Upload
sergio-lombardo
View
224
Download
0
Embed Size (px)
Citation preview
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 1/163
UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONÓMICAS
“LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DE
TELEMERCADEO DE UNA ENTIDAD BANCARIA”
TESIS
PRESENTADA A LA JUNTA DIRECTIVA DE
LA FACULTAD DE CIENCIAS ECONÓMICAS
POR
SERGIO LOMBARDO QUIÑONEZ MEDINA
PREVIO A CONFERÍRSELE EL TÍTULO DE
CONTADOR PÚBLICO Y AUDITOREN EL GRADO ACADÉMICO DE
LICENCIADO
Guatemala, mayo de 2015
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 2/163
INTRODUCCIÓN
Las entidades bancarias han alcanzado un mayor tamaño y están generando
un alto número de transacciones de colocación y captación financiera, debido a
que abarcan otros mercados por la obligación de entrar en competencia con
otras entidades y globalizarse. Razón por la cual se tiene una dimensión distinta
en la gestión de riesgos operativos, siendo este parte inherente de la actividad
empresarial. Ante esta situación las entidades regulatorias de las instituciones
bancarias, han solicitado a través de normativas, la implementación de medidas
necesarias para identificar y mitigar las brechas en los procesos y controlesinternos de las distintas actividades, sin contar con una metodología o política
estandarizada, la cual sea apoyo para las instituciones bancarias.
La auditoría interna de riesgo operativo permite a la administración de la entidad
bancaria facilitar y tener a un área especializada en el tema de riesgos
operativos, y utilizarla como una herramienta eficaz, centralizando recursos en
las actividades prioritarias según la evaluación que esta área realice,
propiciando así la capacidad de generar valor. Esto permite una fuente de
oportunidades para el auditor ya que su labor es clave al acompañar a las
distintas áreas de la institución en la identificación, evaluación y mitigación de
riesgos operativos.
El presente trabajo trata de documentar e informar al lector sobre una
alternativa que tienen las entidades bancarias para afrontar de forma correcta el
riesgo operativo, en distintas unidades de apoyo, siendo en este caso el área de
telemercadeo, al momento de ofrecer y colocar extrafinanciamientos. A través
del análisis de las actividades, se definió la metodología y procedimiento que
debe cumplir el área de auditoría interna de riesgo operativo. La auditoría se
realizó con base en los lineamientos indicados por COSO II (ERM), además de
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 3/163
lo establecido por el Comité de Basilea II, y las Normas Internacionales para el
ejercicio de la Auditoría Interna (NIEPAI).
En el capítulo I se presentan definiciones básicas de banco y riesgo operativo,
entre otros conceptos fundamentales de la gestión: El presente capítulo expone
parte de los fundamentos de la gestión de riesgos y los bancos, el contenido,
definición y clasificación de los bancos, riesgos. En el capítulo II se dedica a
enfocar los temas legislativos que deben cumplir los bancos, así como las
estipulaciones indicadas por comités internacionales, especializados en el
manejo de riesgos y controles internos bancarios.
El capítulo III se presenta los conceptos básicos de auditoría y de la relación que
existe en una auditoría interna especializada en riesgo operativo, así como las
etapas y clasificaciones, los componentes del control interno y la importancia
que tiene el cumplimiento de controles, políticas y procedimientos dentro de la
organización bancaria. Posteriormente en el capítulo IV se desarrolla el caso
práctico, que ejemplifica los procedimientos y herramientas que debe tener laauditoría interna de riesgo operativo para ejecutar una adecuada gestión de
identificación y mitigación de riesgos, así como la definición de cálculo de
requerimiento de capital por riesgo operativo.
