TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)

8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)

http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 1/163

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

“LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DE

TELEMERCADEO DE UNA ENTIDAD BANCARIA”

TESIS

PRESENTADA A LA JUNTA DIRECTIVA DE

LA FACULTAD DE CIENCIAS ECONÓMICAS

POR

SERGIO LOMBARDO QUIÑONEZ MEDINA

PREVIO A CONFERÍRSELE EL TÍTULO DE

CONTADOR PÚBLICO Y AUDITOREN EL GRADO ACADÉMICO DE

LICENCIADO

Guatemala, mayo de 2015



INTRODUCCIÓN

Las entidades bancarias han alcanzado un mayor tamaño y están generando

un alto número de transacciones de colocación y captación financiera, debido a

que abarcan otros mercados por la obligación de entrar en competencia con

otras entidades y globalizarse. Razón por la cual se tiene una dimensión distinta

en la gestión de riesgos operativos, siendo este parte inherente de la actividad

empresarial. Ante esta situación las entidades regulatorias de las instituciones

bancarias, han solicitado a través de normativas, la implementación de medidas

necesarias para identificar y mitigar las brechas en los procesos y controlesinternos de las distintas actividades, sin contar con una metodología o política

estandarizada, la cual sea apoyo para las instituciones bancarias.

La auditoría interna de riesgo operativo permite a la administración de la entidad

bancaria facilitar y tener a un área especializada en el tema de riesgos

operativos, y utilizarla como una herramienta eficaz, centralizando recursos en

las actividades prioritarias según la evaluación que esta área realice,

propiciando así la capacidad de generar valor. Esto permite una fuente de

oportunidades para el auditor ya que su labor es clave al acompañar a las

distintas áreas de la institución en la identificación, evaluación y mitigación de

riesgos operativos.

El presente trabajo trata de documentar e informar al lector sobre una

alternativa que tienen las entidades bancarias para afrontar de forma correcta el

riesgo operativo, en distintas unidades de apoyo, siendo en este caso el área de

telemercadeo, al momento de ofrecer y colocar extrafinanciamientos. A través

del análisis de las actividades, se definió la metodología y procedimiento que

debe cumplir el área de auditoría interna de riesgo operativo. La auditoría se

realizó con base en los lineamientos indicados por COSO II (ERM), además de



lo establecido por el Comité de Basilea II, y las Normas Internacionales para el

ejercicio de la Auditoría Interna (NIEPAI).

En el capítulo I se presentan definiciones básicas de banco y riesgo operativo,

entre otros conceptos fundamentales de la gestión: El presente capítulo expone

parte de los fundamentos de la gestión de riesgos y los bancos, el contenido,

definición y clasificación de los bancos, riesgos. En el capítulo II se dedica a

enfocar los temas legislativos que deben cumplir los bancos, así como las

estipulaciones indicadas por comités internacionales, especializados en el

manejo de riesgos y controles internos bancarios.

El capítulo III se presenta los conceptos básicos de auditoría y de la relación que

existe en una auditoría interna especializada en riesgo operativo, así como las

etapas y clasificaciones, los componentes del control interno y la importancia

que tiene el cumplimiento de controles, políticas y procedimientos dentro de la

organización bancaria. Posteriormente en el capítulo IV se desarrolla el caso

práctico, que ejemplifica los procedimientos y herramientas que debe tener laauditoría interna de riesgo operativo para ejecutar una adecuada gestión de

identificación y mitigación de riesgos, así como la definición de cálculo de

requerimiento de capital por riesgo operativo.

Por último, se presentan las conclusiones y recomendaciones derivadas del

trabajo de investigación, así como las referencias bibliográficas utilizadas.



ÍNDICE

PÁGINA

INTRODUCCIÓN i

CAPÍTULO I

ENTIDAD BANCARIA Y RIESGO OPERATIVO

1.1 Bancos ......................................................................................................1

1.1.1 Concepto de entidad bancaria .................................................................. 1

1.1.2 Excepciones ..............................................................................................1

1.1.3 Régimen legal ........................................................................................... 1

1.1.4 Órganos reguladores y autorizadores ....................................................... 2

1.1.5 Empresas especializadas en servicios financieros ................................... 3

1.1.6 Operaciones y servicios ............................................................................ 4

1.1.7 Autorización y organización de un grupo financiero .................................. 5

1.1.8 Clasificación de una entidad bancaria ....................................................... 8

1.1.9 La tarjeta de crédito y el área de telemercadeo ........................................ 9

1.2 Riesgos ................................................................................................... 10

1.2.1 Concepto de riesgo ................................................................................. 10

1.3 Clasificación de riesgos ........................................................................... 11

1.3.1 Riesgo crediticio ......................................................................................11

1.3.2 Riesgo de liquidez ................................................................................... 11

1.3.3 Riesgo de mercado ................................................................................. 12

1.3.4 Riesgo país ............................................................................................. 12



1.3.5 Riesgo operativo ..................................................................................... 12

1.4 Comité de Basilea ................................................................................... 12

1.4.1 Historia ....................................................................................................12

1.4.2 Conceptualización del Comité de Basilea ............................................... 13

1.4.3 Categorización de niveles de riesgo Basilea II ........................................ 14

1.4.4 Pilares del acuerdo de Basilea ................................................................ 17

1.4.5 Pilar II: Proceso de revisión del supervisor ............................................. 20

1.4.6 Pilar III: Disciplina de mercado ................................................................ 23

1.5 Apetito de riesgo ..................................................................................... 24

1.5.1 Frecuencia .............................................................................................. 24

1.5.2 Severidad ................................................................................................24

1.5.3 Vulnerabilidad ......................................................................................... 24

1.6 Tipos de objetivo por materialización de eventos .................................... 24

1.6.1 Pérdida por fraude................................................................................... 25

1.6.2 Pérdida por error ..................................................................................... 25

1.6.3 Requerimientos del cliente ...................................................................... 25

1.6.4 Continuidad de negocio ........................................................................... 25

1.6.5 Cumplimiento regulatorio ........................................................................ 26

1.6.6 Revelación financiera .............................................................................. 26

1.7 Estructura y definición de responsabilidades .......................................... 26 1.7.1 Junta directiva ......................................................................................... 26

1.7.2 Comité de riesgos operativos .................................................................. 27

1.7.3 Gerencia general .....................................................................................27

1.7.4 Auditoría interna de riesgo operativo.......................................................28



1.7.5 Unidad funcional ..................................................................................... 28

1.7.6 Auditoría interna ......................................................................................30

1.7.7 Unidad de calidad ................................................................................... 30

1.8 Ciclo de gestión de riesgo operativo ....................................................... 30

1.8.1 Identificación de riesgos operativos ........................................................ 31

1.8.2 Evaluación de controles y riesgos operativos ......................................... 32

1.8.3 Mitigación de riesgos operativos principales ........................................... 33

CAPÍTULO II

MARCO REGULATORIO APLICABLE A LAS ENTIDADES BANCARIAS

CONFORME A LAS ENTIDADES REGULADORAS PARA LA GESTIÓN DE

RIESGO OPERATIVO

2.1 Entidades regulatorias locales ................................................................ 34

2.1.1 Constitución Política de la República de Guatemala y sus reformas ...... 34

2.1.2 Ley de Bancos y Grupos Financieros y sus reformas ............................. 35

2.1.3 Ley de Supervisión Financiera ................................................................ 35

2.1.4 Reglamento para la Administración Integral de Riesgos ......................... 35

2.2 Políticas internas de entidades bancarias para la administración de

Riesgo Operativo..................................................................................... 40

2.2.1 Propósito .................................................................................................40

2.2.2 Alcance ................................................................................................... 40

2.2.3 Definiciones .............................................................................................41

2.2.4 Beneficios ................................................................................................41

2.2.5 Responsabilidades .................................................................................. 42



2.2.6 Ciclo fundamental de la gestión .............................................................. 42

CAPÍTULO III

AUDITORÍA INTERNA DE RIESGO OPERATIVO EN LA IDENTIFICACIÓN DE

RIESGO Y EVALUACIÓN DE CONTROLES Y PROCEDIMIENTOS

3.1 Auditoría ..................................................................................................44

3.1.1 Concepto de auditoría ............................................................................. 44

3.1.2 Importancia y objetivo ............................................................................. 44

3.1.3 Clasificación ............................................................................................ 44

3.1.4 Normas que regulan la actuación de quienes la ejecutan ....................... 46

3.1.5 Técnicas y procedimientos de auditoría .................................................. 48

3.2 Auditoría interna ......................................................................................48

3.2.1 Concepto de auditoría interna ................................................................. 48

3.2.2 Funciones ................................................................................................49

3.2.3 Alcance ................................................................................................... 49

3.2.4 Responsabilidades .................................................................................. 50

3.2.5 Papel del auditor interno ......................................................................... 50

3.2.6 Normas internacionales para el ejercicio de la auditoría interna ............. 52

3.2.7 Guías de auditoría interna del Instituto Guatemalteco de Contadores

Públicos y Auditores ................................................................................54

3.3 Auditoría interna de riesgo operativo.......................................................56

3.3.1 Concepto de auditoría interna de riesgo operativo .................................. 56



3.3.2 Diferencia entre auditoría interna y auditoría interna de riesgo

operativo ................................................................................................. 57

3.3.3 Objetivos de la auditoría interna de riesgo operativo .............................. 58

3.3.4 Factores internos para administrar el riesgo operativo ........................... 58

3.3.5 Factores externos para administrar el riesgo operativo........................... 59

3.3.6 Política y procedimiento .......................................................................... 59

3.3.7 Evaluación de procedimientos y controles internos ................................ 60

3.3.8 El informe de la auditoría interna de riesgo operativo ............................. 61

3.4 Control interno basado en COSO ERM (COSO II) .................................. 61

3.4.1 Concepto e historia de COSO I y COSO II ............................................ 62

3.4.2 Etapas de la gestión de riesgo ................................................................ 62

3.4.3 Objetivos de COSO ERM ........................................................................64

3.4.4 Componentes de COSO ERM ................................................................ 65

3.5 Planificación técnica y administrativa de la auditoría interna de riesgo

operativo ................................................................................................. 70

3.5.1 Concepto .................................................................................................70

3.5.2 Alcance ................................................................................................... 70

3.5.3 Importancia de la planificación ................................................................ 71

3.5.4 El control interno al planificar la auditoría interna de riesgo operativo .... 72

3.5.5 Diferencias entre planificación técnica y administrativa .......................... 72

3.5.6 Detalles a conocer previo a la planificación de la auditoría de riesgo

operativo ................................................................................................. 73

3.5.7 Planificación y responsabilidad de la auditoría interna de riesgo

operativo ................................................................................................. 74



3.6 Ejecución y supervisión de la auditoría interna de riesgo operativo ........ 75

3.6.1 Concepto de ejecución de auditoría interna de riesgo operativo ............. 75

3.6.2 Concepto de supervisión de auditoría interna de riesgo operativo .......... 76

3.6.3 Alcance de la ejecución de auditoría interna de riesgo operativo ........... 77

3.6.4 Importancia de la ejecución de auditoría interna de riesgo operativo ..... 78

3.6.5 Importancia de la supervisión de auditoría interna de riesgo

operativo ................................................................................................. 78

3.6.6 Responsabilidad de la auditoría interna de riesgo operativo en la

ejecución .................................................................................................78


supervisión ..............................................................................................79

3.6.8 Papeles de trabajo de la auditoría interna de riesgo operativo .............. 80

3.6.9 Forma de los papeles de trabajo de la auditoría interna de riesgo

operativo ................................................................................................. 81

3.6.10 Propiedad y custodia de los papeles de trabajo de la auditoríainterna de riesgo operativo .................................................................... 83

CAPÍTULO IV

LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DETELEMERCADEO DE UNA ENTIDAD BANCARIA

(CASO PRÁCTICO)

4.1 Perfil de la entidad y antecedentes ......................................................... 84

4.1.1 Estructura organizacional ........................................................................84

4.1.2 Estructura del área de auditoría interna de riesgo operativo ................... 86

4.1.3 Nombramiento de auditoría interna de riesgo operativo.......................... 87



4.1.4 Memorándum de aviso de evaluación la auditoría de riesgo

operativo ................................................................................................. 88

4.2 Planificación del programa para la ejecución de auditoría de riesgo

operativo ................................................................................................. 89

4.3 Programa general para la auditoría de riesgo operativo en el área de

telemercadeo .......................................................................................... 92

4.4 Actividades previas a la auditoría interna de riesgo operativo ................ 92

4.4.1 Manual para llenado y aplicación matrices de riesgo operativo .............. 94

4.5 Índice de papeles de trabajo y de abreviaturas ..................................... 106

4.6 Ambiente de control y descripción del proceso ..................................... 107

4.7 Objetivos establecidos .......................................................................... 109

4.8 Información y comunicación .................................................................. 110

4.9 Supervisión ........................................................................................... 111

4.10 Identificación y evaluación de riesgos ................................................... 112

4.11 Definición de procesos y eventos de riesgo principales ........................ 130

4.12 Evaluación de control interno en los procesos y eventos principales .... 131

4.13 Evaluación mejoras y planes de mitigación de eventos de riesgo

operativo (Actividades de control y respuesta al riesgo) ....................... 136

4.14 Informe final de auditoría interna de riesgo operativo con base a

requerimiento de comité de riesgo operativo ........................................ 144

CONCLUSIONES 147

RECOMENDACIONES 149

REFERENCIAS BIBLIOGRÁFICAS 150



ÍNDICE DE FIGURAS

No. NOMBRE PÁGINA

1 Estructura organizacional de una entidad bancaria 7

2 Matriz de objetivos y componentes del COSO II 65

3 Estructura Grupo Financiero Banco Saturno, S.A. 85

ÍNDICE DE TABLAS

No. NOMBRE PÁGINA

1 Tabla de ponderación % de requerimiento de capital

por línea de negocio 19

2 Tabla de gerencias relevantes Banco Saturno, S.A. 86



1

CAPÍTULO I

ENTIDAD BANCARIA Y RIESGO OPERATIVO

1.1 Bancos

1.1.1 Concepto de entidad bancaria

Las empresas constituidas como sociedades anónimas “podrán realizar

intermediación financiera bancaria, consistente en la realización habitual, en

forma pública o privada, de actividades que consistan en la captación de dinero,

o cualquier instrumento representativo del mismo, del público, tales como la

recepción de depósitos, colocación de bonos, títulos u otras obligaciones,

destinándolo al financiamiento de cualquier naturaleza, sin importar la forma

jurídica que adopten dichas captaciones y financiamientos.” (4:2)

1.1.2 Excepciones

“Las entidades que reciban depósitos o aportaciones de sus asociados y de

terceros, tales como las cooperativas, las sociedades mutualistas, las

asociaciones comunitarias de desarrollo, empresas comunitarias asociativas,organizaciones no gubernamentales y organizaciones privadas de desarrollo,

entre otras, y que sean normadas por una ley especial, quedan exceptuadas de

las disposiciones de esta Ley. En todo caso, tales entidades estarán obligadas a

presentar las informaciones periódicas u ocasionales que les requiera la

Superintendencia de Bancos.” (4:2)

1.1.3 Régimen legal

“Los bancos, las sociedades financieras, los bancos de ahorro y préstamo para

la vivienda familiar, los grupos financieros, y las empresas que conforman a

estos últimos, y las oficinas de representación de bancos extranjeros se regirán,

en su orden, por sus leyes específicas, por la presente Ley, por las

disposiciones emitidas por la Junta Monetaria y, en lo que fuere aplicable, por la



2

Ley Orgánica del Banco de Guatemala, la Ley Monetaria y la Ley de Supervisión

Financiera. En las materias no previstas en estas leyes, se sujetarán a la

legislación general de la República de Guatemalaen lo que les fuere aplicable.

Los actos administrativos y resoluciones que dicten, tanto la Junta Monetaria

como la Superintendencia de Bancos en aplicación de las leyes y reglamentos

aquí indicados, observando el debido proceso, serán de acción ejecutiva y

aplicación inmediata.” (4:2)

1.1.4 Órganos reguladores y autorizadores

Los órganos reguladores y que autorizan que los bancos puedan operar, son:

a) Junta Monetaria

“Otorgará o denegará la autorización para la constitución de bancos. No

podrá autorizarse la constitución de un banco sin dictamen previo de la

Superintendencia de Bancos. El testimonio de la escritura constitutiva,

junto a la certificación de la resolución de la Junta Monetaria, relativa a

dicha autorización, se presentará al Registro Mercantil, quien con base en

tales documentos procederá sin más trámite a efectuar su inscripción

definitiva.

Los requisitos, trámites y procedimientos para la constitución y

autorización de bancos, el establecimiento de sucursales de bancos

extranjeros y el registro de oficinas de representación de bancos

extranjeros serán reglamentados por la Junta Monetaria.” (4:58)

b) Superintendencia de Bancos

La Superintendencia debe validar, mediante las investigaciones que crea

convenientes, con base al cumplimiento de algunos requisitos.



3

Según la Ley de Bancos y Grupos Financieros y sus reformas, define al

tipo de fiscalización de la Superintendencia de Bancos como la

supervisión consolidada, encargada de la vigilancia e inspección sobre

una institución bancaria, para que adecuen sus actividades y

funcionamiento a las normas legales, reglamentarias y otras

disposiciones que le sean aplicables, y los riesgos que asumen las

empresas de dicho grupo, que puedan afectar al banco, sean evaluados y

controlados sobre una base por empresa y global. Para estos efectos, la

Superintendencia de Bancos tendrá acceso a la información de

operaciones y actividades del grupo financiero, sobre una base porempresa y consolidada, resguardando la identidad de los depositantes e

inversionistas conforme a lo establecido en la presente Ley.

Además la función de la Superintendencia de Bancos, es en supervisar el

cumplimiento de normativas y de requisitos, validando que las entidades

bancarias mantengan la liquidez y solvencia adecuadas para el

cumplimiento de sus obligaciones. Así también dictaminar de forma

razonada las deficiencias e irregularidades detectadas. La

Superintendencia de Bancos puede imponer sanciones dependiendo de

las deficiencias encontradas. Una de las funciones más importantes que

tiene asignado la Superintendencia de Bancos es evaluar las políticas,

procedimientos, normas y sistemas de las entidades y, en general,

asegurarse que cuenten con procesos integrales de administración de

riesgos.

1.1.5 Empresas especializadas en servicios financieros

“Las empresas especializadas en servicios financieros, que sean parte de

grupos financieros, estarán sometidas a supervisión consolidada por parte de la



4

Superintendencia de Bancos. Cada una de estas empresas deberá tener como

objeto social exclusivo, uno o más de los siguientes:

a) Emitir y administrar tarjetas de crédito,

b) Realizar operaciones de arrendamiento financiero,

c) Realizar operaciones de factoraje, y

d) Otros que califique la Junta Monetaria, previo dictamen de la

Superintendencia de Bancos.” (4:69)

1.1.6 Operaciones y serviciosEn el artículo 41 de la Ley de Bancos y Grupos Financieros y sus reformas,

indica que los bancos podrán efectuar las operaciones en moneda nacional o

extranjera y prestar los servicios siguientes:

a) Operaciones pasivas tales como recibir depósitos monetarios, recibir

depósitos a plazo, y depósitos de ahorro; crear y negociar bonos y/o

pagarés previa autorización de la Junta Monetaria, obtener el

financiamiento del Banco de Guatemala, conforme a la ley orgánica de

dicha entidad, entre otras operaciones.

b) Operaciones activas que se resumen en otorgamiento de créditos,

descuento de documentos por cobrar, otorgar financiamiento en

operaciones de carta de crédito, conceder anticipos para exportación,

realizar factoraje, arrendamiento financiero también conocido como

leasing y la emisión y operación de tarjetas de crédito, entre otras.

c) Operaciones de confianza tales como cobro y pago por cuenta ajena,

recibir depósitos con opción de inversiones financieras, comprar y vender

títulos valores por cuenta ajena y servir de agente financiero.



5

d) Pasivos contingentes como el otorgamiento de garantías, la prestación de

avales, otorgar seguros de caución y emitir o confirmar cartas de crédito.

e) Servicios como el actuar fiduciario, compra y venta de moneda extranjera,

apertura de cartas de crédito, efectuar operaciones de cobranza, realizar

transferencias de fondos y arrendar cajillas de seguridad.

Si las instituciones bancarias desean realizar otras operaciones, podrán pedir

autorización a la Junta Monetaria con la previa opinión de la Superintendencia

de Bancos.

1.1.7 Autorización y organización de un grupo financiero

El artículo 27 de la Ley de Bancos y Grupos Financieros y sus reformas que la

entidad bancaria deberá constituirse en forma de sociedad anónima con

acciones nominativa. Un grupo financiero es la asociación de 2 o más empresas

que realizan actividades de naturaleza financiera. La condición indispensable

que las instituciones deben cumplir para conformarse en grupo es tener una

empresa controladora o una empresa responsable que será un banco entre las

cuales existe control común por las relaciones de propiedad, administración y

uso de imagen corporativa. La entidad bancaria será la controladora del grupo

financiero y su objeto social exclusivo será la dirección, administración, control y

representación del grupo financiero. Las funciones de la empresa controladora

deberán ser reglamentadas por la Junta Monetaria.

“La empresa controladora deberá velar porque las empresas integrantes delgrupo financiero cumplan con las disposiciones de la Ley de Bancos y Grupos

Financieros, relativas a grupos financieros, y con las que sobre esta materia

emita la Junta Monetaria. Lo anterior, sin perjuicio de la responsabilidad que

cada una de las empresas miembros del grupo tiene respecto del cumplimiento



6

de las disposiciones indicadas. Cuando la estructura organizativa del grupo

financiero no incluya la constitución de una empresa controladora, el banco

como empresa responsable del grupo tendrá las mismas atribuciones y

obligaciones de la empresa controladora, establecidas en el párrafo anterior, sin

perjuicio de la responsabilidad que cada una de las empresas miembros del

grupo tienen respecto del cumplimiento de las disposiciones establecidas en

dicha ley.” (4:66)

Cada entidad bancaria puede organizarse administrativamente de la forma que

le parezca más adecuada, definiendo las responsabilidades de cada gerenciacon sus respectivas unidades funcionales, delegando la autoridad adecuada en

los colaboradores correspondientes para la correcta toma de decisiones en los

procesos que se ejecutaran en dichas áreas.

“Los bancos deberán tener un consejo de administración integrado por tres o

más administradores, quienes serán los responsables de la dirección general de

los negocios de los mismos.”(4:63)

La entidad bancaria puede organizar las áreas como mejor les parezca. En la

figura No. 1, se observa un organigrama básico de un grupo financiero, donde

se distribuye la parte de la entidad bancaria y otra parte relacionada con el giro

de las tarjetas de crédito. Además de una tercera división que agrupa las áreas

o gerencias de apoyo a las dos divisiones anteriormente mencionadas. En la

parte superior se encuentran las gerencias de auditoría interna y cumplimiento

que se encargan de velar que la entidad cumpla con los requisitos indicados porla Superintendencia de Bancos y que los estados financieros estén presentados

y razonables. Puede incluirse comités y otras áreas de apoyo.



7

FIGURA No. 1

Estructura organizacional estandarizada de una entidad bancaria

Fuente: elaboración propia con base en información facilitada por distintas entidades bancarias eninvestigación de campo.

CONSEJO DE

ADMINISTRACIÓN

GERENCIA GENERAL

AUDITORÍA INTERNA& CUMPLIMIENTO

CALIDAD

GERENCIA DE BANCO GERENCIA DE TARJETA

CANALES

BANCA DE EMPRESAS

BANCA DE PERSONAS

BANCA PRIVADA

TESORERÍA

OPERACIONES

FINANZAS

TECNOLOGÍA EINFORMACIÓN

SEGURIDADBANCARIA

MERCADEO

CRÉDITOS TARJETA

CRÉDITOS BANCO

CANAL TELEFÓNICO

TELEMERCADEO

VENTAS TARJETA

COBROS Y JURÍDICO

DR.O.

JUNTA GENERAL DE ACCIONISTAS



8

1.1.8 Clasificación de una entidad bancaria

“Es importante mencionar que de acuerdo a la estructura y origen del capital, los

bancos pueden clasificarse de la manera siguiente, según la Superintendencia

de Bancos:

Banco estatal

Esta clasificación corresponde a los bancos cuyo patrimonio es propiedad

exclusiva del Estado. En el caso de Guatemala, el único banco que es

propiedad absoluta del Estado es “El Crédito Hipotecario Nacional de

Guatemala”, el cual se rige por su propia ley orgánica.

Bancos de capital mixto

Este tipo de entidades cuentan con participación de capitales privados y del

estado; a la fecha, existen dos bancos en el sistema con estas características,

siendo el Banco de los Trabajadores y el Banco de Desarrollo Rural, S. A.

Bancos privados nacionales de capital extranjero

En esta categoría se clasifican los bancos cuyo capital social proviene de

fuentes privadas o particulares de origen extranjero. Entre los más

representativos de esta categoría se encuentra Banco Citibank de Guatemala,

S. A., Banco de América Central, S. A., Banco Promérica, S. A. y Banco Azteca

de Guatemala, S. A.

Bancos privados nacionales de capital nacional

En esta categoría se clasifican los bancos cuyo capital social proviene de

fuentes privadas o particulares de origen nacional.”(19)



9

1.1.9 La tarjeta de crédito y el área de telemercadeo

Uno de los productos más importantes de las entidades bancarias es la tarjeta

de crédito. Y derivado de la innovación y de las nuevas técnicas de colocación,

ya no es necesario tener un área que se dedique al trato directo con el cliente

potencial, sino que esta puede realizarse desde la distancia, utilizando la

tecnología para ofrecer diversos productos y tipos de servicio, esta área recibe

el nombre de telemercadeo.

a) Tarjeta de crédito

“Es un instrumento material que cuenta con una banda magnética o undispositivo de cualquier otra índole que le permite al tarjetahabiente

utilizar una línea de crédito que le ha sido otorgada por un emisor, para la

adquisición de bienes, servicios o el retiro de dinero en efectivo, entre

otros. Es utilizada como un medio de pago, con un financiamiento

automático que dependiendo el plazo (fecha de corte y fecha de pago)

puede tener algún costo por los intereses que se podrían cargar,

manejándose como una línea de crédito revolvente.” (9:45)

También puede presentarse en la modalidad de extrafinanciamientos,

concepto el cual indica que uno puede solicitar un crédito en base al

límite asignado en la tarjeta, y el emisor le entregará la cantidad por

medio de cheque o efectivo, para que pueda realizar el pago según la

necesidad, o bien realizar algunas compras y pagarlas a un determinado

plazo.

