Posgrado de Especialización en Administración de Organizaciones Financieras Universidad de Buenos Aires Facultad de Ciencias Económicas Asociación de Marketing Bancario Argentino Bank Administration Institute Pagina 1 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Control interno Roles y responsabilidades Comité de auditoría Auditoría Interna Enfoque de auditoría interna Evaluación de riesgos Controles Pruebas de cumplimiento Pruebas sustantivas Informes de auditoría interna Pagina 2 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 1. Control interno Pagina 3 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras ESTRUCTURA NORMATIVA DE AUDITORIA Y CONTROL Auditoría Externa Disposiciones Generales Planeamiento Pruebas Sustantivas Informes Complementación Conceptos Básicos de Control Interno Planeamiento Metodología Pruebas Sustantivas Informes Auditoria Interna Ambas Minimizar Riesgos Comité Auditoría Pagina 4 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Proceso ejecutado por la dirección y todo el personal de la organización, diseñado con el objeto de proporcionar garantía razonable para el logro de los OBJETIVOS incluidos en las siguientes categorías: Eficacia y eficiencia de las operaciones. Confiabilidad de la información. Cumplimiento de leyes, reglamentos y políticas. (*) Committee of Sponsoring Organizations of the Treadway Commission. Marcelo Bastante Modulo 7 Profesor: Marcelo Bastante Posgrado de Especialización en Administración de Organizaciones Financieras Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Marcelo Bastante Modulo 7 Pagina 6 Posgrado de Especialización en Administración de Organizaciones Financieras Filosofía y Estilo de Dirección y Gerencia. Valores Eticos. Competencia Profesional. Recursos Humanos. Supervisión Información y comunicación Actividades de Control Evaluación del riesgo Plan Organizacional. Estructura. Manuales de Precedimiento. Grado de Documentación. Gobierno Corporativo. Ambiente de control Es la Base. Actitud, Estilo y Disciplina Organizacional Marcelo Bastante Pagina 7 Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras • Estimación de su Importancia/ Trascendencia. Supervisión Información y comunicación Actividades de Control Evaluación de riesgos • Evaluación de la Probabilidad/ Frecuencia. • Definición del modo en que habrán de Manejarse/Controlarse Ambiente de control ¿Cuáles son las vulnerabilidades que podrán afectar el cumplimiento de los objetivos organizacionales? Marcelo Bastante Pagina 8 Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Se definen para mitigar riesgos relacionados con los tres objetivos de la entidad. Supervisión Información y comunicación Actividades • Análisis de la Dirección/ Gerencia. • Comprobación de Exactitud, Autorización e Integridad. • Control Físico Patrimonial. • Acceso Restrictivo. • Segregación de Funciones. • Seguridad Informática. Actividades de Control Evaluación de riesgo Ambiente de control Las actividades de control son aquellas políticas, técnicas y procedimientos diseñados para mitigar el riesgo. Marcelo Bastante Pagina 9 Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Identificar, Recopilar y Comunicar información pertinente en tiempo y forma a la organización Exactitud y Oportunidad de la Información Financiera y Operativa. Supervisión Acceso a la información Según Niveles de Autorización. Información y comunicación Actividades de Control Evaluación de riesgos Comunicación Formal e Informal dentro de la Organización. Ambiente de control Pagina 10 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras La supervisión es un proceso que comprueba al adecuado funcionamiento a lo largo del tiempo. Actividades Continuas y/o Evaluaciones puntuales. Continuas = Arraigadas a la Gestión. Supervisión Información y comunicación Puntuales • En Función al riesgo • Planificadas. • Autoevaluación y/o Evaluación de 3°. • Metodología. • Seguimiento/ Corrección. Actividades de Control Evaluación del riesgo Ambiente de control Pagina 11 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos Control Interno “Proceso efectuado por la Dirección, la Gerencia, y otros miembros de la Entidad Financiera, para proporcionar seguridad razonable sobre el logro de sus objetivos organizacionales.” Categoría de objetivos Efectividad y eficiencia de las operaciones Confiabilidad de la información contable Cumplimiento de leyes y normas aplicables. Pagina 12 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Componentes del Control Interno