Date post: | 02-Nov-2015 |
Category: |
Documents |
Upload: | claudia-patricia-gonzales-cruz |
View: | 1 times |
Download: | 0 times |
Auditora interna basada en riesgos a la
operatividad del sistema de pagos
1
CEMLA - XII Reunin de Auditora Interna de Banca Central
Juan Villanueva Chang
Setiembre, 2013
BANCO CENTRAL DE RESERVA DEL PER 2
La auditora interna hoy..
Centrado en verificar la eficiencia y eficacia de los controles crticos de las operaciones y cumplimiento.
Adopta una funcin ms preventiva al asesorar y aconsejar para el logro de objetivos y obtener valor aadido.
Busca desarrollar una metodologa prctica que permita verificar el funcionamiento de los controles creados para mitigar los riesgos.
Forma parte de las barreras para lograr una eficiente gestin de riesgos y control y permita contribuir al buen gobierno corporativo.
BANCO CENTRAL DE RESERVA DEL PER
Definicin de Auditora Interna
Cdigo de tica
Normas Internacionales para la Prctica Profesional de
Auditora Interna
Documentos de posicionamiento
Consejos para la Prctica
Guas para la Prctica
Oblig
ato
rio
Mu
y r
ecom
endado
Marc
o Inte
rnacio
nal para
la P
rctica P
rofe
sio
nal de la A
uditor
a Inte
rna
Directrices auditora basada en riesgos - Consejo para la Prctica 2010-1: Objetivos del trabajo - Consejo para la Prctica 2010-2: Uso del proceso de gestin de riesgos en el Plan de Auditora Interna - Consejo para la Prctica 2200-2: Uso de un enfoque basado en riesgos, partiendo de los ms significativos (Top-down, Risk-based Approach) para identificar los controles que van a ser evaluados en el trabajo de auditora interna - Consejo para la Prctica 2210.A1-1: Evaluacin de riesgos en la planificacin del trabajo - GAIT for Business and TI Risk
- Rol de la Auditora Interna en la Gestin de Riesgos Empresariales 2004 - Las Tres Lneas de Defensa para una Efectiva Gestin de Riesgos y Control 2013
-Anlisis de la suficiencia de la gestin de riesgos Usando el ISO 31000 (Dic. 2010) - Formulacin y expresin de opiniones de auditora interna(Jul. 2011) - Coordinacin de la gestin de riesgos y el aseguramiento (Mar. 2012) - Seleccin, uso y creacin de modelos de madurez: Una herramienta para el aseguramiento y trabajos de consultora (Jul. 2013)
3
BANCO CENTRAL DE RESERVA DEL PER 4
Documento de Posicionamiento UK-Ireland:
Auditora Interna Basada en Riesgos
Position Statement: Risk Based Internal Auditing (RBIA), emitido por el Instituto de Auditores Internos del Reino Unido e Irlanda el
2003.
Reconoce los malos entendidos para adoptar el cambio hacia una auditora interna basada
en riesgos
Ofrece algunas orientaciones sobre cmo acercarse a l.
Se precisa que el objetivo de RBIA es ofrecer garanta independiente a la Junta que:
Los procesos de gestin de riesgo puesto en prctica funcionan segn lo
previsto.
BANCO CENTRAL DE RESERVA DEL PER 5
Documento de Posicionamiento UK-Ireland: Auditora Interna Basada
en Riesgos..
Que el proceso de gestin de riesgos tiene responsables. Las respuestas para mitigar los riesgos son adecuados y eficaces.
Que exista un buen marco de controles para mitigar los riesgos que la administracin desea tratar.
El documento seala puntos de atencin que deben ser auditados en la gestin de riesgos.
Un aspecto a resaltar es medir el grado de madurez de la gestin de riesgos por parte de los auditores. Esto permite resaltar el avance de tipo
de enfoque de auditora interna a desarrollar.
Se resalta que cada organizacin determina el nivel que desea lograr al implementar la gestin de riesgos.