“Puede ser emitida por una institución bancaria o una entidad

especializada en emisión y/o administración de tarjetas de crédito.” (9:45)



10

b) Telemercadeo

El telemercadeo o telemarketing es un instrumento de la mercadotecnia

directa que ha venido cobrando mayor relevancia en los últimos años,

debido a que aprovecha las nuevas tecnologías de la información y las

aplica al desarrollo empresarial. Por ello, resulta conveniente que todo

mercadólogo o persona relacionada con el área comercial de toda

empresa u organización conozca en qué consiste el telemercadeo, cuáles

son sus principales actividades y que ventajas ofrece. Las actividades

que puede realizar el área de telemercadeo pueden ser las de

investigación de mercado, atención al cliente, actualización de base dedatos, venta de productos y servicios que dependiendo el caso de la

naturaleza del negocio sea una entidad bancaria, puede ofrecer tarjetas

de crédito, extrafinanciamientos, seguros, entre otros productos. La

actividad de esta área permite reducir costos, personalización de la

atención al cliente y rapidez además de incrementar la competitividad.

1.2 Riesgos

1.2.1 Concepto de Riesgo

El Diccionario de la Real Academia de la Lengua Española define el término

riesgo como una contingencia o proximidad de un daño.

Otra definición indica que riesgo “es la potencialidad de que eventos,

anticipados o no, puedan tener un impacto adverso contra ingresos y el

patrimonio de una entidad.” (3:184)

Los bancos, por la naturaleza de los procesos que realizan, poseen riesgos

inherentes que tienen que afrontar. Cualquier actividad realizada por el banco

presenta riesgos, riesgos que tiene que minimizarlos y controlarlos, motivo por

el cual aplica mecanismos o políticas de gestión de riesgos para cumplir con



11

sus metas u objetivos financieros, todo esto con la finalidad de que cuando se

produzcan los riesgos no impacten negativamente las operaciones y pueda

responder en forma satisfactoria a sus obligaciones, sean éstas de terceros o de

los socios.

1.3 Clasificación de riesgos

Existen diferentes clasificaciones de los riesgos bancarios, según los puntos de

vista de las personas o de las entidades, ya sean éstas técnicas o de control,

que los clasifique. El acuerdo de Basilea II, los clasifica como riesgo crediticio,

riesgo de mercado, riesgo de liquidez y riesgo operacional incluyendo en esteúltimo el riesgo legal.

El reglamento para la Administración Integral de Riesgo, resolución No. JM-56-

2011 de la Junta Monetaria de Guatemala también incluye los conceptos,

agregando al final el concepto de riesgo país.

Derivado de lo anterior los riesgos bancarios se clasifican en la forma siguiente:

1.3.1 Riesgo Crediticio

“Es la contingencia de que una institución incurra en pérdidas como

consecuencia de que un deudor o contraparte incumpla sus obligaciones en los

términos acordados.” (7:10)

1.3.2 Riesgo de liquidez

“Es la contingencia de que una institución no tenga capacidad para fondearincrementos en sus activos o cumplir con sus obligaciones oportunamente, sin

incurrir en costos financieros fuera de mercado.” (7:10)



12

1.3.3 Riesgo de mercado

“Es la contingencia de que una institución incurra en pérdidas como

consecuencia de movimientos adversos en precios en los mercados financieros.

Incluye los riesgos de tasa de interés y cambiario.” (7:10)

1.3.4 Riesgo país

“Es la contingencia de que una institución incurra en pérdidas, asociada con el

ambiente económico, social y político del país donde el deudor o contraparte

tiene su domicilio y/o sus operaciones. Incluye los riesgos soberano, político y

de transferencia.” (7:10)

1.3.5 Riesgo operativo

Este riesgo se puede conceptualizar de la manera siguiente: “El riesgo operativo

se define como el riesgo de sufrir pérdidas debido a la inadecuación o a fallos de

los procesos, el personal y los sistemas internos o bien a causa de

acontecimientos externos. Esta definición incluye el riesgo legal pero excluye el

riesgo estratégico y el de reputación.” (3:159)

El concepto anteriormente descrito lo define el Comité de Basilea II, el cuál

emite acuerdos que norman las adecuaciones de capital, sobre la base de

riesgos asumidos por las entidades bancarias.

Aunque según el reglamento para la administración integral de riesgos, el riesgo

operativo incluye dentro de su análisis el riesgo tecnológico.

1.4 Comité de Basilea

1.4.1 Historia

“En julio de 1988, el Comité de Supervisión Bancaria de Basilea publicó el

documento "International Convergence of Capital Measurement and Capital



13

Standards", en el que se recogía el primer Acuerdo de Capital, más conocido

como de Basilea I. El Comité pretendía evitar que los bancos incurriesen en

excesivos riesgos crediticios, exigiéndoles mantener un nivel mínimo de capital

en función del riesgo asumido, tal que, en casos de insolvencia de sus

deudores, absorbiera las posibles pérdidas.

Requiere un coeficiente de solvencia del capital mínimo de los bancos del 8% de

sus activos totales, ponderados en función de su riesgo crediticio. Este

coeficiente es el porcentaje de capital que deben destinar para cubrir los riesgos

que se lleguen a concretar. En un primer momento, estos requerimientos de

capital solo tenían en cuenta el riesgo de crédito pero, en 1996, el Comité

efectuó una modificación para incluir, también, el riesgo de mercado. Se puede

considerar que el Acuerdo de 1988 infravalora los riesgos y sobrevalora la

suficiencia de capital de las entidades financieras. El Comité, no ajeno a esta

situación, en junio de 1999, publicó un documento consultivo, "A New Capital

Adequacy Framework", para reemplazar el Acuerdo de 1988, presentando,

posteriormente, en enero de 2001 y abril de 2003, sendas propuestas más

desarrolladas, sobre las que se ha trabajado para dar lugar a la versión definitivadel Nuevo Acuerdo de Capital, "International Convergence of Capital

Measurement and Capital Standards: a Revised Framework" (2004). El Nuevo

Acuerdo de Capital, o de Basilea II, intenta mejorar la seguridad y solvencia del

sistema financiero, mostrándose como una norma de adecuación de capital más

sensible al riesgo de las operaciones bancarias, e incentivando a las entidades

en la mejora de sus capacidades de gestión y control de riesgos…” (6:3)

1.4.2 Conceptualización del Comité de Basilea

El Comité de Supervisión Bancaria de Basilea “es un foro de cooperación en

materia de supervisión de bancos. Su objetivo principal es mejorar el

entendimiento y la calidad de la supervisión bancaria en el mundo, para lo cual



14

se basa en el intercambio de información en materia de supervisión, con miras a

promover el entendimiento común.

El Comité de Basilea no es una autoridad supervisora supranacional formal, es

decir, sus conclusiones no tienen fuerza legal; su accionar se limita a la

formulación de estándares y recomendaciones en materia de supervisión y

buenas prácticas financieras, con miras a que las autoridades supervisoras

individuales tomen las medidas para implementarlas mediante la emisión de

normativa que se adecue a sus propios sistemas financieros. Los principios que

emanan de las decisiones del Comité de Basilea tienen aplicación en la mayoríade las naciones, con independencia de su grado de desarrollo económico.

El Comité de Basilea busca la convergencia de los estándares de supervisión

financieros en aras de armonizar las técnicas de supervisión con los sistemas

financieros propios de cada país.” (13)

1.4.3 Categorización de niveles de riesgo Basilea II

El Comité de Supervisión Bancaria de Basilea, en trabajo conjunto con el sector

bancario de varios países a nivel mundial, ha identificado y clasificado varios

tipos de eventos de pérdida, relativos al riesgo operativo, de la manera

siguiente:

a) Fraude interno

“Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o eludir regulaciones, leyes opolíticas empresariales (excluidos los eventos de diversidad /

discriminación) en las que se encuentra implicada, al menos, una parte

interna a la empresa. Tiene los siguientes sub-niveles:



15

Actividades no autorizadas, y

Hurto y fraude.

b) Fraude externo

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o soslayar la legislación, por parte

un tercero. Tiene dos sub-niveles los cuales son:

Seguridad de los sistemas, y

Hurto y fraude.

c) Relaciones laborales y seguridad en el puesto de trabajo

Pérdidas derivadas de actuaciones incompatibles con la legislación o

acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el

pago de reclamaciones por daños personales, o sobre casos

relacionados con la diversidad / discriminación. Tiene tres sub-niveles los

cuales son:

Relaciones laborales,

Higiene y seguridad en el trabajo, y

Diversidad y discriminación.

d) Clientes, productos y prácticas empresariales

Pérdidas derivadas del incumplimiento involuntario o negligente de una

obligación profesional frente a clientes concretos (incluidos requisitos

fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.

Tiene cinco sub-niveles, los cuales son:

Adecuación, divulgación de información y confianza,



16

Prácticas empresariales o de mercado improcedentes,

Productos defectuosos,

Selección, patrocinio y riesgos, y

Actividades de asesoramiento.

e) Daños a activos materiales

Pérdidas derivadas de daños o perjuicios a activos materiales como

consecuencia de desastres naturales u otros acontecimientos. Cuenta

con un sub-nivel:

Desastres y otros acontecimientos.

f) Incidencia en el negocio y fallos en los sistemas

Pérdidas derivadas de incidencias en el negocio y de fallos en los

sistemas. Cuenta con un sub-nivel:

Sistemas.

g) Ejecución, entrega y gestión de procesos

Pérdidas derivadas de errores en el procesamiento de operaciones o en

la gestión de procesos, así como de relaciones con contrapartes

comerciales y proveedores. Cuenta con seis sub-niveles:

Recepción, ejecución y mantenimiento de operaciones,

Seguimiento y presentación de informes,

Aceptación de clientes y documentación,

Gestión de cuentas de clientes,

Contrapartes comerciales, y

Distribuidores y proveedores.” (3:342)



17

1.4.4 Pilares del acuerdo de Basilea

El Acuerdo de Basilea II se asienta sobre dos grandes bloques: el ámbito de

aplicación, que va a determinar las entidades en las que deberá cumplirse el

coeficiente de solvencia; y los denominados tres pilares: requerimientos

mínimos de capital, revisión supervisora y disciplina de mercado.

“El primer pilar define los requisitos mínimos de capital en función de los riesgos

asumidos, es decir, el coeficiente de solvencia del 8%. La definición de capital

no varía, pero el denominador del coeficiente si sufre importantes alterac iones.”

(6:4)

a) Pilar I: Medición y adecuación de capital de riesgo operativo

“La medición es, sin duda, el aspecto más complejo y a la vez el más

trascendental en el tratamiento de este riesgo. Una correcta cuantificación

del riesgo operacional permitirá, entre otras cuestiones, facilitar la

racionalización de las pólizas de seguros, posibilitando, con ello, una

reducción de capital regulatorio para los enfoques más avanzados. Por

otra parte, desde un punto de vista práctico, la medición del riesgo

operacional permite su inclusión en el cálculo de la rentabilidad ajustada

al riesgo y, por tanto, acercar más a la realidad el modelo de creación de

valor de la compañía. Basilea II propone tres enfoques para calcular los

requerimientos de capital por riesgo operativo, que de menor a mayor

sofisticación y sensibilidad al riesgo, son:

El método del indicador básico (basic indicator approach o BIA);

El método estándar (standardized approach o SA); y

Las metodologías de medición avanzada (advanced measurement

approach o AMA).” (6:10)



18

El método del indicador básico y el modelo estándar cubren el riesgo operativo

con un capital equivalente a un porcentaje fijo de los ingresos brutos. La

principal diferencia entre uno y otro se observa en que en el método estándar el

total de capital requerido se calcula como la suma de las necesidades de capital

regulador de cada una de las líneas de negocio descritas por el Comité. El

Acuerdo de Basilea II se basa en la simplicidad de su concepto para convertir la

variable ingresos brutos en aproximación al tamaño o nivel de la exposición al

riesgo operativo. El método de indicador básico es el que más se adecua a la

entidad si está iniciando con la gestión de riesgo operativo.

Método del indicador básico (función de ingresos netos)

Es equivalente a un porcentaje fijo de los ingresos brutos anuales medios

de los tres últimos años.

KBIA= GI x α

Dónde:

KBIA = Requerimiento de capital en el método del indicador básico

GI = Ingresos brutos anuales medios de los tres últimos años

α = 15%, fijado por el Comité de Basilea.

Ingresos brutos: ingresos netos por intereses más otros ingresos netos

ajenos a intereses (medida bruta de cualquier provisión dotada, excluye

los beneficios / pérdidas realizadas de la venta de valores de la cartera deinversión y excluye partidas extraordinarias o irregulares)



19

Línea de negocio Factor BetaFinanzas corporativas 18%

Negocios y ventas 18%

Banca minorista 12%

Banca comercial 15%

Liquidación y pagos 18%

Servicio de agencia 15%

Administración de activos 12%

Intermediación minorista 12%

Tabla ponderada por línea de negocio

Método estándar (función líneas de negocio)

En este enfoque, las actividades de la entidad se dividen en 8 líneas de

negocio. Dentro de cada línea, el ingreso bruto es indicador para

aproximar la magnitud del negocio operacional y por lo tanto del riesgo de

operaciones.

KTSA = Σ(GI1-8 x β1-8)

Dónde:

KTSA = Requerimiento de capital en el método estandarizado

GI1-8 = Ingresos brutos anuales medios de los tres últimos años para cada

línea de negocio, indicada en la tabla no. 1.

β1-8 = porcentaje fijado por el Comité de Basilea llamado factor Beta,indicado en la tabla no. 1.

TABLA No. 1

Tabla de ponderación % de requerimiento de capital

Fuente: elaboración propia con base en información indicada en la publicación de Basilea II



20

Método Avanzado (cálculos probabilísticos)Se requiere información consolidada en forma global y por línea de

negocio. Requerimiento basado en medición interna sujeta a los criterios

definidos por el acuerdo. Criterios definidos de organización y gestión,

data y control.

“Los bancos que adopten el método avanzado, previa aprobación de los

supervisores del país de acogida y el respaldo de su supervisor de origen,

podrán utilizar un mecanismo de distribución a efectos de determinar el

requerimiento de capital regulador para las filiales de bancos con

actividad internacional que no se consideren significativas con respecto al

grupo en su conjunto pero que estén sujetas al presente marco en virtud

del primer pilar. El consentimiento del supervisor podrá depender de que

el banco logre demostrar que los mecanismos de distribución entre estas

filiales es el adecuado y se apoya en datos empíricos. El consejo de

administración y la alta dirección de cada filial deberán realizar su propiaevaluación de los riesgos operacionales de la misma, así como controlar

y asegurar que el capital que mantiene es el adecuado para estos

riesgos.” (3:163)

1.4.5 Pilar II: Proceso de revisión del supervisor

El Comité de Supervisión Bancaria de Basilea emitió un conjunto de principios

para una gestión y supervisión eficaz del riesgo operativo, de manera tal que losbancos y los entes supervisores puedan utilizarlos al evaluar políticas y

prácticas destinadas a gestionar este tipo de riesgo. Los principios de prácticas

adecuadas para la gestión y supervisión del riesgo operativo dentro de la

institución son:



21

a) Desarrollo de una cultura adecuada de riesgo

“Principio 1: El consejo de administración ha de ser consciente de los

principales aspectos de los riesgos operacionales del banco.

Principio 2: El consejo de administración debe asegurar que el esquema

de gestión del riesgo operacional del banco esté sujeto a una auditoría

interna efectiva e integral.

Principio 3: La alta dirección de la compañía debe tener la

responsabilidad de implementar el esquema de gestión del riesgo

operacional aprobado por el consejo de administración.

b) Gestión de riesgos: identificación, evaluación, seguimiento, control

y mitigación

Principio 4: Los bancos deben identificar y evaluar el riesgo operacional

inherente a todos los productos, actividades, procesos y sistemas

relevantes.

Principio 5: Los bancos deben implementar un proceso para el

seguimiento regular de los perfiles del riesgo operacional y de su

exposición material a pérdidas.

Principio 6: Los bancos deben tener políticas, procesos y procedimientospara controlar o mitigar los riesgos operacionales más significativos.

Principio 7: Los bancos deben implementar planes de contingencia y de

continuidad del negocio a fin de garantizar su capacidad para operar en



22

forma continua y minimizar las pérdidas en caso de una interrupción

severa del negocio.

c) Papel de los supervisores

Principio 8: Los supervisores deben exigir a todos los bancos, sin

importar su tamaño, que implementen un esquema eficaz para identificar,

evaluar, seguir y controlar o mitigar los riesgos operacionales materiales

como parte de un enfoque integral para la gestión de riesgos.

Principio 9: Los supervisores deben llevar a cabo, de manera directa o

indirecta, una evaluación periódica independiente de las políticas,

procedimientos y prácticas de un banco relacionadas con el riesgo

operacional.

d) Papel de divulgación

Principio 10: Los bancos deben realizar suficiente divulgación pública

para permitir que los participantes del mercado evalúen su enfoque para

la gestión del riesgo operacional.” (6:8)

Los principios básicos de Basilea comprenden 25 preceptos que se consideran

necesarios para que un sistema de supervisión sea efectivo; los cuales, son

categorizados de forma general en siete grupos:

Grupo 1: (principio 1). Objetivos, independencia, poderes, transparencia

y cooperación,

Grupo 2: (principios 2 a 5) Otorgamiento de licencia y estructura,

Grupo 3: (principios 6 a 18) Regulación prudencial y requerimientos,

Grupo 4: (principios 19 a 21) Métodos de supervisión continua,

Grupo 5: (principio 22) Contabilidad y divulgación de información,



23

Grupo 6: (principio 23) Poderes correctivos y poder de los supervisores,

Grupo 7: (principios 24 y 25) Supervisión consolidada y supervisión

bancaria transfronteriza.

Es importante mencionar muchos de los aspectos que se consideran en estos

principios se encuentran recogidos en la Ley de Bancos y Grupos Financieros,

lo cual demuestra que la supervisión financiera en el país de Guatemala tiene

una clara tendencia a adoptar las mejores prácticas internacionales.

“La supervisión bancaria no es una ciencia exacta y, por tanto, es inevitable la

presencia de elementos discrecionales en el proceso de examen supervisor. Los

supervisores deberán esforzarse por cumplir sus obligaciones de forma

transparente y asumiendo sus responsabilidades. Deberán hacerse públicos los

criterios que deben utilizar los supervisores para examinar las evaluaciones

internas de capital de los bancos. Si un supervisor decide fijar coeficientes

objetivo o coeficientes límite, o establecer categorías de capital por encima del

mínimo regulador, tendrá que hacer públicos los factores que puedan tenerse en

cuenta al adoptar tales decisiones. Cuando se fijen requerimientos de capitalpor encima del mínimo para un determinado banco, el supervisor deberá

explicarle cuáles fueron las características de riesgo específicas que dieron

lugar a esos requerimientos, así como cualquier medida correctiva necesaria. ”

(3:241)

1.4.6 Pilar III: Disciplina de mercado

No requerido en el reglamento de riesgos operativos. Establece que todo bancodebe poseer una política formal de divulgación aprobada por el directorio. Dicha

política deberá reflejar los objetivos y la estrategia del banco para el anuncio

público de información sobre su condición y rendimiento financieros, según lo

indicado por Basilea II.



24

1.5 Apetito de riesgo

“Es el nivel máximo de exposición total a aquellos riesgos específicos cuya

exposición deba expresarse en términos cuantitativos, que pueden ocasionar

pérdidas a la institución que la misma está dispuesta y en capacidad de asumir

tomando en cuenta su plan estratégico, condición financiera y su rol en el

sistema financiero. Dicho nivel puede estar expresado en términos absolutos o

en relación a variables financieras de la institución.” (1:3) El apetito de riesgo

puede ser evaluado y determinado según la vulnerabilidad y severidad.

1.5.1 Frecuencia

“Es una medida para indicar el número de repeticiones de cualquier fenómeno o

evento periódico en una unidad de tiempo.” (2:28)

1.5.2 Severidad

“Tamaño de la consecuencia o nivel de daño potencial de un evento. ” (2:29)

Podría decirse también que está relacionado con el valor en moneda que seregistraría al momento en que el evento de riesgo se materialice, evaluando la

parte cuantitativa de la gestión.

1.5.3 Vulnerabilidad

“Susceptibilidad a un ataque o falla, incrementando la posibilidad de daño.”

(2:31). En otras palabras, la vulnerabilidad se relaciona con las características

básicas que debe tener los controles, y que dependiendo de la naturaleza de la

actividad y del control, deben de aplicarse, evaluando la parte cualitativa de lagestión.

1.6 Tipos de objetivo por materialización de eventos

Los eventos de riesgo operativo al materializarse pueden afectar uno o más

objetivos dependiendo de su severidad y rango de pérdidas expresados en



25

cualquier moneda determinado por cada entidad bancaria. El apetito de riesgo

está definido por cada objetivo, debido a que no todos los objetivos tienen el

mismo valor o importancia.

1.6.1 Pérdida por fraude

Este tipo de pérdida puede suceder al haber colusión entre el personal, o bien

puede ser individual cuando la persona tiene el acceso a recursos y se presenta

la oportunidad acompañada de una necesidad que debe ser cubierta,

provocando un robo o hurto. Depende de la entidad bancaria que se enfoque es

este objetivo, debido a que por su naturaleza se debe monitorear cada puntodébil que se identifique en los procesos a modo de prevenir los fraudes, no

importando el valor monetario que este represente, por lo que el apetito de

riesgo de este objetivo solo toma en cuenta la vulnerabilidad.

1.6.2 Pérdida por error

Este es el tipo de evento más común que se presenta en las entidades

bancarias, y tiene relación con los procesos que son ejecutados o monitoreados

por personal, debido a que el error está presente en todo momento. Dependede su vulnerabilidad y severidad para que se defina su apetito de riesgo.

1.6.3 Requerimientos del cliente

Son eventos relacionados con el cumplimiento de las solicitudes del cliente, y

que dependiendo de la eficiencia puede ser cubierta su necesidad o por la

deficiencia en el proceso se le puede perjudicar. Depende de su vulnerabilidad

y severidad para que se defina su apetito de riesgo.

1.6.4 Continuidad de Negocio

Son eventos relacionados con la interrupción de las operaciones en la entidad

bancaria. Sus causas pueden variar desde desastres naturales hasta un mal

manejo del sistema y de la información que ocasione la parálisis de las

actividades en la empresa, y que en algunas ocasiones pueden evitarse,



26

teniendo un plan de contingencia o en otras ocasiones se escapan de la

voluntad de la administración de la entidad. Depende de su vulnerabilidad y

severidad para que se defina su apetito de riesgo.

1.6.5 Cumplimiento regulatorio

Son eventos que son originados por el descuido del personal y falta de control,

el cual provoca un incumplimiento de normativa o marco regulatorio. Por su

naturaleza no debería de suceder, debido a que se tienen controles dentro de

las entidades, para evitar este tipo de faltas, por lo que depende únicamente de

su vulnerabilidad para que se defina su apetito de riesgo.

1.6.6 Revelación financiera

Este tipo de eventos afectan la información de los estados financieros al

tergiversarla hasta el punto en que la misma ya no sea razonable. Tendrán

relación con los procesos que afecten directamente las cuentas contables.

Depende de su vulnerabilidad y severidad para que se defina su apetito de

riesgo.

1.7 Estructura y definición de responsabilidadesLa entidad bancaria define las responsabilidades a todos los niveles jerárquicos

de la siguiente manera:

1.7.1 Junta Directiva

“Es responsable de:

a) Aprobar las políticas, procedimientos y sistemas para la administración

del riesgo operativo, incluyendo el nivel de tolerancia al riesgo.

b) Conocer los reportes que le remita el comité de riesgos sobre la

exposición del riesgo operativo, el cumplimiento delas políticas y



27

procedimientos así como adoptar las medidas correctivas que regularicen

incumplimientos si los hubiere.” (1:6)

1.7.2 Comité de riesgos operativos

“Es responsable de:

a) Proponer a junta directiva, para su aprobación las políticas,

procedimientos y sistemas para la administración del riesgo operativo que

incluyan los niveles de tolerancia y límites prudenciales.

b) Reportar a junta directiva la exposición del riesgo operativo, elcumplimiento de las políticas y procedimientos así como adoptar las

medidas correctivas que regularicen incumplimientos si los hubiere.” (1:7)

1.7.3 Gerencia General

“Es el conjunto de individuos con autoridad gerencial, incluye al gerente

general y a todos sus subalternos directos de nivel gerencial. Es

responsable en última instancia de la administración del riesgo operativo.

Sus responsabilidades incluyen:

a) Asegurarse de que se completen todas las acciones correctivas

necesarias para resolver problemas de control.

b) Asegurarse de que la información de riesgos operativos reportada en los

sistemas correspondientes cumpla con los estándares de calidad,

integridad y oportunidad que se definirán como parte de los

requerimientos de la política.

c) Obtener la aprobación de la junta directiva para todas las excepciones

que se hagan a la política.