Por último, se presentan las conclusiones y recomendaciones derivadas del
trabajo de investigación, así como las referencias bibliográficas utilizadas.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 4/163
ÍNDICE
PÁGINA
INTRODUCCIÓN i
CAPÍTULO I
ENTIDAD BANCARIA Y RIESGO OPERATIVO
1.1 Bancos ......................................................................................................1
1.1.1 Concepto de entidad bancaria .................................................................. 1
1.1.2 Excepciones ..............................................................................................1
1.1.3 Régimen legal ........................................................................................... 1
1.1.4 Órganos reguladores y autorizadores ....................................................... 2
1.1.5 Empresas especializadas en servicios financieros ................................... 3
1.1.6 Operaciones y servicios ............................................................................ 4
1.1.7 Autorización y organización de un grupo financiero .................................. 5
1.1.8 Clasificación de una entidad bancaria ....................................................... 8
1.1.9 La tarjeta de crédito y el área de telemercadeo ........................................ 9
1.2 Riesgos ................................................................................................... 10
1.2.1 Concepto de riesgo ................................................................................. 10
1.3 Clasificación de riesgos ........................................................................... 11
1.3.1 Riesgo crediticio ......................................................................................11
1.3.2 Riesgo de liquidez ................................................................................... 11
1.3.3 Riesgo de mercado ................................................................................. 12
1.3.4 Riesgo país ............................................................................................. 12
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 5/163
1.3.5 Riesgo operativo ..................................................................................... 12
1.4 Comité de Basilea ................................................................................... 12
1.4.1 Historia ....................................................................................................12
1.4.2 Conceptualización del Comité de Basilea ............................................... 13
1.4.3 Categorización de niveles de riesgo Basilea II ........................................ 14
1.4.4 Pilares del acuerdo de Basilea ................................................................ 17
1.4.5 Pilar II: Proceso de revisión del supervisor ............................................. 20
1.4.6 Pilar III: Disciplina de mercado ................................................................ 23
1.5 Apetito de riesgo ..................................................................................... 24
1.5.1 Frecuencia .............................................................................................. 24
1.5.2 Severidad ................................................................................................24
1.5.3 Vulnerabilidad ......................................................................................... 24
1.6 Tipos de objetivo por materialización de eventos .................................... 24
1.6.1 Pérdida por fraude................................................................................... 25
1.6.2 Pérdida por error ..................................................................................... 25
1.6.3 Requerimientos del cliente ...................................................................... 25
1.6.4 Continuidad de negocio ........................................................................... 25
1.6.5 Cumplimiento regulatorio ........................................................................ 26
1.6.6 Revelación financiera .............................................................................. 26
1.7 Estructura y definición de responsabilidades .......................................... 26 1.7.1 Junta directiva ......................................................................................... 26
1.7.2 Comité de riesgos operativos .................................................................. 27
1.7.3 Gerencia general .....................................................................................27
1.7.4 Auditoría interna de riesgo operativo.......................................................28
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 6/163
1.7.5 Unidad funcional ..................................................................................... 28
1.7.6 Auditoría interna ......................................................................................30
1.7.7 Unidad de calidad ................................................................................... 30
1.8 Ciclo de gestión de riesgo operativo ....................................................... 30
1.8.1 Identificación de riesgos operativos ........................................................ 31
1.8.2 Evaluación de controles y riesgos operativos ......................................... 32
1.8.3 Mitigación de riesgos operativos principales ........................................... 33
CAPÍTULO II
MARCO REGULATORIO APLICABLE A LAS ENTIDADES BANCARIAS
CONFORME A LAS ENTIDADES REGULADORAS PARA LA GESTIÓN DE
RIESGO OPERATIVO
2.1 Entidades regulatorias locales ................................................................ 34
2.1.1 Constitución Política de la República de Guatemala y sus reformas ...... 34
2.1.2 Ley de Bancos y Grupos Financieros y sus reformas ............................. 35
2.1.3 Ley de Supervisión Financiera ................................................................ 35
2.1.4 Reglamento para la Administración Integral de Riesgos ......................... 35
2.2 Políticas internas de entidades bancarias para la administración de
Riesgo Operativo..................................................................................... 40
2.2.1 Propósito .................................................................................................40
2.2.2 Alcance ................................................................................................... 40