BANCO CENTRAL DE RESERVA DEL PER
Nivel de madurez de riesgos 1 y 2
Existe bajo nivel de coincidencia en el conocimiento de terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.
Nivel de madurez de
riesgos 3
Existe cierto grado de coincidencia en el conocimiento de terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.
Nivel de madurez de riesgos 4 y 5
Existe alto nivel de cultura de riesgos y controles. Se observa bastante similitud en el conocimiento de la terminologa de riesgos y controles entre dueos de procesos, gestores de riesgos y auditores.
Evolucin de la cultura de riesgos y controles
BANCO CENTRAL DE RESERVA DEL PER
Nivel de
Madurez
Caracterstica Enfoque de Auditora Interna Antecedentes
1. Incipiente No existe un enfoque de
gestin del riesgo
Iniciar el cambio paulatino del
enfoque tradicional de la auditora a
procesos.
2004: Se da inicio a establecer el alcance de las auditoras a nivel de macroprocesos y procesos.
A iniciativa de los auditores en la fase de planeamiento se da nfasis al uso de las tcnicas de causa efecto para elaborar el inventario de amenazas de riesgos de los procesos y
difundir el modelo de control interno COSO.
2. Conocido Existen esfuerzos aislados de
gestin de riesgos
Promover el enfoque de gestin de
riesgos a nivel organizacional y
establecer la planeacin de auditora
con base en procesos y evaluacin
de riesgos.
2005: Como complemento a las actividades anteriores, se recoge mediante talleres de CSA la percepcin de la marcha
de control interno por los dueos de los procesos.
3. Definido Existe un enfoque formal de
gestin de riesgos. Se tiene
definida y divulgada en toda la
organizacin la poltica y
metodologa de evaluacin de
riesgos.
Adoptar una metodologa de
auditora basada en riesgos tomando
en cuenta documentos de
posicionamiento y directrices del IIA.
2012: Se actualiza la metodologa de auditora basada en riesgos dando prioridad a los riesgos y controles identificados
por dueos de los procesos. Se emplea talleres de RCSA y
anlisis Bow - Tie para actualizar riesgos y controles y
precisar pruebas de auditora. Si no exista avance de
identificacin de riesgos y controles se apoya en la
elaboracin de matriz de controles y su juicio de anteriores
revisiones para centralizarse en los controles crticos.
4. Administrado El proceso de gestin de
riesgos se desarrolla en
forma frecuente y se
comunica para la toma de
decisiones.
Auditar los procesos de la
organizacin poniendo nfasis en
los control dbiles que resultan de la
evaluacin de la gestin de riesgos
5. Optimizado La gestin de riesgo y control
interno estn completamente
inmersos e identificados en
todas las operaciones y
procesos. Existen indicadores
para su medicin y monitoreo.
Auditar y otorgar aseguramiento
respecto al procesos de gestin
integral de riesgos y control interno.
Evaluar la gestin de construccin y
uso de los indicadores de medicin y
monitoreo.
Evolucin de la metodologa de auditora interna
basada en riesgos
BANCO CENTRAL DE RESERVA DEL PER 8
BANCO CENTRAL DE RESERVA DEL PER 9
Diagramacin y conocimiento de la materia
auditable
Adoptar el enfoque por procesos para determinar materia auditable.
Emplear tcnica de trabajo en equipo, consenso Delphi, lluvia de ideas, consulta
dueos de proceso, etc.
El equipo trata de obtener idea clara del funcionamiento actual y determinar el
universo de pruebas de auditora.
BANCO CENTRAL DE RESERVA DEL PER 10
Diagramacin y conocimiento de la materia auditable.
BANCO CENTRAL DE RESERVA DEL PER 11
Organizacin del sistema de pagos
interbancarios
BANCO CENTRAL DE RESERVA DEL PER
Diagrama de flujo: Operatividad del sistema de
pagos
Anlisis Sistema de Pagos Administracin LBTR Liquidacin y Control de
Operaciones
Mensajes S.