28

d) Garantizar la independencia de la unidad de gestión de riesgo operativo y

su funcionamiento.” (1:7)

1.7.4 Auditoría interna de riesgo operativo

El papel de la auditoría de riesgo operativo, por su ciclo de gestión, debe

ser de forma dinámica y menos estática y predecible que las auditorías

internas convencionales de las entidades bancarias. La responsabilidad

la define el comité de riesgos operativos de la entidad bancaria,

limitándolas a:

a) “Proponer al comité de r iesgos, políticas, procedimientos y sistemas para

la administración del riesgo operativo, que incluyan, niveles de tolerancia,

metodologías, herramientas, modelos y limites prudenciales y otros

mecanismos de control.

b) Identificar causas de incumplimiento a las políticas, errores y fraudesdetectados, determinar si dichos incumplimientos se presentan en forma

reiterada, mantener registros históricos a tales incumplimientos e informar

los resultados al comité de riesgos.

c) Monitorear y mitigar en conjunto con las Unidades Funcionales los

riesgos principales, eliminando o disminuyendo las brechas al mejorar los

controles y procedimientos.”(1:7)

1.7.5 Unidad Funcional

“Se llama unidades funcionales a toda unidad organizativa de una entidad

perteneciente a la Institución. y cuyo supervisor directo tiene al menos el

rango de jefe. Las unidades funcionales pueden ser de tres tipos:



29

a) De negocios, que tienen establecidas metas de ingresos y tienen

relaciones directas con clientes o toman decisiones de transacciones de

riesgos de mercado.

b) De ejecución, que tienen como objetivo efectuar transacciones de clientes

o de riesgo de mercado, o funciones administrativas o de apoyo a otras

áreas.

c) De control, que tienen como objetivo asegurar el cumplimiento de

políticas o procedimientos y/o evaluar y mantener el riesgo dentro de

límites razonables.” (1:3)

Las unidades funcionales tienen las siguientes responsabilidades dentro de lagestión:

a) “Identificar y evaluar los riesgos de su operación de manera oportuna,

b) Implementar los controles y medidas mitigantes necesarias para

mantener los riesgos operativos en niveles adecuados, según los planes

de acción que las mismas unidades deberán establecer,

c) Efectuar oportunamente los ejercicios y actividades de autoevaluación,

d) Ingresar la información de riesgos operativos en los sistemas

correspondientes de manera exacta, íntegra y oportuna, y

e) Para cumplir con las responsabilidades anteriores de manera organizada

y eficiente, cada unidad funcional deberá designar dentro de su estructura

uno o más coordinadores para las actividades de administración de

riesgos operativos.” (1:8)



30

1.7.6 Auditoría interna

“La auditoría interna es la responsable de:

a) Evaluar la ejecución del proceso y cumplimiento de las funciones de la

auditoría interna de riesgo operativo, y

b) Evaluar los controles implementados y propuestos por las unidades

f uncionales.” (1:13)

1.7.7 Unidad de calidad“La unidad de calidad es la responsable de:

a) Dar apoyo en la generación de información sobre debilidades de control

en las unidades funcionales que se registran sistema de gestión de

calidad que funcione en la entidad. Este sistema puede utilizarse como

fuente directa o indirecta de información para el monitoreo de riesgos

operativos, y

b) Dar apoyo en la ejecución de evaluaciones puntuales de procesos para el

seguimiento de la implementación de mejoras incluidas en planes de

trabajo de mitigación de riesgos operativos.” (1:8)

1.8 Ciclo de gestión de riesgo operativo

“La administración de riesgos operativos incluye los procesos de: a)

identificación de riesgos operativos; b) mitigación de riesgos principales; c)evaluación de los riesgos identificados y sus controles; d) medición y reportes de

incidentes de riesgo; e) gestión ambiente de control y f) la generación de

reportes en un ciclo continuo, aunque para efectos descriptivos se presentan

como si fueran secuenciales.” (1:9)



31

Los primeros tres de estos procesos (identificación, evaluación y mitigación)

son los ciclos principales y de mayor énfasis, los restantes son complementarios

a los mismos. A continuación se describen los procesos más importantes del

ciclo de gestión de riesgos operativos con los subprocesos que los componen:

1.8.1 Identificación de riesgos operativos

“Este proceso está compuesto por tres subprocesos que deben efectuarse

anualmente por cada unidad funcional, siguiendo los estándares mínimos

establecidos por la gestión de riesgo operativo.

a) Identificación de riesgos operativos por las unidades funcionales

Cada unidad funcional debe identificar los riesgos operativos en su

estrategia, objetivos, productos y actividades. Se incluyen aquí los

riesgos relacionados con procesos, productos, gente, infraestructura,

sistemas y cumplimiento con leyes, regulaciones y políticas, pero no los

que se deben exclusivamente a exposiciones, posiciones o pérdidas

potenciales relacionadas con decisiones de riesgo de crédito, de

mercado, de tasas de interés, de liquidez o estratégico.

b) Evaluación de riesgos operativos

Después de identificar los riesgos, las unidades funcionales deben

evaluar su vulnerabilidad a cada uno de esos riesgos. Para esto se debe

considerar tanto el monto en riesgo como la frecuencia de ocurrencia de

los eventos y su severidad. Con base en esta evaluación se determinacuáles son los riesgos principales de cada unidad y se establecen planes

de acción para mitigar.



32

c) Identificación de indicadores de riesgos principales

Para cada uno de los riesgos principales de cada unidad funcional, se

deben identificar indicadores de riesgo y alertas de escalamiento. Se

debe establecer en cada unidad funcional el proceso para comunicar

prontamente a la Gerencia cuando se dispara una alerta.” (1:10)

1.8.2 Evaluación de controles y riesgos operativos

“El proceso de autoevaluación consiste de tres subprocesos que deberán

efectuarse en cada unidad funcional siguiendo los estándares especificados por

la auditoría interna de riesgo operativo:

a) Calificación de controles

Cada unidad funcional debe calificar la calidad y efectividad de los

controles asociados con cada riesgo principal en una escala del 1 (peor =

no satisfactorio) al 3 (mejor = satisfactorio); además debe calificarse la

calidad global del ambiente de control de la unidad funcional en la misma

escala.

b) Evaluación puntual

Cada unidad debe evaluar la efectividad de sus controles periódicamente,

mediante una combinación de indicadores cuantitativos, investigación,

observación (por ejemplo, técnica de “cliente oculto”) y pruebas de

cumplimiento, y la administración debe indicar por qué considera

adecuada la metodología de evaluación específicamente utilizada.

c) Corrección de brechas

Cada unidad funcional debe formular un plan de acción correctiva (que

detalle el control, la deficiencia, la acción correctiva necesaria, la fecha

meta, el responsable directo y el gerente responsable del seguimiento)



33

para cubrir las debilidades de control detectadas en las actividades de

evaluación puntual.” (1:11)

1.8.3 Mitigación de riesgos operativos principales

Las medidas de mitigación que se establezcan en los planes de acción

resultantes de la identificación de riesgos podrán ser llevadas a cabo por cada

unidad funcional mediante dos subprocesos diferentes:

a) Establecimiento de controles

“Cada unidad funcional debe establecer (siguiendo los planes de accióncorrespondientes) y mantener un esquema de controles acorde con su

nivel de riesgo operativo, incluyendo la adecuada documentación de

esos procedimientos de control y el apropiado entrenamiento para el

personal que debe ejercerlo.

b) Transferencia de riesgos

Cada unidad funcional debe evaluar las opciones de transferencia de los

riesgos residuales (después de aplicados los controles internos) que se

determine que no son aceptables para el apetito de riesgo de la

organización. Los detalles de todo mecanismo de transferencia que se

utilice deben reportarse a la Auditoría de Riesgo Operativo. ” (1:10)



34

CAPÍTULO II

MARCO REGULATORIO APLICABLE A LAS ENTIDADES BANCARIAS

CONFORME A LAS ENTIDADES REGULADORAS PARA LA GESTIÓN DE

RIESGO OPERATIVO

2.1 Entidades regulatorias locales

Las entidades regulatorias locales tienen como responsabilidad el supervisar,

monitorear el cumplimiento de las normativas que se promulguen en el país

donde se encuentran en funcionamiento, así como el velar por el correcto

funcionamiento de las entidades bancarias.

2.1.1 Constitución Política de la República de Guatemala y sus reformas

Obedeciendo la jerarquía de las normas jurídicas, la Constitución Política de la

República de Guatemala, promulgada por la Asamblea Nacional Constituyente

del año 1985, reformada en virtud de consulta popular por medio de Acuerdo

Legislativo No. 18-93 del 17 de noviembre de 1993, emitido por el Congreso de

la República de Guatemala.

Según la carta magna, el artículo 132 indica que las actividades monetarias,

bancarias y financieras, estarán organizadas bajo el sistema de banca central, el

cual ejerce vigilancia sobre todo lo relativo a la circulación de dinero y a la deuda

pública; la norma establece también que el referido sistema es dirigido por la

Junta Monetaria, de la que depende el Banco de Guatemala.

Posteriormente, el artículo 133 comunica que la Junta Monetaria tendrá a sucargo la determinación de la política monetaria, cambiaria y crediticia del país y

velará por la liquidez y solvencia del sistema bancario nacional, asegurando la

estabilidad y fortalecimiento de la banca privada nacional. En materia de

supervisión del sistema financiero, dicho artículo señala que la Superintendencia

de Bancos, organizada conforma a la ley, es el órgano que ejercerá la vigilancia



35

e inspección de bancos, instituciones de crédito, empresas financieras, de

seguros y las demás que la ley disponga.

2.1.2 Ley de Bancos y Grupos Financieros y sus reformas

De conformidad con su artículo 1, esta ley tiene por objeto regular lo relativo a la

creación, organización, fusión, actividades, operaciones, funcionamiento,

suspensión de operaciones y liquidación de bancos y grupos financieros, así

como lo relativo al establecimiento y clausura de sucursales y de oficinas de

representación de bancos extranjeros. Esta norma fue promulgada por el

Congreso de la República de Guatemala en abril de 2002 mediante el DecretoNo. 19-2002 y sus reformas.

2.1.3 Ley de Supervisión Financiera

Contiene lo relativo a las atribuciones y funciones de la Superintendencia de

Bancos, como ente encargado de la vigilancia e inspección del sistema

financiero. Indica el cumplimiento de las funciones constitucional y legalmente

asignadas a la Superintendencia de Bancos, creando un marco regulatorio que

otorga la capacidad para desarrollar su labor de vigilancia e inspección de

manera preventiva, así como de facultades sancionatorias y otorgándole

independencia funcional.

2.1.4 Reglamento para la Administración Integral de Riesgos

Contenida en la Resolución JM-56-2011, “tiene por objeto regular los aspectos

mínimos que deben observar los bancos, las sociedades financieras, las

entidades fuera de plaza o entidades off shore autorizadas por la Junta

Monetaria para operar en Guatemala y las empresas especializadas en servicios

financieros que formen parte de un grupo financiero, con relación a la

administración integral de riesgos.” (7:3)



36

Este reglamento toma en cuenta los demás tipos de riesgo como el crediticio, de

liquidez, de mercado, riesgo país y el riesgo operativo. Introduce una serie de

definiciones, las cuales se han detallado en el capítulo I del presente trabajo.

Además indica que “las instituciones deberán implementar una administración

integral de riesgos, acorde al nivel de tolerancia al riesgo, considerando la

naturaleza, complejidad y volumen de las operaciones que realizan, con el

propósito de evaluar la suficiencia de capital con relación a su exposición al

riesgo.” (7:4)

En el artículo 4 de dicho reglamento, asigna responsabilidades al consejo deadministración de la entidad bancaria como el encargado “de velar porque se

implemente e instruir para que se mantenga en adecuado funcionamiento y

ejecución la administración integral de riesgos.” (7:8)

Las asignaciones que hace el reglamento a la unidad de administración de

riesgos, puede ser tomado como responsabilidad de la auditoría especializada

en riesgo operativo. Dichas responsabilidades están detalladas en el capítulouno del presente trabajo.

a) Aspectos necesarios del manual de administración integral de

riesgos

El reglamento solicita en el artículo diez que “Las instituciones deberán

contar con un manual de administración integral de riesgos, el cual

deberá incluir las políticas, procedimientos y sistemas de administración

integral de riesgos aprobados por el consejo, así como los aspectos

siguientes:



37

La descripción de las principales líneas de negocio y de los productos y

servicios, así como los riesgos que los mismos incorporan, incluyendo

diagramas de flujo que ilustren los procesos y que permitan identificar

dónde y cuándo se manifiestan los riesgos, así como su interrelación y

posibles acciones para controlar y mitigar los mismos.

El proceso para la aprobación de propuestas de nuevos productos y

servicios, el cual deberá incluir un análisis de los riesgos implícitos; un

planteamiento de iniciativas para la administración integral de riesgos y

de los mecanismos para informar y revelar a quien corresponda; y, unaopinión sobre la viabilidad financiera, jurídica y operativa.

La estructura organizacional para llevar a cabo la administración integral

de riesgos, así como el detalle de las funciones y responsabilidades

claramente definidas del comité, la unidad y de las diferentes unidades de

negocios de la institución, de manera que se garantice la independencia

funcional de la unidad.” (7:8)

La entidad deberá crear manuales específicos por cada clase de riesgo

existente, y deberán contener un mínimo de aspectos contemplados en la

normativa específica.

b) Aspectos necesarios en el informe del comité de gestión de riesgos

El artículo 14 del reglamento, estipula lo concerniente al informe de

comité de gestión de r iesgos. “El Comité deberá presentar un informe al

consejo anualmente, y cuando la situación lo amerite, quien deberá

conocerlo dentro del bimestre siguiente a la finalización del año que

corresponda. Dicho informe deberá contener lo siguiente:



38

Las labores realizadas por el comité y los objetivos alcanzados,

La exposición total e individual por tipo de riesgo de la institución en sus

principales líneas de negocio, y el posible impacto en los resultados y en

el capital de la institución,

Los casos donde se excedieron los límites prudenciales establecidos, si

los hubiere, y sus causas,

Las medidas correctivas adoptadas, derivadas del resultado de lasverificaciones efectuadas, así como las propuestas de acciones a adoptar

con relación a incumplimientos de políticas y procedimientos,

Un resumen estadístico sobre el comportamiento histórico y tendencia de

la exposición a los riesgos, así como de los diferentes incumplimientos, si

los hubiere, incluyendo el análisis de su reincidencia,

Los resultados del monitoreo y análisis de tendencias macroeconómicas,

financieras, sectoriales y de mercado, así como las recomendaciones

pertinentes,

Un resumen de las verificaciones del cumplimiento de las políticas y

procedimientos de administración integral de riesgos, incluyendo las

metodologías, herramientas o modelos para la medición de riesgos,

Cambios en las metodologías, herramientas o modelos empleados por la

institución para la administración integral de riesgos,

La relación rentabilidad-riesgo de las principales líneas de negocio,



39

Otros aspectos que el Consejo requiera.” (7:9)

c) Aspectos necesarios en el informe de la unidad de administración

de riesgos

Posteriormente el artículo 15 del reglamento en mención, indica que la

unidad de administración de riesgos deberá presentar un informe al

comité de riesgo operativo, dicho informe deberá contener lo siguiente:

“Las labores realizadas por la unidad y los objetivos alcanzados,

La exposición total e individual por tipo de riesgo de la institución en sus

principales líneas de negocio, y el posible impacto en los resultados y en

el capital, incluyendo el análisis de la aplicación de las metodologías,

herramientas o modelos aprobados por el Comité,

Los casos donde se excedieron los límites prudenciales establecidos, si

los hubiere, y la explicación detallada de las causas,

Las propuestas de medidas correctivas con relación a las verificaciones

efectuadas,

Un resumen estadístico sobre el comportamiento histórico y tendencia de

la exposición a los riesgos, así como de los diferentes incumplimientos, si

los hubiere, incluyendo el análisis detallado de su reincidencia,

Los resultados del monitoreo y análisis de tendencias macroeconómicas,

financieras, sectoriales y de mercado y su impacto en la situación

financiera de la institución,



40

La información acerca del cumplimiento de las políticas y procedimientos

de administración integral de riesgos, incluyendo las metodologías,

herramientas o modelos para la medición de riesgos,

Cambios en las metodologías, herramientas o modelos empleados por la

institución para la administración integral de riesgos,

El resultado de los análisis de las distintas unidades de negocios, de sus

principales líneas de negocio en términos de rentabilidad-riesgo,

Otros aspectos que el comité requiera.” (7:10)

2.2 Políticas internas de entidades bancarias para la administración de

Riesgo Operativo

De acuerdo con lo indicado en el reglamento para la administración integral de

riesgos, cada tipo de riesgo debe tener su propio manual de conceptos y

procedimientos, el cual debe incluir un mínimo de detalles y principiosaprobados por la junta directiva y el comité de riesgos. Una política básica de

gestión de riesgo operativo contiene lo siguiente:

2.2.1 Propósito“Establecer los principios básicos que van a gobernar la administración de

riesgos operativos y plantear el marco general para identificar, evaluar, mitigar,

medir, monitorear y reportar los riesgos operativos de manera consistente…”

(1:2)

2.2.2 AlcanceDefine las áreas que tendrán que gestionar el riesgo operativo obligatoriamente.

También define el límite o frontera con otro tipo de riesgos.



41

“Esta política es de aplicación obligatoria para todas las unidades funcionales de

la institución. El incumplimiento con esta política puede ser un evento de riesgo

operativo que debe reportarse.

La política no cubre exposición o pérdidas potenciales relacionadas

exclusivamente con la toma de riesgos de crédito, de mercado, de tasas de

interés, de liquidez y otros, pero sí incluye las pérdidas producidas por

incumplimiento con los procesos internos relacionados con estos riesgos.“ (1:2)

2.2.3 DefinicionesLa política interna de riesgo operativo debe hacer referencia a los conceptos

básicos que se maneja en la gestión, para que las áreas funcionales puedan

apoyarse en dicho documento. Las definiciones básicas se encuentran en el

capítulo I del presente trabajo.

2.2.4 Beneficios

Debe indicar los beneficios que tendrán el área funcional como tal, así como la

entidad completa, además de indicar los puntos de vista de la gestión utilizadacomo una herramienta, y no desde el punto de vista como una normativa.

Algunos beneficios son:

a) Permite un trato conceptual homogéneo de los riesgos operativos de

todos los productos, y posibilita la comunicación y discusión efectiva de

exposiciones y acciones correctivas asociadas con riesgos principales,

b) Promueve un uso eficiente y efectivo de los recursos de control: se

dedica más esfuerzo a las unidades donde hay mayores riesgos

operativos,

c) Mejora el entendimiento y la pertenencia de los riesgos operativos por

parte de las unidades funcionales mismas.



42

2.2.5 Responsabilidades

Debe indicar el grado de responsabilidad por nivel jerárquico que participa, así

como las funciones de todas las áreas de apoyo en la gestión. Las

responsabilidades se encuentran indicadas en el capítulo II del presente trabajo,

donde se detalla las funciones de las partes involucradas en la gestión de riesgo

operativo de la entidad.

2.2.6 Ciclo fundamental de la gestión

Indica la forma en que se desarrollará la gestión la cual se encuentra detalladaen el capítulo I del presente trabajo, los cuales no se desarrollan en una

secuencia cronológica sino que ellos a su vez pueden ser continuos. Los

principales ciclos son los primeros tres:

a) Identificación de riesgos operativos,

b) Mitigación de riesgos principales,

c) Evaluación de los riesgos identificados y sus controles,

d) Medición y reportes de incidentes de riesgo,e) Gestión ambiente de control, y

f) Generación de reportes en un ciclo continuo.

“Cada unidad funcional, con validación de la auditoría interna de riesgo

operativo, debe identificar y evaluar los riesgos principales (presentes o

potenciales) de sus procesos al menos una vez al año, considerando tanto el

monto en riesgo, como la vulnerabilidad de ocurrencia de los eventos y su

severidad. Para esto se utilizará el concepto establecido por Basilea: Pérdidaesperada = Exposición x Probabilidad de evento x Pérdida en caso de evento.

Los riesgos operativos pueden mitigarse de dos maneras básicas: a) mediante

controles internos dentro de cada proceso mitigando el riesgo o disminuyéndolo

b) mediante la transferencia a un tercero.



43

Se considera como controles internos adecuados todos aquellos que

efectivamente reduzcan la probabilidad de ocurrencia de un evento de riesgo

operativo o que disminuyan su severidad potencial; son de naturaleza

preventiva. Los controles internos principales incluyen la segregación de

funciones, la eliminación de los conflictos de interés, los controles cruzados, la

capacitación de personal y la estandarización de procesos (y cuando sea

aplicable, la automatización). Se dará especial atención a los controles para

exposiciones altas.

Los únicos mecanismos de transferencia de riesgos que se consideran

aceptables son aquellos que estén debidamente documentados mediante un

contrato legalmente válido y que cuenten con garantías financieras adecuadas

(garantía específica formalizada y/o patrimonio no redimible de la entidad

responsable). Las dos modalidades que inicialmente se va a considerar son los

seguros (incluyendo los autoaseguros justificados técnicamente) y los

subcontratos a terceros (outsourcing) con responsabilidad financiera.” (1:15)



44

CAPÍTULO III

AUDITORÍA DE RIESGO OPERATIVO EN LA IDENTIFICACIÓN DE RIESGO

Y EVALUACIÓN DE CONTROLES Y PROCEDIMIENTOS

3.1 Auditoría

3.1.1 Concepto de auditoría

“Es un proceso sistemático para obtener y evaluar de manera objetiva las

evidencias relacionadas con informes sobre actividades económicas y otras

situaciones que tienen una relación directa con las actividades que se

desarrollan en una entidad pública o privada.” (15:6)

3.1.2 Importancia y objetivo

a) Importancia

Las entidades empresariales que no tienen un área de auditoría no

pueden tener seguridad de que los datos financieros registrados sean

verdaderos y confiables.

b) ObjetivoEs el examen imparcial con la finalidad de expresar una opinión

profesional sobre la confiabilidad de los estados financieros, sí estos

presentan razonablemente la situación financiera de una empresa, así

como los resultados de sus operaciones del periodo examinado.

3.1.3 Clasificación

Existen varios criterios para clasificar la auditoría, entre los cuales se tiene:

a) De acuerdo a la ubicación de la persona que realiza la auditoría

Auditoría interna, y

Auditoría externa.



45

b) De acuerdo al objetivo general que se persigue

Auditoría financiera,

Auditoría administrativa, y

Auditoría operacional.

c) De acuerdo a la profundidad de la investigación o alcance de la

auditoría

Auditoría completa,

Auditoría limitada, Auditoría detallada, y

Auditoría por pruebas selectivas.

d) De acuerdo al ciclo de transacciones y cuentas relacionadas entre

sí

Auditoría al ciclo de tesorería,

Auditoría al ciclo de ingresos, Auditoría al ciclo de egresos,

Auditoría al ciclo de conversión, y

Auditoría al ciclo de información financiera.

e) De acuerdo a la fecha en que se efectúa la auditoría

Auditoría preliminar,

Auditoría final, y

Auditoría continua.



46

3.1.4 Normas que regulan la actuación de quienes la ejecutan

Los profesionales en contaduría pública y auditoría se rigen por diversas normas

y el código de ética, debido a la índole del ámbito financiero en el que se

desarrolla se requiere de perfiles íntegros y transparentes.

a) Normas de ética profesional

El Colegio de Contadores Públicos y Auditores de Guatemala, es uno de

los dos colegios gremiales que reúne a los contadores públicos y

auditores del país, el cuál fue creado en el 2,005. El colegio en mención

es el encargado de la actualización de conocimientos en base alineamientos internacionales, emisión de los principios y normativas

necesarias para la regulación de la actuación profesional del contador

público y auditor

El código de ética profesional del Colegio de Contadores Públicos y

Auditores de Guatemala, publicado en el 2,008, tiene las siguientes

secciones:

Alcance del código,

Responsabilidad hacia la sociedad,

Responsabilidad hacia quien contrata los servicios,

Responsabilidad hacia la profesión,

Normas generales,

El contador público y auditor como profesional independiente,

El contador público y auditor como auditor externo,

El contador público y auditor como consultor tributario

El contador público y auditor en los sectores público y privado,

El contador público y auditor en la docencia,

Infracciones y sanciones,



47

De los procedimientos para sancionar, y

Disposiciones legales.

Por otro lado el Colegio de Economistas, Contadores Públicos y Auditores y

Administradores de Empresas que reúne a los profesionales que su nombre

indica, ha emitido su código de ética, publicado en el año 1,986.

Postulados generales de desempeño profesional,

Normas generales,

Normas de conducta profesional, Proceso de denuncia,

Sanciones y rehabilitaciones, y

Derogatoria y vigencia.

b) Normas internacionales de auditoría

Estas normas son emitidas por el Comité Internacional de Prácticas de

Auditoría (IAPC), encargado de desarrollar y emitir a nombre del Consejode la Federación Internacional de Contadores (IFAC) normas y

declaraciones de auditoría y servicios relacionados. Con fecha 20 de

diciembre de 2007, el Colegio de Contadores Públicos y Auditores de

Guatemala y el Instituto de Contadores Públicos y Auditores publicó en el

diario de Centro América la adopción de las normas internacionales de

auditoría (NIA), emitidas por el Consejo de Normas Internacionales y

Atestiguamiento (IAASB) y bajo la responsabilidad de la Federación

Internacional de Contadores (IFAC), como normas a observar en

Guatemala.



48

c) Normas internacionales de práctica de la auditoría interna

El propósito de las normas es definir principios básicos que representen

el ejercicio de la auditoría interna. Proveer un marco para ejercer y

promover un amplio rango de actividades de auditoría de valor agregado.

Establecer las bases para evaluar el desempeño de la auditoría interna y

fomentar la mejora en los procesos y operaciones de la organización.

3.1.5 Técnicas y procedimientos de auditoría

Para la ejecución de cualquier trabajo de auditoría practicada en forma interna o

externa, son numerosos los elementos que debe tomar en cuenta el profesionalencargado de esa actividad, tales como:

a) Técnicas de auditoría

“Son recursos particulares de investigación que el auditor utiliza en la

realización de su trabajo para obtener información relevante, que otros le

han suministrado o él mismo ha obtenido.

b) Procedimientos de auditoría

Conjunto de técnicas de investigación aplicadas a una partida o a un

grupo de hechos o circunstancias relativos a los estados financieros

examinados.” (14)

3.2 Auditoría interna

3.2.1 Concepto de auditoría interna

“Actividad independiente y objetiva de aseguramiento y consulta concebida para

agregar valor y mejorar las operaciones de una organización. Ayuda a una

organización a cumplir sus objetivos aportando un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de

riesgos, control y gobierno.” (11)



49

3.2.2 Funciones

Entre las funciones más importantes de la auditoría interna se encuentran:

a) La demostración de fiabilidad e integridad de los informes,

b) La revisión de la integridad y fiabilidad de la información financiera,

operativa, y los medios utilizados para identificar, medir, dosificar, y

divulgar dicha información.

3.2.3 Alcance

“El alcance de la auditoría interna depende del tamaño, estructura de la entidady de los requerimientos de su administración. Debe cubrir el examen, evaluación

de la adecuación y eficiencia del sistema de control interno de la organización,

de igual manera la calidad de ejecución en el desempeño de las

responsabilidades asignadas.

El alcance de la auditoría interna incluye:

a) Revisión de la veracidad e integridad de la información financiera y

operativa, y los medios utilizados para identificar, medir, clasificar y

reportar esa información.

b) Examinar los sistemas establecidos para asegurar el cumplimiento de

políticas, planes, procedimientos, ordenamientos legales y contratos.

c) Evaluar la economía y eficiencia con que los recursos están siendoutilizados.

d) Inspeccionar las operaciones o programas para asegurarse de que los

resultados son consistentes con los objetivos y metas establecidos, y si



50

esas operaciones o programas están siendo llevados a cabo según lo

planeado.”(11)

3.2.4 Responsabilidades

Es responsable de establecer y evaluar la efectividad de los controles internos,

para obtener confiabilidad sobre la información financiera.

a) Debe verificar el uso económico y eficiente de los recursos ya sean estos

materiales o personales, para promover la eficiencia operativa de la

entidad al identificar situaciones tales como: sub-utilización de lasinstalaciones, trabajo no productivo, procedimientos que no justifican su

costo o insuficiencia de personal.

b) Conocer los objetivos, políticas, planes y procedimientos determinados

por la administración para evaluarlos y verificar su cumplimiento.

3.2.5 Papel del auditor internoEl auditor interno en el ejercicio de su profesión debe considerar las siguientes

normas o estatutos:

a) Código de ética

Su propósito es promover una cultura de ética en la profesión de la

auditoría interna. Es necesario en la profesión, sus pilares se asientan en

la confianza, en el aseguramiento de objetivos de la gestión de riesgos,

control y gobierno de las empresas. El contenido del código se basa en

principios y reglas de conducta. En Guatemala, el profesional deberá

acatar el código de ética dependiendo del colegio al que se afilie.