Ambiente de Control (Comportamiento organizacional) Evaluación de Riesgos (Conocimiento y análisis de amenazas) Actividades de Control (Políticas y Procedimientos) Información y Comunicación (Sistemas de información formales e informales) Monitoreo (Proceso de evaluación del control interno) Pagina 13 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 2. Roles y responsabilidades Pagina 14 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Roles y responsabilidades • Todos los miembros de la organización participan en las tareas de control interno. • Directorio – Máximo responsable – Provee normas y procedimientos de control interno • Gerente General – Máximo responsable operativo – Responsable de la implementación, administración y seguimiento de las normas mínimas de control interno Pagina 15 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Roles y responsabilidades (cont.) • Comité de Auditoría – Responsable del análisis de las observaciones emanadas por Auditoría Interna y por el seguimiento de la implementación de las recomendaciones de modificación a los procedimientos – Responsable de la coordinación de las funciones de control interno y externo que interactúan en una entidad financiera • Auditor Interno – Responsable por la evaluación y monitoreo del control interno Pagina 16 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Roles y responsabilidades (cont.) • Demás integrantes – El control interno incumbe a todos los que forman parte de la organización – Todos los empleados producen información utilizada en el sistema de control interno o toman otras acciones necesarias para efectuar el control – Todo el personal debe ser responsable de comunicar en forma ascendente: • Problemas en las operaciones • Incumplimientos del Código de Conducta (de existir) • Realización de acciones ilícitas u otras violaciones de políticas fijadas por la entidad Pagina 17 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 3. Comité de auditoría Pagina 18 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoria Integrantes Habituales De Derecho Gerente General y Gerentes de Areas. Secretario de Actas. Auditor Externo. Comisión Fiscalizadora. Dos o mas miembros del Directorio Máximo responsable de Auditoría Interna. Pagina 19 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoría • Integración – Por lo menos, por dos miembros del Directorio – Responsable máximo de la Auditoría Interna de la Entidad • Permanencia en sus funciones – Período mínimo de 2 años (siempre que su mandato no expire antes) y máximo de 3 años. (*) – El lapso de permanencia en dicha función no deberá ser coincidente, de tal manera que siempre el Comité se encuentre integrado por un directivo con experiencia en la materia • Responsabilidad ante sus pares – Asumen, respecto de sus pares del órgano directivo, una responsabilidad primaria frente a eventuales incumplimientos a las normas sobre controles internos que den lugar a la aplicación de sanciones –en los términos de los artículos 41 y 42 de la Ley de Entidades Financieras. Pagina 20 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoría (cont.) • Funciones – Vigilar el adecuado funcionamiento de los sistemas de control interno definidos en la entidad a través de su evaluación periódica. – Contribuir a la mejora de la efectividad de los controles internos – Tomar conocimiento del planeamiento de la auditoría externa. En el caso de existir comentarios en relación con la naturaleza, alcance y oportunidad de los procedimientos de auditoría a efectuar, el Comité deberá manifestarlo en dicha ocasión. – Revisar y aprobar el programa de trabajo anual de Auditoría Interna, así como su grado de cumplimiento. – Revisar los informes emitidos por la auditoría interna. – Considerar las observaciones de los auditores externos e internos sobre las debilidades de control interno, así como las acciones correctivas implementadas por la Gerencia. Pagina 21 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoría (cont.) • Funciones (cont.) – Tomar conocimiento de los resultados obtenidos por la Comisión Fiscalizadora de la entidad en la realización de sus tareas. – Mantener comunicación constante con los funcionarios de la SEFyC responsables del control de la entidad, a fin de conocer sus inquietudes, los problemas detectados en las inspecciones, así como el monitoreo de las acciones llevadas a cabo para su solución. – Tomar conocimiento de los estados contables anuales, trimestrales y los informes del auditor externo emitidos