Financiero
(Swift, fax)
Flujo, saldos
Cta Cte en
BCRP
Actualizar/modificar
normas y procedimientos
sistema de pagos
Reconocimiento de
acuerdo de pagos
Apertura
sistema LBTR
Gestin y liquidacin
de operaciones (CCE,
transferencias, etc)
Control depsitos
especiales y
plazo
Cierre S. LBTR
12
Resultado Mesa
Negociacin BCR
(Subastas, c/v
ME, colocacin
valores, etc)
Control
operaciones
cambiarias
Control
operaciones
valores emitidos
Control
operaciones
valores recompra
Registro pago
intereses encaje
Registro inst.
transf. fondos
inst. pblicas e
internacionales
Registro crdito
intradiarias
Entrada Entrada
Salida
Administracin de
facilidades
intradiarias LBTR
Monitoreo flujo
operaciones LBTR
Adicin/modificacin/
cancelacin ctas.
cte. LBTR
Canalizar inst.
transferencia
recursos
Cobro tarifas uso
LBTR
Revisin recursos de
recuperacin por
sanciones
Autorizacin
funcionamiento empresas
servicio de canje y
compensacin ESEC
Aprobacin reglamentos
internos s. pagos y
estatutos de ESEC
Verificacin cumplimiento
entregables (C. 012-2010
BCRP)
Estadsticas, reportes
sistema de pagos
BANCO CENTRAL DE RESERVA DEL PER 13
Universo de
pruebas de
auditora
BANCO CENTRAL DE RESERVA DEL PER
Familiarizarse con modelo COSO ERM
/ ISO 31000 y taxonoma
Obtener un mtodo estndar para medir
la madurez de la gestin de riesgos
Medir grado de madurez de riesgos
Modelo de Madurez de Riesgos (RMM) 1997
ndice de madurez de Riesgos de Aon 2001
Lectura de Mapas de Riesgos
Evaluar reportes de identificacin y
evaluacin de riesgos
Definir nivel de madurez de riesgos por
auditores
Evaluar madurez del riesgo
14
BANCO CENTRAL DE RESERVA DEL PER 15
Evaluar madurez del riesgo.
BANCO CENTRAL DE RESERVA DEL PER 16
Modelos de gestin de riesgos
BANCO CENTRAL DE RESERVA DEL PER
Jerarqua de riesgos en sistema de pagos
Tipo de riesgo Descripcin
Estratgico Reputacin
Financiero Crdito: Incumplimiento contraparte Liquidez: Interrupcin de pagos (Sistmico)
Operacional Personas: Ausencia personal idneo (Enfermedad, cuarentena o prevencin
contagio)
Procesos: Fraude interno externo, prcticas y seguridad deficientes
TI: Daos en plataforma de mensajera e integridad de
transacciones en aplicativos, alteracin
o fallos en los sistemas externos
Legal Eventos externos
Perfil de riesgos sistema de pagos
SLMV Rueda de Bolsa y Valores del Tesoro
CCE Cheques y
transferencia de crdito
LBTR Mensajes Swift
Riesgo externo de
entidades financieras:
Estratgico Financiero
Operacional
Riesgo externo de
entidades financieras:
Estratgico Financiero
Operacional
Riesgo compartido
entre BCRP y
entidades financieras:
Estratgico Operacional
17
BANCO CENTRAL DE RESERVA DEL PER 18
Identificacin y evaluacin de riesgos
Identificacin: El proceso, riesgo y subprocesos que afectan el tipo de
riesgos. Causa de origen del
riesgo, detalle e impactos.
Anlisis y evaluacin: Origen de control para mitigar riesgo,
controles detectivos y controles
para mitigar el impacto.
Valoracin: El riesgo inherente, residual y calificacin.
Tratamiento: Acciones sugeridas para reducir riesgos, semforo para
mapa de riesgos y acciones para
reducir el impacto.