51

b) Principios

Entre los principales y relevantes para la profesión y práctica de la

auditoría interna se encuentran:

Integridad: establece confianza y provee la base para confiar en su

juicio.

Objetividad: hace una evaluación equilibrada de todas las circunstancias

relevantes y forma sus juicios sin dejarse influir indebidamente por sus

propios intereses o por otras personas.

Confidencialidad: los auditores internos respetan el valor y la propiedad

de la información que reciben y no divulgan información sin la debida

autorización a menos que exista una obligación legal o profesional para

hacerlo.

c) Reglas de conducta

Describen las normas de comportamiento que se espera sean

observadas por los auditores internos. Entre las cuales se pueden

encontrar:

Integridad: desempeñarán su trabajo con honestidad, diligencia y

responsabilidad.

Objetividad: no participarán en ninguna actividad o relación que pueda

perjudicar su evaluación imparcial.

Confidencialidad: serán prudentes en el uso y protección de información

adquirida en el transcurso de su trabajo.



52

3.2.6 Normas internacionales para el ejercicio de la auditoría interna

“Declaraciones de requisitos básicos para el ejercicio de la auditoría interna y

para evaluar la eficacia de su desempeño, de aplicación internacional a nivel de

las personas y a nivel de las organizaciones. La estructura de las Normas está

formada por las Normas sobre Atributos, las Normas sobre Desempeño y las

Normas de Implantación”. (12) Dichas normas fueron emitidas por el Instituto de

Auditores Internos, en Estados Unidos de Norteamérica.

a) “Las Normas sobre Atributos tratan las características de lasorganizaciones y las personas que prestan servicios de auditoría interna ”.

(10) Dentro de las cuales se encuentran:

1000 Propósito, Autoridad y responsabilidad

1010 Reconocimiento de la definición de auditoría interna,

el el Código de Ética y las Normas en el estatuto de auditoría

interna. 1100 Independencia y objetividad

1110 Independencia dentro de la organización

1111 Interacción directa con el Consejo

1120 Objetividad individual

1130 Impedimentos a la independencia u objetividad

1200 Aptitud y cuidado profesional

1210 Aptitud

1220 Cuidado profesional

1230 Desarrollo profesional continuo

1300 Programa de aseguramiento y mejora de la calidad

1310 Requisitos del programa de aseguramiento y mejora de la

calidad calidad



53

1311 Evaluaciones internas

1312 Evaluaciones externas

1320 Informe sobre el programa de aseguramiento y mejora de

la calidad la calidad

1321 Utilización de Cumple con las Normas Internacionales para

el el Ejercicio Profesional de la Auditoría Interna

1322 Declaración de incumplimiento” (12)

b) “Las Normas sobre Desempeño describen la naturaleza de los servicios

de auditoría interna y proporcionan criterios de calidad con los cualespuede evaluarse el desempeño de estos servicios.” (12) Las cuales son:

2000 Administración de la actividad de auditoría interna

2010 Planificación

2020 Administración de recursos

2040 Políticas y procedimientos

2050 Coordinación 2060 Informe a la alta dirección y al consejo

2070 Proveedor de servicios externos y responsabilidad de la

organización organización sobre auditoría interna

2100 Naturaleza del trabajo

2110 Gobierno

2120 Contribución a la mejora de los procesos de gestión de

riesgos riesgos

2130 Control

2200 Planificación del trabajo

2201 Consideraciones sobre planificación

2210 Objetivos del trabajo

2220 Alcance del trabajo



54

2230 Asignación de recursos para el trabajo

2240 Programa de trabajo

2300 Desempeño del trabajo

2310 Identificación de la información

2320 Análisis y evaluación

2330 Documentación de la información

2340 Supervisión del trabajo

2400 Comunicación de resultados

2410 Criterios para la comunicación

2420 Calidad de la comunicación

2421 Errores y omisiones

2430 Uso de “Realizado de conformidad con las Normas

Internaciona Internacionales para el Ejercicio Profesional de la Auditoría

Interna Interna.

2431 Declaración de incumplimiento de las normas

2440 Difusión de resultados

2450 Opiniones globales 2500 Seguimiento del progreso

2600 Comunicación de la aceptación de los riesgos

c) “Las Normas de Implantación amplían las Normas sobre Atributos y

Desempeño, proporcionando los requisitos aplicables a las actividades de

aseguramiento y consultoría”. (12)

3.2.7 Guías de auditoría interna del Instituto Guatemalteco de Contadores

Públicos y Auditores

“Son lineamientos establecidos por el Instituto Guatemalteco de Contadores

Públicos y Auditores, las cuales hacen referencia a los criterios que se deben

tomar en cuenta respecto al área contable.



55

La auditoría interna es un recurso gerencial; dicho recurso debe ser igualado

con un crecimiento equivalente en el profesionalismo y capacidad, es por ello

que se hace necesario consolidar y comunicar los conocimientos y experiencias

que se han dado en el campo de la auditoría interna para beneficio de la

profesión en Guatemala. Las guías también establecen la responsabilidad que

tiene el departamento de auditoría interna, dentro de la organización, así como

la metodología que no es más que la sistematización de todos los pasos de una

revisión, de manera que permita la formulación de conclusiones válidas en el

menor tiempo posible.

Por último habla del informe, que es el producto que se dará a conocer del

trabajo elaborado durante un periodo de tiempo establecido; por lo que se debe

hacer especial énfasis en los segmentos que las componen.

Guía de Auditoría No. 1 Conceptos básicos,

Guía de Auditoría No. 2 Guías para la práctica profesional de la

auditoría interna,

Guía de Auditoría No. 3 Metodología de la auditoría interna,

Guía de Auditoría No. 4 Función de compras,

Guía de Auditoría No. 5 Inventario,

Guía de Auditoría No. 6 Ventas y otros ingresos,

Guía de Auditoría No. 7 Créditos y cuentas por cobrar,

Guía de Auditoría No. 8 Tesorería,

Guía de Auditoría No. 9 Cuentas por pagar,Guía de Auditoría No. 10 Nominas y planillas,

Guía de Auditoría No. 11 Propiedad, planta y equipo,

Guía de Auditoría No. 12 Depreciaciones,

Guía de Auditoría No. 13 Préstamos bancarios,



56

Guía de Auditoría No. 14 Administración del departamento de auditoría

interna,

Guía de Auditoría No. 15 Informe de auditoría interna “(5)

3.3 Auditoría interna de riesgo operativo

“Un gobierno corporativo sólido requiere que un sistema de control interno

efectivo debe ser acompañado por auditorías internas y externas independientes

y efectivas. Las experiencias de las instituciones bancarias indica que es

importante establecer una relación constructiva y eficiente entre la alta gerencia

los auditores y supervisores bancarios con el fin de garantizar la eficacia de lasauditorías y de la supervisión.” (10)

Basilea II indica que se deben definir responsabilidades, por lo que debe existir

un área especializada para hacer este tipo de actividades de revisión y

seguimiento. Algunas instituciones bancarias asignan estas tareas al área de

auditoría interna; sin embargo, otras han optado por crear una nueva área de

auditoría interna especializada en riesgo operativo.

3.3.1 Concepto de auditoría interna de riesgo operativo

Es el área asignada para realizar la actividad de acompañamiento a las

unidades funcionales al momento de cumplir con el ciclo de gestión de riesgos

operativos, además de establecer las políticas de riesgo operativo y validar su

cumplimiento, proponer mejoras y generar información consolidada para que el

comité de riesgo operativo y el consejo de administración tomen decisiones para

la mitigación de riesgos operativos.

La auditoría interna de riesgo operativo debe contar con jerarquía y autonomía

propia, sin estar supeditada a ninguna otra área de negocios o de registro de

operaciones, ni tampoco debe depender del área de auditoría interna.



57

Consecuentemente, para que la auditoría interna de riesgo operativo desarrolle

sus funciones con absoluta independencia, únicamente debería estar

subordinada a un comité de riesgo operativo, y este a su vez, al consejo de

administración.

La gestión del riesgo operativo abarca a una entidad bancaria en su totalidad,

por lo que requiere de difusión y concientización en todos los niveles de la

estructura organizacional, tarea que debe de estar a cargo de la auditoría

interna de riesgo operativo, para lo cual, debe generar estrategias de

comunicación efectivas y adoptar acciones para infundir una cultura de gestióndel riesgo operativo dentro de un enfoque integral.

3.3.2 Diferencia entre auditoría interna y auditoría interna de riesgo

operativo

Con base en los conceptos de auditoría interna y auditoría interna de riesgo

operativo, la diferencia es que la auditoría interna de riesgo operativo, evalúa

toda la gestión de un ente, mide la eficiencia en todos sus aspectos y en todos

sus niveles (incluso en la dirección superior), no solo establece los defectos sino

que propone mejoras. Además la forma de trabajo debe ser de forma dinámica y

no tan estacionaria.

Por último la auditoría interna evalúa las tareas que se desarrollan en cada área,

determina si se cumplen las normas internas establecidas, sobre pautas más

rígidas y sigue las instrucciones de la dirección superior, y no se involucran tanto

con la unidad funcional, siendo su participación como un área de revisión y node gestión.



58

3.3.3 Objetivos de la auditoría interna de riesgo operativo

“Permite un trato conceptual homogéneo de los riesgos operativos de

todos los productos, y posibilita la comunicación y discusión efectiva de

exposiciones y acciones correctivas asociadas con riesgos principales.

Promueve un uso eficiente y efectivo de los recursos de control: se

dedica más esfuerzo a las unidades donde hay mayores riesgos

operativos.

Mejora el entendimiento y la pertenencia de los riesgos operativos porparte de las unidades funcionales mismas.

Reconocimiento oportuno de dónde están las exposiciones principales a

eventos de riesgo operativo y cómo pueden mitigarse.

Proporciona incentivos a los gerentes de línea para mejorar la

administración y control de sus riesgos operativos.

La información de pérdidas operativas con el tiempo podrá servir de base

para efectuar análisis de costo / beneficio a la hora de evaluar posibles

nuevos controles.

Prepara anticipadamente a la organización para el cumplimiento con la

normativa de Basilea II y otras normativas que crea conveniente la

entidad reguladora sobre riesgos además de la entidad.” (10:5)

3.3.4 Factores internos para administrar el riesgo operativo

“ Aumentar eficiencia operativa,

Gestión óptima y racionalización de operaciones,



59

Reducción de costo de operaciones,

Aumento en rentabilidad y reducción de volatilidad de resultados

operativos,

Optimización de sistema de controles,

Mejor balance riesgo real – retorno.” (18:11)

3.3.5 Factores externos para administrar el riesgo operativo

“Marco regulatorio explícito sobre requerimientos de capital

Presión competitiva

Nuevos productos y mercados estresan operaciones y sistemasintroduciendo mayor volatilidad y márgenes operacionales

Revelación externa de infraestructura de riesgo operativo mejora imagen

y se percibe como mayor calidad interna de la gestión .” (18:11)

3.3.6 Política y procedimiento

“Para poder establecer un control interno, se debe analizar las políticas y

procedimientos establecidos y así poder evaluar el grado de eficiencia yfuncionalidad de las políticas y procedimientos. Por tanto, se puede definir lo

siguiente:

a) Política: se define como la directriz emitida por la Administración, sobre

lo que hay que hacer para efectuar el proceso y el control. Constituye la

base de los procedimientos que se requieren para la implantación del

control. Por lo general las políticas quedan a criterio y cumplimiento del

recurso humano, por tal razón son más probables a su incumplimiento.

b) Procedimiento: la serie de pasos consecutivos y predefinidos que se

utilizan para ejecutar y alcanzar un objetivo específico de manera eficaz.”

(13) Todas las actividades que se realizan en las entidades bancarias



60

poseen un procedimiento o una forma de realizarse que debe cumplirse a

cabalidad.

3.3.7 Evaluación de procedimientos y controles internos

“La función de control interno desde el punto de vista de la auditoría de riesgo

operativo, es proporcionar la seguridad de que los errores e irregularidades

serán descubiertos con rapidez asegurando la integridad de la información

financiera.

Esta función de control interno implica los siguientes pasos:

a) Análisis de posibilidades de errores e irregularidades:

En el sistema de procesamiento de la información,

En cada área de operaciones de contabilidad y del procesamiento de

información.

b) Evaluación de los controles que existen sobre esas posibilidades,utilizando las herramientas necesarias tales como flujogramas,

cuestionarios y evaluaciones directas, por medio de muestreo, etc.

c) Evaluación de puntos débiles para determinar su efecto en:

Los procedimientos de auditoría que se aplicarán,

Las sugerencias que se harán al cliente.” (17)

Las políticas y procedimientos ayudan a asegurar que se realicen las

instrucciones de la administración, de tal forma que se toman las medidas

necesarias para controlar los riesgos relacionados con la consecución de los

objetivos de la compañía.



61

3.3.8 El informe de la auditoría interna de riesgo operativo

Constituye la etapa final del proceso de la auditoría de riesgo operativo, en el

mismo se reúne el resultado de todos los hallazgos detectados y el soporte

documental para sustentar por escrito las deficiencias sobre el área o actividad

auditada en relación con los objetivos fijados, señalan las debilidades de control

interno, si las ha habido, y formula recomendaciones pertinentes para eliminar

las causas de tales deficiencias y establecer las medidas correctoras

adecuadas.

“La estructura es básicamente la misma que el informe de auditoría interna, la

cual contiene:

Fecha,

Destinatario,

Párrafo de introducción,

Antecedentes,

Resumen de aspectos principales e individuales,

Determinación de los hallazgos y sus responsabilidades,

Párrafo de conclusión, y

Firma” (5)

3.4 Control interno basado en COSO ERM (COSO II)

El COSO II son las estipulaciones que determinan la característica que debe

tener el control interno. Este no contradice a su predecesor el COSO I, sin

embargo, este marco se enfoca a la gestión de los riesgos, más allá de la

intención de reducir riesgos que se plantea en el COSO I, publicado en el año

de 1992.



62

3.4.1 Concepto e historia de COSO I y COSO II

“El Committee of Sponsoring Organizations of the Treadway Commission,

conocido como COSO, publicó el Internal Control - Integrated Framework,

conocido como COSO I, con el objetivo de facilitar a las empresas a evaluar y

mejorar sus sistemas de control interno. Desde entonces esta metodología se

incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas

compañías para mejorar sus actividades de control hacia el logro de sus

objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos,

e irregularidades que provocaron pérdidas importante a inversionistas,

empleados y otros grupos de interés, nuevamente el Committee of Sponsoring

Organizations of the Treadway Commission, publicó el Enterprise Risk

Management - Integrated Framework, conocido por el nombre de COSO II y sus

aplicaciones técnicas asociadas, el cual amplía el concepto de control interno,

proporcionando un foco más robusto y extenso sobre la identificación,

evaluación y gestión integral de riesgo.

Este nuevo enfoque de COSO II no sustituye el marco de control interno, sino

que lo incorpora como parte de él, permitiendo a las compañías mejorar sus

prácticas de control interno o decidir encaminarse hacia un proceso más

completo de gestión de riesgo.

A medida que acelera el ritmo de cambio, la mayoría de las organizaciones

necesitarán mejorar su capacidad de aprovechar oportunidades, evitar riesgos y

manejar la incertidumbre. Esta nueva metodología proporciona la estructura

conceptual y el camino para lograrlo.” (16)

3.4.2 Etapas de la gestión de riesgo

Las etapas de la gestión de riesgo se desarrollan en un ciclo repetitivo que debe

efectuarse al momento de ejecutar la auditoría interna de riesgo operativo.



63

Identificar los riesgos

La primera etapa de la gestión es identificar y nombrar a los riesgos. Esto se

logra a través de una lluvia de ideas y con la revisión de riesgos comunes. Los

riesgos de un negocio son riesgos identificados. Esto ocurre cuando existe el

riesgo de no completar un proyecto antes de plazo. Con cada riesgo, el riesgo

se identifica y su investigación se amplía.

Cuantificar los riesgos

La segunda etapa de la gestión de riesgos es la cuantificación de los riesgos en

dos dimensiones: probabilidad e impacto. Después que los riesgos seidentificaron e investigaron, los gerentes evalúan el impacto del riesgo

incluyendo la determinación de la probabilidad de que el riesgo está ocurriendo.

Muchas empresas utilizan una escala de calificación de uno a cuatro puntos

para esto. Cuanto mayor sea el número, más probable es que el riesgo

realmente ocurra. La escala para medir el impacto o nivel de pérdida depende

de lo estipulado por cada empresa.

Identificar las respuestas al riesgo

Cuando las empresas se enfrentan a los riesgos, se utilizan cuatro estrategias.

La primera estrategia es evitar el riesgo. La segunda estrategia es transferir el

riesgo a otra persona, como plan de contingencia. El riesgo puede ser

transferido a otras empresas para evitar que el riesgo se mantenga. La tercera

estrategia es aceptar el riesgo, destinando un porcentaje de fondos para cubrir

las pérdidas al materializarse el riesgo. Y por último, la cuarta estrategia

consiste en determinar los puntos a mejorar en los controles de la actividad,

para disminuir la probabilidad de que se materialice el riesgo detectado.



64

3.4.3 Objetivos de COSO ERM

“En el contexto de una entidad con una misión o visión establecidas, en donde la

administración ha establecido los objetivos estratégicos, ha seleccionado la

estrategia, y establecido metas alineadas en cada nivel de la empresa. El ERM

está orientado a la consecución de los objetivos de dicha entidad, enunciados

en cuatro categorías:

Estratégico: Relacionados con las metas de alto nivel; asimismo están

alineados y dan apoyo a la misión del negocio.

Operacional: Relacionados con la efectividad y eficiencia de las

operaciones de la entidad o empresa o corporación, lo cual incluye su

rendimiento y rentabilidad. Usualmente, varían según las opciones

adoptadas por la gerencia en cuanto a estructura y rendimiento.

Información: Relacionado a la confiabilidad, fiabilidad y efectividad de la

información suministrada.

Cumplimiento: Relacionado con el apego de la organización a las leyesy regulaciones.” (16)

Esta clasificación de los objetivos de una entidad permite centrarse en aspectos

diferenciados de la gestión de riesgos corporativos. Estas categorías distintas se

dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad

directa de diferentes ejecutivos. También permiten establecer diferencias entre

lo que cabe esperar de cada una de ellas. Otra categoría utilizada por algunas

entidades es la salvaguarda de activos.

Relación entre objetivos y componentesExiste una relación directa entre los objetivos que la entidad desea lograr

y los componentes de la gestión de riesgos corporativos, que representan

lo que hace falta para lograr aquellos. La relación se representa con una

matriz tridimensional, en forma de cubo.



65

FIGURA No. 2

Matriz de Objetivos y Componentes del COSO II

Fuente: gestión de Riesgos Corporativos – Marco integrado

Las cuatro categorías de objetivos - estrategia, operaciones, información y

cumplimiento - están representadas por columnas verticales, los ocho

componentes lo están por filas horizontales y las unidades de la entidad, por la

tercera dimensión del cubo. La figura 2 refleja la capacidad de centrarse sobre la

totalidad de la gestión de riesgos corporativos de una entidad o bien por

categoría de objetivos, componente, unidad o cualquier subconjunto deseado.

3.4.4 Componentes de COSO ERM

Se encuentra clasificado en ochos componentes los cuales se describen a

continuación:

a) “Ambiente de control

Abarca parte importante de una organización, influye en la conciencia de

sus empleados sobre el riesgo y forma la base de los otros componentes

de la gestión de riesgos corporativos el cual proporciona disciplina y

estructura. Los factores de control interno influyen en la filosofía de



66

gestión de riesgos de una entidad, riesgo aceptado, supervisión ejercida

por el consejo de administración, integridad, valores éticos y competencia

de su personal.

b) Establecimiento de objetivos

Estos se fijan en escala estratégica estableciendo con ellos una base

para los objetivos operativos de información y cumplimiento, cada

entidad se enfrenta a una gama de riesgos procedentes de fuentes

internas y externas y una condición previa para la identificación eficaz de

eventos. La evaluación de sus riesgos y la respuesta a ellos es fijar losobjetivos que tienen que estar alineados con el riesgo aceptado por la

entidad, que orienta a su vez los niveles de tolerancia al riesgo de la

misma.

c) Identificación de eventos

Son los acontecimientos internos y externos que afectan a los objetivos

de la entidad, deben ser identificados, y buscar la diferencia entre riesgos

y oportunidades.

d) Evaluación de riesgos

Para poder establecer el efecto que determinados acontecimientos

pueden tener en la consecución de los objetivos impuestos por la

dirección, es necesario evaluarlos desde la doble perspectiva de su

impacto económico y de la probabilidad de ocurrencia de los mismos.

Para ello es necesaria una adecuada combinación de técnicascuantitativas y cualitativas.

e) Respuesta al riesgo

Deben identificarse y evaluarse posibles respuestas a cada riesgo para:

evitar, aceptar, reducir o compartir. Deben seleccionarse a continuación



67

un conjunto de acciones para poner en línea los riesgos con sus

tolerancias respectivas y el riesgo aceptado por la organización.

Dados los componentes de dichos sistemas, y la nueva visión de

considerarlos dentro de un nuevo marco de gestión de riesgos

corporativos, como antes se ha enunciado, podría señalarse que

seguramente las Unidades de control interno del próximo futuro, además

de los estrictamente relacionados con dicho control, debieran también

tener entre sus cometidos los de:

Promoción de la cultura de autocontrol.

Participación en la elaboración de los planes y sistemas de control de

gestión.

Asesoramiento cualificado y documentado a los equipos directivos, a

través de la gestión de los sistemas de información para la dirección, en

la mejora de los procesos y para la obtención de resultados.

Y, finalmente, la evaluación de los componentes propios del sistema de

control interno y de gestión de riesgos corporativos del que se disponga

en la organización.

De ese modo, un desarrollado control interno debe considerarse incluido

en la actualidad en un nuevo marco suficientemente amplio para que,

dentro de él y como uno de sus concretos componentes de la función

gerencial, los directivos también practiquen eficazmente el control de

gestión de las organizaciones que dirigen, en tanto que se enfatiza cómo

asegurar el cumplimiento de objetivos, a través fundamentalmente de esa



68

nueva conceptualización y desarrollo del marco integrado de la gestión de

riesgos corporativos. El control de gestión, finalmente, incorpora ese

control interno devenido y renovado con la gestión de riesgos, necesario

a las compañías, en toda gerencia moderna.

f) Actividades de control

Las actividades de control son las políticas y procedimientos. Estos

últimos las acciones de las personas para implantar las políticas,

directamente o a través de la aplicación a los riesgos. Las actividades decontrol pueden ser clasificadas por la naturaleza de los objetivos de la

entidad con la que están relacionadas: estratégicos Operativos, reporte y

de cumplimiento.

Aunque algunas actividades de control corresponden exclusivamente a

una sola categoría a menudo se traslapan. Según circunstancias, una

determinada actividad de control podría ayudar a alcanzar los objetivos

de la entidad en más de un categoría.

Políticas y procedimientos: Las actividades de control normalmente

implican dos componentes: Una política que establece lo que debe

hacerse y procedimientos para llevarla a cabo. El procedimiento lo

constituye dicha revisión en sí misma, realizada de manera oportuna y

con atención a los factores establecidos en la política, tales como la

naturaleza y volumen de los valores contratados y su relación con elpatrimonio y edad del cliente.



69

g) Información y comunicación

La información relevante se identifica, capta y comunica en forma y plazo

adecuado para permitir al personal afrontar sus responsabilidades. Una

comunicación eficaz debe fluir en todas las direcciones dentro de la

entidad.

Información: La información se necesita a todos los niveles de la

organización para identificar, evaluar y responder a los riesgos y por otra

parte dirigir la entidad y conseguir sus objetivos. Se usa mucha

información, relevante para una o más categorías de objetivos.

Comunicación: La comunicación es inherente a los sistemas de

información. Pero la comunicación también debe tener lugar en un

sentido más amplio, abordando las expectativas, las responsabilidades de

los individuos y grupos y otros temas importantes

h) Monitoreo

La totalidad de la administración de riesgos corporativos es monitoreada

y se efectúan las modificaciones necesarias. Este monitoreo se lleva a

cabo mediante actividades permanentes de la dirección, evaluaciones

independientes o ambas actuaciones a la vez.

El monitoreo puede realizarse de dos maneras: a través de actividades

permanentes o mediante evaluaciones independientes.

Actividades permanentes: muchas actividades sirven para seguir la

efectividad de la administración de riesgos corporativos durante el

transcurso normal del negocio. Son los directivos de línea o función de

apoyo quienes llevan a cabo las actividades de monitoreo y dan meditada



70

consideración a las implicaciones de la información que reciben. Las

actividades permanentes de monitoreo se distinguen de las actividades

de funcionamiento según lo requiera la política de procesos de negocio.

Evaluaciones independientes: aunque los procedimientos de

seguimiento permanente normalmente proporcionan una

retroalimentación importante sobre la efectividad de otros componentes

de la administración de riesgos corporativos, puede resultar provechoso

echar un nuevo vistazo de vez en cuando, centrándose directamente

sobre la efectividad de la administración de riesgos corporativos.” (16)

3.5 Planificación técnica y administrativa de la auditoría interna de

riesgo operativo

En una auditoría es imprescindible llevar a cabo la planificación, para establecer

con claridad cuáles son los objetivos que se persiguen, en cuánto tiempo se va

a realizar, qué recursos son necesarios, y si se tiene la capacidad para hacerlo.

3.5.1 Concepto

Planificar una auditoría implica establecer una estrategia general, que permita

identificar previamente las técnicas y los procedimientos que se aplicarán según

las circunstancias para obtener los objetivos, naturaleza, oportunidad, alcance

de la dirección, supervisión de los miembros del equipo en el desarrollo de un

plan de trabajo de manera efectiva.

3.5.2 Alcance

“La auditoría interna de riesgo operativo debe preparar un plan de trabajo en

donde contemple las auditorías que ejecutará en un período

de tiempo determinado, éste debe ser presentado a la autoridad superior

http://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtml

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml

http://www.monografias.com/trabajos901/evolucion-historica-concepciones-tiempo/evolucion-historica-concepciones-tiempo.shtml

http://www.monografias.com/trabajos2/rhempresa/rhempresa.shtml

http://www.monografias.com/trabajos2/rhempresa/rhempresa.shtml

http://www.monografias.com/trabajos901/evolucion-historica-concepciones-tiempo/evolucion-historica-concepciones-tiempo.shtml

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml

http://www.monografias.com/trabajos34/el-trabajo/el-trabajo.shtml



71

correspondiente de más alto nivel jerárquico para su aprobación. El plan anual

de auditoría de riesgo operativo debe reflejar la importancia relativa de los

asuntos a ser auditados. La exploración es la etapa en la cual se realiza el

estudio o examen previo al inicio de la auditoría con el propósito de conocer en

detalles las características de la entidad a auditar para tener los elementos

necesarios que permitan un adecuado planeamiento del trabajo a realizar y

dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los

objetivos previstos.

