esquina.
Marco Temporal
34
CAPITULO III
METODOLOGIA
3.1 Diseño de Investigación
El diseño de esta investigación es explicativo, observacional y correlacional, este trabajo se enmarcará en el tipo explicativo para fortalecer los objetivos institucionales, va a permitir identificar a detalle las relaciones directas o indirectas entre las causas y consecuencias del fenómeno investigado. El objetivo de la investigación será tener un análisis de los pormenores existentes en una entidad financiera en función a la variable de riesgos operativos y desarrollar un modelo de auditoría interna que minimice los riesgos.
Es observacional porque solo se miró la ocurrencia del fenómeno, no existió en este trabajo manipulación de la variable independiente para ver que pasa con la variable dependiente. Es correlacional porque pueden existir otros factores que den el mismo efecto de ocurrencia del riesgo.
3.1.1 Métodos teóricos
Método de análisis para conocer a profundidad el problema, falencias y conocer las necesidades de control.
35
Método inductivo para conocer todos los procesos, los problemas, falencias del manejo de riesgos operativos en la institución financiera parte de esta investigación.
Método deductivo utilizado para identificar en la literatura el modelo más idóneo para este tipo de instituciones adaptarlo y transferirlo a la Unidad de Auditoria Interna del Banco.
Observación Científica durante todo el proceso investigado; desde la identificación del problema hasta la propuesta de transferencia (modelo) de la alternativa de solución.
3.1.2 Métodos empíricos
Para la recolección de información se utilizará los siguientes métodos empíricos de estudio como:
La observación de los casos de riesgos operativos producidos en el Banco y que han sido levantados por la Unidad de Riesgos.
Revisión de literatura para conocer el estado actual del problema investigado y posibles alternativas de solución teórica.
Entrevista a expertos para conocer las mejores prácticas, tendencias actuales, enfoques y la validación de instrumentos.
Revisión de registros operativos de procesos para la identificación de falencias y debilidades.
36 Los datos recogidos durante el proceso investigativo fueron tratados mediante la estadística descriptiva y en porcentajes y frecuencias.
3.3 Población y Muestra
Para llevar a cabo esta investigación se revisará la información de los casos de riesgos operativos, se tomará como la unidad de análisis a los departamentos de: “Unidad de Riesgos” y “Auditoría Interna” del Banco del Austro S.A., enfocado a la detección, análisis y control del riesgo operativo.
3.4 Herramientas e Instrumentos de Recolección de la Información
Para dar una respuesta al objetivo de investigación que es la detección temprana del riesgo operativo, se utilizó la técnica de observación de los casos de riesgos levantados por la Unidad de Riesgos del Banco, a fin de permitir caracterizar la situación actual de la gestión de riesgos. Y revisión del proceso actual, revisión de documentos, mapas de riesgos levantados y su incidencia en el Banco.
Además, se realizaron revisiones de la información recolectada en investigaciones anteriores es decir una fuente secundaria con la consulta de resultados ya obtenidos que permitieron evaluar la incidencia del riesgo actual en relación a hechos históricos.
3.4.1 Procesamiento y Análisis de Datos
37 Luego de la aplicación de la prueba de observación, los datos fueron recogidos de forma manual, para el proceso de la información se realizó cuadros estadísticos, gráficos, para ser presentados y analizados. Esta aplicación permitirá inferir en los resultados de la investigación a través de la correlación de las variables objeto del estudio.
3.5 Hipótesis y variables
Si se diseña y luego se aplica la Auditoría Interna basada en riesgos operativos entonces se logra realizar actividades de control que permiten el logro de los objetivos del Banco.
Operalización de variables
Variables Indicadores Instrumentos
Variable
Independiente:
Auditoría Interna basada en riesgos operativos
Variable
Dependiente:
Actividades de control para logro objetivos Banco
Evaluación del ambiente de control interno
Cuestionarios de control interno
Pérdidas financieras Estados financieros
Cumplimiento Plan de auditoría
Plan anual de auditoría alineado a los objetivos del Banco.
Evaluación de los riesgos operativos
Matriz de riesgos operativos.
Incumplimiento de las
regulaciones existentes en el Banco..
Políticas y
regulaciones
vigentes en la entidad financiera.
Falta de identificación de
eventos y respuesta a los riesgos
38
CAPITULO IV
RESULTADOS
Indicador: Evaluación del Ambiente de Control Interno
Para evaluar el ambiente de control interno se utilizó como instrumento un Cuestionario de Control interno que es utilizado por la Unidad de Auditoría Interna en cada área de su revisión, dicho cuestionario contiene preguntas que se encaminan con las actividades de: Ambiente de Control, Evaluación del riesgo, Actividades de control, Información comunicación y Monitoreo y control.
