Mejores prácticas para el Control Interno y la Gestión de Riesgos

Transcripción

1 Mejores prácticas para el Control Interno y la Gestión de Riesgos Septiembre 2011

2 Un mercado financiero más confiable Transacciones Pagos Traspasos 2

3 Un mercado financiero más regulado Las regulaciones actuales tienden a dar una mayor información al mercado de modo de disponer de elementos de juicio que ayuden a la confiabilidad del mismo. Las tendencias regulatorias están fuertemente orientadas a los procesos de gestión integral de riesgos en cada uno de los componentes del proceso, esto implica una gestión detallada de riesgo y de controles mitigantes, así como la capacidad de reportar a las partes interesadas el nivel de sus procesos de control. Algunos ejemplos: Febrero de SVS Circular N Gestión de Riesgos y Control Interno en las Administradoras de Fondos (SVS). Enero de SVS Circular N Requerimientos para la prestación del servicio de Custodia de Valores de Terceros. Noviembre de La CCLV solicita a los intermediarios que acrediten aspectos tecnológicos, gestión del Riesgo Operacional y de la Continuidad Operacional. Septiembre de 2011 SVS Circular N XXXX. Control Interno y Gestión de Riesgos para Intermediarios de Valores. 3

4 Estructurando y mejorando los Modelos de Control ESTADO ACTUAL En algunas organizaciones, el estado actual de procesos de gobierno, riesgo y cumplimiento, es desorganizado, innecesariamente complejo y fragmentado. ESTADO FUTURO Tal como en cualquier proceso de una entidad, es posible visualizar un futuro donde los procesos estén organizados, racionalizados y eficientes. 4

5 Marco de Referencia Definición Circular 1962 Un primer paso ya ganado: NAGA56 Custodia de Valores Control a Nivel de Entidad Controles Generales Tecnológicos Controles asociados a los servicios de CUSTODIA DE VALORES El ambiente de control que incluye los siguientes aspectos: Estructura Organizativa. Políticas de Recursos Humanos. Integridad y Valores Éticos. Compromiso con la Competencia Profesional. Acuerdo de Confidencialidad. Desarrollo, Mantención y Adquisición de Sistemas. Control de Cambios. Seguridad Física y Lógica de la Plataforma Tecnológica. Procesos de Explotación y Respaldos del Datacenter. Administración de Plataformas (software básico, base de datos, redes, etc.). Se debe considerar los controles implementados en los procesos que existen para la custodia de valores. Políticas y Procedimientos. Controles manuales y automatizados. Niveles de aprobación y autorización. Relación con proveedores tecnológicos. Modelo de Gestión COSO Modelo COBIT Deben ser definidos por los Intermediarios, que prestan servicios de Custodia de Valores 5

6 SVS CIRCULAR en consulta Control Interno y Gestión de Riesgos para Intermediarios de Valores Esta circular imparte instrucciones para fortalecer los mecanismos y procedimientos que resguardan la integridad de los Valores de Terceros mantenidos en custodia por las Corredoras de Bolsa y Agentes de Valores. 1. ORGANIZACIÓN Y CONTROL INTERNO. Políticas, procedimientos y controles. Unidad de Auditoría Interna. 2. GESTION DE RIESGOS. Función de Gestión de Riesgos. Manual de Gestión de Riesgos. 3. RESPONSABILIDAD DE LA ALTA ADMINISTRACIÓN. La primera declaración anual a que se refiere el punto V., deberá ser enviada a la SVS dentro de los primeros 10 días hábiles del mes de junio de CERTIFICACION ANUAL DE SUFICIENCIA E IDONEIDAD. El intermediario de valores deberá remitir a la SVS una certificación que dé cuenta de la suficiencia e idoneidad de la estructura de control interno y gestión de riesgos mantenida por dicha entidad. Esta declaración deberá ser enviada a la SVS dentro de los primeros 10 días hábiles del mes de enero de cada año. VIGENCIA: Las instrucciones deberán estar implementadas al 31 de marzo de Sin perjuicio de lo anterior, los intermediarios deberán remitir a la SVS, a más tardar el 30 de noviembre de 2011, un informe detallado que dé cuenta de las gestiones desarrolladas hasta esa fecha y las pertinentes por desarrollar para dar cumplimiento a lo antes indicado. 6