sobre estos, así como toda la información contable relevante. – Revisar periódicamente el cumplimiento de las normas de independencia de los auditores externos. – Controles anuales acerca de inhabilidades previstas en el artículo 10 de la Ley 21.526. Pagina 22 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoría (cont.) • Reuniones del Comité de Auditoría – Periodicidad mínima mensual – Participarán los integrantes de Comité y, en caso de considerarse necesario, otros funcionarios de la Entidad – Podrán intervenir el auditor externo y miembros de la Comisión Fiscalizadora Pagina 23 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Comité de Auditoría (cont.) • Incumplimientos a las normas mínimas sobre Controles Internos – Harán pasibles a los integrantes del Comité de Auditoría de las sanciones previstas por el art. 41 de la Ley de Entidades Financieras, sin perjuicio de la responsabilidad que le cabe al Directorio. – La SEFyC verificará periódicamente el cumplimiento de las disposiciones sobre controles internos. A tales efectos, podrá requerir los papeles de trabajo que respaldan el informe transcripto en el libro especial de control interno, los que deberán ser conservados por la entidad, como mínimo, durante 6 años. Pagina 24 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Ley de Entidades Financieras • Sanciones previstas en el art. 41 Ley 21.526 – Llamado de atención – Apercibimiento – Multas (*) – Inhabilitación temporaria o permanente para el uso de la cuenta corriente – Inhabilitación temporaria o permanente para desempeñarse como promotores, fundadores, directores, administradores, miembros de los consejos de vigilancia, síndicos, liquidadores, gerentes, auditores, socios ó accionistas de las entidades financieras – Revocación de la autorización para funcionar (*) Serán determinadas teniendo en cuenta los perjuicios ocasionados a terceros, beneficios generados por el infractor, volumen operativo del infractor y responsabilidad patrimonial de la entidad. Pagina 25 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 4. Auditoría Interna Pagina 26 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Auditoría Interna La Independencia Funcional • El Directorio designará a la persona responsable de Evaluar el Control Interno. • Esta persona integrará el Comité de Auditoría y dependerá funcionalmente de aquel. • Dicha función será ejercida por personal en relación de dependencia con la Entidad y de independencia con las áreas evaluadas. • La entidad podrá delegar estas tareas en profesionales independientes siempre que: a) sea distinto del auditor externo y b) sea distinto de su estudio profesional. • La responsabilidad primaria recaerá siempre en el Comité de Auditoría. Pagina 27 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Auditoría Interna (cont.) • Política de planeamiento – El responsable de auditoría interna deberá presentar el Planeamiento anual de las actividades de Auditoría Interna para su aprobación por parte del Comité de Auditoría, antes del cierre del tercer trimestre económico de cada ejercicio. – Antes del segundo mes anterior al cierre de cada ejercicio, dicho Comité enviará el plan de auditoría interna (una vez aprobado), al Directorio, quien tomará conocimiento y resolverá sobre su aprobación antes del inicio del ejercicio. – El planeamiento de auditoría interna deberá contener referencias a las tareas de: • evaluación del control interno y • las pruebas sustantivas a ser aplicadas Pagina 28 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Auditoría Interna (cont.) • Propuesta de solución de observaciones de la labor de los responsables de la verificación del cumplimiento de las Normas Mínimas sobre Controles Internos – Dentro de los 20 días corridos de recibido el “Memorando de Observaciones a la labor de los responsables de la verificación del cumplimiento de las Normas Mínimas sobre Controles Internos” deberá presentarse la propuesta de solución. – El plazo máximo para la realización de los procedimientos previstos en la “Propuesta de Solución de Observaciones” es de 120 días corridos, contado a partir de la recepción en la entidad de la aprobación por parte de la Gerencia de Control de Auditores de la citada propuesta. – La falta de presentación en término o el incumplimiento de la Propuesta de Solución aprobada podrá dar lugar a la aplicación del régimen de sanciones previsto en el art. 41 de la Ley de Entidades Financieras. Pagina 29 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 