El cuestionario de control interno aplicado en el Banco contiene 336 preguntas clasificadas en las actividades anteriormente detalladas, se adjunta el Anexo I. Para su evaluación se utilizó la siguiente fórmula:
Fórmula de cálculo de Control Interno
Nivel de confianza: NC = CT/PT*100 Nivel de Riesgo RI= 100%-NC%
Dónde:
39
Aplicación de la fórmula
Calificación Total 265
Calificación Negativa 69
Ponderación Total 334
Tabla 2. Resultado de la Evaluación de Control Interno
Resultado Evaluación
Nivel de confianza ( 265 / 334) *100 79% Alto
Nivel de Riego 100 - 79 21% Bajo
Elaboración del autor
Cuadro 1.Ponderación de nivel de confianza y riesgo
Nivel de Confianza
Ponderación Desde Hasta
Bajo 15% 50%
Moderado 51% 75%
Alto 76% 95%
Elaboración del autor
Para evaluar el ambiente de control interno del Banco se aplicó el Cuestionario de Control Interno el cual arroja los siguientes resultados:
Nivel de Riesgo
Ponderación Desde Hasta
Bajo 5% 24%
Moderado 25% 40%
40
Cuadro 2. Resultados de Control Interno
Obtenid
o Esperado %
Ambiente de Control 37 48 14%
Evaluación del Riesgo 45 55 17%
Actividades de Control EEFF 69 75 26%
Act. Control Sucursales y Agencias 58 86 22%
Información y Comunicación 28 36 11%
Monitoreo y control 28 36 11%
265 336 100%
Elaboración del autor
Gráfico 2. Evaluación del Control Interno
Elaboración del autor
Como resultado de la evaluación del ambiente de control interno podemos indicar que:
14%
17%
26% 22%
11%
11% Ambiente de Control
Evaluación del Riesgo
Actividades de Control EEFF
Act. Control Sucursales y Agencias
Información y Comunicación
41
Existe una adecuada estructura de autoridad y de responsabilidad en el Banco, lo que permite aseverar que se mantiene un adecuado control del área dentro de los límites establecidos.
La Gerencia ha establecido las políticas y procedimientos adecuados para el manejo y control de las actividades ejecutadas, los cuales han sido comunicado a los empleados. De nuestra evaluación al Nivel de Riesgo inferimos que es Bajo con un 21% y un nivel de confianza alto con el 79%, por lo cual las actividades de auditoría serán encaminadas en el cumplimiento de pruebas de control.
Las diferentes áreas generan la información apropiada para la Gerencia para proporcionar información exacta, oportuna y relevante en un formato adecuado.
Parece existir una adecuada asignación de deberes al personal responsable del manejo, registro y control de las actividades desarrolladas.
Existe un apoyo por parte de la Gerencia para implementar y verificar el control establecido sobre las actividades y los sistemas contables.
Consideramos que existe una adecuada salvaguarda física de documentos de valor, bienes fijos, personas.
42 De los 33 eventos registrados, el 42% corresponde al factor personas que representa el mayor factor de riesgo dado que es el 53% del monto de pérdidas. El segundo factor es personas con el 58% que representa el 10% de las pérdidas registradas.
Indicador: Pérdidas financieras
Para cuantificar el riesgo operativo los datos se obtuvieron del Banco del Austro S.A., la cual aportó con información de pérdidas económicas que fueron registradas en los estados de resultados de los respectivos últimos cuatro años para cada uno de los eventos de riesgo operativo tomados de Enero 2010 a Diciembre 2014, para los cálculos se utilizó la información generada hasta Diciembre de 2014 que servirá para la validación de los resultados obtenidos.
El Banco ha registrado un total por Riesgo Operativo de USD$2.873 millones en el período analizado, de los cuales ha logrado recuperar USD$ 768 mil a través de seguros, cobro al personal involucrado entre otros. Obteniendo un gasto total para la institución por pérdidas de Riesgo Operativo de USD$2.105millones.