2.2.3 Definiciones .............................................................................................41
2.2.4 Beneficios ................................................................................................41
2.2.5 Responsabilidades .................................................................................. 42
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 7/163
2.2.6 Ciclo fundamental de la gestión .............................................................. 42
CAPÍTULO III
AUDITORÍA INTERNA DE RIESGO OPERATIVO EN LA IDENTIFICACIÓN DE
RIESGO Y EVALUACIÓN DE CONTROLES Y PROCEDIMIENTOS
3.1 Auditoría ..................................................................................................44
3.1.1 Concepto de auditoría ............................................................................. 44
3.1.2 Importancia y objetivo ............................................................................. 44
3.1.3 Clasificación ............................................................................................ 44
3.1.4 Normas que regulan la actuación de quienes la ejecutan ....................... 46
3.1.5 Técnicas y procedimientos de auditoría .................................................. 48
3.2 Auditoría interna ......................................................................................48
3.2.1 Concepto de auditoría interna ................................................................. 48
3.2.2 Funciones ................................................................................................49
3.2.3 Alcance ................................................................................................... 49
3.2.4 Responsabilidades .................................................................................. 50
3.2.5 Papel del auditor interno ......................................................................... 50
3.2.6 Normas internacionales para el ejercicio de la auditoría interna ............. 52
3.2.7 Guías de auditoría interna del Instituto Guatemalteco de Contadores
Públicos y Auditores ................................................................................54
3.3 Auditoría interna de riesgo operativo.......................................................56
3.3.1 Concepto de auditoría interna de riesgo operativo .................................. 56
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 8/163
3.3.2 Diferencia entre auditoría interna y auditoría interna de riesgo
operativo ................................................................................................. 57
3.3.3 Objetivos de la auditoría interna de riesgo operativo .............................. 58
3.3.4 Factores internos para administrar el riesgo operativo ........................... 58
3.3.5 Factores externos para administrar el riesgo operativo........................... 59
3.3.6 Política y procedimiento .......................................................................... 59
3.3.7 Evaluación de procedimientos y controles internos ................................ 60
3.3.8 El informe de la auditoría interna de riesgo operativo ............................. 61
3.4 Control interno basado en COSO ERM (COSO II) .................................. 61
3.4.1 Concepto e historia de COSO I y COSO II ............................................ 62
3.4.2 Etapas de la gestión de riesgo ................................................................ 62
3.4.3 Objetivos de COSO ERM ........................................................................64
3.4.4 Componentes de COSO ERM ................................................................ 65
3.5 Planificación técnica y administrativa de la auditoría interna de riesgo
operativo ................................................................................................. 70
3.5.1 Concepto .................................................................................................70
3.5.2 Alcance ................................................................................................... 70
3.5.3 Importancia de la planificación ................................................................ 71
3.5.4 El control interno al planificar la auditoría interna de riesgo operativo .... 72
3.5.5 Diferencias entre planificación técnica y administrativa .......................... 72
3.5.6 Detalles a conocer previo a la planificación de la auditoría de riesgo
operativo ................................................................................................. 73
3.5.7 Planificación y responsabilidad de la auditoría interna de riesgo
operativo ................................................................................................. 74
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 9/163
3.6 Ejecución y supervisión de la auditoría interna de riesgo operativo ........ 75
3.6.1 Concepto de ejecución de auditoría interna de riesgo operativo ............. 75
3.6.2 Concepto de supervisión de auditoría interna de riesgo operativo .......... 76
3.6.3 Alcance de la ejecución de auditoría interna de riesgo operativo ........... 77
3.6.4 Importancia de la ejecución de auditoría interna de riesgo operativo ..... 78
3.6.5 Importancia de la supervisión de auditoría interna de riesgo
operativo ................................................................................................. 78
3.6.6 Responsabilidad de la auditoría interna de riesgo operativo en la
ejecución .................................................................................................78
3.6.7 Responsabilidad de la auditoría interna de riesgo operativo en la
supervisión ..............................................................................................79
3.6.8 Papeles de trabajo de la auditoría interna de riesgo operativo .............. 80
3.6.9 Forma de los papeles de trabajo de la auditoría interna de riesgo
operativo ................................................................................................. 81
3.6.10 Propiedad y custodia de los papeles de trabajo de la auditoríainterna de riesgo operativo .................................................................... 83
CAPÍTULO IV
LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DETELEMERCADEO DE UNA ENTIDAD BANCARIA
(CASO PRÁCTICO)
4.1 Perfil de la entidad y antecedentes ......................................................... 84
4.1.1 Estructura organizacional ........................................................................84