5. Enfoque de auditoría Interna Pagina 30 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Resumen del Enfoque de Auditoría Interna Comprensión y evaluación del Ambiente de Control Comprensión del sistema contable y del ambiente de computación Documentación de los controles de monitoreo o gerenciales Documentación de los controles de las aplicaciones y de Tecnología Informática No Se alcanza el objetivo de Control Si Realizar pruebas de los controles: - Monitoreo - Aplicaciones - Tecnología Informática Informar las deficiencias Informar resultado de las pruebas Pagina 31 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Metodología para la Evaluación del control Interno Proceso de Auditoria Planificación Ejecución •Evaluación de riesgos •Conocimiento preliminar de ciclos y procesos •Definición de NAO Conclusión •Informes de auditoria •Documentacion del Trabajo Revelamiento de ciclos Pruebas de Diseño (¿El diseño es correcto ?) Pruebas de Funcionamiento (¿Funciona?) Pagina 32 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Política de Planeamiento El plan de auditoría • Debe ser presentado al Comité de Auditoría antes del cierre del tercer trimestre del ejercicio. • El Comité de Auditoría dispone de un mes para evaluarlo, aprobarlo y elevarlo al Directorio. • El Directorio tomará conocimiento, lo evaluará y deberá aprobarlo antes de la última reunión del ejercicio económico. • Deberá ser transcripto al Libro de Actas. • El Planeamiento deberá contener referencias a las evaluaciones del control interno y a las pruebas sustantivas a aplicar. Se basará fundamentalmente en un profundo análisis de riesgos (matrices de riesgos) • El Auditor Interno podrá coordinar sus tareas con el Auditor Externo. Pagina 33 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras El riesgo y el proceso de auditoría • La auditoría debería estar enfocada alrededor del riesgo • No existe ningún punto de auditoría si no hay riesgo • Entonces es necesario tener un método para – Definir el universo a auditar – Enfocarse en el riesgo – Evaluar los riesgos – Desarrollar o adaptar plan de auditoría basado en dichos riesgos Pagina 34 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos • “La auditoría interna de las entidades financieras deberá documentar adecuadamente, y analizar los ciclos relevantes de la entidad con el objetivo de identificar los riesgos existentes para cada uno de ellos y la manera en que los controles diseñados por la Gerencia funcionan y son suficientes para reducir dichos riesgos. • Los relevamientos deberán tener claramente identificado el flujo de las transacciones y los controles existentes”. Pagina 35 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos OBJETIVOS DE CONTROL • “Brindan una estructura sobre la cual se pueden construir las políticas y procedimientos de control que aseguren, mediante el adecuado funcionamiento de todos ellos, la producción de información contable y complementaria confiable” El BCRA los define como: Autorización Exactitud y oportunidad del ingreso Integridad del ingreso Integridad y exactitud de las actualizaciones Integridad y exactitud de los datos acumulados Acceso restringido Pagina 36 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos CICLOS MAS RELEVANTES: Tesorería (función financiera) Presentación de información contable y financiera Prestamos Comercio exterior Depósitos Inversiones Bienes de Uso, diversos e intangibles Pagina 37 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos CICLOS MAS RELEVANTES (Cont.): Actividades fiduciarias Costos de personal Tecnología informática Compras Contabilidad General (incluyendo las partidas pendientes de imputación) Administración de sucursales Pagina 38 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos Para cada uno de los ciclos , además de verificar el cumplimiento de los objetivos de control definidos, se deberá prestar especial atención a: Sistema Contable (relevarlo y entenderlo documentando adecuadamente lo actuado) Controles de Monitoreo (es decir, analizar en que medida la Gerencia hace uso de la información que le proporcionan los sistemas para mejorar los controles y la gestión) Controles de las Aplicaciones (aquellos que aseguren a la gerencia la autorización , exactitud e integridad en el ingreso de las transacciones, la actualización de los archivos y el mantenimiento de los datos) Controles de Tecnología Informática . Deben garantizar que los sistemas aplicativos operen: Constantemente. En un orden predeterminado Adecuadamente