BANCO CENTRAL DE RESERVA DEL PER 19
Datos para precisar pruebas de auditora
Medir que controles funcionen, no estn duplicados o no cubra
costo beneficio, alcance el nivel de apetito al riesgo
Revisar el cumplimiento de tratamiento de riesgos segn su
importancia para mejorar los controles
BANCO CENTRAL DE RESERVA DEL PER
PROCESO1. Apertura del Sistema LBTR
2. Transferencias Interbancarias X
3. Transferencias de fondos del y al exterior X
4. Liquidaciones de Operaciones de Mercado Abierto X
5. Liquidaciones de Operaciones ALADI X
6. Liquidacin de Operaciones de Gestin del Circulante X
7. Compensaciones Interbancarias X
8. Cierre del Sistema LBTR
ORIGEN DEL RIESGO (CAUSA)
CONTROLES PARA MITIGAR
ORIGEN
RIESGO INHERENTE
ControladoNo Controlado X
TRATAMIENTO: ACCIONES
SUGERIDAS PARA REDUCIR LA
PROBABILIDAD
RIESGO BAJO (ACEPTABLE)
RIESGO MODERADO (ACEPTABLE)
RIESGO ALTO
5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)
2.El BCRP cuenta con un seguro para casos en los cuales la institucin pueda
ser demandada por terceros ante fallas operacionales. No se pudo obtener
informacin detallada del seguro, incluyendo el monto maximo de
cobertura.
IDENTIFICACIN
RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO
Administracin de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier
tipo
DETALLE DEL RIESGO: IMPACTOS
Caida del Sistema LBTR
Ocurre cuando: 1. No poder completar procesos de liquidacin ya iniciados
1. Dentro del servidor de aplicaciones del BCRP podra haber
conflictos que congestionen el servidor y lleven a la caida del
Sistema LBTR
2. BCRP es enjuiciado por ESF o tercera persona por prdidas
2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR
3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema
LBTR
4. Se produzca una falla en el nodo de comunicaciones del
BCRP
ANALISIS Y EVALUACIN
CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO
NINGUNO NINGUNO
1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de
Datos)
VALORIZACION
RIESGO RESIDUAL CALIFICACIN
30 15
SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL
IMPACTO
1. El BCRP requiere contratar el servicio
de un "Consultor Externo" para evaluar
la infraestructura actual sobre la cual
funciona el Sistema LBTR y determinar
qu acciones debera tomar el BCRP para
mejorar la "Resistencia" de la
infraestructura, de acuerdo a las mejores
prcticas para estos Sistemas.
1. Perfeccionar Sistema de Contingencia Extrema. Esto implicara mejorar la
nueva versin del Sistema LBTR en la cual se ha implementado una interfaz
para acceder a la base de datos. Este subsistema est en un proceso de
mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,
como siguiente paso, una interfaz para capturar directamente las
operaciones de los bancos, que en la actualidad en contingencia la envian
por facsimil.
2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo
menos 4 veces al ao porque se requiere tener entrenado al personal del
DALBTR en situaciones de contingencia y de crisis.
3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel
de Servicio, en el cual se establecen los compromisos de la operatividad del
Sistema y su soporte, incluyendo los RTOs y la delimitacin de
responsabilidades. Con base a este acuerdo, tiene que modificarse la
Circular y el Reglamento que norma el servicio hacia terceros por parte del
BCRP.
4. La Gerencia Central de Administracin debera evaluar si las condiciones
del seguro con el que cuenta el BCRP cubren adecuadamente una potencial
prdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del
tipo BBB.