4.1.2 Estructura del área de auditoría interna de riesgo operativo ................... 86
4.1.3 Nombramiento de auditoría interna de riesgo operativo.......................... 87
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 10/163
4.1.4 Memorándum de aviso de evaluación la auditoría de riesgo
operativo ................................................................................................. 88
4.2 Planificación del programa para la ejecución de auditoría de riesgo
operativo ................................................................................................. 89
4.3 Programa general para la auditoría de riesgo operativo en el área de
telemercadeo .......................................................................................... 92
4.4 Actividades previas a la auditoría interna de riesgo operativo ................ 92
4.4.1 Manual para llenado y aplicación matrices de riesgo operativo .............. 94
4.5 Índice de papeles de trabajo y de abreviaturas ..................................... 106
4.6 Ambiente de control y descripción del proceso ..................................... 107
4.7 Objetivos establecidos .......................................................................... 109
4.8 Información y comunicación .................................................................. 110
4.9 Supervisión ........................................................................................... 111
4.10 Identificación y evaluación de riesgos ................................................... 112
4.11 Definición de procesos y eventos de riesgo principales ........................ 130
4.12 Evaluación de control interno en los procesos y eventos principales .... 131
4.13 Evaluación mejoras y planes de mitigación de eventos de riesgo
operativo (Actividades de control y respuesta al riesgo) ....................... 136
4.14 Informe final de auditoría interna de riesgo operativo con base a
requerimiento de comité de riesgo operativo ........................................ 144
CONCLUSIONES 147
RECOMENDACIONES 149
REFERENCIAS BIBLIOGRÁFICAS 150
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 11/163
ÍNDICE DE FIGURAS
No. NOMBRE PÁGINA
1 Estructura organizacional de una entidad bancaria 7
2 Matriz de objetivos y componentes del COSO II 65
3 Estructura Grupo Financiero Banco Saturno, S.A. 85
ÍNDICE DE TABLAS
No. NOMBRE PÁGINA
1 Tabla de ponderación % de requerimiento de capital
por línea de negocio 19
2 Tabla de gerencias relevantes Banco Saturno, S.A. 86
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 12/163
1
CAPÍTULO I
ENTIDAD BANCARIA Y RIESGO OPERATIVO
1.1 Bancos
1.1.1 Concepto de entidad bancaria
Las empresas constituidas como sociedades anónimas “podrán realizar
intermediación financiera bancaria, consistente en la realización habitual, en
forma pública o privada, de actividades que consistan en la captación de dinero,
o cualquier instrumento representativo del mismo, del público, tales como la
recepción de depósitos, colocación de bonos, títulos u otras obligaciones,
destinándolo al financiamiento de cualquier naturaleza, sin importar la forma
jurídica que adopten dichas captaciones y financiamientos.” (4:2)
1.1.2 Excepciones
“Las entidades que reciban depósitos o aportaciones de sus asociados y de
terceros, tales como las cooperativas, las sociedades mutualistas, las
asociaciones comunitarias de desarrollo, empresas comunitarias asociativas,organizaciones no gubernamentales y organizaciones privadas de desarrollo,
entre otras, y que sean normadas por una ley especial, quedan exceptuadas de
las disposiciones de esta Ley. En todo caso, tales entidades estarán obligadas a
presentar las informaciones periódicas u ocasionales que les requiera la
Superintendencia de Bancos.” (4:2)
1.1.3 Régimen legal
“Los bancos, las sociedades financieras, los bancos de ahorro y préstamo para
la vivienda familiar, los grupos financieros, y las empresas que conforman a
estos últimos, y las oficinas de representación de bancos extranjeros se regirán,
en su orden, por sus leyes específicas, por la presente Ley, por las
disposiciones emitidas por la Junta Monetaria y, en lo que fuere aplicable, por la
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 13/163
2
Ley Orgánica del Banco de Guatemala, la Ley Monetaria y la Ley de Supervisión
Financiera. En las materias no previstas en estas leyes, se sujetarán a la
legislación general de la República de Guatemalaen lo que les fuere aplicable.
Los actos administrativos y resoluciones que dicten, tanto la Junta Monetaria
como la Superintendencia de Bancos en aplicación de las leyes y reglamentos
aquí indicados, observando el debido proceso, serán de acción ejecutiva y
aplicación inmediata.” (4:2)
1.1.4 Órganos reguladores y autorizadores
Los órganos reguladores y que autorizan que los bancos puedan operar, son:
a) Junta Monetaria
“Otorgará o denegará la autorización para la constitución de bancos. No
podrá autorizarse la constitución de un banco sin dictamen previo de la
Superintendencia de Bancos. El testimonio de la escritura constitutiva,
junto a la certificación de la resolución de la Junta Monetaria, relativa a
dicha autorización, se presentará al Registro Mercantil, quien con base en
tales documentos procederá sin más trámite a efectuar su inscripción
definitiva.
Los requisitos, trámites y procedimientos para la constitución y
autorización de bancos, el establecimiento de sucursales de bancos
extranjeros y el registro de oficinas de representación de bancos
extranjeros serán reglamentados por la Junta Monetaria.” (4:58)
b) Superintendencia de Bancos
La Superintendencia debe validar, mediante las investigaciones que crea
convenientes, con base al cumplimiento de algunos requisitos.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 14/163
3
Según la Ley de Bancos y Grupos Financieros y sus reformas, define al
tipo de fiscalización de la Superintendencia de Bancos como la
supervisión consolidada, encargada de la vigilancia e inspección sobre
una institución bancaria, para que adecuen sus actividades y
funcionamiento a las normas legales, reglamentarias y otras
disposiciones que le sean aplicables, y los riesgos que asumen las
empresas de dicho grupo, que puedan afectar al banco, sean evaluados y
controlados sobre una base por empresa y global. Para estos efectos, la
Superintendencia de Bancos tendrá acceso a la información de
operaciones y actividades del grupo financiero, sobre una base porempresa y consolidada, resguardando la identidad de los depositantes e
inversionistas conforme a lo establecido en la presente Ley.