La planificación exige ser cuidadosa, creativa, positiva e imaginativa, debe teneren cuenta alternativas así como establecer un calendario para realizar las

verificaciones, se elaborarán los programas de auditoría para realizar el examen

y obtener la evidencia necesaria que r espalde el trabajo.”(15)

3.5.3 Importancia de la planificación

“Es la realización de una auditoría efectiva y eficiente, ya que permitirá

identificar los objetivos y determinar los métodos para alcanzarlos. La estrategia

deberá fijar el alcance, oportunidad, dirección; que servirán de guía para el

desarrollo del plan de auditoría. Al establecer dicha estrategia deberá:

a) Identificar las características del trabajo que definen su alcance,

b) Confirmar los objetivos de los informes del trabajo para planear la

programación de la auditoría y la naturaleza de las comunicaciones que

se requieran,

c) Considerar los factores que, a juicio profesional del auditor, seanimportantes para dirigir los esfuerzos del equipo de trabajo,

d) Verificar los resultados de las actividades preliminares del trabajo y

cuando sea aplicable, si el conocimiento obtenido en otros trabajos

desempeñados por el socio de la entidad es relevante,

http://www.monografias.com/trabajos7/tain/tain.shtml

http://www.monografias.com/trabajos7/tain/tain.shtml



72

e) Establecer la naturaleza, oportunidad y extensión de los recursos

necesarios para desempeñar el trabajo.” (15)

3.5.4 El control interno al planificar la auditoría interna de riesgo operativo

“El auditor debe adquirir un conocimiento suficiente de la función de la auditoría

interna de riesgo operativo de manera que pueda planear la auditoría a

realizarse. Esto incluye el conocimiento del diseño de los controles relevantes y

determinar si han sido puestos en práctica por la compañía.

Este conocimiento sirve para:a) Identificar los tipos de posibles errores,

b) Examinar los factores que influyen en el riesgo de error material,

c) Diseñar pruebas de controles, cuando se apliquen, y

d) Diseñar pruebas sustantivas.”(15)

3.5.5 Diferencias entre planificación técnica y administrativa

La planificación técnica está enfocada a los aspectos que se deben prever sobre

la entidad que será revisada para efectuar el trabajo de auditoría. Verifica el

trabajo que realiza el personal del cliente, procesos, distribución e identifica los

sistemas y procedimientos de control que utiliza la entidad para realizar sus

actividades y operaciones. Los aspectos considerados por la planificación

técnica son:

a) Condiciones de trabajo,

b) Actualización de la información básica,c) Componentes importantes,

d) Objetivos de la auditoría,

e) Planificación del enfoque de auditoría,

f) Planificación del alcance de la auditoría,



73

g) Memorando de planificación de auditoría.

La planificación administrativa está enfocada a los aspectos internos del auditor

o equipo de auditoría interna de riesgo operativo en cuanto a la distribución del

trabajo, tiempo, tareas administrativas propias. Organiza, segrega las

actividades y funciones que realizará su personal. Identifica los sistemas,

programas, procedimientos de control que utiliza la entidad para realizar sus

actividades y operaciones. Los aspectos considerados por la planificación

administrativa son:

a) Personal que efectuará el trabajo,

b) Control de tiempo empleado y presupuestado en el trabajo,

c) Evaluación del personal (personalidad, presentación, actitud hacia el

trabajo, etc.),

d) Control de facturación a clientes o cuentas por cobrar.

3.5.6 Detalles a conocer previo a la planificación de la auditoría de riesgo

operativo

Las normas de auditoría requieren que el trabajo de auditoría de riesgo

operativo sea adecuadamente planificado y supervisado. Es un elemento

importante para la entidad auditada, pues podrá programar adecuadamente las

actividades de su personal, sin afectar seriamente el trabajo rutinario.

Es importante que el auditor también investigue la historia de dicha entidad,

como por ejemplo: líneas de productos, posición del capital, la identificación deaccionistas, directores, funcionarios, y otros.



74

3.5.7 Planificación y responsabilidad de la auditoría interna de riesgo

operativo

La auditoría interna de riesgo operativo establece qué trabajo necesita

desarrollar para satisfacerse de la información que le presente la entidad, cómo

enfocará las pruebas de la auditoría, cuándo las efectuará, para que le permitan

cumplir con sus objetivos y determinar la cantidad de áreas que será necesario

evaluar para lograr una visión en conjunto.

a. Planificación del trabajo

Ayuda a asegurar que se preste atención adecuada a las áreasimportantes de la auditoría, los problemas potenciales son identificados y

el trabajo es llevado a cabo en forma expedita. Al momento de realizar la

actividad de identificación y evaluación de riesgos, se puede determinar

las áreas importantes con base a la cantidad y magnitud de los riesgos

principales. Esto no quiere decir que si la evaluación indica que no

existen riesgos principales no se tome en cuenta en la gestión, si no que

se debe revisar el motivo por el cuál no existen riesgos principales,

certificando que la ponderación y evaluación de riesgos se haya realizado

de la forma correcta.

El grado de planificación variará de acuerdo al tamaño de la entidad, la

complejidad de la auditoría, la experiencia del auditor y su conocimiento

del negocio.

b. Programa de auditoríaEl auditor deberá desarrollar, documentar un programa de auditoría que

exponga la naturaleza, oportunidad y alcance de los procedimientos de

auditoría planificados.



75

3.6 Ejecución y supervisión de la auditoría interna de riesgo operativo

Durante la ejecución de la auditoría, deben existir mecanismos que permitan

asegurar que el trabajo se realiza con base al programa y que las deficiencias

se corrigen oportunamente; esto se realiza a través de la supervisión.

Obtener y analizar toda la información del proceso que se audita, con la finalidad

de tener evidencia suficiente, competente y relevante es decir, contar con todos

los elementos que le aseguren al auditor el establecimiento de conclusiones

fundadas en el informe acerca de las situaciones analizadas en la evaluación,

que entre otras incluyan: el nivel efectivo de exposición al riesgo, las causas quelo originan, los efectos o impactos que se podrían ocasionar al materializarse un

riesgo; con base a estos análisis, generar y fundamentar las recomendaciones

que debería acoger la administración.

3.6.1 Concepto de ejecución de auditoría interna de riesgo operativo

En esta etapa se debería dar cumplimiento a las normas que regulan la

actividad de ejecución del trabajo en auditoría, las que en general señalan que

los auditores internos deben:

a) Obtener, identificar, analizar y registrar suficiente información de manera

tal que les permita cumplir con los objetivos del trabajo.

b) Contar con suficiente información, la que tiene que ser de carácter

confiable, relevante y útil de manera que permita alcanzar los objetivos

del trabajo.

c) Basar sus conclusiones y los resultados del trabajo en adecuados análisis

y evaluaciones.

d) Registrar información relevante que les permita soportar las conclusiones

y los resultados del trabajo.



76

e) Supervisar adecuadamente la ejecución de la auditoría de riesgo

operativo, para asegurar el desarrollo profesional del personal, el logro de

los objetivos y la calidad del trabajo.

3.6.2 Concepto de supervisión de auditoría interna de riesgo operativo

Corresponde a la coordinación de los recursos durante la programación,

ejecución, comunicación de resultados de la revisión de control, a fin de vigilar,

revisar y verificar el correcto cumplimiento de las metas y objetivos planteados al

inicio de la misma, así como la debida aplicación de los procedimientos

establecidos.

La supervisión persigue ciertos objetivos que posibilitan promover las acciones

para ejercer de la mejor forma y evaluar la efectividad de su aplicación. Dichos

objetivos son:

a) Incrementar la calidad de la auditoría, a través de la revisión periódica del

trabajo del auditor, en función de los objetivos planteados.

b) Lograr que las revisiones se desarrollen con la máxima economía,

eficiencia, eficacia, efectividad, imparcialidad y honestidad, normativa

aplicable.

c) Elaborar los papeles de trabajo de tal forma que éstos apoyen

adecuadamente los objetivos fijados y proporcionen información objetiva;

además, obtener evidencia suficiente, competente, relevante y pertinente

en las auditorías.

d) Lograr que los auditores desarrollen la capacidad necesaria para larealización de la auditoría de riesgo operativo.

e) Conocer de inmediato y en cualquier momento el avance de la auditoría

realizada.



77

f) Determinar si se han aplicado íntegramente los procedimientos

específicos de auditoría.

3.6.3 Alcance de la ejecución de auditoría interna de riesgo operativo

“Está referido al conjunto de procedimientos de auditoría de riesgo operativo

considerados necesarios de acuerdo a las circunstancias, para lograr los

objetivos de la auditoría realizada.

Para abordar el trabajo de auditoría interna de riesgo operativo se debe hacer

un enfoque basado en el conocimiento de la entidad, es decir se debecomprender y entender las atribuciones, el entorno en que ésta ópera, la

naturaleza de sus operaciones, los métodos utilizados y su sistema de control

interno. Evaluación de los riesgos, tanto el riesgo inherente al que las

actividades de la entidad están expuestas, como a los riesgos de control o de

auditoría.

El enfoque de la auditoría de riesgo operativo permite establecer si existen:

a) Operaciones eficientes y eficaces,

b) Políticas y procedimientos confiables, y

c) Cumplimiento de leyes y reglamentos.

Basado en riesgos, lo que implica profundizar en la evaluación del sistema de

control interno, de manera que con base en los resultados de la evaluación se

identifiquen las áreas críticas del sujeto de control y se establezcaadecuadamente el alcance de las pruebas de auditoría.”(18)



78

3.6.4 Importancia de la ejecución de auditoría interna de riesgo operativo

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten

las opiniones del auditor en cuanto al trabajo de campo realizado, ésta depende

grandemente del grado de profundidad con que se hayan realizado las dos

etapas anteriores, en ésta se elaboran los papeles de trabajo y las hojas de

notas, instrumentos que respaldan excepcionalmente la opinión del auditor

actuante.

3.6.5 Importancia de la supervisión de auditoría interna de riesgo

operativoEl éxito de cada auditoría depende de la efectividad de la supervisión al

personal de todos los niveles.

El alcance y frecuencia de las evaluaciones periódicas dependerán

esencialmente de una evaluación de los riesgos y de la eficacia de los procesos

de supervisión continuada. Las deficiencias detectadas en el control interno

deberán ser notificadas a niveles superiores, mientras que la alta dirección y el

consejo de administración deberán ser informados de los aspectos significativos

observados.


ejecución

La auditoría interna de riesgo operativo es responsable de visitar la unidad en la

cual se desarrolle el trabajo, encargarse que el personal que ejecute cada

auditoría, reciba la orientación, supervisión adecuada para asegurar el logro delos objetivos. Deberá controlar la correcta ejecución de los programas, aprobar

los ajustes a los mismos y efectuar o delegar la revisión de la preparación de los

papeles de trabajo. Tendrá en cuenta:



79

a) Revisión del diseño del programa de auditoría de riesgo operativo, es

decir, asegurar una adecuada planificación de los trabajos en función de

los puntos críticos determinadas bajo un análisis de riesgos.

b) La ejecución del trabajo conforme al programa de auditoría y las

modificaciones autorizadas a los mismos, observar que el resultado de la

aplicación de técnicas y procedimientos sea congruente con los alcances

previstos.

c) Comprobaciones realizadas con la profundidad adecuada y muestrencorrectamente los resultados, así como que las evidencias de los

hallazgos cumplan con los requisitos de suficiencia, relevancia y

competencia.

d) Utilizar técnicas de muestreo que permitan, a partir de las

comprobaciones y verificaciones efectuadas inferir el estado de las

operaciones en el período seleccionado como auditable. De ser posible

que en la elaboración del informe final, se lleve paralelamente al

desarrollo de la auditoría.

e) La correcta formulación de los papeles de trabajo de auditoría, con el fin

de asegurarse que cumplen con las normas.


supervisiónComprende dirigir el esfuerzo de los integrantes del equipo de auditoría en

lograr los objetivos propuestos y determinar su cumplimiento.



80

La auditoría interna de riesgo operativo final deberá instruir a los otros

integrantes del equipo, para que le informen los asuntos importantes. El trabajo

que haga cada integrante del equipo de auditoría deberá ser revisado para

determinar si fue ejecutado adecuadamente, para evaluar si los resultados son

consistentes con las conclusiones que se van a presentar en el informe del

auditor.

3.6.8 Papeles de trabajo de la auditoría interna de riesgo operativo

Los papeles de trabajo son la evidencia de los análisis, comprobaciones,

verificaciones, interpretaciones en que se fundamenta el Contador Público y Auditor para dar sus opiniones y juicios sobre el sistema de información

examinado.

a) Objetivos

El objetivo general de los papeles de trabajo es ayudar a la auditoría de riesgo

operativo a evidenciar en forma adecuada que una auditoría se hizo de

acuerdo a la normativa aplicable de acuerdo al tipo de auditoría.

Los objetivos específicos de los papeles de trabajo son:

Facilitar la preparación del informe: comprobar y explicar en detalle las

opiniones y conclusiones resumidas en el informe.

Coordinar y organizar todas las fases del trabajo.

Proveer un registro histórico permanente de la información examinada y

los procedimientos de auditoría aplicados.

Servir de guía en revisiones subsecuentes.

Cumplir con las disposiciones legales.



81

b) Contenido

Los papeles de trabajo deben incluir:

Programas de trabajo.

Manifestaciones obtenidas de la entidad.

Extractos de documentos y registros de manuales y procedimientos

aplicables a la entidad.

Memorándums preparados por el auditor, para exponer algunos hechos,

que complementan la información.

Flujogramas y herramientas que ayuden a tener un mejor análisis de losprocesos y sus riesgos.

Las matrices de identificación y mitigación de riesgos, así como el mapa

de calor o heatmap que ayuda a determinar de mejor forma el estado en

que se encuentra el área funcional en sus riesgos.

Los archivos de presentación que se hayan utilizado para exponer el

análisis y los hallazgos realizados durante la ejecución.

Debiendo cumplir con algunos lineamientos estandarizados:

No ser copia de los manuales y procedimientos de la empresa.

No ser copia de las auditorias pasadas.

3.6.9 Forma de los papeles de trabajo de la auditoría interna de riesgo

operativo

Los papeles de trabajo pueden ser diferentes en la forma y formato. Las cédulas

que elabora el auditor pueden tener distintas formas de acuerdo a su criterio, las

cuales llevan generalmente la siguiente estructura formal:



83

3.6.10 Propiedad y custodia de los papeles de trabajo de la auditoría

interna de riesgo operativo

Los papeles de trabajo son propiedad del auditor, él los prepara y son la prueba

material del trabajo efectuado pero, esta propiedad no es irrestricta ya que por

contener datos que puedan considerarse confidenciales, están obligados a

mantener absoluta discreción respecto a la información que contienen.

a) Importancia

Los papeles de trabajo se consideran completos cuando reflejan en forma clara

los datos significativos contenidos en los registros, los métodos decomprobación utilizados, evidencia adicional necesaria para la formación de una

opinión, preparación del informe.

b) Naturaleza confidencial

Gran parte de la información obtenida por el Contador Público y Auditor con

carácter confidencial, se registra en sus papeles de trabajo, por lo tanto los

papeles de trabajo son de naturaleza confidencial y los auditores no deben

divulgar información de la empresa fuera de ella ni dentro cuando es auditoría

financiera, de gestión, administrativa y operativa, excepto cuando es de

cumplimiento fiscal o cuando es pericial, que se informa al juez competente de

un caso judicial.



84

CAPÍTULO IV

LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DE

TELEMERCADEO DE UNA ENTIDAD BANCARIA

(CASO PRÁCTICO)

4.1 Perfil de la entidad y antecedentes

El Banco de Saturno, S.A., fue constituido en el año 2008 en la ciudad de

Guatemala, en cumplimiento con lo dictaminado por las leyes de la República de

Guatemala. A la fecha, enero de 2014, el banco posee 150 agencias y 2,000

colaboradores en todo el país. El producto principal, las tarjetas de crédito, es

su principal fuente de fondeo, debido a que tiene los dos roles: adquiriente y

emisor. Los ingresos que registra la entidad por concepto de emisión y

colocación de tarjetas asciende a un 45% de los ingresos totales, por lo cual la

entidad prioriza los recursos en esta parte.

4.1.1 Estructura organizacional

El Banco de Saturno, S.A, se encuentra estructurado organizacionalmente en

forma tradicional conforme a todas las entidades bancarias, con la asamblea deaccionistas como máxima autoridad, seguido del consejo de administración y

posteriormente dirigido por la gerencia general. Dicha entidad decide separar

las actividades propiamente de la tarjeta de crédito de las bancarias,

descentralizando varias funciones, para que cada una tenga su propia área de

créditos, y se designan responsabilidades a las gerencias encargadas, así como

distintos objetivos y metas.

La gerencia de negocios que comercializa las tarjetas de crédito entre otros

productos es el área de Telemercadeo, debido a su estrategia y agresividad en

la colocación de tarjetas de crédito, extrafinanciamientos y seguros para las

mismas, la ha constituido como el área de negocio con mayor colocación de la

institución, llegando a tener a cargo 200 colaboradores realizando las llamadas



85

CONSEJO DE

ADMINISTRACIÓN

GERENCIAGENERAL

AUDITORÍA INTERNA

& CUMPLIMIENTO

COMITÉ DE RIESGO

OPERATIVO

CALIDAD

GERENCIA DE BANCO GERENCIA DE TARJETA

CANALES

BANCA DE EMPRESAS

BANCA DE PERSONAS

BANCA PRIVADA

TESORERÍA

OPERACIONES

FINANZAS

TECNOLOGÍA E

INFORMACIÓN

SEGURIDAD

BANCARIA

MERCADEO

CRÉDITOS TARJETA

CRÉDITOS BANCO

CANAL TELEFÓNICO

TELEMERCADEO

VENTAS TARJETA

COBROS Y JURÍDICO

AUDITORÍA

INTERNA DE RIESGO

OPERATIVO

JUNTA GENERAL DE

ACCIONISTAS

a clientes existentes y potenciales para ofrecerles el producto. El volumen diario

de colocación de tarjetas en el área es de 150 aproximadamente, y la cantidad

de dinero que se financia a través del Extrafinanciamiento diariamente es

cercana a los Q600,000.

FIGURA No. 3

Estructura Grupo Financiero Banco Saturno, S.A.

Fuente: Elaboración propia con base a los organigramas de distintas entidades bancarias.



86

Nombre CargoEriberto de la Joya Gerente general

Marcos Castro Auditor interno

Luis Rey del Cid Oficial de cumplimiento

Pedro Navas Quinto Gerente de calidad

Sied Van Riel Gerente de banco

Jhon O´Callaghan Gerente de tarjeta

José Monroy Escobar Gerente de telemercadeo

Carlos Barrios Coronado Gerente créditos tarjeta

Mark Schulz Gerente de ventas tarjeta

William David de la Riva Hernández Gerente auditoría interna de riesgo operativoDiana Santizo Gaitán Gerente de canales

Verónica Quezada Gerente de operaciones

TABLA No. 2

Gerencias relevantes del Banco Saturno

Fuente: Elaboración propia con base en la figura No. 3

4.1.2 Estructura del área de auditoría interna de riesgo operativo

El área de auditoría interna de riesgo operativo, está conformada por William de

la Riva Hernández, gerente de dicha área, con el título de CPA. Está a cargo deun grupo de personas entre los 22 y los 28 años, con distintas carreras

universitarias (3 auditores, 1 abogado, 2 administradores y 1 ingeniero en

sistemas), esto con la finalidad de tener el conocimiento variado y poder analizar

desde varios puntos de vista los procesos y los planes de mitigación de todas

las áreas funcionales. Usualmente las áreas de auditoría contratan a auditores

para realizar estas labores, pero el alcance se limita a analizar todo desde el

punto de vista de un auditor, cuando existen factores a tomar en cuenta y que

deben ser analizados desde el punto de vista de otros profesionales, teniendo

como guía o base lo indicado en la NIA 620 en la utilización del trabajo de un

experto del auditor.



87

4.1.3 Nombramiento de auditoría interna de riesgo operativo

Guatemala, 01 de febrero de 2014

Sr.Sergio Lombardo Quiñonez Medina

Asistente de auditoría interna de Riesgo OperativoBanco de Saturno, S.A.Pte.

Estimado señor Quiñonez:

En relación a lo estipulado en la reunión mensual de enero 2014 entre la junta

directiva y el comité de riesgo operativo, usted fue nombrado como responsable

para realizar la identificación, análisis y mitigación de riesgos en el área de

telemercadeo. Iniciando la evaluación en marzo 2014 y finalizando en julio

2014.

Planificación de trabajo. Preparación de las matrices de riesgo.

Identificación de riesgos.

Evaluación y mitigación de riesgos.

Definir los hallazgos encontrados y presentación de informe final.

Atentamente,

Lic. Eriberto de la JoyaGerente GeneralBanco de Saturno, S.A.



88

4.1.4 Memorándum de aviso de evaluación la auditoría de riesgo operativo

FECHA: 07 de febrero de 2014

PARA: Área Extrafinanciamiento, Área Créditos tarjeta, ÁreaContabilidad tarjeta DE: Auditoría Interna de Riesgo Operativo ASUNTO: Evaluación de auditoría interna de Riesgo Operativo

Quienes suscriben y desarrollan en el área de auditoría interna de riesgo

operativo, se hace de su conocimiento que a partir del día 01 de marzo del

presente año, se iniciará la auditoría interna de riesgo operativo, evaluando los

siguientes procesos:

Colocación y contacto con clientes

Segmentación de base de datos de los clientes

Contabilización

Se solicita que ustedes y el personal a su cargo, puedan otorgar el apoyo

requerido en el desarrollo de dicha evaluación, por lo anterior se requiere:

Envío de manuales y procedimientos escritos

Reunión previa para definir la forma de trabajo y cronograma de

actividades

Reuniones para enlistar procesos, identificación y evaluación de riesgos

Presentación y discusión de hallazgos con jefaturas y supervisiones

Presentación de hallazgos y planes finales con la gerencia

Elaboración y entrega de informe final al Comité de Riesgo Operativo

Atentamente,

William de la Riva HernándezGerente de auditoría interna de riesgo operativoBanco de Saturno, S.A.



89

4.2 Planificación del programa para la ejecución de auditoría de riesgo

operativo

No. De Auditoria Tipo de Auditoría Fecha

1 AUDITORÍA INTERNA DE RIESGO OPERATIVO 15/02/2014

Banco de Saturno, S.A,

Área a revisar Telemercadeo

I. ANTECEDENTES: Conforme a lo estipulado por el comité de riesgo

operativo del Banco Saturno, S.A., el plan anual del área de auditoría de

riesgo operativo debe cumplirse con la gestión del ciclo de riesgooperativo, y se asignó los recursos necesarios para la ejecución del

mismo. Se realizará la auditoría interna de riesgo operativo, del área de

telemercadeo, quienes manejan el producto de extrafinanciamiento, el

cual está relacionado con el área de créditos tarjeta, mensajería y

contabilidad tarjeta.

El proceso de extrafinanciamiento toma en cuenta las siguientes áreas:

TELEMERCADEO: es el área que se encarga de contactar, negociar y

colocar los productos tales como extrafinanciamiento, tarjetas, entre

otros.

CRÉDITOS TARJETA: es el área que se encarga de segmentar y

seleccionar que clientes son los que aplican para determinados

productos, definiendo los filtros para su selección efectiva

CONTABILIDAD TARJETA: área encargada de contabilizar y emitir los

cheques de extrafinanciamiento a requerimiento del área detelemercadeo.

MENSAJERÍA: área que realiza la labor de entrega de los cheques,

tarjetas y demás productos al domicilio de los clientes.



90

II. OBJETIVO: El objetivo de la revisión es presentar las deficiencias y sus

respectivas recomendaciones para mejorar los procesos en el área de

telemercadeo del Banco de Saturno, S.A., según los lineamientos

proporcionadas por las normas internacionales para el ejercicio

profesional de la auditoría interna, COSO II y Basilea II.

III. ALCANCE: Considerando el conocimiento que se posee del proceso de

extrafinanciamiento, se realizarán pruebas de cumplimiento, basados en

los manuales de procedimientos previamente establecidos por la

gerencia, haciendo muestreo selectivo de los documentos y formasempleadas, para obtener evidencia razonable para sustentar las

conclusiones de la revisión, además de la identificación, evaluación y

planes de mitigación de riesgos operativos.

IV. PERSONAL CLAVE:

Gerente general: Eriberto de la Joya

Gerente de tarjeta: Jhon O’Callaghan.

Gerente de telemercadeo: José MalcriadoGerente de créditos tarjeta: Carlos de la Calle

Jefatura de extrafinanciamiento: Jonathan Polanco.

Jefe de contabilidad tarjeta: Luis Morales

Supervisión de contabilidad: Hugo Leiva

V. ACTIVIDADES A REALIZAR POR MESES:

FEBRERO: lectura y comprensión de los procesos escritos y políticas del

área de telemercadeo; preparación de las matrices de identificación deriesgos operativos.

MARZO Y ABRIL: identificación de riesgos en los procesos del área de

telemercadeo, utilizando la matriz de riesgos juntamente con las jefaturas

del proceso; evaluación de los riesgos identificados realizada por los

expertos y/o ejecutores de la actividad utilizando los parámetros de



91

COSO II y taxonomía de Basilea II establecidos en la matriz; identificacón

de los riesgos altos con base a la evaluación; revisiones y muestreos a

los procesos prioritarios, analizando por medio de las herramientas aptas

para determinar el cumplimiento de los procesos.

MAYO Y JUNIO: definición de los planes de mitigación con base en los

riesgos principales; determinación de responsables y fechas de

finalización por plan de mitigación, y las áreas relacionadas.

JULIO: presentación y discusión de los hallazgos y planes de mitigación a

la gerencia de la unidad funcional; elaboración del informe para presentar

en el comité de riesgo operativo; entrega informe final

VI. RECURSOS Y FECHAS CLAVES DE AUDITORÍA E INFORMES: Una computadora portátil

Mobiliario y equipo, útiles de oficina ubicada dentro del banco a

disposición

Total de Horas Hombre: 800

Fecha de inicio: 01/03/2014

Fecha tentativa de finalización: 30/06/2015Fecha de tentativa de entrega de informe: 31/07/15

Informe a entregar: Informe a comité de riesgo operativo del Banco de

Saturno, S.A., con sus respectivas deficiencias y recomendaciones.