Tabla 3. Pérdidas financieras por Riesgos Operativos Fecha Identificación del Riesgo Operativo Factor de Riesgo
2010
Operativo emite cheques de gerencia a favor de familiares, apropiándose indebidamente de estos valores mediante la utilización de los mismos para
su cobro. Tecnológico
2010
Asalto ocasionado por delincuentes, obligando al
personal de cajas aperturar la bóveda pulmón Externo
2010
Abandono de trabajo por el Supervisor de Cajas, personal de control del Banco realiza arqueo de
efectivo en el que se detecta un faltante. Personas
43 Continuación…
Fecha Identificación del Riesgo Operativo Factor de Riesgo
2010
Falta de contabilización en emisión de certificados bancarios, los responsables registran en su planilla manual la comisión, sin embargo al elaborar la planilla automática se omite dichos registros, falta de control del Supervisor ocasiona apropiación de dinero en beneficio
personal. Personas
2010
Cliente realiza un depósito en su cuenta y según el efectivo recibido por la Cajera difiere del registrado en la papeleta depósito, ocasionado por la falta de detalle del efectivo recibido (Cajera
registra el detalle). Personas
2010
El Cajero de forma arbitraria tomó para su uso personal dinero. Negligencia por parte de la Supervisora al no verificar el cierre del efectivo
del personal de cajeros. Personas
2010
Supervisor sustrae dinero mediante N/C realizadas en cuentas cerradas de clientes, acreditando en su cuenta personal. Falta de seguimiento de políticas internas en proceso de
registros. Procesos
2010
Auxiliar de cuentas procesa en forma manual movimiento de ciertas cuentas, sin que exista un
control superior en registros contables. Personas
2011
Delegación de funciones para cuadre de cajeros automáticos, a personal sin la respectiva
inducción y/o entrenamiento. Personas
2012
Falta de verificación en cuadre de movimientos de cuentas corrientes para su registro contable y
cotejamiento de los diferentes sistemas. Tecnológico
2012
Personal de Revisoría y Control por exceso de confianza con Supervisor de Cajas sustrae
efectivo de la bóveda. Personas
2012
Pago de cheques de gerencias sin observar el tipo
y formato del cheque Externo
2012
Personal de confianza por parte de cliente sustrae cheques y estos son cobrados en diferentes
oficinas. Externo
2012
Uso de taxis en horas fuera de horario de labores
para uso personal. Personas
2012
Disposición de dineros de clientes en su beneficio
personal. Personas
2012
Apertura de cuentas corrientes o de ahorros a negocios o empresas que reciben depósitos con cantidades importantes sin el respectivo tengan
justificativo del origen de estos dineros. Procesos
2012
Asistente de cartera utiliza dineros de clientes en beneficio propio y no abona a las cuotas de
créditos. Procesos
44 Continuación…
Fecha Identificación del Riesgo Operativo Factor de Riesgo
2012
Créditos otorgados a clientes con documentación fraudulenta, falta de cumplimiento en proceso de
crédito. Procesos
2013
Carta reclamo del cliente, indica no haber cobrado el Certificado de depósito a plazo por el
titular. Personas
2013
Movimientos inusuales en cuenta de cliente y apropiación indebida de dinero mediante
cualquier forma de pago. Externo
2013
Créditos concedidos con documentación falsa o
forzada. Procesos
2013
Reclamo de cliente por falta de depósito en su cuenta, originado por error en digitación (se
acredita a otra cuenta) Personas
2013
Reclamos de clientes por retiros en los ATM no realizados por ellos, detección de clonación de
tarjetas de débito. Externo
2013
Claves de usuarios no son activadas en tiempos
prudentes Personas
2014
Falta revisión en documentación de depósitos, inconsistencia de información en dichos
documentos. Externo
2014
Se detecta la propagación de Virus por messenger, infectando algunos equipos. El antivirus que es utilizado por el Banco no es eficiente y capáz de detectar virus de última
generación. Tecnológico
2014
Incumplimiento de las políticas de seguridad
informática, divulgación de contraseñas Tecnológico
2014
Falta de videos de seguridad a fin de determinar
eventos de fraude. Tecnológico
2014
Identificación de depósitos en efectivo en cuentas
del Banco sin registros respectivos. Tecnológico
2014
Sustracción de información de T/C por parte de personal de confianza para beneficio propio y divulgación de dicha información a la
competencia. Tecnológico
2014
Retraso en emisión de tarjetas de débito, origina reclamos de clientes, adicional algunas tarjetas
tienen problemas de lectura de banda Tecnológico
2014
Auxiliar de SSBB realiza varias N/C de cuentas
de clientes del Banco para beneficio personal. Personas
2014
Reclamo de cliente por depósitos realizados y no procesados en su cuenta, ocasionado por error en
45
Cuadro 3. Pérdidas por factor de riesgo operativo
Tipo de Factor Pérdidas %
No. de
eventos %
Personas 112,531.68 5% 14 42%
Procesos 103,194.99 5% 5 15%
Tecnología de la Información 783,237.98 37% 8 24%
Externos 1,106,042.07 53% 6 18%
2,105,006.72 100% 33 100%
Elaboración del autor
Gráfico 3. Pérdidas por factores de Riesgo Operativo
Elaboración del autor
Personas
5% Procesos 5%
Tecnología de la Información
37% Externos
46
Gráfico 4. Pérdidas por Riesgo Operativo años (2010-2014)
Elaboración del autor
Cuadro 4. Pérdidas por riesgo operativo
Medida
Pérdidas para la institución
Promedio 63,788.08
Max 885,320.00
Desviación estándar 196,536.50
Los principales estadísticos descriptivos de las pérdidas registradas en el período indican que en promedio las pérdidas fueron por USD$ 63,788.08, con una desviación estándar de USD$ 196,536.50 y la máxima pérdida se origina en el mes de octubre de 2013 por un valor de USD$885,320 debido principalmente a fraude externo por retiro de dineros con pago de cheques sin cumplir con ciertas formalidades de control.