Además la función de la Superintendencia de Bancos, es en supervisar el
cumplimiento de normativas y de requisitos, validando que las entidades
bancarias mantengan la liquidez y solvencia adecuadas para el
cumplimiento de sus obligaciones. Así también dictaminar de forma
razonada las deficiencias e irregularidades detectadas. La
Superintendencia de Bancos puede imponer sanciones dependiendo de
las deficiencias encontradas. Una de las funciones más importantes que
tiene asignado la Superintendencia de Bancos es evaluar las políticas,
procedimientos, normas y sistemas de las entidades y, en general,
asegurarse que cuenten con procesos integrales de administración de
riesgos.
1.1.5 Empresas especializadas en servicios financieros
“Las empresas especializadas en servicios financieros, que sean parte de
grupos financieros, estarán sometidas a supervisión consolidada por parte de la
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 15/163
4
Superintendencia de Bancos. Cada una de estas empresas deberá tener como
objeto social exclusivo, uno o más de los siguientes:
a) Emitir y administrar tarjetas de crédito,
b) Realizar operaciones de arrendamiento financiero,
c) Realizar operaciones de factoraje, y
d) Otros que califique la Junta Monetaria, previo dictamen de la
Superintendencia de Bancos.” (4:69)
1.1.6 Operaciones y serviciosEn el artículo 41 de la Ley de Bancos y Grupos Financieros y sus reformas,
indica que los bancos podrán efectuar las operaciones en moneda nacional o
extranjera y prestar los servicios siguientes:
a) Operaciones pasivas tales como recibir depósitos monetarios, recibir
depósitos a plazo, y depósitos de ahorro; crear y negociar bonos y/o
pagarés previa autorización de la Junta Monetaria, obtener el
financiamiento del Banco de Guatemala, conforme a la ley orgánica de
dicha entidad, entre otras operaciones.
b) Operaciones activas que se resumen en otorgamiento de créditos,
descuento de documentos por cobrar, otorgar financiamiento en
operaciones de carta de crédito, conceder anticipos para exportación,
realizar factoraje, arrendamiento financiero también conocido como
leasing y la emisión y operación de tarjetas de crédito, entre otras.
c) Operaciones de confianza tales como cobro y pago por cuenta ajena,
recibir depósitos con opción de inversiones financieras, comprar y vender
títulos valores por cuenta ajena y servir de agente financiero.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 16/163
5
d) Pasivos contingentes como el otorgamiento de garantías, la prestación de
avales, otorgar seguros de caución y emitir o confirmar cartas de crédito.
e) Servicios como el actuar fiduciario, compra y venta de moneda extranjera,
apertura de cartas de crédito, efectuar operaciones de cobranza, realizar
transferencias de fondos y arrendar cajillas de seguridad.
Si las instituciones bancarias desean realizar otras operaciones, podrán pedir
autorización a la Junta Monetaria con la previa opinión de la Superintendencia
de Bancos.
1.1.7 Autorización y organización de un grupo financiero
El artículo 27 de la Ley de Bancos y Grupos Financieros y sus reformas que la
entidad bancaria deberá constituirse en forma de sociedad anónima con
acciones nominativa. Un grupo financiero es la asociación de 2 o más empresas
que realizan actividades de naturaleza financiera. La condición indispensable
que las instituciones deben cumplir para conformarse en grupo es tener una
empresa controladora o una empresa responsable que será un banco entre las
cuales existe control común por las relaciones de propiedad, administración y
uso de imagen corporativa. La entidad bancaria será la controladora del grupo
financiero y su objeto social exclusivo será la dirección, administración, control y
representación del grupo financiero. Las funciones de la empresa controladora
deberán ser reglamentadas por la Junta Monetaria.
“La empresa controladora deberá velar porque las empresas integrantes delgrupo financiero cumplan con las disposiciones de la Ley de Bancos y Grupos
Financieros, relativas a grupos financieros, y con las que sobre esta materia
emita la Junta Monetaria. Lo anterior, sin perjuicio de la responsabilidad que
cada una de las empresas miembros del grupo tiene respecto del cumplimiento
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 17/163
6
de las disposiciones indicadas. Cuando la estructura organizativa del grupo
financiero no incluya la constitución de una empresa controladora, el banco
como empresa responsable del grupo tendrá las mismas atribuciones y
obligaciones de la empresa controladora, establecidas en el párrafo anterior, sin
perjuicio de la responsabilidad que cada una de las empresas miembros del
grupo tienen respecto del cumplimiento de las disposiciones establecidas en
dicha ley.” (4:66)
Cada entidad bancaria puede organizarse administrativamente de la forma que
le parezca más adecuada, definiendo las responsabilidades de cada gerenciacon sus respectivas unidades funcionales, delegando la autoridad adecuada en
los colaboradores correspondientes para la correcta toma de decisiones en los
procesos que se ejecutaran en dichas áreas.