Atentamente,

F._______________________ F. ______________________Lic. William de la Riva Lic. Eriberto de la JoyaGte. Auditoría interna riesgo operativo Vo. Bo. Gerente general



92

4.3 Programa general para la auditoría de riesgo operativo en el área de

telemercadeo

4.4 Actividades previas a la auditoría interna de riesgo operativo

El auditor del área de riesgo operativo asignado al área de telemercadeo,

previo al trabajo, realizó las siguientes actividades:

Identificación y evaluación de riesgos operativos PROG 1/1

Auditor: Sergio Quiñonez

Revisor ARO: David Hernández

Revisor CRO: Verónica Quezada

Fecha de ejercicio de identificación y evaluación : 03/mar/2014

Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014

No. OBJETIVOS DE AUDITORÍA

1 Que se realizan los procedimientos adecuados para el proceso de extrafinanciamiento.2 Que el procedimiento presente la información correcta y oportuna.

3 Que la información se registre al 100%.

4 Que las transacciones hayan ocurrido.

5 Que exista una secuencia lógica en el proceso.

6 Que se pueda detectar problemas o deficiencias en los controles operacionales existentes y que

en la solución de los mismos puedan surgir disminución en los costos y aumentos en la eficiencia

No. Ref. P.T. Encargado

a.

1CIH 1/3 SQ

b.

1 CIH 2/3 SQ2 CIH 2/3 SQ

3 CIH 2/3 SQ

4 Soportes lega les de col oca ci ón de extra fi nanci ami ento CIH 2/3 SQ

5 Registro de transacciones en POS CIH 2/3 SQ

6 Registro de crédito en sistema CIH 2/3 SQ

7 CIH 2/3 SQ

c.

1 SQ

2 DPT 1/1 SQ

d.

1 CIH 3/3 SQ

2 CIH 3/3 SQ

3 CIH 3/3 SQ

Nombre Unidad: Extrafinanciamientos tarjeta

Entrega de soportes firmados por cl iente

Identificac ión del c li ente y entrega de cheque

Contabilidad

Recepción y revisi ón de reportes de transa cciones

Emisión de cheques y aprobación

Programa de trabajo

Nombre Empresa: Banco de Saturno, S.A.

Nombre Gerencia: Telemercadeo

DESCRIPCIÓN

Créditos tarjeta

Revisar la definición de perfil de cliente y la aplica ción

de filtros a la base de datos

Telemercadeo

Mensajería

Recepción y revisi ón de cheques a entregar

Definición de metas de colocaci ón por ejecutivoCarga de base de datos al sistema

Script de llamda de los ejecutivos e identificación cliente

Grabación de llamadas



93

Coordinar con la jefatura del área de telemercadeo una reunión previa

para explicar la forma de trabajo y la preparación para las actividades. En

esta reunión inicial se convocó al gerente del área que se auditó,

juntamente con las jefaturas y supervisiones que tienen a cargo el único

proceso de colocación de extrafinanciamiento. También participó la

gerencia del área de auditoría interna de riesgo operativo, con la finalidad

de respaldar cualquier consulta que pueda surgir en la reunión, en la cual

se definió la revisión del único proceso.

Procedimiento: Extrafinanciamiento

Sub-procesos: Contacto con el cliente

Solicitud de cheque

Gestiones contables

Emisión de cheque

Grabación de llamada

Traslado de saldo

Soportes de entrega y resguardo

Desbloqueo de tarjetasGestión de cancelación de tarjetas

Gestiones en sistema

POS virtual

Retención de tarjetahabiente

Correo externo

Opciones en sistema

Eliminación/creación de usuarios

Contacto con los clientes

Procedimiento de baja de personal

Monitoreo de llamadas



94

Solicitó los manuales de procedimientos y de políticas para proceder con

la lectura y tener una idea preliminar de las prácticas y controles

ejecutados en el proceso de extrafinanciamiento.

Preparó de las matrices de riesgo definido por los principios de COSO II y

Basilea II, además del enlistado de procesos que pueda identificar

previamente a la reunión solicitada a la jefatura encargada de la unidad

funcional.

Las matrices de riesgo son las mejores herramientas para el área de

auditoría de riesgos, debido a que puede obtener una fotografía del

estatus de riesgos existentes en los procesos de las unidadesfuncionales. Debe existir una matriz de riesgo por cada gerencia auditada

de la entidad. Por la forma en que está estructurada la matriz de riesgo,

esta puede ser interpretada por personas no involucradas en el proceso o

institución. Al momento de utilizar las matrices para evaluar los riesgos

en su vulnerabilidad, se toma en cuenta los requerimientos de COSO II,

evaluando características necesarias en los controles, además de la

taxonomía indicada por Basilea II para clasificar los riesgos según la

naturaleza analizada.

4.4.1 Manual para llenado y aplicación matrices de riesgo operativo

El manual será apoyo para cuando el auditor interno de riesgo operativo

asignado al área funcional lo utilice y se puedan basar en los criterios

establecidos.

RiesgoDescriba el evento de riesgo, siguiendo la siguiente estructura:

Quién ejecuta (puesto),

Qué es lo que ejecuta y

Cuál es la Consecuencia.



97

Relacionado con TI

Marcar con '1' si el riesgo está relacionado con la falla de un componente

tecnológico: aplicaciones, hardware, comunicaciones, bases de datos.

Evaluación de vulnerabilidad de riesgo operativo

Permite identificar que tan robusto y maduro es el proceso. Los puntajes de

escala de criterios de probabilidad fueron estipulados por el comité de riesgo

operativo.

Segregación de funcionesNo existe segregación de funciones cuando un proceso está a cargo de la

ejecución solamente una persona, no existe revisión o aprobación por un

tercero que certifique que la transacción es correcta.

Óptima: a) separación detallada de funciones a nivel de individuos; y si

se trata de funciones operativas: b) la unidad no reporta a un área de

negocios, y c) no tiene contacto con el cliente. Su puntaje en la escala de

criterios de probabilidad es de 0.

Regular: se cumple a); tal vez b) o c) no se cumplen. Su puntaje en la

escala de criterios de probabilidad es de 1.24.

No aceptable: no se cumple a), aunque tal vez se cumplen b) o c). Su

puntaje en la escala de criterios de probabilidad es de 2.

Supervisor participa

En cada proceso debe existir un colaborador que se encargue de

supervisar el proceso y su aprobación a nivel sistema o papel.Óptimo: un supervisor debe a) revisar detalladamente cada transacción,

y b) debe aprobar cada transacción individual en sistemas. Su puntaje en

la escala de criterios de probabilidad es de 0.



98

Regular: un supervisor aprueba las transacciones en el sistema pero

agrupadas o en lotes, o aprueba las transacciones individuales pero no lo

hace en sistemas. O sea, no se cumple b). Su puntaje en la escala de

criterios de probabilidad es de 0.50.

No participa: no participa un supervisor en la revisión y aprobación de

transacciones en los sistemas. Su puntaje en la escala de criterios de

probabilidad es de 1.

Verificación del requerimiento

Verificación si lo requerido en el proceso cumple con los requerimientosmínimos para su aprobación.

Óptima: se cumple siempre que a) cada transacción procesada es

revisada, b) la revisión se hace contra un checklist oficial, y c) se

documenta la conformidad o no conformidad de la transacción con los

requerimientos formalmente (sello y firma). Su puntaje en la escala de


Aceptable: se cumple a), pero no se cumple b) o c). Su puntaje en la


No hay revisión individual: no se cumple a). Su puntaje en la escala de


Información segura

El manejo de la información debe considerarse desde la información

física que se maneja en los escritorios hasta la información crucial de la

empresa que se maneja en las computadorasÓptima: la información (electrónica y en papel) utilizada en el proceso se

mantiene siempre con restricciones de acceso, es precisa y completa, y

es accesible para quien requiere usarla. Su puntaje en la escala de




99

Aceptable: la información tiene restricciones en sistemas pero no en

papel, o tiene algunas imprecisiones, o a veces no es posible accesarla

para quien la requiere. Su puntaje en la escala de criterios de

probabilidad es de 0.50.

No adecuada: la información no tiene restricciones de acceso, o es

imprecisa o no es fácil de accesar para quien la requiere. Su puntaje en la

escala de criterios de probabilidad es de 1.

Automatización

Debe considerar en cada proceso el volumen transaccional y lacomplejidad del procesamiento de las transacciones, para poder basarse

en ello y determinar si el proceso está suficientemente automatizado.

Óptima: el nivel de automatización es el ideal para el volumen y

complejidad del procesamiento actual. Su puntaje en la escala de criterios

de probabilidad es de 0.

Aceptable: se podría automatizar más, pero en su nivel actual es

adecuado. Su puntaje en la escala de criterios de probabilidad es de

0.25.

No adecuada: el nivel de automatización no es adecuado para el

volumen actual; hay mucho trabajo manual. Su puntaje en la escala de


Estabilidad de sistemas

Se debe considerar la continuidad de los sistemas, si sufren caídas, el

tiempo para restablecer y si existe algún plan de contingencia.Óptima: los sistemas que requiere el procesamiento siempre están

disponibles o cuentan con contingencia inmediata (<10 minutos). Su

puntaje en la escala de criterios de probabilidad es de 0.



100

Aceptable: los sistemas salen de operación algunas veces por períodos

cortos; nunca impiden procesar las transacciones. Su puntaje en la


No aceptable: los sistemas pueden estar caídos por períodos mayores;

algunas transacciones quedan pendientes o se procesan fuera de

sistemas. Su puntaje en la escala de criterios de probabilidad es de 0.67.

Rotación de Personal

Determinar si el área posee demasiado volumen de contratación y

despidosÓptima: la rotación de personal es extremadamente baja. Su puntaje en

la escala de criterios de probabilidad es de 0.

Aceptable: la rotación es baja o moderada; la mayor parte del personal

tiene experiencia suficiente. Su puntaje en la escala de criterios de


No aceptable: la rotación es importante; podría afectar la eficiencia y la

precisión de algunas funciones. Su puntaje en la escala de criterios de


Procedimientos

El procedimiento escrito debe reflejar las políticas y procesos

actualizados de la forma en que se realizan las actividades.

Óptimo: los procedimientos están escritos y están bien detallados según

su nivel de complejidad; un funcionario nuevo puede orientarse fácilmente

recurriendo a ellos. Su puntaje en la escala de criterios de probabilidades de 0.

Aceptable: los procedimientos están escritos, pero faltan algunos

detalles en la descripción. Su puntaje en la escala de criterios de




101

No aceptable: los procedimientos no están escritos o lo están pero son

muy generales. Su puntaje en la escala de criterios de probabilidad es de

0.67.

Indicadores de proceso

Tener a disposición las bases de datos para determinar los indicadores

de volumen, calidad y que estos puedan ser monitoreados de manera

continua

Continuo: a) este proceso es monitoreado por medio de indicadores que

se llevan actualizados en todo momento (no solo para entrega a fin demes); y b) se tienen definidos niveles de alerta y continuamente se

verifica el nivel actual del indicador contra estas alertas. Su puntaje en la

escala de criterios de probabilidad es de -0.50 debido a que esta

característica es un plus para poder cuantificar y medir los errores en la

ejecución de actividades.

Periódico: el proceso es monitoreado por indicadores pero éstos son

actualizados solo semanal/mensualmente, o no se han definido niveles de

alerta. O sea, hay indicadores de riesgo pero alguna de las condiciones a)

o b) no se cumple. Su puntaje en la escala de criterios de probabilidad es

de -0.24 debido a que esta característica es un plus para poder cuantificar

y medir los errores en los procedimientos.

No hay: oficialmente no hay un indicador de riesgo para este proceso.

Su puntaje en la escala de criterios de probabilidad es de 0, debido a que

es un valor agregado del proceso, por lo que no tiene peso, sino al

contrario, de existir podría cuantificar y medir los errores en la ejecuciónde actividades.



102

Incidentes de riesgo operativo

Ninguna: no ha ocurrido ningún evento de riesgo (pérdidas,

incumplimientos, reprocesos, imprecisión contable, según corresponda).

Su puntaje en la escala de criterios de probabilidad es de 0.

Pocos: ha habido algunos eventos de riesgo (sean grandes o pequeños)

en los últimos 12 meses, pero no son frecuentes (unos 6 por año). Su

puntaje en la escala de criterios de probabilidad es de 0.74.

Frecuentes: ha habido bastantes eventos de riesgo en los últimos 12

meses (más de 6). Su puntaje en la escala de criterios de probabilidad es

de 1.50.

Informes de auditoría interna

Óptimo: ha habido auditorías en los últimos 12 meses y no hay

observaciones abiertas. Su puntaje en la escala de criterios de

probabilidad es de 0.

Aceptable: ha habido auditorías en los últimos 12 meses y hay alguna(s)

observación(es) media(s) o baja(s) abierta(s). Su puntaje en la escala de

criterios de probabilidad es de 0.74.

No aceptable: las auditorías de los últimos 12 meses muestran

observaciones mayores abiertas. Su puntaje en la escala de criterios de


Sin Auditorías: no ha habido auditorías de este proceso en los últimos

12 meses.

Evaluación de severidad de riesgo operativoTamaño de la consecuencia o nivel de daño potencial de un evento de riesgo.

Participación de un 60% en la evaluación final de riesgo. Los puntajes de escala

de criterios de probabilidad fueron estipulados por el comité de riesgo operativo.



103

Cumplimiento regulatorio

2.0: El incumplimiento no es sancionable, sino que a lo sumo generaría

observaciones en un informe regulatorio.

2.5: El cumplimiento no es monitoreado de manera regular pero su

incumplimiento, si el regulador lo detecta, no conlleva suspensión sino

solo una multa no importante.

3.0: El cumplimiento no es monitoreado de manera regular por el

regulador, pero su incumplimiento, de ser detectado, conlleva sanción

monetaria importante, suspensión o advertencia de suspensión, o es

monitoreado de manera regular pero solo implica sanción monetaria (noes posible una suspensión)

4.0: El cumplimiento es monitoreado de manera regular (diario, mensual,

trimestral) por el regulador; el incumplimiento conlleva sanción monetaria

importante, suspensión o advertencia de suspensión.

Pérdida por fraude

1.0: Posibles pérdidas menores a Q80 mil antes de que se ajuste/corrija

el proceso.

1.5: Posibles pérdidas de entre Q80 mil y Q160 mil.



3.0: Posibles pérdidas de entre Q800 mil y Q2 millones.

3.5: Posibles pérdidas de entre Q2 millones y Q 4millones.

4.0: Posibles pérdidas mayores a Q4 millones.

Pérdida por errores

1.0: Posibles pérdidas menores a Q80 mil antes de que se ajuste/corrija

el proceso.




104



3.0: Posibles pérdidas de entre Q800 mil y Q2 millones.

3.5: Posibles pérdidas de entre Q2 millones y Q 4millones.

4.0: Posibles pérdidas mayores a Q4 millones.

Requerimientos del cliente

1.0: Impactos potenciales sobre muy pocos clientes y de 'baja

importancia'.

2.0: Impactos potenciales a pocos clientes y de 'baja importancia'.2.5: Impactos potenciales a una cantidad moderada de clientes y de

importancia moderada, o a pocos clientes pero 'importantes'.

3.0: Impactos potenciales a bastantes clientes o a una cantidad

moderada pero 'importantes'.

4.0: Impactos potenciales sobre muchos clientes o una cantidad no tan

alta pero 'muy importantes'.

Revelación financiera

1.0: Posibles errores o imprecisiones acumulables menores a Q80 mil,

antes de que se ajuste o corrija el proceso, en cuentas contables no

sujetas a control regulatorio ni límites internos.

2.0: Posibles errores o imprecisiones acumulables menores a Q800 mil

en cuentas contables no sujetas a control regulatorio ni límites internos.

2.5: Posibles errores o imprecisiones acumulables menores a Q4 millones

en cuentas contables no sujetas a control regulatorio ni de límitesinternos, o menores a Q800 mil en cuentas sujetas a límites internos

pero no regulatorio.



105

3.0: Posibles errores o imprecisiones acumulables menores a Q4 millones

en cuentas contables no sujetas a control regulatorio ni límites internos o

menores a Q800 mil en cuentas contables sujetas a control regulatorio.

4.0: Posibles errores o imprecisiones acumulables mayores a Q4 millones

en cuentas contables no sujetas a control regulatorio ni límites internos, o

mayores a Q800 mil en 'cuentas regulatorias'.

Continuidad de negocios

1.0: Indisponibilidad momentánea (corta duración) de las operaciones/

servicios producida en horarios no sensibles. No provocan degradaciónde las operaciones.

2.0: Indisponibilidad inferior al tiempo de recuperación tolerable definido

de las operaciones/servicios en horarios no sensibles. Provocan

degradación de las operaciones, con bajo volumen de afectación a

clientes.

3.0: Indisponibilidad inferior al tiempo de recuperación tolerable definido

de las operaciones/servicios en horarios sensibles. Provocan

degradación de las operaciones, impacto regulatorio/legal con un

volumen de afectación a clientes medio.

4.0: Indisponibilidad superior al tiempo de recuperación tolerable definido

de las operaciones/servicios en horarios sensibles. Provocan

discontinuidad de las operaciones, impacto regulatorio/legal con un

volumen de afectación a clientes alto.

Tipo nivel 1Este campo lo debe llenar el Depto. de Gestión de Riesgos Operativos. Está

basado en la taxonomía indicada por Basilea II para una correcta clasificación

de eventos de riesgo operativo



106

Tipo nivel 2

Este campo lo debe llenar el Dpto. de Gestión de Riesgos Operativos. Está

basado en la taxonomía indicada por Basilea II para una correcta clasificación

de eventos de riesgo operativo

4.5 Índice de papeles de trabajo y de abreviaturas

Evaluación de procesos y riesgos operativos INDICE 1/1






Índice de papeles de trabajo

INDICE Contiene las abrev iaturas utilizadas en los papeles de trabajo y el índice de los mismos

DPT Papel de trabajo que detalla el ambiente de control y la descr ipc ión del proceso de ex traf inanc iamiento

OE Papel de trabajo que contiene los objetivos establecidos

IC Papel de trabajo que contiene los información y comunicación utilizada.

SUP Papel de trabajo que contiene la supervisión en el proceso de control del área

Matriz de identificación Papel de trabajo que contiene los riesgos determinados por el área y su evaluación

RP Papel de trabajo que contienen la definición de los riesgos principalesMCRP Papel de trabajo que contiene el mapa de calor de los riesgos principales

NF Papel de trabajo que detalla la nomenc latura utilizada para el f lujograma de anális is de proceso

FP Papel de trabajo que contiene el f lujograma del proceso de extraf inanciamiento

CIH Papel de trabajo que contiene la rev is ión del c ontrol interno y los hallaz gos detec tados en la rev is ión

ST Papel de trabajo que detalla el listado y status de controles internos existentes y por crear

Matriz de mitigación Papel de trabajo que contiene los planes de mitigación de los riesgos principales

Informe Informe final de la auditoría interna de ries go operativ o en el área de telemerc adeo

Abreviaturas utilizadas

ARO Auditoría riesgo operativoCRO Comité riesgo operativoTC Tarjeta de créditoCTROL Control

ID IdentificaciónTI Área de Tecnología de información

Indice de papeles de trabajo y abreviaturas






107

4.6 Ambiente de control y descripción del proceso

Identificación y evaluación de riesgos operativos DPT 1/2






Proceso de extrafianciamiento

El proceso de colocación de extrafinanciamiento se realiza en la gerencia de telemercadeo, donde la jefatura esta

a cargo de Jonathan Polanco. Las cantidades que se financian diariamente ascienden a un promedio diario de

Q600,000.

El proceso inicia en la parte de la gerencia de Créditos tarjeta, a cargo de Carlos Barrios Coronado. Dicha área

determina el perfil del cliente que puede otorgarsele el extrafinanciamiento, en base al record crediticio registrado

en el sistema. Existe riesgo que al momento de fil trar la base de datos se incluya a clientes en mora. De esto

no se puede dar cuenta en ningún caso el área de Telemercadeo. (** coordinar revisión)

Posteriormente el área de Créditos tarjeta, traslada la base final, y el área de telemercadeo define la meta que se

asignará al ejecutivo. Posteriormente la cargan al sistema que de manera automática realiza las llamadas y las

asigna. En algunos casos los clientes llaman solicitando extrafinanciamiento pero si no estan en la base no se

les otorga. (** Hacer revisión de base trasladada vs extrafinanciamientos otorgados)

Los ejecutivos que realizan las llamadas, deben de cumplir con el script asignado. Existe una revisión de las

llamadas pues quedan en resguardo, siendo esta grabación el único soporte sobre la solicitud del cliente. Se

tiene un máximo de limite de extrafinanciamiento por cliente, dependiendo del límite, y el % de interés que se le

cobrará depende del tipo de cliente que esté aplicando. Esta asignación se la indica el ejecutivo al momento de

la llamada, pero finalmente es aplicada por los colaboradores en el puesto de auxiliar administrativo.

Existe el problema que algunos clientes indican que no se les llamó, y ya no aceptan el extrafinanciamiento. No

ha existido un fraude por el momento en el proceso. La única papelería que se requiere al cliente es su DPI y losmensajeros la traen de regreso, para su resguardo. Todos los extrafinanciamientos se otorgan si el cliente

entrega su copia del documento de identificación. (** hacer muestreo)

Los ejecutivos incluyen al cliente en el reporte especial, centralizándolo el auxil iar administrativo, quién se

encarga de realizar el cobro a travez del POS virtual. Además de incluirlo en el sistema operativo y realizar la

gestión contable, girando la orden de emitir un cheque de caja a nombre de la persona indicada. El sistema es

seguro, y las personas de contabilidad revisan que sea la persona indicada y el monto. El sistema es seguro, y

las personas de contabilidad revisan que sea la persona indicada y el monto.

También puede depositarse a una cuenta del cliente, según el número de cuenta que indique el cliente. Por el

lado nuestro no se hace una revisión debido a que eso es responsabilidad de contabil idad. No se tiene la

capacidad de validar todo, por el alto volúmen de transacciones. Contabilidad nos entrega los cheques al día

siguiente de haberlos solicitado, y se coordina con Mensajería para la entrega en el domicilio del cliente.

A los ejecutivos se les paga por cada colocación aceptada.

Descripción del proceso y ambiente de control Nombre Empresa: Banco de Saturno, S.A.


Nombre Unidad: Extrafinanciamientos TC



108

Identificación y evaluación de riesgos operativos DPT 2/2






Ambiente de control

Filosofía de administración de riesgos:No se tiene definida una filosofía de administración de los riesgos, con el propósito que el personal involucradocon el proceso de colocacón de extrafinanciamientos en el área de telemercadeo, incluya dentro de susactividades cotidianas la administración de riesgos.

Integridad y valores éticos:Banco Tres, S.A. cuenta con un código de ética, en el cual se indican las reglas de conducta que el personaldebe manifestar en el trabajo, y que a través del comportamiento permitan alcanzar los resultados esperados. Delmismo modo, se indican, las sanciones que implican el quebrantar las reglas establecidas.

Políticas y procedimientos:Existen políticas y procedimientos por esc rito para los procesos relac ionados conel produc to delextrafinanciamiento, pero los mismos se encuentran detallados de manera general y no profundizan en la formade operar los mismos. Los procesos operativos que se realizan a la fecha, han sido divulgados como parte de lacultura, lo cual ha originado que en ocasiones al ingresar nuevo personal operativo o administrativo omitan ocambien los procesos.

Descripción del proceso y ambiente de control






109

4.7 Objetivos establecidos

Identificación y evaluación de riesgos operativos OE 1/1







Objetivos estable cidos

• Estratégicos

Innovar en cada uno de los nuevos productos financieros, así como ofrecer un valor agregado en los productos ya

existentes para aumentar la satisfacción de los clientes.

Incrementar la base de clientes por medio de la expansión, así como la constitución de nuevas redes de servicio

para la realización de transacciones financieras a nivel nacional.

• Operativos

Mantener un adecuado control y cuadre, de los procesos del área de Telemercadeo

Brindar tecnología de punta al recurso humano para optimizar los procesos operativos y minimizar los errores.

Buscar constantemente el ahorro, a efecto de alcanzar la mejor rentabilidad para el banco.

• Reporte

Asegurar que dentro de la estructura organizacional del banco, se suministre información de un modo preciso y

oportuno.

Garantizar que la información financiera sea confiable y oportuna.

• Cumplimiento

Asegurar que se cumplan con las leyes y regulaciones establecidas, que apliquen en Guatemala.

Velar para que se cumplan con las normas de conducta y desempeño del personal en todos los niveles

jerárquicamente establecidos de

Banco de Saturno, S.A.

Los objetivos antes descritos están debidamente alineados con la misión y visión de Banco de Saturno, S. A.

Objetivos establecidosNombre Empresa: Banco de Saturno, S.A.




110

4.8 Información y comunicación

Identificación y evaluación de riesgos operativos IC 1/1








Información y comunicación

Para la obtención de la información externa e interna, Banco de Saturno, S.A., utiliza de acuerdo a lo observadoen todos los niveles de la entidad, y cuenta con los medios para garantizar la oportuna información y

comunicación.

Para la generac ión y suminis tro de la información, la ent idad cuenta con un sis tema informát ico, que laproporciona de una forma oportuna y adecuada, así como para procesar y registrar las transacciones realizadas,por medio de los agentes bancarios, para con esto cumplir los objetivos de la información financiera u otranecesaria en la entidad.

Para mantener una comunicación ordenada, se realiza por medio de correo electrónico, boletines internos, páginade intranet, donde se capta y exhibe toda la información, siendo éstos medios, de fácil acceso por parte de todoel personal de la entidad. El personal que realiza actualmente las actividades relacionadas con los agentesbancarios mantiene una comunicación adecuada para solucionar problemas, dudas o incertidumbres; sinembargo, dicha comunicación se ha implementado por costumbre y no se han definido el flujo por escrito.

Información y comunicaciónNombre Empresa: Banco de Saturno, S.A.



111

4.9 Supervisión

Identificación y evaluación de riesgos operativos SUP 1/1






Supervisión

Se real iza una supervisión en cascada y permanente. Pese a la supervisión que se real iza, al efectuar laevaluación del sistema de control interno, se determinaron algunas deficiencias, lo cual denota que no hay una

adecuada supervisión en los procesos que conlleva la administración de los agentes bancarios. Asimismo, no sehan definido evaluaciones puntuales, periódicas y de cómo dejar evidencia de lo actuado, tampoco se describecómo será el plan de acción sobre las recomendaciones de mejoras sugeridas.

Cuando se detectan deficiencias no se informan al más alto nivel de la administración, tampoco se ha definido,qué tipo de información se debe comunicar y a quién informar. Asimismo, no hay informes elaborados de lasrevisiones efectuadas que muestren las deficiencias determinadas.




Supervisión



112

4.10 Identificación y evaluación de riesgos

Identificación y Evaluación de Riesgos Operativos

Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez

Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva

Nombre Unidad:Extrafinanciamientos

tarjeta Revisor CRO: Verónica Quezada

Fecha de ejercicio de identificación y evaluación:

Fecha de última ac tualización de identificación:

Id R Proceso

Sub-

proceso Riesgo 1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d

i d a s p o r e r r o r e s

4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

V u l n e r a b i l i d a d ( V )

S e v e r i d a d ( S )

E v a l u a c i ó n R i e s g o ( E R )

R e q u i e r e P l a n p a r a R O

R e l a c i o n a d o c o n T I ?