documentados Con acceso restringido Marcelo Bastante Modulo 7 Pagina 39 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos El Sistema Contable Objetivos del relevamiento: Conocer los registros contables, las transacciones significativas y el flujo de información a través del sistema. Ayudar a comprender el negocio. Ayudar a identificar riesgos inherentes a cada ciclo y sus procedimientos de control. Desarrollar pruebas efectivas sobre el sistema contable. Verificar el cumplimiento de obligaciones de información. Identificar las principales deficiencias del sistema contable. CICLOS DEL NEGOCIO SISTEMA CONTABLE Pagina 40 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Relevamiento de Ciclos Los controles de Tecnología de Información La evaluación deberá comprender como mínimo: Análisis y opinión sobre la Organización y Control Interno del Area de Sistemas. Adecuación de la Seguridad Lógica implantada. Continuidad del procesamiento de datos. Adecuación del teleprocesamiento. Sistemas aplicativos. Pagina 41 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 6. Evaluación de riesgos Pagina 42 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Metodología para Análisis de Riesgo ETAPA LO QUE DETERMINA 1. Identificar las mayores amenazas a puntos de control clave 2. Estimar Riesgo ¿ Cuán a menudo? 3. Cuantificar la exposición ¿ Cuánto se pierde? 4. Definir los objetivos de control específicos (requerimientos) ¿ Cuáles son los objetivos de control a satisfacer? 5. Identificar las mayores amenazas a puntos de control clave ¿ Qué técnica de control satisfacen el objetivo de control? 6. Justificar los controles ¿Son los controles costo-efectivos? NO Marcelo Bastante ¿ Es todo adecuado? SI Modulo 7 ¿ Qué puede suceder y en qué punto de control? Implemente - Documente Posgrado de Especialización en Administración de Organizaciones Financieras Ejemplo de matriz de riesgos PROCESOS (Actividades) 1 2 3 4 5 6 7 8 9 Créditos Hipotecarios Créditos Personales Tarjetas de Crédito Gestión de Mora Liquidación de Haberes Recursos Humanos Control y Vigilancia Pagos a Proveedores Cuentas Corrientes Plazos Fijos Asesoramiento Jurídico Sucursales y Agencias Tecnología Comercio Exterior Marcelo Bastante Riesgo Asociado Factores de Ponderación Modulo 7 10 11 12 13 14 15 16 17 A M B Posgrado de Especialización en Administración de Organizaciones Financieras Evaluación de Riesgos FRECUENCIA DE REVISION APLICACION SEMESTRAL CONTABILIDAD COMPRAS GASTOS Y PREUPESTOS SUELDOS Marcelo Bastante Modulo 7 ANUAL CADA 2 AÑOS Posgrado de Especialización en Administración de Organizaciones Financieras Matriz de Riesgos del Negocio Factores de Ponderación del Riesgo ACTIVIDAD Crédito Créditos (2) Recursos (2) Cobros 3 Financiero (2) 2 Legal (1) 1 Globalización (3) (1) (3) (2) (2 ) (2) (1) (3) Pagos (2) (2) (1) (3) Administr. (2) (2) (1) Operaciones (2) (2) (1) N/A 3 (3) (3) Referencias: (1), (2), (3) : Ponderadores 1 = Bajo Marcelo Bastante 2 = Medio 3 = Alto Modulo 7 N/A : No aplicable 1 Riesgo Asociado Posgrado de Especialización en Administración de Organizaciones Financieras Evaluación de Riesgo Grado de Riesgo Indicadores de Riesgo Descripción Bajo Modo de Procesamiento (Ponderación 4) Volumen de Tansacciones (Ponderación 6) Antigüedad (Ponderación 2) Marcelo Bastante Serefiere a lamodalidaden que se procesan los datos ingresados al sistema. Diferido Cantidad de transacciones procesadas por la aplicación en un período Hasta 2000 por mes Tiempo transcurrido desde la compra o desarrollo de la aplicación Hasta un año Modulo 7 Medio Alto Captura de datos en línea proceso diferido Entre 2000 y 10000 por mes En línea Más de 10000 por mes Entre uno y ocho Más de ocho años años Posgrado de Especialización en Administración de Organizaciones Financieras Evaluación de Riesgo Indicadores de Riesgo Aplicación Modo de Procesamiento Riesgo Asociado Volumen de transacción Antigüedad Contabilidad En línea (12) 5.000 por mes (12) 8 meses (2) Compras Diferido (4) 800 por mes (6) 11 años (6) Gastos y Presupuesto En línea (12) 2.500 por mes (12) 2 años (4) Sueldos En línea (12) 1.500 por mes ('6) 9 años (6) Referencias: (1) Diferido (2) Captura en línea, proceso diferido (3) En línea Marcelo Bastante 16 28 24 Riesgo Alto + a 25 (1) Hasta 2000 x mes (1) > de 1 año (2) Entre 2000 y 10000 x mes (2) / 1 a 8 años (3): Más de 10000 x mes (3) < de 8 años Modulo 7 26 Riesgo Medio / 20 y 25 Riesgo Bajo - a 20 Posgrado de Especialización en Administración de Organizaciones Financieras Otro ejemplo de matriz de riesgos FACTOR / PONDERADOR ALTO =5 MEDIO =3 BAJO =1 1. Significatividad (Patrimonio Neto o Resultados) Excede 20% del P. Neto ó 10% de 10-20% de P.Neto ó 3-10% de los ingresos/egresos. los ingresos/egresos. Inferior a 10% del P. Neto ó 3% de ingresos/egresos. 