“Los bancos deberán tener un consejo de administración integrado por tres o
más administradores, quienes serán los responsables de la dirección general de
los negocios de los mismos.”(4:63)
La entidad bancaria puede organizar las áreas como mejor les parezca. En la
figura No. 1, se observa un organigrama básico de un grupo financiero, donde
se distribuye la parte de la entidad bancaria y otra parte relacionada con el giro
de las tarjetas de crédito. Además de una tercera división que agrupa las áreas
o gerencias de apoyo a las dos divisiones anteriormente mencionadas. En la
parte superior se encuentran las gerencias de auditoría interna y cumplimiento
que se encargan de velar que la entidad cumpla con los requisitos indicados porla Superintendencia de Bancos y que los estados financieros estén presentados
y razonables. Puede incluirse comités y otras áreas de apoyo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 18/163
7
FIGURA No. 1
Estructura organizacional estandarizada de una entidad bancaria
Fuente: elaboración propia con base en información facilitada por distintas entidades bancarias eninvestigación de campo.
CONSEJO DE
ADMINISTRACIÓN
GERENCIA GENERAL
AUDITORÍA INTERNA& CUMPLIMIENTO
CALIDAD
GERENCIA DE BANCO GERENCIA DE TARJETA
CANALES
BANCA DE EMPRESAS
BANCA DE PERSONAS
BANCA PRIVADA
TESORERÍA
OPERACIONES
FINANZAS
TECNOLOGÍA EINFORMACIÓN
SEGURIDADBANCARIA
MERCADEO
CRÉDITOS TARJETA
CRÉDITOS BANCO
CANAL TELEFÓNICO
TELEMERCADEO
VENTAS TARJETA
COBROS Y JURÍDICO
DR.O.
JUNTA GENERAL DE ACCIONISTAS
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 19/163
8
1.1.8 Clasificación de una entidad bancaria
“Es importante mencionar que de acuerdo a la estructura y origen del capital, los
bancos pueden clasificarse de la manera siguiente, según la Superintendencia
de Bancos:
Banco estatal
Esta clasificación corresponde a los bancos cuyo patrimonio es propiedad
exclusiva del Estado. En el caso de Guatemala, el único banco que es
propiedad absoluta del Estado es “El Crédito Hipotecario Nacional de
Guatemala”, el cual se rige por su propia ley orgánica.
Bancos de capital mixto
Este tipo de entidades cuentan con participación de capitales privados y del
estado; a la fecha, existen dos bancos en el sistema con estas características,
siendo el Banco de los Trabajadores y el Banco de Desarrollo Rural, S. A.
Bancos privados nacionales de capital extranjero
En esta categoría se clasifican los bancos cuyo capital social proviene de
fuentes privadas o particulares de origen extranjero. Entre los más
representativos de esta categoría se encuentra Banco Citibank de Guatemala,
S. A., Banco de América Central, S. A., Banco Promérica, S. A. y Banco Azteca
de Guatemala, S. A.
Bancos privados nacionales de capital nacional
En esta categoría se clasifican los bancos cuyo capital social proviene de
fuentes privadas o particulares de origen nacional.”(19)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 20/163
9
1.1.9 La tarjeta de crédito y el área de telemercadeo
Uno de los productos más importantes de las entidades bancarias es la tarjeta
de crédito. Y derivado de la innovación y de las nuevas técnicas de colocación,
ya no es necesario tener un área que se dedique al trato directo con el cliente
potencial, sino que esta puede realizarse desde la distancia, utilizando la
tecnología para ofrecer diversos productos y tipos de servicio, esta área recibe
el nombre de telemercadeo.
a) Tarjeta de crédito
“Es un instrumento material que cuenta con una banda magnética o undispositivo de cualquier otra índole que le permite al tarjetahabiente
utilizar una línea de crédito que le ha sido otorgada por un emisor, para la
adquisición de bienes, servicios o el retiro de dinero en efectivo, entre
otros. Es utilizada como un medio de pago, con un financiamiento
automático que dependiendo el plazo (fecha de corte y fecha de pago)
puede tener algún costo por los intereses que se podrían cargar,
manejándose como una línea de crédito revolvente.” (9:45)
También puede presentarse en la modalidad de extrafinanciamientos,
concepto el cual indica que uno puede solicitar un crédito en base al
límite asignado en la tarjeta, y el emisor le entregará la cantidad por
medio de cheque o efectivo, para que pueda realizar el pago según la
necesidad, o bien realizar algunas compras y pagarlas a un determinado
plazo.