1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s

V u l n e r a b i l i d a d

1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d

Tipo Nivel 1 Tipo Nivel 2

1

Extra -

financiamientos

TC

Contacto

con el

cliente

Que e l e jecu tivo no

confirme los datos al

cliente, ocasionando

que se otorgue el

servicio a una

terce ras persona ypueda ser objeto de

fraude.

1 1 2.0 1.0 1.4 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u

o

N i n g u n o

S i n A u d

i t o r í a 2.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

2

Extra -

financiamientos

TC

Contacto

con el

cliente

Que el auxiliar al

momento de

contactar al c liente y

este se encuentre en

el extranjero, adicional

solicite la información

por correo y elmismo

confirme por mediode

correo, ocasionando

posibles fraudes.

1 1 3.0 1.0 1.8 1

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

N o a

d e c u a

d a

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

A c e p

t a b l e

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

3.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/2014

03/mar/2014

Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad



113







Fecha de última actualización de identificación:

Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


3Extra-

financiamientos

TC

Solicitud

de cheque

Que el ejecutivo proporcione

información incorrecta del

TH, al momento de requerir

el cheque, provocando que

es te esté inc or rec to, y

ocasionando reprocesos.

1 1 2.0 1.0 1.4 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

2.0 1.0 1.0 1.07 Ejecución,entrega y

procesamiento

01 Captura,

ejecución ymantenimiento

de

transacciones

4

Extra-

financiamientos

TC

Solicitud

de cheque

Que el ejecutivo incluya un

extrafinanciamiento que el

cliente no autorizó,

provocando reprocesos y

pérdida de imagen.

1 1 1 2.0 1.0 1.4 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a 2.0 1.0 1.0 1.0 1.0

4 Clientes,

productos,

prácticas de

negocios

01 Idoneidad,

revelación y

fiduciario

03/mar/2014

03/mar/2014




115








Id R Pr oceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


7Extra-

financiamientos

TC

Emisión

de cheque

Queel auxiliar con colusión

con otra persona solicite la

emisión del cheque quenoes té autorizado en la

pr omoc ión o que s ea a

nombre de otra persona

con intención de fraude.

1 1 1 2.0 2.5 2.3 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a 2.0 1.0 1.0 2.5 2.5

1 Fraude

interno

02 Robo y

fraude internos

8

Extra-

financiamientos

TC

Emisión

de cheque

Queel backoficce porerror

realic e la c reac ión del

proveedor y en lasolicitud

del cheque, sea con

información incorrecta,

ocasionando reprocesos.

1 1 2.0 1.0 1.4 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

2.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/2014

03/mar/2014

Objetivos Relacionados Evaluación Vulner abilidad Riesgo O. Evaluación de Severidad



116








Id R Proc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


9

Extra -

financiamientos

TC

Emisión

de cheque

Que el bac kof ic ce

modifique los tipos de

pago y/o número de

cuenta en la opción

ABC Proveedores,

ocasionando posiblesfraudes.

1 1 1 4.0 3.0 3.4 1 1

N o a c

e p

t a b l e

N o p a

r t i c i p a

N o

h a

y r e v

i s i ó n

i n d i v i d u a

l

A c e p t a

b l e

N / A

N / A

A c e p t a

b l e

N o a c

e p

t a b l e

N o

h a

y

N i n g u n o

S i n A u

d i t o r í a 4.0 3.0 3.0 2.5 3.0

1 Fraude

interno

02 Robo y

fraude internos

10

Extra -

financiamientos

TC

Grabación

de llamada

ue rea e

Telemercadeo no tenga

como validar la

aceptación del

productopor el cliente,

debido a que no s e

realizó grabación de

llamada y/o no existe

un resguardo

apropiado de las

grabaciones por parte

de TI.

1 1 2.5 2.0 2.2 0 1

N / A

N / A

N / A

A c e p

t a b l e

N / A

N / A

Ó p

t i m a

N / A

N / A

P o c o s

S i n A u

d i t o r í a

2.5 1.0 2.0 2.0

7 Ejecución,

entrega y

procesamiento

05

Contrapartes

de negociación

03/mar/2014

03/mar/2014




117








Id R Proc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


11

Extra-

financiamientosTC

Traslado

de saldo

Que la jefatura no de

s eguimiento a los

traslados de saldo al

momento de existir un

force autorizado por

Créd itos , y que este

se encuentrecon tasa

0% o incorrecta,

ocasionando la

pérdida económica o

inconformidad por

parte del cliente.

1 1 3.5 2.0 2.5 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

I n s u

f i c i e n

t e

Ó p

t i m a

A c e p

t a b l e

A c e p

t a b l e

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

3.5 1.0 2.5 2.0

7 Ejecución,

entrega yprocesamiento

01 Captura,

ejecución y

mantenimientode

transacciones

12

Extra-

financiamientos

TC

Traslado

de saldo

Que el aux iliar c on

colusión con otra

per sona s olic it e la

emisión de crédito a

cuenta sin realizar el

t ras lado del s aldo,

ocasionando perdidas.

1 1 1 2.0 1.0 1.4 0

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a 2.0 1.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/2014

03/mar/2014




118






Fecha de ejercicio de identificación y evaluación:Fecha de última actualización de identificación:

Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s




R e q u i e r e P l a n

p a r a R O


1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


13

Extra-

financiamientos

TC

Traslado

de saldo

Que el backoficce o

Contabilidadno apruebe las

gestiones por traslado de

saldo, y que la tarjeta

realice el corte y se genere

intereses.

1 1 2.5 1.0 1.6 0

Ó p

t i m a

R e g u l a

r

A c e p t a

b l e

Ó p

t i m a

A c e p t a

b l e

Ó p

t i m a

A c e p t a

b l e

A c e p t a

b l e

C o n

t i n

u o

P o c o s

S i n A u

d i t o r í a

2.5 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

02 Monitoreo y

reporte

14

Extra-

financiamientos

TC

Soportes

de

entrega y

resguardo

Que el supervisor no revise

la c arta la c ual f ir ma el

c liente y s irve a lavez de

cont rat o, y vaya con u n

error ortográfico, el cualal

momento en que el cliente

no quiera pagar , no s e

pueda usarcomo medio de

prueba

1 1.0 1.0 1.0 0

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/201403/mar/2014




119




Nombre Unidad:Extra nancam entos




Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


15

Extra-

financiamientos

TC

Soportes

de entrega

y

resguardo

Que el backof icce se

equivoque al momento

de distribuir los

cheques con los

contratos donde firma

el cliente, ocasionando

perdida de imagen y

reproceso, al momento

en que el cliente reciba

el cheque.

1 1 2.0 1.0 1.4 0

N / A

N / A

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r

í a

2.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

16

Extra-

financiamientos

TC

Desbloqueo

de TC

Que el ejecutivo

realice desbloqueo de

TC sin conf irmar que

sea los datos del

cliente que realizó la

llamada.

1 1 3.5 1.0 2.0 1

R e g u

l a r

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

A c e p

t a b l e

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

3.5 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/2014

03/mar/2014Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad



120








Id R Proce so

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


17

Extra-

financiamientos

TC

Desbloqueo

de TC

Quesupervisor solicite

e l desbloqueo s in e l

sopor te adecuado y

que el ejecutivo

proceda a operarlosin

requeri r e l cor reo de

autorización,

ocasionando posibles

fraudes.

1 1 3.5 1.0 2.0 1

R e g u

l a r

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

A c e p

t a b l e

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

3.5 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

18

Extra-

financiamientos

TC

Gestión de

cancelación

de TC

Que bac kof ic ce en

colusión con ejecutivo

de ventas cancele las

tarjetas sin movimiento,

con el objetivo de

poder vender una

cuenta nueva y no

rea liza r migrac ión,

incrementando el costo

de colocación,

1 4.0 1.0 2.2 1

N o a c e p

t a b l e

N o p a r t i c

i p a

N o

h a y r e v

i s i ó n

i n d i v i d u a

l

A c e p

t a b l e

N / A

N / A

A c e p

t a b l e

A c e p

t a b l e

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

4.0 1.0 1.01 Fraude

interno

02 Robo y

fraude internos

03/mar/2014

03/mar/2014




121








Id R Pr oc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


19

Extra-

financiamientos

TC

Gestiones

en Sistema

Que el s is tema de

Siebel tenga

problemas y no s e

pueda documentar o

ingresar lasgestiones,ocasionando

reprocesos e

información errónea.

1 2.5 3.0 2.5 0 1

N / A

N / A

N / A

N / A

A c e p

t a b l e

A c e p

t a b l e

N / A

N / A

N o

h a y

P o c o s

S i n A u

d i t o r í a 2.5 3.0 3.0

6 Fallas de

sistemas y

trastornos delnegocio

01 Trastornos

severos de

infraestructuray sistemas

20

Extra-

financiamientos

TC

Grabación

de

llamadas

Que no s e tenga el

sistema de grabaciòn

de llamadas para los

nuevos colaboradore

o el sistema caiga, no

teniendo respaldos de

las ventas realizadas

de los ejecutivos.

1 1 2.5 1.0 1.6 0 1

N / A

N / A

N / A

A c e p

t a b l e

N / A

A c e p

t a b l e

N / A

A c e p

t a b l e

P e r i ó

d i c o

P o c o s

S i n A u

d i t o r í a

2.5 1.0 1.0 1.0

6 Fallas de

sistemas y

trastornos del

negocio

01 Trastornos

severos de

infraestructura

y sistemas

03/mar/201403/mar/2014




122








Id R Pr oc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


21

Extra-

financiamientos

TC

POS

Virtual

Que el ejecutivo

ingrese al POS virtual

un a TC q ue no hay a

autorizado el producto,

ocasionando perdidad

de imagen hac ia el

cliente

1 1 1.0 1.0 1.0 0

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m o

C o n

t i n u o

N i n g u n o

S i n A u

d i t o r í a

1.0 1.0 1.0 1.01 Fraude

interno

01 Actividad

no autorizada

22

Extra-

financiamientos

TC

POS

Virtual

Que el sistema dePOS

virtual por problemas

tecno lógicos, no se

pueda ingresar y

realizar el cobro a los

TH's oc as ionando

reprocesos.

1 2.5 3.0 2.5 0 1

N / A

N / A

N / A

N / A

A c e p

t a b l e

A c e p

t a b l e

N / A

N / A

N o

h a y

P o c o s

S i n A u

d i t o r í a

2.5 3.0 3.0

6 Fallas de

sistemas y

trastornos del

negocio

01 Trastornos

severos de

infraestructura

y sistemas

03/mar/2014

03/mar/2014




123






Fecha de ejercicio de identificación y ev aluación:


Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r

i m i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r

t i c i p a

3 .

V e r

i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r

i m i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


23

Extra-

financiamientos

TC

Retención

de TH

Que el ejecutivo de

Retenciones no cancele

la tarjeta c uando el

cliente lo indicó,

ocasionando pérdida deimagen hacia el Th.

1 2.0 1.0 1.4 0

Ó p t i m

a

Ó p t i m

o

Ó p t i m

a

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

Ó p t i m

a

A c e p

t a b l e

P e r i ó

d i c o

N i n g u n o

S i n A

u d i t o r í a

2.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

04

Administración

de cuentas de

clientes

24

Extra-

financiamientos

TC

Correo

externo

Que por dolo un

colaborador uti lice las

bases de datos

proporcionas con el f in

decausarfraudes a las

T.C, ò extorsiones a los

c lient es o v enta de la

base a terceros.

1 1 1.5 2.0 1.8 0 1

N / A

N / A

N / A

A c e p

t a b l e

N / A

N / A

A c e p

t a b l e

Ó p

t i m o

P e r

i ó d i c o

N i n g u n o

S i n A u

d i t o r í a

1.5 2.0 1.0 2.01 Fraude

interno

02 Robo y

fraude internos

03/mar/2014

03/mar/2014




124

Identificación y Evalu ación de Riesgos Operativos





Fecha de ejercicio de identificación y evaluación:Fecha de última actualización de identificación:

Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s


( V )

S e v e r i d a d

( S )

E v a l u a c i ó n

R i e s g o

( E R )

R e q u i e r e P l a n

p a r a R O


1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


25

Extra-

financiamientos

TC

Opciones

en sistema

Que personal de

Telemercadeo no

cuente con las

opciones necesarias

para las actividades del

área, prov ocando

atrasos en el proceso.

1 1 1 2.5 2.0 2.2 1 1

N / A

N / A

N / A

A c e p

t a b l e

N / A

N / A

Ó p

t i m a

N / A

N / A

P o c o s

S i n A u

d i t o

r í a 2.5 1.0 2.0 3.0 2.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

26

Extra-

financiamientos

TC

Eliminación

de usuario

Que jefatura de

Telemercadeo no

incluya en el reporte al

área de Operaciones de

Canales telefónicos a

unapersona que se dio

de baja o que se

t ras ladó a ot ra área,

ocasionandoque no se

elimine el usuario.

1 1.0 1.0 1.0 0

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

Ó p

t i m a

Ó p

t i m a

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

P e r i ó

d i c o

N i n g u n o

S i n A u

d i t o r í a

1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/201403/mar/2014

Objetivos Relacionados Evaluación Vulner abilidad Rie sgo O. Evaluación de Seve ridad



125








Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


27

Extra-

financiamientos

TC

Opciones

en

sistema

Que Jefatura asigne

una opción delsistema

a personal que no

corresponda o no

apl ique por su puesto,

ocasionando posibles

fraudes.

1 1 1.5 1.0 1.2 0

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

N o

h a y

N i n g u n o

S i n A u

d i t o r í a 1.5 1.0 1.0 1.0 1 Fraude

interno01 Actividad

no autorizada

28

Extra-

financiamientos

TC

Contacto

con el

cliente

Que el ejecutivo po r

requerimiento del

c liente lo at ienda en

persona, no cumpliendo

con la política de

Telemercadeo,

ocasionándo posibles

fraudes,por la faltade

conocimiento o tacto.

1 1 1 1.0 1.0 1.0 0

Ó p

t i m a

Ó p

t i m o

Ó p

t i m a

A c e p

t a b l e

N / A

N / A

A c e p

t a b l e

A c e p

t a b l e

N / A

P o c o s

S i n A u

d i t o r í a

1.0 1.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

03 Aceptación

y

documentación

de clientes

03/mar/2014

03/mar/2014

Objetivos Relacionados Evaluación Vulne rabilidad Ries go O. Evaluación de Sever idad



126




Nombre Unidad: xtra nancam entos



Fecha de última act ualización de identificación:

Id R Pr oceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


29

Extra-

financiamientos

TC

Procedimiento

de baja

Que la Jef atura no

solicite el gafete, tarjeta

de acceso o marbete, al

colaborador que fue

dado de baja,

ocasionando que este

tenga un ac ces o no

autorizado.

1 1 1.0 1.0 1.0 0

R e g u

l a r

Ó p

t i m o

A c e p

t a b l e

Ó p

t i m a

N / A

N / A

A c e p

t a b l e

Ó p

t i m o

N / A

P o c o s

S i n A u

d i t o

r í a 1.0 1.0 1.0 1.0

3 Prácticas

laborales y de

ambiente de

trabajo

01 Relaciones

laborales

30

Extra-

financiamientos

TC

Opciones en

sistema

Que la Jef atura no

confirme las

eliminaciones de

opciones que no

apliquen a solicitud de

algún área, ocasionando

que ciertos

procedimientos no se

rea licen , y se deje de

percibir ingresos.

1 1 3.5 1.0 2.0 1 1

Ó p

t i m a

Ó p

t i m o

A c e p

t a b l e

A c e p

t a b l e

A c e p

t a b l e

N / A

A c e p

t a b l e

N o a c e p

t a b l e

N / A

P o c o s

S i n A u

d i t o r í a

3.5 1.0 3.0 1.0

7 Ejecución,

entrega y

procesamiento

01 Captura,

ejecución y

mantenimiento

de

transacciones

03/mar/2014

03/mar/2014




127




Nombre Unidad:




Id R Pr oc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


31

Extra-

financiamientos

TC

Grabación

de llamada

Que las llamadas no se

graben o que si se

h ay an gr ab ado per o

que ya no existan por el

t iempo transcur rido .

(Pice: 1mes) (Pice APS:

6 mes es es to último

depende de la

capacidad del sistema)

l a r epe rc us ión s er ía

que no se puedan

solventar quejas o bien

realizar extornos

innecesarios.

1 4.0 1.0 2.2 0 1

N / A

N / A

N / A

A c e p

t a b l e

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m o

N o

h a y

F r e c u e n

t e s

S i n A u

d i t o r í a

4.0 1.0 1.0

6 Fallas de

sistemas y

trastornos del

negocio

01 Trastornos

severos de

infraestructura

y sistemas

32

Extra-

financiamientos

TC

Grabación

de llamada

Que e l agente pueda

ext raer info rmación

importante a través de

los dvd s o cd´sdebido

a que tiene una

quemadora de discos

instalada en su pc

provocando posibles

fraudes.

1 4.0 1.0 2.2 1 1

N o a c e p

t a b l e

N o p a r t i c

i p a

Ó p

t i m a

N o a

d e c u a

d a

A c e p

t a b l e

A c e p

t a b l e

Ó p

t i m a

Ó p

t i m o

N o

h a y

N i n g u n o

S i n A u

d i t o r í a

4.0 1.0 1.01 Fraude

interno

02 Robo y

fraude internos

03/mar/2014

03/mar/2014




128




Nombre Unidad:Extra nancam entos




Id R Proceso

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


33

Extra-

financiamientos

TC

Grabación

de llamada

Que no s e r es guar da el

100% de las ll amadas en

algún dispositivo de

almacenamiento,

oc as ionando que no s e

tenga soporte ante

eventualidades.

1 1 4.0 1.0 2.2 1 1

N / A

N / A

N / A

N o a

d e c u a

d a

I n s u

f i c i e n

t e

N o a c e p

t a b l e

N / A

N o a c e p

t a b l e

N / A

P o c o s

S i n A u

d i t o r í a 4.0 1.0 1.0 1.0

7 Ejecución,

entrega y

procesamiento

02 Monitoreo y

reporte

34

Extra-

financiamientos

TC

Grabación

de llamada

Que el s is tema Pice no

f un cio ne ( po r f alla s d el

s is te ma o b ie n p or ma la

manipulac ión por parte de

TI) no se graban las

llamadas y no puedan

recuperarse,quedándosela

organización sin respaldo

de las v entas rea li zadas

ocasionando pérdidas con

extornos no nec es ar ios o

cancelación de los

productos.

1 1 4.0 1.0 2.2 1 1

N / A

N / A

N / A

N o a

d e c u a

d a

N / A

A c e p

t a b l e

N / A

N / A

N / A

F r e c u e n

t e s

S i n A u

d i t o r í a

4.0 1.0 1.0 1.0

6 Fallas de

sistemas y

trastornos del

negocio

01 Trastornos

severos de

infraestructura

y sistemas

03/mar/2014

03/mar/2014




129




Nombre Unidad: Extrafinanciamientos tarjeta Revisor CRO: Verónica Quezada



Id R Proc es o

Sub-


l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s






1 .

S e g r e g a c

i ó n

d e

f u n c

i o n e s

2 .

S u p e r v

i s o r p a r t i c

i p a

3 .

V e r i f i c a c

i ó n

d e

l r e q u e r i m

i e n

t o

4 .

I n f o r m a c

i ó n s e g u r a

5 .

A u

t o m a

t i z a c

i ó n

6 .

E s

t a b i l i d a

d d e

l o s s

i s t e m a s

7 .

R o

t a c

i ó n

d e

P e r s o n a

l

8 .

P r o c e

d i m i e n

t o s

9 .

I n d i c a

d o r e s

d e p r o c e s o

1 0

. I n c

i d e n

t e s

d e

R i e s g o

1 1

. I n f o r m e s

d e a u

d i t o r í a s


1 C u m p

l i m i e n

t o r e g u

l a t o r i o

2 P é r d

i d a s p o r

f r a u

d e

3 P é r d


4 R e q u e r i m

i e n

t o s

d e

l c

l i e n

t e

5 R e v e

l a c

i ó n

f i n a n c

i e r a

6 C o n

t i n u

i d a

d d e

N e g o c

i o s

S e v e r i d a d


35

Extra-

financiamientos

TC

Monitoreo

de llamada

Que e l col aborador tenga

acceso a inf ormación

sensib le , por medio de l os

s is te mas A s- 400 y S ib el,como loqueson consultade

saldos en T.C, e información

per sonal del Cliente en

Cue nt as Mo ne tar ias q ue

puedan ser u ti lizadas con

intención de fraude.

1 3.0 1.0 1.8 1 1

N / A

R e g u

l a r

A c e p

t a b l e

N / A

Ó p

t i m a

A c e p

t a b l e

Ó p

t i m a

N o a c e p

t a b l e

N o

h a y

N i n g u n o

S i n A u

d i t o r í a

3.0 1.0 1.01 Fraude

interno

01 Actividad

no autorizada

36

Extra-

financiamientos

TC

Correo

externo

Que ejec ut iv os tengan

accesos al envío de correos

en nombrede BancoSaturno,

S.A. , provocando posibles

fraudes.

1 1 2.0 1.0 1.4 0 1

N / A

N / A

N / A

N o a

d e c u a

d a

N / A

Ó p

t i m a

Ó p

t i m a

Ó p

t i m o

N o

h a y

N i n g u n o

S i n A u

d i t o r í a

2.0 1.0 1.0 1.01 Fraude

interno

01 Actividad

no autorizada

03/mar/2014

03/mar/2014




130

No. Vulnerabilid Severidad

EvaluaciónfinalR.O.

1 3 1 1.8

2 4 3 3.4

3 3.5 1 2

4 3.5 1 2

5 4 1 2.2

6 3.5 1 2

7 2.5 2 2.2

8 3.5 1 2

9 4 1 2.2

10 4 1 2.2

11 4 1 2.2

12 3 1 1.8

Que el auxi li ar admin is t rat ivo en colus ión con ejecut ivo de ventas cancele las

t arjet as s in m ovim ient o, con el objet ivo de poder vender una cuent a nueva y

extrafinanciamiento en promoción y no realizar migración, incrementando el costo

de colocación.

Descripción

Que el aux iliar al m om ent o de c ont ac tar al c lient e y es te s e enc uent re en el

extranjero, adicional sol ic ite la información por correo y el mismo confi rme por

medio de correo, ocasionando posibles fraudes.

Que el auxil iar administ rativo modifique los t ipos de pago y/o número de cuenta

en la opción ABC Proveedores, ocasionando posibles fraudes.

Que el e jecutivo rea li ce desbloqueo de TC sin confi rmar que sea los datos delcliente que realizó la llamada.

Que supervisor sol ic ite el desbloqueo sin el soporte adecuado y que el ejecutivo

proceda a operarlo sin requeri r el correo de autorización, ocasionando posibles

fraudes.

Que el colaborador t enga acceso a inform ac ión sens ible, por m edio de los

sist emas, com o lo que son consulta de saldos en T.C, e información personal del

Cliente en Cuentas Monetarias que puedan ser utilizadas con intención de fraude.

Que el jefe de telemercadeo, por descuido no elimine el usuario al momento en

que se de de baja o traslade al c olaborador, pudiendo ser objeto de uso y

provocando fraudes.

Que personal de Telemercadeo no cuente con las opciones necesarias para las

actividades del área, provocando atrasos en el proceso.

Que la Jefa tura no confi rme las el im inac iones de opc iones que no apliquen a

solicitud de algún área, ocasionando que ciertos procedimientos no se realicen, y

se deje de percibir ingresos.Que el agente pueda extraer información importante a través de los dvd s o cd´s

debido a que t iene una quem adora de discos ins talada en su pc provocando

posibles fraudes.

Que no se resguarda el 100% de las llamadas en algún dispositivo de

almacenamiento, ocasionando que no se tenga soporte ante eventualidades.

manipulación por parte de TI) no se graban las llamadas y no puedan

recuperarse, quedándose la organización sin respaldo de las ventas realizadas

oc as ionando pérdidas c on ex tornos no nec es arios o c anc elac ión de los

productos.

4.11 Definición de procesos y eventos de riesgo principales

Al momento de hacer la identificación, se evaluaron 36 riesgos en el área de

Telemercadeo de los cuales 12 eventos resultaron ser altos, por lo que se

priorizarán y se tomarán como los más importantes de dicha área.

Los riesgos principales están relacionados al proceso de Extrafinanciamiento

son los siguientes:

Identificación y Evaluación de Riesgos Operativos RP 1/1


Revisor ARO: David Hernández Revisor CRO: Verónica Quezada

Fecha de ejercicio de identificación y evaluación exhaustiva : 28/mar/2014



Riesgos Principales





131

Crítica

Muy alta 1

Alta

Moderada

Baja 1

Muy baja 2 4 4

Mínima

10%

Mínima

15%

Muy baja

22%

Baja

32%

Moderada

46%

Alta

68%

Muy Alta

100%

Crítica

Se ve rida d Ca ntida d Porce nta je

Crítica 0 0.0%

Muy alta 1 8.3%

Alta 0 0.0%

Moderada 0 0.0%

Baja 0 0.0%

Muy baja 5 41.7%

Mínima 6 50.0%

Total 12

% del Total de riesgos 100%

Conclusión

En base a la identificación de riesgos operativos, que se evaluó en conjunto con la Jefatura de Telemercadeo,

se detectaron 12 riesgos principales relacionados con los procesos dentro del área, de los cuales solamente

un riesgo tiene severidad my alta y vulnerabilidad crítica, por lo que se estará evaluando el proceso de

manera macro, y los otros riesgos s i no están ligados al producto solamente se propondrá un plan de acción

de manera específica para minimizar y/o mitigar los riesgos.

S E V E R I D A D

VULNERABILIDAD

Identificación y Evaluación de Riesgos Operativos MCRP 1/1




Fecha de ejercicio de identificación y evaluación exhaustiva : 10/abr/2014



Mapa de calor de Riesgos Principales



4.12 Evaluación de control interno en los procesos y eventos principales



132

Evaluación de proceos y riesgos operativos NF 1/1





Fecha de última actualización de identificación / evaluación de riesgos: 05/may/2014

Nomenclatura de flujograma




Proceso

Control

Punto de decisión



133

Créditos TC Telemercadeo Contabilidad Mensajería

Inicio

Gerente de CréditosTC define

e indi ca el perfil del clienteque debe tener los clientes

para que realicen la base de

extrafinanciamiento

Analista de basede datos

descarga la base del sistema y

realiza los fil tros para

determinar los clientes que

pueden optar al extra.

Gerente de

Créditos revisa

base final

Base

correcta?