1. Exposición a pérdidas (Liquidez de los activos) Alta posibilidad de pérdida. Fácil conversión a efectivo/alto valor en mercado. Activos de difícil liquidación. Bajo valor de mercado. No aplicable al área auditada. 1. Ambiente de control Existen debilidades de control (Control Interno, políticas y significativas en forma procedimientos, segregación de tareas, permanente. supervisión, autorización) Existen debilidades de control sin controles compensatorios para mitigarlas. Todos los controles clave han sido establecidos. 1. Complejidad de las operaciones (Tipo de producto, volumen de transacciones, nuevos sistemas) Alta complejidad. Las transacciones son técnicas, requieren un alto grado de conocimientos. Complejidad moderada. Las transacciones involucran varios pasos o personas. Procesos rutinarios /sin transacciones complejas. Bajo volumen. 1. Calificación del Management (Competencia, compromiso hacia el control) Poca capacidad profesional y conocimiento de las operaciones. Sin compromiso hacia el control. Se permite la continuidad de las deficiencias. Conocimientos regulares o algo insuficientes. El compromiso hacia el control está en duda. Excepcional conocimiento en todos los niveles gerenciales, alto compromiso hacia el control. 1. Integridad del ambiente de Procesamiento Electrónico de Datos (PC, LAN, Mainframe) La utilización o confianza en los sistemas es muy alta. El proceso es crítico. Plan de contingencias no establecido. Seguridad no implantada. El proceso tiene riesgo moderado. La seguridad requiere ajustes menores. Plan de contingencias puede necesitar mejoras. La utilización o confianza en los sistemas es baja. Seguridad en funcionamiento. Mínima complejidad del software. 1. Lapso desde la última auditoría Excede los 2 años/nunca fue auditada. Entre 1 y 2 años. Realizada el ejercicio anterior 1. Resultados de la última auditoría Calificación insatisfactoria /necesita mejoras Calificación satisfactoria con excepciones. Calificación satisfactoria /no aplicable. Área altamente regulada. Posibles efectos legales adversos o cargos por incumplimientos. Moderados requerimientos regulatorios / impacto de los incumplimientos Sujeto a pocas o ninguna regulación. Mínimo impacto en caso de incumplimientos 1. Ambiente de negocios (Marco legal, exposición a las regulaciones, impacto de publicidad negativa) Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 7. Controles Pagina 50 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras TIPOS DE CONTROL –Por la naturaleza del control • Controles preventivos • Controles detectivos –Por la oportunidad del control • • • • Controles de entrada Controles de proceso Controles de salida Controles periódicos normalmente son preventivos normalmente son detectivos Pagina 51 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Controles de Tecnologia Informatica Sistema de información de gestión. Sistema contable. Generación de información para el BCRA. Sistema de clientes. Central de cheques rechazados. Prevención del lavado de dinero Sistemas de transferencias de fondos, SWIFT y otros. Pagina 52 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Controles de Tecnologia Informatica Organización y Control Interno del Area de Sistemas. Se deberá verificar: La adecuación de la organización del área de Sistemas (estructura y procedimientos de control, separación de funciones). Adecuación de la normativa y los procedimientos de sistemas, programación y soporte técnico. Control de las operaciones computarizadas o procesos. Dependencia de proveedores externos. Control de integridad y validez de la información procesada. Pagina 53 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 8. Las pruebas de cumplimiento Pagina 54 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas de Cumplimiento • Las pruebas de cumplimiento permiten evaluar si los controles identificados: – han sido diseñados adecuadamente para lograr su objetivo – operan de acuerdo a lo previsto Pagina 55 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas de Cumplimiento • Consideraciones para el diseño y aplicación de las Pruebas de Cumplimiento: – Asegurar la cobertura de todos los objetivos de control importantes – Consideración del tipo de pruebas a