“Puede ser emitida por una institución bancaria o una entidad
especializada en emisión y/o administración de tarjetas de crédito.” (9:45)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 21/163
10
b) Telemercadeo
El telemercadeo o telemarketing es un instrumento de la mercadotecnia
directa que ha venido cobrando mayor relevancia en los últimos años,
debido a que aprovecha las nuevas tecnologías de la información y las
aplica al desarrollo empresarial. Por ello, resulta conveniente que todo
mercadólogo o persona relacionada con el área comercial de toda
empresa u organización conozca en qué consiste el telemercadeo, cuáles
son sus principales actividades y que ventajas ofrece. Las actividades
que puede realizar el área de telemercadeo pueden ser las de
investigación de mercado, atención al cliente, actualización de base dedatos, venta de productos y servicios que dependiendo el caso de la
naturaleza del negocio sea una entidad bancaria, puede ofrecer tarjetas
de crédito, extrafinanciamientos, seguros, entre otros productos. La
actividad de esta área permite reducir costos, personalización de la
atención al cliente y rapidez además de incrementar la competitividad.
1.2 Riesgos
1.2.1 Concepto de Riesgo
El Diccionario de la Real Academia de la Lengua Española define el término
riesgo como una contingencia o proximidad de un daño.
Otra definición indica que riesgo “es la potencialidad de que eventos,
anticipados o no, puedan tener un impacto adverso contra ingresos y el
patrimonio de una entidad.” (3:184)
Los bancos, por la naturaleza de los procesos que realizan, poseen riesgos
inherentes que tienen que afrontar. Cualquier actividad realizada por el banco
presenta riesgos, riesgos que tiene que minimizarlos y controlarlos, motivo por
el cual aplica mecanismos o políticas de gestión de riesgos para cumplir con
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 22/163
11
sus metas u objetivos financieros, todo esto con la finalidad de que cuando se
produzcan los riesgos no impacten negativamente las operaciones y pueda
responder en forma satisfactoria a sus obligaciones, sean éstas de terceros o de
los socios.
1.3 Clasificación de riesgos
Existen diferentes clasificaciones de los riesgos bancarios, según los puntos de
vista de las personas o de las entidades, ya sean éstas técnicas o de control,
que los clasifique. El acuerdo de Basilea II, los clasifica como riesgo crediticio,
riesgo de mercado, riesgo de liquidez y riesgo operacional incluyendo en esteúltimo el riesgo legal.
El reglamento para la Administración Integral de Riesgo, resolución No. JM-56-
2011 de la Junta Monetaria de Guatemala también incluye los conceptos,
agregando al final el concepto de riesgo país.
Derivado de lo anterior los riesgos bancarios se clasifican en la forma siguiente:
1.3.1 Riesgo Crediticio
“Es la contingencia de que una institución incurra en pérdidas como
consecuencia de que un deudor o contraparte incumpla sus obligaciones en los
términos acordados.” (7:10)
1.3.2 Riesgo de liquidez
“Es la contingencia de que una institución no tenga capacidad para fondearincrementos en sus activos o cumplir con sus obligaciones oportunamente, sin
incurrir en costos financieros fuera de mercado.” (7:10)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 23/163
12
1.3.3 Riesgo de mercado
“Es la contingencia de que una institución incurra en pérdidas como
consecuencia de movimientos adversos en precios en los mercados financieros.
Incluye los riesgos de tasa de interés y cambiario.” (7:10)
1.3.4 Riesgo país
“Es la contingencia de que una institución incurra en pérdidas, asociada con el
ambiente económico, social y político del país donde el deudor o contraparte
tiene su domicilio y/o sus operaciones. Incluye los riesgos soberano, político y
de transferencia.” (7:10)
1.3.5 Riesgo operativo
Este riesgo se puede conceptualizar de la manera siguiente: “El riesgo operativo
se define como el riesgo de sufrir pérdidas debido a la inadecuación o a fallos de
los procesos, el personal y los sistemas internos o bien a causa de
acontecimientos externos. Esta definición incluye el riesgo legal pero excluye el
riesgo estratégico y el de reputación.” (3:159)
El concepto anteriormente descrito lo define el Comité de Basilea II, el cuál
emite acuerdos que norman las adecuaciones de capital, sobre la base de
riesgos asumidos por las entidades bancarias.
