RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión de Riesgo en la actualidad Responsabilidades de la Gerencia Apoyo de Auditoría y del Comité de Auditoría Auditoría basada en Riesgo

INTRODUCCIÓN Desde siempre, ha sido importante para las organizaciones intentar evitar fraude, mantener la integridad de los controles internos, reducir los errores en el procesamiento de transacciones, entre otros aspectos importantes. Sin embargo, en un mundo cada vez más globalizado, se hace necesario enfrentar con mayor rigor diversos riesgos producidos por avances tecnológicos, política, consumidores, la competencia, terrorismo; en escalas de tiempo cada vez más cortas, lo que ha llevado a estructurar una Gestión de Riesgo con enfoque integral.

INTRODUCCIÓN DEFINICIÓN RIESGO OPERACIONAL Riesgo de pérdidas como resultado de personas, sistemas y procesos internos fracasados o de eventos externos. Comité de Basilea Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el riesgo de reputación.

INTRODUCCIÓN Elementos: Marco de administración del Riesgo Operacional Estrategias claras y supervisión por el directorio y la Gerencia Fuerte cultura del riesgo operativo Cultura interna de control Claras líneas de responsabilidad y segregación de obligaciones Efectivo sistema interno de presentación de informes Planes de contingencia

INTRODUCCIÓN Marco de actuación de la Gestión de Riesgo (Política, Reglamento, Procedimientos, Cultura, etc..) Resultados Organización más eficiente Reducción en los eventos de pérdida Mejores niveles de servicio Reducción en los requerimientos de capital

ANTECEDENTES DE LA GESTIÓN DE RIESGO En el entorno Internacional: Cambios en la economía mundial y mercados globalizados Ocurrencia de eventos de pérdidas importantes: Caso del Banco Barings, Daiwa Bank, Sumitomo Bank, Allied Irish Bank. Caso de la caída del mayor banco de la República Dominicana. (Baninter). Mayor sofisticación de la operativa bancaria y de los mercados financieros Aumento de los casos de terrorismo

ANTECEDENTES DE LA GESTIÓN DE RIESGO Entorno Organizacional: Diferentes estructuras organizacionales Cada área gestiona de manera individual. Auditoría Analizaba y controlaba todos los temas relacionados con riesgo. Detectaba cierta categoría de riesgo operacional. Poca cultura de riesgo y control No existía una metodología ni proceso formal para la GR Alto índice de ocurrencia de eventos de riesgo, los cuales se mantenían en secreto

CÓMO HA EVOLUCIONADO LA GESTIÓN DEL RIESGO? Tradicionalmente, los riesgos más tratados habían sido los riesgos Financieros. En la última década, inicia mayor preocupación respecto al riesgo operacional y de ahí, la Gestión Integral de Riesgo: Administración del riesgo operativo otorga seguridad y solvencia. Conocimiento y documentación de los procesos internos. Diseño del marco general. Metodología basada en Estándares Internacionales. Priorización de procesos operacionales (mapa de procesos). Unidad independiente, responsable por la gestión del RO. Evolución de las estructuras organizacionales. Sinergias con otras áreas de la organización (Ej. auditoría).

EVOLUCIÓN DE LA GESTIÓN DEL RIESGO Normativa relacionada con la Gestión de Riesgo ESTÁNDARES INTERNACIONALES 1988, Basilea I COSO I 2004, Basilea II 2004, COSO II Ley Sarbanes-Oxley 404 Norma Australiana AS/NZS4360:2004 ISO 31000:2009 ESTÁNDARES NACIONALES Reglamento sobre Riesgo Operacional para las entidades de intermediación financiera.

EVOLUCIÓN DE LA GESTIÓN DE RIESGO EN EL BCRD Inicio del proyecto Evaluación de Administración de Riesgo y Control Interno, año 2004 Resolución de la Junta Monetaria que crea el Comité de Administración de Riesgos, definición de su integración y funciones. Mayo 2005. Posteriormente se establece la Oficina de Gestión de Riesgo. Creación del Marco normativo de la GR en el BCRD: Adopción de la norma Australiana y Basilea II, en la GR Establecimiento de una Política de GR, aprobada por la mas alta instancia de BCRD Aprobación de la Metodología de GR, los procedimientos y formularios. Elaboración de Mapas de Riesgos, matrices de riesgos y planes de tratamiento de riesgos. Entrenamientos y divulgación sobre la GR, a fin de fortalecer la cultura de GR. Entrenamiento al personal de los diferentes departamentos sobre la metodología de GR.

Gestión de Riesgo y Planificación Estratégica Enlazar riesgos con el proceso de establecimiento de objetivos estratégicos

RESPONSABILIDADES EN LA GESTIÓN DEL RIESGO Debe haber una separación de responsabilidades y líneas claras entre las funciones de control del riesgo operativo y los diferentes departamentos de los Bancos Centrales QUÉ BUSCAR CUANDO SE EVALÚA UN AMBIENTE QUE SOPORTE LA GESTIÓN DE RIESGO? La existencia de una estructura de gobierno en la cual consideren la GR. La existencia de una área dentro de la estructura organizacional dedicada a la GR, con roles y responsabilidades definidos. Una cultura de GR clara, dedicada y a la medida. Debe ser un tema de seguimiento continuo en las reuniones gerenciales. La disponibilidad de programas de entrenamiento y concienciación sobre la GR.