7 Control Interno - COSO Modelo de Control Interno SAS 70 El proceso de determinar si el control interno está adecuadamente diseñado, ejecutado y es eficaz El proceso que asegura que la información relevante es identificada y comunicada oportunamente La conciencia de control de una organización. La directiva a seguir Las políticas y procedimientos que ayudan a asegurar que se identifiquen acciones para administrar riesgos y se ejecuten oportunamente La evaluación de factores internos y externos que impactan el desempeño de la organización COSO: Committe of Sponsoring Organization

8 Procesos TI Aplicaciones Información Infraestructura Personas Control Interno Tecnológico - COBIT Requerimiento del Negocio Efectividad Eficiencia Integridad Confidencialidad Disponibilidad Cumplimiento Confiabilidad 4 dominios DOMINIOS 34 procesos PROCESOS 314 objetivos de control ACTIVIDADES Recursos TI 8

9 Seguridad de la Información El viaje hacia una seguridad robusta Misión del Negocio El mercado ha establecido como norma de facto la ISO27001 ISO27002 (controles y modelo de gestión de seguridad). Visión & Misión de S.I. Estrategia de S.I. Principios de S.I. Tolerancia al Riesgo Motivación Arquitectura de S.I. Cumplimiento (Ley & Regulaciones) Motivación Implantación Principios de Diseño de Arquitectura de S.I. Políticas Corporativas Arquitectura Conceptual de S.I. Marco de Política de S.I. Arquitectura Funcional de S.I. Política de S.I. Arquitectura Física de S.I. Estándares de S.I. Procesos Operativos de S.I. Procesos de Administración de S.I. Controles de S.I. 9

10 Planes de Continuidad del Negocio BS Gobernabilidad del Programa / Gestión de Proyecto Analizar (Definir y proteger) Desarrollar (Preparar) Implementar (Estar listo) Definición de Procesos (Industry Print TM ) Estrategias de Recuperación/Disponibilidad/Resiliencia Implementación y Adquisición de Recursos Building (Facilities / Utilities) Equipment Análisis de Riesgo (Risk Map TM ) Recuperación de Edificios y Facilidades (Building) Desarrollo del Plan/Procedimientos/Actividades Gestión de Crisis Respuesta a Emergencia Continuidad operacional (BETH3 TM ) Recuperación de Equipos Recuperación de (Desastres) Tecnología Continuidad del Recurso Humano (Fuerza de Trabajo) Resiliencia de los 3 ros (Cadena de Suministros) Entrenamiento y Sensibilización Technology (Application, Data, Infrastructure) Human Resources 3 rd Parties (Vendors, Customers, Service Providers) Análisis de Impacto al negocio Validación Ejercicios y Pruebas Mejora Continua y Aseguramiento de la Calidad 10

11 Modelo de Madurez en Gestión Integral de Riesgos Estado deseado Integrado en la toma de decisiones; Estado actual La conformidad con la gestión de los riesgos de negocio es incentivado; Poco ordenado; Depende principalmente de los individuos, sus capacidades y conocimiento propio. Especialistas en riesgos; Reacción a eventos adversos por parte de especialistas; Pocas roles definidos para uno pequeño grupo de riesgos (normalmente finanzas, seguros y cumplimiento de normas); No hay política formal de gestión de riesgos. Evaluación de los riesgos de arriba hacia abajo, Las políticas, procedimientos y limites de autoridad son definidos y comunicados; Función del negocio; Cualitativa; Reactiva. Respuesta integrada a eventos adversos; Métricas de rendimiento vinculado; Niveles de escalamiento eficientes; Transformación cultural en curso; Análisis bottom-up y proactivo. Manejo inteligente de los riesgos; Gestión sustentable; La gestión de riesgo es trabajo de todos INICIAL ESPECIALISTA TOP DOWN SISTEMÁTICO INTELIGENCIA EN RIESGOS Riesgo no Gestionado Riesgo Gestionado 11