0 200000 400000 600000 800000 1000000 1200000
2010 2011 2012 2013 2014
133,251.42
2,030.00
128,327.44
1,071,246.49
47
Indicador: Plan anual de auditoría
El Banco del Austro elabora cada año el Plan de auditoría el mismo que es puesto a consideración del Directorio para su aprobación y se deber remitir a la Superintendencia de Bancos y Seguros una copia del mismo hasta el 31 de diciembre del año previo a su ejecución. Las actividades son programadas en períodos semanales y son ejecutadas por el auditor encargado y personal de apoyo. El trabajo inicia con la orden de trabajo que se dirige al auditor encargado sobre el área a ser revisada y el tiempo de ejecución. El plan contiene los siguientes aspectos:
Objetivos y alcance del plan, fundamentando las prioridades del mismo;
Actividades, exámenes e informes y cronograma de los mismos;
Recursos humanos disponibles para el cumplimiento del plan, indicando de ser el caso la necesidad de contratación de servicios especializados; y,
Seguimiento a las observaciones formuladas por la Superintendencia de Bancos y Seguros.
Dentro de las áreas sujetas a revisión y trabajos a realizar en el plan de auditoría del año 2014 están:
Asesorar independiente y objetivamente
Evaluar el plan estratégico
Evaluar la estructura organizacional y funcional adecuada
48 Evaluar el cumplimiento de la normativa referente a la prevención de
lavado de activos y financiamiento de delitos
Evaluar el cumplimiento de la normativa referente de la gestión integral y control de riesgos.
Revisión de cuentas específicas (el trabajo a realizar será ejecutado en cada una de las cuentas detalladas a revisar)
Control y revisión de Agencias y Sucursales (el trabajo a realizar será ejecutado en cada una de las Agencias y Sucursales detalladas)
Revisión del cumplimiento de la normativa referente a Activos y de los Límites de Crédito.
Verificación y análisis del control interno.
Cumplimiento Legal y Seguimiento de las Disposiciones del Directorio, Superintendencia de Bancos y Seguros y de las Recomendaciones de Auditoría Interna y Externa
Imprevistos: Otros trabajos especiales de acuerdo al criterio de Auditoría Interna y/o requerimientos de Organismos de Control y otros niveles de la Administración del Banco
Tabla 4. Resultados del Plan anual de auditoría
Actividades %
Asesoría independiente y objetivo 100%
Evaluar plan estratégico 90%
Evaluar estructura organizacional 100% Análisis de procesos prioritarios 100%
Cumplimiento Lavado Dinero 80%
Evaluar gestión de riesgos 90%
Revisión de cuentas 90%
49 Continuación…
Actividades %
Revisión Limites de crédito 100%
Análisis del control interno 100%
Cumplimiento entes de control 80%
Imprevisto 100%
Total Cumplimiento 90%
Gráfico 5. Cumplimiento Plan de Auditoría
Elaboración del autor
El plan de auditoría es monitoreado constantemente por el Auditor General el cual hace una evaluación del cumplimiento versus lo planificado para tomar las acciones respectivas a fin de alinear el cumplimiento del plan en un 100%. Cabe señalar que el plan anual de auditoría en el año 2014 ha tenido un cumplimiento del 90%, existiendo un desfase de un mes entre lo ejecutado y lo programado; los desfases generalmente se producen cuando existen actividades ejecutadas que no se encuentran dentro de plan, dichas actividades no programadas suelen ser por fraudes, eventos externos, capacitación, entre otros.