ESTRUCTURA ORGANIZACIONAL DE LA GESTIÓN DE RIESGO EN EL BCRD Junta Monetaria Aprueba y asigna recursos Comité Auditoria Comité Riesgos Gerencia Asegura gestión y promueve Gestión de Riesgos Definiciones Políticas Reportes - Cuantificación Responsable Monitoreo Verificador Areas Auto-evaluaciones Implementa cambios Reporte a lo interno y a riesgos Riesgos Monitoreo auto- Evaluaciones Análisis indicadores Control planes Reportes Auditoría Interna Monitorea proceso Revisa las auto- Evaluaciones Prueba controles

POLÍTICA DE GESTIÓN DE RIESGO Debe ser: Relevante para el contexto estratégico del Banco Central, que garantice alcanzar sus metas y objetivos. Incluye: Objetivo y Alcance Responsabilidades y compromiso de cada miembro de la organización Procesos y componentes del ciclo de gestión de riesgos Tolerancia al riesgo

APETITO DE RIESGO El apetito de riesgo es una vista a alto nivel de cuanto riesgo la Junta Directiva está dispuesta a aceptar en la persecución de sus objetivos estratégicos.

CULTURA DE GESTIÓN DE RIESGO Creencias y actitudes compartidas, que caracterizan la manera que la entidad considera el riesgo en todo lo que hace. Depende de: La historia de la entidad Desarrollo del nivel de madurez/organizacional (número de años en operación) Tipo de negocio Tamaño Ubicación Los principios de controles y estilo de operación de la gerencia

ENCUESTA DE CULTURA DE RIESGO Es una medida base, sobre la cultura y prácticas de riesgo de una organización. Consiste en la validación directa, desde los empleados, sobre cómo se entiende y está alineada la estrategia. Es un punto de inicio para el desarrollo de un marco de trabajo de gestión de riesgo. Provee una visión sobre el riesgo y su preparación para moverse hacia un ambiente de Riesgo y Control Continuo. Envía un mensaje a los empleados de que la gerencia toma en serio mejorar la gestión de riesgo.

Establecer Contexto Identificar Riesgos Metodología de Evaluación del Riesgo Operacional Comunicar y Consultar Riesgo Aceptable y Excesos Temporales Analizar los Riesgos Monitorear y Revisar Evaluar los Riesgos Tratar los Riesgos

RESPONSABILIDAD DE AUDIORÍA INTERNA EN LA GESTIÓN DEL RIESGO

CÓMO APOYA LA AUDITORÍA ESTE RENOVADO ENFOQUE DE GESTIÓN DE RIESGO? El objetivo principal de cualquier función o actividad en una organización, debe ser apoyar el logro de los objetivos de la propia organización. Entonces: El principal objetivo de la auditoría interna es ayudar al Banco Central a lograr sus objetivos. El logro de estos objetivos se ve obstaculizado por los riesgos. Un programa de auditoría basado en riesgos que esté diseñado correctamente incrementa la eficiencia y efectividad, por ende, al apoyo en el logro de los objetivos institucionales.

AUDITORÍA BASADA EN RIESGOS El IIA proporciona la orientación en el Marco para la Práctica Profesional Internacional (IPPF): Estándar de Desempeño 2010 Plan de Auditoría El encargado de auditoría TIENE que considerar el marco de riesgo definido en la organización y planificar las auditorías en función de las prioridades de riesgo definidas en dicho marco. Estándar de Desempeño 2120 Gestión de Riesgo La auditoría TIENE que evaluar la efectividad de la gestión del riesgo y contribuir a mejorarla. Estándar de Desempeño 2210 Compromiso con los Objetivos Estándar de Desempeño 2600 Resolución de la Gerencia de la Aceptación de Riesgos

RESPONSABILIDADES DEL COMITÉ DE AUDITORÍA EN UN MODELO DE GESTIÓN INTEGRAL DE RIESGO Velar por que el proceso de GR sea comprensible, fácil de ejecutar y continuo. Ayudar a la organización a tener controles internos efectivos. Comunicar a la Gerencia temas actuales o potenciales que puedan provocar eventos de riesgo. Revisar la información en los planes de auditoría interna, reportes y hallazgos importantes, que puedan ayudar en la gestión de riesgo. Velar porque se realice el monitoreo de los historiales de riesgo.

RESPONSABILIDADES DE AUDITORÍA INTERNA Incluir en el plan de auditoría interna, la revisión de los procesos prioritarios según las evaluaciones de riesgo. Revisar el cumplimiento de los lineamientos de GR por parte de las áreas operativas. Revisar los procesos de administración de riesgo diseño y funciones. Realizar pruebas de efectividad de los controles asociados a los riesgos. Proveer opinión a la Gerencia, sobre la efectividad de la GR y funcionamiento del sistema de control interno. Seguimiento para la determinación del cumplimiento de los planes de acción.

CONCLUSIONES Y RECOMENDACIONES Unidad de criterio en torno al manejo de riesgos. Generación de conciencia sobre la GR. Priorización de los riesgos de mayor impacto para cada uno de los recursos: Financiero, Humano, Imagen Corporativa e Información. Definición clara y explícita de responsabilidades en todos los niveles de la organización. Convertir la GR en eje articulador de temas sensibles a la actividad organizacional, como: La preservación de la reputación. El plan de continuidad del negocio.

CONCLUSIONES Y RECOMENDACIONES Análisis de riesgos por proceso. Conocimiento/documentación detallada de las operaciones. Levantamiento de información honesto. Temor a reportar!! Apoyo de la Unidad de Riesgo a las áreas operativas. Priorizar el enfoque en riesgos, no mejoras operativas. Comunicación constante con la Gerencia. Metodología clara y ejecutable (reducir la subjetividad). Revisión periódica de los procesos críticos. Cuantificación de los eventos de riesgos. Identificación de escenarios de riesgo.

Gracias por su atención!