12 Implementación de una estructura de Gestión Integral de Riesgos Integración Integrar la GR a la planificación estratégica y a la evaluación de performance Mitigación y Control Asignar capital para el Riesgo Definir las Estrategias de Gestión de Riesgos Cuantificación Implementar Indicadores Clave de Riesgos Capturar y Almacenar las Pérdidas Cuantificar los Riesgos Identificación y Evaluación Evaluar los Riesgos de Nivel de la Entidad Evaluar la Capacidad de Gestión de Riesgos Evaluar y Informar los Riesgos de los Procesos Identificar y Testar los Controles Establecer Plan de Contingencia para los Riesgos Fundamentos Revisar las Iniciativas en Marcha Definir la Estructura y Estrategia de Gobierno Corporativo Establecer las Políticas y proceso de Gestión de Riesgos Definir el Modelo y Metodología de Riesgos Establecer la Jerarquía de Procesos, Productos y Sucursales Definir Sistemas para Gestión Definir Alcance del Programa de Gestión de Riesgos Asignar Recursos Humanos y Financieros / Definir Atribuciones y Responsabilidades 12 Comunicar, Mantener y Diseminar la Estructura y Cultura de Gestión de Riesgos Gestión y Comunicación

13 Roles principales de la Gestión Integral de Riesgos DIRECTORIO / COMITÉ DE AUDITORÍA Apoyo en la creación de una cultura de Inteligencia en Riesgos. AUDITORÍA INTERNA Auditoría del proceso de Gestión de Riesgos. Auditoría de la implementación y efectividad de los controles y planes de mitigación de riesgos. Revisión independiente de aspectos operacionales y financieros con reporte al comité de auditoría. Evaluación del ambiente de control interno. Monitoreo del cumplimiento de políticas. Prevención y detección de irregularidades. Ayuda a integrar la gestión de riesgos en la estrategia. Aprobación del apetito al riesgo. Monitoreo de la adecuada gestión de riesgo. Gestión Integral de Riesgos AREAS USUARIAS Áreas de negocio. Áreas de soporte y apoyo a las operaciones. GESTIÓN DE RIESGOS Apoyo a la Alta Administración. Identificación de riesgos relevantes. Definición de metodología para evaluación y monitoreo de los riesgos. Identificación de mejores prácticas para mitigación de riesgos. Comunicación de los niveles de exposición, conceptos de gestión de riesgos como herramienta de ventaja competitiva. Visión integral de identificación, evaluación y gestión de los riesgos que impactan el logro de objetivos estratégicos. Definición de herramientas y modelos. 13

14 Oficina central Av. Providencia 1760 Pisos 6, 7, 8, 9, 13 y 18 Providencia, Santiago Chile Fono: (56-2) Fax: (56-2) deloittechile@deloitte.com Regiones Cap. Arturo Prat 461 Oficina 1902 Antofagasta Chile Fono: (56-55) Fax: (56-55) antofagasta@deloitte.com 1 Poniente 123 Piso 7 Viña del Mar Chile Fono: (56-32) Fax: (56-32) vregionchile@deloitte.com O Higgins 940 Piso 6 Concepción Chile Fono: (56-41) Fax: (56-41) concepcionchile@deloitte.com Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro. Libertador Bernardo O Higgins 167 Oficina 603 Puerto Montt Chile Fono: (56-65) Fax: (56-65) puertomontt@deloitte.com 2009 Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. 14 Footer