84% 86% 88% 90% 92% 94% 96% 98% 100% 102%
50
Indicador: Evaluación de los riesgos operativos
Con la finalidad de evaluar los riesgos operativos se procedió a recopilar los eventos ocasionados durante los años 2010 al 2014 y luego establecer cuál es el factor que ocasionó el riesgo, para lo cual he diseñado una plantilla de evaluación que se indica más adelante; como resultado de este análisis se obtuvo como riesgo operativo un monto de pérdidas para el Banco por el valor de USD$2.105 millones que representan 33 eventos de riesgo registrados en dicho período.
El tablero de control (Matriz de riesgos) tiene como propósito medir de manera cuantitativa la dimensión del estándar de calidad de servicio y el control de riesgo operacional, a través de la evaluación de factores críticos, para lo cual se observa el siguiente esquema de evaluación.
El tablero de control diseñado en hoja electrónica permite valorar en términos porcentuales las dimensiones de calidad y los factores críticos de riesgo operativo;
El tablero evalúa cuatro aspectos derivadores de algunos factores críticos de calidad y riesgo, que son: seguridad, instalaciones, imagen y equipos;
En estos cuatro aspectos se han considerado cincuenta factores críticos que serán evaluados al tiempo de la revisión;
51
Cuadro 5. Ponderación de evaluación de calidad de servicio
DIMENSION DE LA EVALUACION
RANGOS EVALUACION
100% - 90% EXCELENTE
89% - 80% MUY BUENA
79% - 60% BUENO
59% - 40% REGULAR
39% - 0% MALO
Fuente: Banco del Austro.
El nivel de importancia se refiere al nivel de importancia que reviste el correspondiente factor crítico, el mismo que se lo ha categorizado en tres niveles: bajo, medio y alto, que para efectos de la métrica se ha asignado el valor de 1, 2 y 3 respectivamente, valoración que está determinada por esta Gerencia Nacional de Operaciones, en consideración a las características generales de la institución, por lo que dicha valoración debe mantenerse.
La calificación a la calidad y cumplimiento tiene cuatro niveles de calificación denominadas baja, media, alta y superior, el evaluador consignará la puntuación valorada de uno a cinco, que se asignará a cada factor; para lo cual se debe considerar los siguientes aspectos:
Cuadro 6. Calificación del Riesgo
Calificación Puntuación
Baja 0-1
Media 2-4
Alta 5
Superior +5
52
Tabla 5. Evaluación y calificación de los riesgos operativos CALIFICACIÓN A
LA CALIDAD Y
CUMPLIMIENTO RESULTADOS
Factores Críticos de Calidad y de Riesgo
Operacional Im por tan cia Supe rior Alt a Med
ia Baja Puntaje %
A- M-B
Más
de 5 5 4-2 1-0 Logr ado Espe rado Cump limien to Evaluació n Seguridad
Cámaras de Video 5 0 0 25 0% Malo
Guardias de seguridad
suficientes y oportunos 5 3 15 25 60% Bueno Seguridad del Mostrador de
las Ventanillas del Area de
Cajas 4 5 20 20 100% Excelente Restricción del registro
Visual desde el Area de
Cajas hacia la bóveda 3 5 15 15 100% Excelente
Extintores de incendio 3 5 15 15 100% Excelente Detectores de humo 3 5 15 15 100% Excelente
Radio de seguridad 3 5 15 15 100% Excelente Seguridades en horario
extendido 5 0 25 0% Malo
Apertura de agencia con
guardias y jefe de agencia 5 5 25 25 100% Excelente
Instalación de Sistema de
Alarma de seguridad 4 5 20 20 100% Excelente
Instalación de accionadores
de alarma anti robos 4 5 20 20 100% Excelente Horarios de atención al
público 5 2 10 25 40% Regular
SUBTOTAL 170 245 69% Bueno
Instalaciones/Mantenimien
to y Reparaciones
Llaves de cajas y puertas en
buen estado 5 4 20 25 80%
Muy Bueno Pintura de Paredes en buen
estado 5 2 10 25 40% Regular
Tumbados en buen estado 5 4 20 25 80%
Muy Bueno
Ubicación de la Agencia 3 4 12 15 80%
Muy Bueno Limpieza de Vidrios