RIESGO EXTREMO
Riesgo operacional TI
BANCO CENTRAL DE RESERVA DEL PER
PROCESO1. Apertura del Sistema LBTR
2. Transferencias Interbancarias X
3. Transferencias de fondos del y al exterior X
4. Liquidaciones de Operaciones de Mercado Abierto X
5. Liquidaciones de Operaciones ALADI X
6. Liquidacin de Operaciones de Gestin del Circulante X
7. Compensaciones Interbancarias X
8. Cierre del Sistema LBTR
ORIGEN DEL RIESGO (CAUSA)
CONTROLES PARA MITIGAR
ORIGEN
RIESGO INHERENTE
ControladoNo Controlado X
TRATAMIENTO: ACCIONES
SUGERIDAS PARA REDUCIR LA
PROBABILIDAD
RIESGO BAJO (ACEPTABLE)
RIESGO MODERADO (ACEPTABLE)
RIESGO ALTO
5. Personal del LBTR tiene una carga adicional de trabajo (carga manual)
2.El BCRP cuenta con un seguro para casos en los cuales la institucin pueda
ser demandada por terceros ante fallas operacionales. No se pudo obtener
informacin detallada del seguro, incluyendo el monto maximo de
cobertura.
IDENTIFICACIN
RIESGO SUBPROCESOS AFECTADOS POR ESTE RIESGO
Administracin de Sistema LBTRNo poder liquidar transferencias interbancarias de cualquier
tipo
DETALLE DEL RIESGO: IMPACTOS
Caida del Sistema LBTR
Ocurre cuando: 1. No poder completar procesos de liquidacin ya iniciados
1. Dentro del servidor de aplicaciones del BCRP podra haber
conflictos que congestionen el servidor y lleven a la caida del
Sistema LBTR
2. BCRP es enjuiciado por ESF o tercera persona por prdidas
2. Factores externos (terremoto, incendio, recalentamiento, 3. ESFs no pueden utilizar Sistema LBTR
3. Error Tecnologico en el Sistema LBTR4. Unidades Organizacionales (UOs) del BCRP no pueden utilizar Sistema
LBTR
4. Se produzca una falla en el nodo de comunicaciones del
BCRP
ANALISIS Y EVALUACIN
CONTROLES DETECTIVOS CONTROLES PARA MITIGAR IMPACTO
NINGUNO NINGUNO
1. Se aplica Sistema de Contingencia Extrema (acceso directo a la Base de
Datos)
VALORIZACION
RIESGO RESIDUAL CALIFICACIN
30 15
SEMAFORO DE ACUERDO A MAPA DE RIESGOSTRATAMIENTO: ACCIONES SUGERIDAS PARA REDUCIR EL
IMPACTO
1. El BCRP requiere contratar el servicio
de un "Consultor Externo" para evaluar
la infraestructura actual sobre la cual
funciona el Sistema LBTR y determinar
qu acciones debera tomar el BCRP para
mejorar la "Resistencia" de la
infraestructura, de acuerdo a las mejores
prcticas para estos Sistemas.
1. Perfeccionar Sistema de Contingencia Extrema. Esto implicara mejorar la
nueva versin del Sistema LBTR en la cual se ha implementado una interfaz
para acceder a la base de datos. Este subsistema est en un proceso de
mejora continua; sin embargo, el DALBTR considera conveniente desarrollar,
como siguiente paso, una interfaz para capturar directamente las
operaciones de los bancos, que en la actualidad en contingencia la envian
por facsimil.
2. Efectuar pruebas del Sistema de Contingencia Extrema con las ESFs, por lo
menos 4 veces al ao porque se requiere tener entrenado al personal del
DALBTR en situaciones de contingencia y de crisis.
3. Las Gerencias de la GOMEF y GTI tienen que firmar un Acuerdo de Nivel
de Servicio, en el cual se establecen los compromisos de la operatividad del
Sistema y su soporte, incluyendo los RTOs y la delimitacin de
responsabilidades. Con base a este acuerdo, tiene que modificarse la
Circular y el Reglamento que norma el servicio hacia terceros por parte del
BCRP.
4. La Gerencia Central de Administracin debera evaluar si las condiciones
del seguro con el que cuenta el BCRP cubren adecuadamente una potencial
prdida por demanda civil. Se sabe que el BCRP cuenta con un seguro del
tipo BBB.