usar – A la medida de la entidad Pagina 56 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas de Cumplimiento • Evaluación de los resultados de las pruebas: – Identificar origen / naturaleza – Determinar su impacto sobre la evaluación del riesgo de control – Informar a la Gerencia de la entidad Pagina 57 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas de Cumplimiento • Tipo de observaciones – Errores aislados • Explicar y cerrar en los papeles de trabajo – Errores de índole sistemático • Informar a la Gerencia de la entidad • Determinar el impacto sobre la evaluación del Riesgo • Proponer las soluciones y pedir plan de implementación Pagina 58 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 9. Pruebas sustantivas Pagina 59 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas sustantivas Las pruebas sustantivas deben garantizar: a) La existencia, propiedad e integridad de las registraciones contables. b) Su adecuada valuación y exposición de acuerdo con normas del BCRA. c) El adecuado cumplimiento de las regulaciones técnicas, monetarias, cambiarias, y legales dispuestas por el BCRA. Casa Central DONDE SE APLICAN Sucursales , filiales y subsidiarias Pagina 60 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas Arqueo de efectivo y valores Compilación de los listados de deudores y acreedores Cotejo de los listados con registros contables Verificación con documentación respaldatoria. Pedido de confirmaciones de saldos a terceros. Verificación de cobranzas no aplicadas. Verificación de las conciliaciones con los bancos corresponsales. Pagina 61 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas Verificación de saldos pendientes de imputación. Participación en inventarios Revisión de la documentación presentada al BCRA relacionada con relaciones técnicas y monetarias. Verificación de la apertura, funcionamiento y cierre de cuentas corrientes. Revisiones conceptuales de las cuentas de resultados. Pagina 62 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas – Frecuencia mínima • Casa Central – La totalidad de los sectores deberán ser revisados, como mínimo, una vez al año. – Dicha frecuencia deberá ser trimestral para aquellos sectores que por su importancia, complejidad, riesgos involucrados u otras circunstancias así lo indiquen. • Sucursales, filiales y/o subsidiarias – Deberán revisarse individualmente, como mínimo, una vez al año. – Dicha frecuencia deberá aumentarse para aquellas que por su importancia, complejidad, riesgos involucrados u otras circunstancias así lo indiquen. Pagina 63 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas – Procedimientos – Arqueos de efectivo y/o valores que sustenten los saldos de las operaciones. – Compilación de los listados de deudores por operaciones de préstamos u otros créditos, acreedores por depósitos y otras obligaciones, otras financiaciones, obligaciones contingentes y valores de terceros en custodia. Cotejo de dichos listados con los registros contables y verificación de una muestra de las operaciones con la respectiva documentación de respaldo. – Pedidos de confirmación de saldos de deudores por préstamos y otros créditos y acreedores por depósitos y/u otras obligaciones y de otras operaciones que lo justifiquen. Cuadro resumen. Procedimientos alternativos aplicados. – Verificación de los saldos correspondientes a Cobranzas y otras operaciones por cuenta de terceros y Cobros no aplicados. Documentación de respaldo. Cancelación. Pagina 64 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas – Procedimientos (cont.) – Verificación de las conciliaciones con bancos corresponsales, analizando las partidas pendientes con la documentación de respaldo. Regularización posterior. – Verificación de los saldos de partidas pendientes de imputación. Documentación de respaldo. Cancelación y correcta registración contable de destino. – Participación en la realización de inventarios físicos de bienes de uso y diversos. – Revisión de la documentación presentada al BCRA para el cumplimiento de relaciones técnicas y regulaciones monetarias, así como del régimen informativo establecido, incluidas las notas a los estados contables. Específicamente, 2 veces por año y con un intervalo no inferior a 6 meses, deberá revisarse: • Activos inmovilizados y otros conceptos • Fraccionamiento del riesgo crediticio • Financiaciones a clientes vinculados Pagina 65 • Graduación del crédito Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Pruebas Sustantivas – Procedimientos (cont.) – Verificación