Si la base está correcta

proceden a enviar la misma al

área de Telemercadeo

Gerente de Telemercadeo

recibe labase de datos y

procede a defini r la meta para

el equipo de extra.

Jefaturarecibe la base y

procede a segmentarla para

que los supervisores puedan

cargarla al sistema automático

de l lamadas.

Unavez cargada al sistema,

los ejecutivos procede a

llamar al cliente utilizando elscript asignado y a ofrecer el

extra. con las tasas asignadas

Aceptael

cliente?

El ej ecutivo comprueba que

efectivamente sea el cliente y

realiza las preguntas clave,

certificando que sea el cliente

para poder otorgarle el extra.

Los ejecutivos proceden a

consolidar la información en

el archivo centralizador de la

carpeta compartida .

Evaluación de proceos y riesgos operativos FP 1/3






Flujograma del proceso






134


Auxil iar administrativo

procede a acceder a al archivo

centralizador para poder

hacer el cargo en la tarjeta de

débito en el POS que

corresponda según % interés

Auxili ar administrativo

procede a realizar lote

contable para solicitar que

generen el cheque en el

sistema

Auxil iar administrativo graba

al cliente en el sistema en la

opción ABC Extrafin,

indicando si será cheque o

traslado a cuenta bancaria.

Contabilidad

recibe reporte y

procede a

validar sistema

POS vs lote

contable

cuandra

montos?

Auxil iar de contabilidad

procede a emitir los cheques y

a la aprobaciónen el sistema

Auxil iar administrativo

coordina con mensajería para

la entrega de cheques

Auxiliar

administrativo

recoge los

cheques contra

listado

cheques

completos?

Mensajero

recoge loscheques contra

listado

cheques

completos?


Auditor: Sergio Quiñonez Revisor ARO: David Hernández





Nombre Empresa: Banco de Saturno, S.A.Nombre Gerencia: Telemercadeo




135


Mensajero procede a visitar al

cliente en el domicilio, y

solicita el documento deidentificación para validar que

sea el cliente

Es el

cliente?

Mensajero entregael cke y

recibe la copia del DPI y

procede a entregarlo a

Auxiliar administrativo del

área de Telemercadeo

Auxiliar

administrativo

recibe los

cheques contra

listado

cheques

completos?

Auxiliar administrativo

resguarda los dpis.

Fin













136

4.13 Evaluación de mejoras y planes de mitigación de eventos de riesgo

operativo (Actividades de control y respuesta al riesgo)

Identificación y evaluación de riesgos operativos CIH 1/3


Revisor ARO David Hernández

Revisor CRO Verónica Quezada

Fecha de ejercicio de identificación y evaluación de control : 03/mar/2014

Fecha de última actualización de identificación / evaluación de riesgos: 06/jun/2014

Proceso de extracción de información

Fecha Usuario Fecha Usuario

05/01/2014 LCOGOZ 05/01/2014 LCOGOZ

15/12/2013 LCOGOZ 31/12/2013 SBARRIENT

30/12/2013 SBARRIENT

15/12/2013 LCOGOZ

Recomendación

a) Definir al gerente de Créditos TC como la persona que otorgará los permisos para usar la opción

ABC Datab) Definir que el área de Auditoría Interna realice revisión bimestral de accesos habilitados a USB

c) Definir revisión semestral por parte de las unidades funcionales, la revisión de accesos en el

sistema


Revisión de control interno y hallazgos



En cuanto a la definición de la base, existe una revisión a profundidad de los filtros que determinan el

perfil del c liente, esto lo realiza el gerente del área, certificando que sean los c lientes idóneos.

Se validó en el sistema, las fechas y usuarios que ingresaron al sistema y descarcaron información

para realizar las bases de datos de los clientes existente que se les otorgará el extrafinanciamiento.

Autorizado Real

Se detectaron dos ingresos no previstos, por parte del usuario SBARRIENT, que pertenece al

colaborador Steve Barrientos, quién fue dado de baja el 05/01/14, por motivos de productividad, en

créditos TC

Dicho usuario, no debió de haber tenido tal accesos. Solamente el usuario LCOGOZ, debe contar con tal opción, por lo que se procedió a revisar quienes tenían dicha opción al maestro de datos, y

solamente se encontraron estas dos personas. El usuario de Steve Barrientos fue dado de baja, por

lo que no se pudo determinar si el mismo tenía mas opciones sensit ivas. El usuario de LCOGOZ

pertenece a Luis Cogoz colaborador del área de Créditos TC.

Se procedió a revisar la computadora que tenía a cargo Steve Barrientos, pero no se encontró archivo

alguno excepto que se revisaron los puestos USB y estos se encontraban habilitados.



137







Proceso de llamada, identificación y grabación de llamada

Descripción %

Grabadas 60

No grabadas 40

De scripción Cant.

Cumple scrip 9

No cumple 3

Recomendación

d) Coordinar con TI una reunión con el proveedor Winsoft2003, para validar las fallas en las

grabaciones

e) Definir una carta de bienvenida, ademas de otorgar un Welcome Kit al c liente, en los cuales

especifique los datos básicos del extrafinanciamiento que se le está otorgando.

El princ ipal riesgo es el proceso de llamada es que las grabaciones de las llamadas no se están

realizando Se solicitó una revisión de 20 llamadas grabadas en el sistema de Nice, encontrando lo

siguiente:

El proceso de grabación de llamadas está a cargo de TI, quienes deben de revisar que el se graben

el 100% de las llamadas, ya que es el único soporte que se tiene ante los clientes. Sin este

soporte, los procesos de reclamo de los clientes, tendrían que aceptarse, debido a que no existe

ninún soporte que nos respalde

De igual forma, no puede validarse que los ejecut ivos esten cumpliendo con el script de forma

correcta pues al no existir grabación de llamada, no puede validarse si el ejecutivo identifica de la

forma correcta al cliente.

El proveedor de software de Pice, se llama Winsoft2003, quienes se encargan de validar que el

software funcione de manera correcta.

De las 12 llamadas que si estaban grabadas en el s is tema, un 75% cumple con el script indicado

por la Jefatura, pero todas identificaron al cliente de forma correcta.







138







Proceso del auxiliar administrativo

Descripción Cant.

Muestra total 50

Si cumple 46

No cumple 4

Recomendación

h) Solicitar a TI la generación de un reporte de cambios realizados en la opción ABC Extrafin.

g) Coordinar con TI y el Comité de riesgo operativo la forma de mitigar el acceso a modificar los

datos en la opción ABC Extrafin.

El riesgo más crít ico y alto detectado en el área de Extrafinanciamientos TC de la gerencia de

Telemercadeo es el acceso a una opción sesible, llamada ABC Extrafin, la cuál se utiliza para

crear a los clientes y asignarles un número, con el cuál puede ligarse si será por medio de cheque

de caja o cuenta bancaria el medio de como trasladarles el extrafinanciamiento solicitado.

Esta opción no solo permite crear, sino que también permite modificar proveedores ya existentes

por lo que de ser util izada de otra forma, pueden modificar un proveedor cambiando el número de

cuenta a la que se le estará realizando el traslado, sin tener control sobre dicho cambio que logre

alertar de tal acción y por el proceso de depósito automático de depósitos del POS, podría bastar

realizar el cambio por unas horas y no podría detectarse el problema

Se intentó generar un reporte directo del sistema, por el archivo no guarda información histórica, por

lo que es imposible determinar por medio de reportes y alertas cuando se de este tipo de fraude.

También existe el riesgo que crucen los datos del cliente al momento de guardar la información enel archivo centralizador, también al momento de realizar el cambio en el POS. Por lo que se realizó

un muestreo de los datos grabados en el POS contra la base de datos, encontrando lo siguiente:

Se detectó 4 casos en donde existió error al momento de grabar en el POS, en donde se le otorgó

% de interés que no corresponden a lo asignado.

f) Crear un paso de revisión por parte de la Jefatura, para validar que lo grabado en el POS sea lo

correcto.







139

Mitigación de Riesgos Operativos ST 1/2




Fecha de ejercicio de identificación y evaluación exhaustiva : 24/may/2014



Lista y status de controles existentes y por crear



QuiénEjecuta el

Control

Periodicidad

Qué es lo queEjecuta

Cuál es elObjetivo del

Control

Nivel deEscalamiento

Cómo sedocumenta

Status

1Gerente de

Créditos

Al ser

requerido

Revisión de la

base de datos

Verificar que la

base incluya a

las personas

idóneas al

control

Gerente de

Tarjeta

Correo dándo

el Vo.Bo.Correcto

2Ejecutivos de

Telemercadeo

Cuando

contactan

al cliente

Compara datos

proporcionados

por el cliente

Validar la

información

proporcionada

por el cliente

contra el

sistema

Supervisor de

Ejecutivos

Grabación de

llamada

Mejorar la

grabación de

llamadas

3 As istente de

CréditosEventual

Análisis de

personal que no

esté incluída en

promoción para

que este aplique

Análisis e

inclusión de

cliente que

aplique

Gerente de

Créditos

Correo dándo

el Vo.Bo.Correcto

4Ejecutivos de

Telemercadeo

Cuando

contactan

al cliente

Inclusión dedatos del cliente

en el control de

la carpeta

compartida

Digitación y

Salvaguarda de

los datos del

cliente

N/AControl de

Excel

Mejorar, con la

impresión y

seguimiento de

ejecutivos que

realiazron la

llamada

5 Aux. A dmitivo

TelemercadeoDiario

Coteja

información

grabada por

ejecutivos vs

POS vir tual

Validar que no

exista

información

errónea tanto en

control como en

el sistema

Supervisor de

Ejecutivos

Control de

ExcelCorrecto

6 Aux. A dmitivo

TelemercadeoDiario

Coteja montos

totales en

control

consolidado vs

POS vir tual

Comparar los

montos

colocados por

extrafinanciamie

nto

Jefatura de

Telemercadeo

Control de

ExcelCorrecto

7Jefatura de

TelemercadeoDiario

Revisa ticket de

POS vs control

consolidado,

hacer cruce de

información

Comparar los

montos

colocados por

extrafinanciamie

nto

N/ACorreo dándo

el Vo.Bo.

Control

necesario de

crear

IdCtrol

1

Controles Previos y Sugeridos a Mitigación



140

Mitigación de Riesgos Operativos ST 2/2




Fecha de ejercicio de identificación y evaluación exhaustiva : 24/may/2014



Lista y status de controles existentes y por crear



QuiénEjecuta elControl

Periodicidad

Qué es lo queEjecuta

Cuál es elObjetivo del

Control

Nivel deEscalamiento

Cómo sedocumenta

Status

8 Auxiliar de

Contabilidad Diario

Revisión de

gestiones

ingresadas por

Telemercadeo

contra el control

de excel

Cotejar

información del

sistema vs

control

Supervisor de

Contabilidad

Impresión del

cheque

Mejorar control,

se realiza de

forma manual,

pero debe

cotejarse

contra carta

9 Aux. Admitivo

TelemercadeoDiario

Recibir los

cheques impresos

por Contabilidad

Verificar que

estén

completos los

cheques.

Supervisor de

Contabilidad

Checklist y

revisión a

detalle

Correcto

10 Aux. Admitivo

TelemercadeoDiario

Revisa datos

incluídos en las

cartas vs sistema

Validar que la

carta

(contrato) esté

con los datos

correctos

Supervisor de

Ejecutivos

Impresión de

carta

Control

necesario de

crear

11 Aux. Admitivo

Telemercadeo Diario

Enlista los

cheques que

deben de ser

entregadas al

domicilio o

agencia

Enlistar los

cheques para

que searevisado por el

mensajero

N/AImpresión de

checklist Correcto

12 Mensajero Diario

Revisa y coteja

información en

cheque contra

listado así como el

destino

Revisar que los

datos sean los

correctos (No.

cheque,

nombre,

Destino)

N/AFirma y sello

del mensajeroCorrecto

13 Mensajero

Cuando

contactan

al cliente

Solicita

documento de

identificación y

compara datos

contra el cheque

y carta

Mitigar el riesgo

de fraude

externo, por

usurpación de

identidad

N/A

Firma del

cliente en

carta y

voucher

Control

necesario de

crear

14Backoffice 2

TelemercadeoDiario

Revisa papeleríaque liquida

mensajero al

haber entregado

cheque, así como

recibe los que no

se entregaron, y

actualiza el

control de excel

Llevar el

control de lo

que se entregó

y de lo que

está pendiente

de entregarse

N/A

Control de

Excel y

resguardo de

papelería

liquidada.

Mejorar control,

se debe

realizar de

forma cruzada

IdCtrol

1

Controles Previos y Sugeridos a Mitigación



141

Mitigación de Riesgos Operativos Matriz de Mitigación




Fecha de ejercicio de mitigación : 08/jul/2014

Fecha de última actualización de mitigación: 08/jul/2014


Planes de Mitigación



No.Tarea

IDCtrolRef

Descripción de la Tare aReduceVuln?S/N

ReduceSev?S/N

PesoEquivalente (Del 100%)

ResponsableFecha de

InicioFecha de

Finalización

% AvanceReal

(Base 100%)

Fecha de laEvaluación

1 2

Coordinar reunión con el proveedor del

s istema Nice, para validar y mejorar la

grabación de llamadas.

S S 35%

José

Malcriado /

Jonathan

Polanco

27-jun-2014 27-jul-2014 0.00% 15-jul-2014

2 4

Implementar carta que contenga los

detal les del extrafinanciamiento, para

que los c lientes tengan elmismo ysea

firm ad o, q ue da nd o e n re sg ua rd o la

carta firm ada por el cliente, com o

re sp ald o a dicio na l a la lla ma da . L a

impresión la debe hacer el ejecutivo de

la llamada.

S S 15%

José

Malcriado /

Jonathan

Polanco

27-jun-2014 03-jul-2014 0.00% 15-jul-2014

3 7

Realizar una última revis ión por par te

de la Jefatura de Extrafinanc iamiento

de la gerencia de Te lemercadeo de lo

registrado en el POS vs control y

archivo consolidado de extras, antes de

enviarlo al área de Contabilidad

S S 15%

José

Malcriado /

Jonathan

Polanco

27-jun-2014 03-jul-2014 0.00% 15-jul-2014

4 10

Mejorar el control de envíoy entrega de

cheques de extrafinanciamiento, crear

revisión de datos de la carta impresa vs

archivo y control central izado vs datos

del cheque antes de que e l cheque se

entregue a Mensajería, esto real izado

por el auxiliar administrativo de

Telemercadeo

S N 10%

José

Malcriado /

Jonathan

Polanco

27-jun-2014 03-jul-2014 0.00% 15-jul-2014

5 Todos

Mejorar y definir los detal les, políticas y

procedimientos del extrafinanciamiento

y pu blicarlo en QSI, incluyendo el

flujograma.

S S 25% osé Malcriado 13-jul-2014 30-s ep-2014 0.00% 15-jul-2014



142

Mitigación de Riesgos Operativos Matriz de Mitigación










No.Tarea

IDCtrolRef

Descripción de la TareaReduceVuln?S/N

ReduceSev?S/N


ResponsableFecha de

InicioFecha de

Finalización

% AvanceReal

(Base 100%)


Extra 8

Coordinar con Contabilidad TC y

Te lemercadeo para dete rminar una

m ejor revis ión de los clientes de

extrafinanciam iento. El área de

Contabi lidad debe implementar una

mejor forma de revisión, pues en global

pueden aprobar m uchos errores y

posibles fraudes.

S S

Verónica

Quezada /

Luis Morales

/

Hugo Leiva

27-jun -2014 14-jul -2014 0 .00% 15-jul-2014

Extra 13

Cotizar y realizar compra de cámaras

fotográficas digitales a los mensajeros,

para evitar la falta de copia del

documento de identifación.

S N

Verónica

Quezada /

José

Malcriado

27-jun -2014 14-jul -2014 0 .00% 15-jul-2014

TAREAS ADICIONALES RELACIONADAS CON OTRAS AREAS QUE NO AFECTAN CALIFICACIÓN



143

No.Tarea

IDCtrolRef

Descripción de la Tare aReduceVuln?

S/N

ReduceSev?S/N


ResponsableFecha de

InicioFecha de

Finalización

% AvanceReal

(Base 100%)


1 Identificar los puestos críticos de la Gerencia S N 10% José Malcriado 28-jun-2014 28-jul-2014 0.00% 04-ene-2015

2

Validar que no existan usuarios duplicados

activos o no activos y de personal de baja.

De ex istir estos usuarios, gestionar la

eliminac ión a través de UMS, además de

inf ormar a Riesgo Operativo sobre la

detección de dicho usuario.

S S 10% José Malcriado 28-jun-2014 14-ago-2014 0.00% 04-ene-2015

3

Analizar la funcionalidad de las opciones de

cada rol, coordinando esta actividad con el

área de Riesgo Operativo para obtener su

Vo.Bo., así como el personal incluido en dicho

rol.

S S 40% José Malcriado 28-jun-2014 10-oct-2014 0.00% 04-ene-2015

4

Actualizar los descriptores de puesto y

designar un nombre al rol que se adecué a la

actividad, incluyendo las opciones que debetener cada rol, en f uncionalidad a sus

actividades autorizadas, además de colocar el

motivo por el cuál es necesaria tal opción.

Centralizarlo por medio de un correo a RRHH

S N 40% José Malcriado 28-jun-2014 31-dic-2014 0.00% 04-ene-2015

Extra

Coordinar Auditoría Interna y el área de

Telemercadeo, para revisar el progreso de las

tareas asignadas

S SJosé Malcriado /

Chino Moreno27- jun-2014 31-dic-2014 0.00% 14-oct-2014

Extra

Auditoría Interna debe de revisar

semestralmente los accesos autorizados por

las gerencias, para validar el cumplimiento de

dicha revisión

S S Chino Moreno 27-jun-2014 31-dic-2014 0.00% 14-oct-2014

TAREAS ADICIONALES RELACIONADAS CON OTRAS AREAS QUE NO AFECTAN CALIFICACIÓN

Mitigación de R iesgos Operativos Matriz de Mitigación












144

4.14 Informe final de auditoría interna de riesgo operativo con base a

requerimiento de comité de riesgo operativo

INFORME DE RIESGOS OPERATIVOS IDENTIFICADOS Y SUS

MITIGACIONES DE LA GERENCIA DE TELEMERCADEO

Guatemala, 31 de julio de 2014

SeñoresCOMITÉ DE RIESGO OPERATIVOBANCO DE SATURNO, S.A.Presente

Se ha efectuado la identificación de riesgos en la gerencia de telemercadeo,

evaluando su vulnerabilidad y severidad, así como los controles internos

relacionados, sobre los procedimientos relacionados en el área de

extrafinanciamientos, hasta el mes de julio 2014. El contenido de dicho Informe

es responsabilidad de la gerencia de telemercadeo, con respaldo de la auditoría

de riesgo operativo.

La responsabilidad de la auditoría de riesgo operativo, propia de la entidad,

consiste en emitir conclusiones sobre la consistencia y fiabilidad de los datos

cuantitativos, controles internos y mejoras a los procesos incluídos en dicho

informe, en función de los trabajos de verificación y el alcance que describimos

en las secciones siguientes. Debe tenerse en cuenta que el presente informe no

tiene la intención de evaluar, ni evalúa, el desempeño de Banco de Saturno,

S.A. con relación con la sustentabilidad, estabilidad y liquidez que presente la

entidad.



146

Se examinó, sobre bases muéstrales, los controles y procedimientos, a través

de:

Identificación de riesgos principales y evaluación del proceso crítico

Revisión de los sistemas, procesos y procedimientos de recopilación, de

consolidación y de reporte de datos;

Verificación, de los controles y riesgos incluídos en los procesos así

como sus mitigantes.

La gerencia de telemercadeo aceptó todas las recomendaciones, actividades y

los dos planes de mitigación indicados en la matriz de mitigación (véase anexo:

matriz de mitigación), de tal manera que se definieron fechas de compromiso y

responsabilidades, contando con el apoyo de otras áreas para la mitigación de

los riesgos principales.

Conclusión

Con base en el trabajo efectuado, descrito en este informe, no ha llamado

nuestra atención algo que nos haga pensar que la aseveración realizada por lagerencia de telemercadeo del Banco de Saturno, S.A., no pueda cumplir con lo

requerido en los planes de mitigación, para la mejora de los controles internos y

que estos sean efectivos, en todos los aspectos importantes, con base en los

criterios utilizados y según lo requerido por la Superintendencia de Bancos.

Wiiliam David de la Riva Hernàndez

Jefe de Auditoría de Riesgo Operativo

Guatemala, 31 de julio de 2014



147

CONCLUSIONES

1. La hipótesis planteada en la investigación fue comprobada, confirmándolo

en el desarrollo textual de la realización de la auditoría de riesgo

operativo en el área de telemercadeo de una entidad bancaria, puesto

que la metodología beneficia a la institución en la identificación de

riesgos, el acompañamiento y apoyo a la unidad funcional en la

evaluación y mitigación de riesgos principales, además de agilizar y

dirigir la asignación de recursos y la coordinación de tareas a las demás

áreas involucradas de la institución, propiciando una mejora de procesos

y evitando perdidas de miles por temas de fraude y errores operativos.

2. Las entidades bancarias están cumpliendo con todo lo relacionado a

riesgos según el requerimiento de la Superintendencia de Bancos de

Guatemala, sin embargo, la misma solamente solicita el cumplimiento,

pero no proporciona una metodología de cómo aplicarlo y ejecutarlo,

ocasionando que las entidades bancarias lo gestionen de tal manera queno pueda aprovecharse al máximo y que no se otorgue la importancia

adecuada.

3. Algunas entidades bancarias a nivel nacional, se han dado cuenta de la

importancia que tiene la gestión de la Auditoría enfocada en Riesgo

Operativo, por lo que han creado la estructura y las herramientas

necesarias para ejecutar de una mejor forma la auditoría, en base a los

lineamientos generales de una auditoría interna, sin embargo existen

detalles que los obliga a tomar su propio criterio, sin alguna normativa o

lineamiento que logre llenar esos puntos inexistentes.



148

4. A nivel de educación superior, las universidades imparten cursos de

auditoría dentro del pensum de estudio, sin embargo por las limitaciones

de tiempo, estos cursos impartidos no se adecuan a lo esperado y

necesitado por los estudiantes universitarios y por la empresas

guatemaltecas, ocasionando que los estudiantes realicen sus actividades

laborales sin un conocimiento a profundidad, asumiendo el riesgo de

cometer algún error y responsabilizarse por las consecuencias del

alcance.



149

RECOMENDACIONES

1. Las entidades bancarias deben de implementar la metodología de riesgo

operativo, asignando dichas funciones a un área en específico, la razón

fundamental es el lograr evitar pérdidas económicas, además de obtener

beneficios y mejoras en menor tiempo, conocer los riesgos principales en

los procesos, y asignar los recursos necesarios, para obtener el

crecimiento sostenido deseado.

2. La Superintendencia de Bancos de Guatemala debe de acompañar y

apoyar a las entidades bancarias en el cumplimiento de las normativas,

además de realizar su labor de ente supervisor, con la finalidad de

determinar criterios y metodologías adecuadas, y lograr unificar los

mismos, para simplificar su labor de supervisión además de lograr una

mejora y aprovechamiento de conocimientos en las entidades bancarias

nacionales.

3. Las instituciones locales y comités internacionales que indican los

estatutos y lineamientos de las auditorías, deben de definir conceptos,

metodologías y formas de ejecución para la auditoría interna enfocada en

riesgo operativo, y lograr la estandarización de conocimientos en todos

los niveles.

4. Las universidades deben de evaluar el pensum impartido a los

estudiantes, para determinar que cursos son necesarios en las facultades

de Contaduría Pública y Auditoría, para priorizar e impartir más cursos

útiles a los estudiantes, desechando y modernizando cursos que sean

obsoletos en conocimientos.



150

REFERENCIAS BIBLIOGRÁFICAS

1. BAC | Credomatic. E. 2010. Política de Administración de Riesgos

Operativos. Guatemala, Guatemala

2. BAC | Credomatic. E. 2010. Riesgo Operativo Regional: Aprender a

enseñar: Gestión de Riesgo Operativo. San José, Costa Rica

3. Comité de Supervisión Bancaria de Basilea. Marco Basilea II:

Convergencia Internacional de Medidas y Normas de Capital. Basilea,Suiza. Págs. 208 -221

4. Congreso de la República de Guatemala. Decreto No. 19-2002. 2002

“Ley de Bancos y Grupos Financieros y sus reformas”

5. Instituto Guatemalteco de Contadores Públicos y Auditores. “Guías de

Auditoría Interna”.

6. Junta Monetaria de Guatemala. Resolución JM-56-2011. 2011

“Reglamento para la Administración Integral de Riesgos”.

7. Normas Internacionales de Auditoria (NIAS), Consejo de normas

internacionales de auditoría y aseguramiento (IAASB), NIA 400

Evaluación de Riesgos y Control Interno, Edición 2010

8. Superintendencia de Bancos de Guatemala. “Folleto ABC de Educación

Financiera” p. 11, 42 – 43,



151

9. Superintendencia de Bancos y Entidades Financieras de Bolivia. Glosario

de Términos de los Acuerdos de Capital de Basilea I y Basilea II. Primera

Edición: Diciembre de 2010. 301p.

10. The Institute of Internal Auditors. Estados Unidos de Norteamérica. 2012

“Normas Internacionales para el Ejercicio Profesional de la Auditoría

Interna”.

WEBGRAFÍA

11. Asesoría Contabilidad Puntual. “Normas Internacionales para el Ejercicio

de la Auditoría Interna (NIEPAI)”. Consultado el: 28/02/2014. Recuperado

en: http://asesoria.contapuntual.net/?p=741

12. Bank for International Settlements (BIS). Recuperado en:

http://www.bis.org/

13. Definición de Procedimiento. “Procedimiento”. Consultado el 4/11/2013.

Recuperado en: Definición de procedimiento - Qué es, Significado y

Concepto http://definicion.de/procedimiento/#ixzz2jpiBE0Xk

14. Instituto de Auditores Internos de Argentina. “Definición Auditoría Interna”.

Consultado el 5/02/2014. Recuperado en:

https://www.iaia.org.ar/?ID=definicionauditoríainterna

15. Mercado Tendencias.Com. “Los nuevos Conceptos Control Interno-

COSO II”. Consultado el 29/10/2013. Recuperado en:

http://www.mercadotendencias.com/informe-coso-definicion-de-control-

interno/

http://definicion.de/procedimiento/#ixzz2jpiBE0Xk







152

16. Normateca “Evaluación Control Interno”. Consultado el 4/02/2013.

Recuperado en: sibate-cundinamarca.gov.co/apc-

aa.../evaluacion_control_interno.do

17. Superintendencia de Banca, Seguros y AFP. http://www.sbs.gob.pe/

18. Superintendencia de Bancos de Guatemala. https://www.sib.gob.gt

TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)

Documents

Transcript of TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)