RIESGO EXTREMO
BANCO CENTRAL DE RESERVA DEL PER
Valoracin del riesgo Riesgo inherente
Principales Controles:
- Revisin de pruebas sistema de contingencia extrema
- Vigencia de plizas de seguros para demanda por terceros por fallas operativas
- Vigencia y actualizacin de procedimientos
- Verificar funcionamiento de puntos de comunicacin
- Verificar mantenimiento de equipos e instalaciones
- Revisar correccin de eventos adversos
BANCO CENTRAL DE RESERVA DEL PER
Cuestionario 1. incipiente 2. Conocido 3. Definido 4. Administrado 5. Optimizado
1. Cultura/Filosofa Organizacional 25% X
1.1 Cultura de gestin de riesgos
1.2 Responsabilidad en la gestin del riesgo
2. Liderazgo y compromiso 25% X
2.1 Poltica y marco de referencia de la gestin del riesgo
2.2 Papel y responsabilidades del la alta direccin
3. Integracin a los procesos del negocio 20% X
3.1 Alineamiento estratgico
3.2 Incluida en la medicin del desempeo y calidad del
servicio
3.3 Comunicacin interna y retroalimentacin sobre riesgos
4. Habilidades en gestin de riesgos 15% X
4.1 Capacitacin continua en gestin de riesgos
4.2 Estandarizacin y dominio de las tcnicas de evaluacin
de riesgos
5. Reporte y control 15% X
5.1 Controles
5.2 Documentacin
TOTAL 100% X
Cuestionario de medicin del nivel de
madurez de la gestin de riesgos
23
BANCO CENTRAL DE RESERVA DEL PER 24
Taller de RCSA
Conocida la identificacin y evaluacin
de riesgos por dueos del proceso, se
procede a realizar dicho resultado
mediante taller de RCSA.
El objetivo es precisar el estado de los
controles y su tratamiento para mitigar
los riesgos.
Los talleres son con votacin annima
y asistencia de responsables de
procesos.
En esta etapa se puede obtener
nuevas pistas de riesgos y controles
no previstos anteriormente.
BANCO CENTRAL DE RESERVA DEL PER 25
Taller de RCSA.
BANCO CENTRAL DE RESERVA DEL PER 26
Cuestionario dirigido
Consenso
por
auditados
y
auditores
Dinmica de talleres de RCSA
Reporte gestin de riesgos
BANCO CENTRAL DE RESERVA DEL PER 27
Riesgo Tipo de riesgo Controles Votacin annima Observaciones
1 (Bajo)
2 3 4 5 (Alto)
Operacional:
Personas
Error registro de
transferencias en
sistema LBTR
Validacin dual al sistema
(concurrente)
X
Operacional:
Procesos
Demora
confirmacin
transferencias al
exterior
Conciliacin en lnea
Cumplimiento manual operativo
X
X
Operacional:
TI
Fallas al inicio en
sistema LBTR
Divulgar manual de contingencia
Delegacin de responsabilidades
Revisin de incidentes
X
X
X
Operacional:
TI
Fallas de
conectividad LBTR
Divulgar sistema CE
Realizar pruebas registro de
incidentes
X
X
X
X
n.n.n..
RCSA: Actualizacin de riesgos y controles con
dueos de proceso
BANCO CENTRAL DE RESERVA DEL PER 28
Matriz de inventario de controles
Cuando no existe reportes de la
identificacin y evaluacin de riesgos
se intenta seleccionar los controles
crticos a travs de la matriz de
controles.
Se utiliza preferentemente el manual
de procedimientos y historial de
debilidades de control.
Se puede ayudar de la experiencia
en la hiptesis inicial de la materia
auditable y conocimiento del perfil de
riesgos del negocio.
BANCO CENTRAL DE RESERVA DEL PER 29
Matriz inventario controles.