de que las aperturas, funcionamiento y cierres de la cuentas corrientes se ajusten a las pautas establecidas en el respectivo manual de procedimientos o excepciones resueltas por el Directorio de la entidad. – Revisión de las cuentas de resultados más significativas, mediante la aplicación de pruebas globales, reprocesos y/o visualización de la documentación de respaldo de las operaciones. – Verificación de que los saldos del balance de saldos del sector o sucursal, filial y/o subsidiaria sujeto a revisión coincide con el considerado en el balance de saldos consolidado de la entidad. – Revisión del cumplimiento de las normas del BCRA en materia de prevención del lavado de dinero proveniente de actividades ilícitas Pagina 66 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Normas Mínimas sobre Controles Internos 10.Informes de auditoría interna Pagina 67 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoria Interna COMO DEBEN SER ? CUALES SON ? Informe de Ciclos Informes Bimestrales Informes sobre Regulaciones Técnicas y Monetarias. Pagina 68 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoria Interna Informe de ciclos: Relacionado con la evaluación del control interno. Uno por cada ciclo relevante según etapa de planeamiento. Alcance de la tarea realizada, deficiencias observadas, efectos y recomendaciones. Pagina 69 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoria Interna Informes Bimestrales : Reseña de los ciclos evaluados. Pruebas de controles aplicadas. Pruebas sustantivas aplicadas. Opinión respecto a los ciclos o áreas evaluadas. Deben transcribirse al “Libro de Control Interno”. El Comité de Auditoria debe conocerlos 15 dias después del cierre del bimestre respectivo. Debe aprobarlo y elevarlo al Directorio con recomendaciones para solucionar las deficiencias detectadas. Debe volcarse al Acta de Directorio respectiva. Pagina 70 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoria Interna Informes sobre regulaciones técnicas y monetarias: Presentación al menos semestral Involucra las siguientes regulaciones: Activos inmovilizados Fraccionamiento del riesgo crediticio. Financiaciones a clientes vinculados y Graduación del riesgo crediticio. Su incumplimiento genera incremento en los capitales mínimos. Pagina 71 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoría Interna Deberán contener – Alcance de las tareas realizadas en función al planeamiento – Deficiencias observadas en relación con la evaluación de riesgos realizada en forma previa. – Efectos sobre la estructura de control interno de la entidad o la información contable de las deficiencias observadas – Recomendaciones para subsanar las deficiencias observadas Pagina 72 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoría Interna Frecuencia – Un informe por cada ciclo relevante evaluado, definido en la etapa de planeamiento, por lo menos una vez al año. – Deberá remitirse, como mínimo bimestralmente, al Comité de Auditoría un informe con una reseña de los ciclos evaluados, pruebas de controles y de las pruebas sustantivas realizadas en el período, en función del planeamiento del trabajo previsto, el grado de alcance y la opinión acerca de los resultados, con indicación del lugar donde se han realizado. – Por lo menos 2 veces al año, con un intervalo no inferior a 6 meses, deberá remitir al Comité de Auditoría un informe en el conste la revisión de las regulaciones técnicas y monetarias realizadas. Pagina 73 Marcelo Bastante Modulo 7 Posgrado de Especialización en Administración de Organizaciones Financieras Los Informes de Auditoría Interna Plazo para la presentación de informes – Será de 15 días corridos, contados a partir del primer día siguiente al bimestre al que corresponda la información. – En caso de la revisión de documentación presentada al BCRA para verificar el cumplimiento de regulaciones técnicas, el plazo se computará desde la fecha de presentación a esa Institución del estado contable trimestral o anual pertinente. – El Comité de Auditoría dispondrá de 10 días corridos, contados desde la recepción de ese informe, para tomar conocimiento, aprobarlo y elevarlo al Directorio, junto con las recomendaciones tendientes a solucionar las deficiencias de control interno que pudieran haberse observado. – El Directorio deberá tomar conocimiento formal de dicho informe, volcarlo en actas en su primer reunión posterior a la elevación y resolver sobre cada una de las recomendaciones efectuadas. Pagina 74 Marcelo Bastante Modulo 7