BANCO CENTRAL DE RESERVA DEL PER 30
Registro de inventario de controles
Se toma de
inventario de
procedimientos
Se emplea un
estndar de
conceptos de
controles
- Segregacin de funciones
- Costo beneficio - Acceso a activos y archivos
- Verificacin y conciliacin
- Evaluacin de desempeo
- Rendicin de cuentas
- Documentacin fsica y virtual (Procesos,
actividades y tareas)
- Revisin (Procesos, actividades y tareas)
BANCO CENTRAL DE RESERVA DEL PER 31
Anlisis Bow - Tie
Esta herramienta de evaluacin de
riesgos permite al equipo de
auditores fortalecer la decisin de
seleccin de los controles crticos,
conscientes que pueden ser an
dbil el resultado de las identificacin
y evaluacin de riesgos por los
dueos de los procesos.
Es un forma esquemtica simple de
describir y analizar las rutas de un
riesgo desde las causas hasta las
consecuencias.
BANCO CENTRAL DE RESERVA DEL PER 32
Anlisis Bow Tie
BANCO CENTRAL DE RESERVA DEL PER
Informacin
elaborada y
actualizada por el
equipo de auditores
desde el inicio del
cambio de
metodologa
BANCO CENTRAL DE RESERVA DEL PER
Anlisis Bow - Tie: Revisin auditores
Riesgo
operacional
(No poder liquidar
transferencias
)
Causa 1:
Cada del LBTR
Consecuencia 1:
No poder ejecutar
liquidacin iniciada
Controles
preventivos
Controles
mitigantes o de
recuperacin
Causa 2:
Error tecnolgico
Consecuencia 2:
Unidades operativas
no pueden utilizar
sistema
Causa 3:
Fallas nodo de
comunicaciones
Causa 4:
Factores externos
(incendio,
recalentamiento)
Causa 6:
Error humano
desconocimiento
Consecuencia 3:
Excesiva carga
manual de personal
LBTR
Consecuencia 4:
Detener operatividad
LBTR
Consecuencia 5:
No poder completar
liquidaciones Causa 5:
Problemas de
conectividad Consecuencia 6:
Error en transferencias
Sis
tem
a C
ontinge
ncia
exte
rna
Perf
eccio
nar
el S
iste
ma
Continge
ncia
exte
rna
- Captura en informe de dueos de procesos
- Recogida de taller de RCSA
- Obtenida de anlisis Bow - Tie
BANCO CENTRAL DE RESERVA DEL PER 35
Seleccin para el Programa de Auditora
2 Prioridad: Ms importantes del universo de pruebas de auditora
Diagramacin y conocimiento
de materia auditable
1 Prioridad: Pruebas de auditora para riesgos crticos
Seleccin de
controles crticos
Acciones tratamiento de riesgos
BANCO CENTRAL DE RESERVA DEL PER 36
Desarrollo del Programa de Auditora
Planeamiento Trabajo de Campo Informe
Anlisis de cumplimiento y
sustantivas de las pruebas respecto
al control interno
Resultados de pruebas de auditora
BANCO CENTRAL DE RESERVA DEL PER 37
Pruebas auditora sobre controles crticos
Riesgo Tipo de riesgo Controles Pruebas de auditora
Operacional:
Personas
Error registro de
transferencias en sistema
LBTR
Validacin dual al sistema
(concurrente)
- Revisar registro de incidente para
identificar mayores eventos
- Revisar el monitoreo de las
transferencias
Operacional:
Procesos
Demora confirmacin
transferencias al exterior
Conciliacin en lnea
Cumplimiento manual operativo
- Evaluar causas de incidentes
- Revisar cumplimiento normativo
Operacional: TI Fallas al inicio en sistema
LBTR
Divulgar manual de
contingencia
Delegacin de
responsabilidades
Revisin de incidentes
-Revisar registro de incidentes y
cumplimiento de medidas alternativas
- Evaluar las actas de mantenimiento
de servicio de mantenimiento al CER
Operacional: TI Fallas para extornar
operaciones compra/venta
M/E
Divulgar sistema CE
Realizar pruebas registro de
incidentes
-Evaluar muestra de incidentes
- Verificar uso y cumplimiento de
manual operativo
n.n.n..
BANCO CENTRAL DE RESERVA DEL PER 38
Identificar pruebas de auditora que
requieren necesariamente de
muestreo estadstico o no
estadstico (alto volumen de
poblacin)
Elaboracin planes de muestreo
Conceptos proceso muestreo estadstico
Poblacin 1 100 000 transacciones LBTR (2010 2011)
Mtodo
muestreo
Atributos
Tamao
muestra
23 000 transacciones
Seleccin
muestra
Comando aleatorio (ACL)
Nivel
confianza
95%
Error
tolerable
3%
Precisin 2%
BANCO CENTRAL DE RESERVA DEL PER 39
Criterios para medir efectividad de controles
Riesgo
Residual
Riesgo
Inherente
C1 + C2 + C3 + Cn
E1 E2 E3 E4 E5
C1 A B B C B
C2 B C C B B
Cn B C B A A
Efectividad de Controles
A= Optimizado
B= Administrado
C= Definido
D= Conocido
E= Incipiente
E1= Nivel de funcionamiento
E2= Estado de registro y documentacin
E3= Monitoreo continuo
E4= Sensibilidad en impacto de riesgo
E5= Frecuencia de incidentes
Apetito al riesgo
BANCO CENTRAL DE RESERVA DEL PER
Controles crticos
Hiptesis preliminar
conocimiento materia
auditable
Resultados madurez de
riesgos
Matriz controles y/o taller RCSA
Programa de auditora Plan de muestreo Fase: Trabajo de
campo
Fase: Informe Resultados pruebas
auditora
40
BANCO CENTRAL DE RESERVA DEL PER
Formulacin y expresin de opiniones de auditora interna
Jul. 2011
Mejoras de impacto en reportes de auditora
Opiniones sobre gobierno, riesgos y control:
Sistema global de control interno Cumplimiento controles Efectividad controles en rendimiento Efectividad controles en un proceso Cumplimiento de leyes
El resultado de una auditora puede ser hallazgos o debilidad de control. Entre las modalidades a mejor se encuentra el
grado de calificacin de la efectividad de los controles y
riesgos.
Los ms comunes son cdigos de colores (rojo, amarillo, verde) o escalas de grados (1 a 3, 1 a 5).
El alcance de la opinin se pude dar a nivel macro (toda la organizacin) o micro (procesos, actividades).
41
BANCO CENTRAL DE RESERVA DEL PER 42
Mejoras de impacto en reportes de auditora..
BANCO CENTRAL DE RESERVA DEL PER 43
Anexo
Desarrollo del Sistema de Pagos en el Per
BANCO CENTRAL DE RESERVA DEL PER 44
Referencias
Assessing the Adequacy of Risk Management: Using ISO 31000 (2010) www.theiia.org
Formulating and Expressing Internal Audit Opinions (2011) www.theiia.org Coordinating Risk Management and Assurance (2012) www.theiia.org Selecting, Using and Creating Maturity Models: A Tool for Assurance and Consulting Engagements (2013) www.theiia.org
IIA Position Paper: The Role of Internal Auditing in Enterprise - Wide Risk Management (2004) www.theiia.org
IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control (2013) www.theiia.org
Position Statement: Risk Based Internal Auditing (2003) www.iia.org.uk Embracing Enterprise Risk Management (2011) www.coso.org Developing Key Risk Indicators to Strengthen Enterprise Risk Management (2010) www.coso.org
Enterprise Risk Management: Understanding and Communicating and Risk Appetite (2012) www.coso.org
Risk Assessment in Practice (2012) www.coso.org Gua: Definicin e implantacin de Apetito de Riesgo (2013) www.iai.es
Gracias
45