Aunque según el reglamento para la administración integral de riesgos, el riesgo
operativo incluye dentro de su análisis el riesgo tecnológico.
1.4 Comité de Basilea
1.4.1 Historia
“En julio de 1988, el Comité de Supervisión Bancaria de Basilea publicó el
documento "International Convergence of Capital Measurement and Capital
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 24/163
13
Standards", en el que se recogía el primer Acuerdo de Capital, más conocido
como de Basilea I. El Comité pretendía evitar que los bancos incurriesen en
excesivos riesgos crediticios, exigiéndoles mantener un nivel mínimo de capital
en función del riesgo asumido, tal que, en casos de insolvencia de sus
deudores, absorbiera las posibles pérdidas.
Requiere un coeficiente de solvencia del capital mínimo de los bancos del 8% de
sus activos totales, ponderados en función de su riesgo crediticio. Este
coeficiente es el porcentaje de capital que deben destinar para cubrir los riesgos
que se lleguen a concretar. En un primer momento, estos requerimientos de
capital solo tenían en cuenta el riesgo de crédito pero, en 1996, el Comité
efectuó una modificación para incluir, también, el riesgo de mercado. Se puede
considerar que el Acuerdo de 1988 infravalora los riesgos y sobrevalora la
suficiencia de capital de las entidades financieras. El Comité, no ajeno a esta
situación, en junio de 1999, publicó un documento consultivo, "A New Capital
Adequacy Framework", para reemplazar el Acuerdo de 1988, presentando,
posteriormente, en enero de 2001 y abril de 2003, sendas propuestas más
desarrolladas, sobre las que se ha trabajado para dar lugar a la versión definitivadel Nuevo Acuerdo de Capital, "International Convergence of Capital
Measurement and Capital Standards: a Revised Framework" (2004). El Nuevo
Acuerdo de Capital, o de Basilea II, intenta mejorar la seguridad y solvencia del
sistema financiero, mostrándose como una norma de adecuación de capital más
sensible al riesgo de las operaciones bancarias, e incentivando a las entidades
en la mejora de sus capacidades de gestión y control de riesgos…” (6:3)
1.4.2 Conceptualización del Comité de Basilea
El Comité de Supervisión Bancaria de Basilea “es un foro de cooperación en
materia de supervisión de bancos. Su objetivo principal es mejorar el
entendimiento y la calidad de la supervisión bancaria en el mundo, para lo cual
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 25/163
14
se basa en el intercambio de información en materia de supervisión, con miras a
promover el entendimiento común.
El Comité de Basilea no es una autoridad supervisora supranacional formal, es
decir, sus conclusiones no tienen fuerza legal; su accionar se limita a la
formulación de estándares y recomendaciones en materia de supervisión y
buenas prácticas financieras, con miras a que las autoridades supervisoras
individuales tomen las medidas para implementarlas mediante la emisión de
normativa que se adecue a sus propios sistemas financieros. Los principios que
emanan de las decisiones del Comité de Basilea tienen aplicación en la mayoríade las naciones, con independencia de su grado de desarrollo económico.
El Comité de Basilea busca la convergencia de los estándares de supervisión
financieros en aras de armonizar las técnicas de supervisión con los sistemas
financieros propios de cada país.” (13)
1.4.3 Categorización de niveles de riesgo Basilea II
El Comité de Supervisión Bancaria de Basilea, en trabajo conjunto con el sector
bancario de varios países a nivel mundial, ha identificado y clasificado varios
tipos de eventos de pérdida, relativos al riesgo operativo, de la manera
siguiente:
a) Fraude interno
“Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,
apropiarse de bienes indebidamente o eludir regulaciones, leyes opolíticas empresariales (excluidos los eventos de diversidad /
discriminación) en las que se encuentra implicada, al menos, una parte
interna a la empresa. Tiene los siguientes sub-niveles:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 26/163
15
Actividades no autorizadas, y
Hurto y fraude.
b) Fraude externo
Pérdidas derivadas de algún tipo de actuación encaminada a defraudar,
apropiarse de bienes indebidamente o soslayar la legislación, por parte
un tercero. Tiene dos sub-niveles los cuales son:
Seguridad de los sistemas, y
Hurto y fraude.
c) Relaciones laborales y seguridad en el puesto de trabajo
Pérdidas derivadas de actuaciones incompatibles con la legislación o
acuerdos laborales, sobre higiene o seguridad en el trabajo, sobre el
pago de reclamaciones por daños personales, o sobre casos
relacionados con la diversidad / discriminación. Tiene tres sub-niveles los
cuales son:
Relaciones laborales,
Higiene y seguridad en el trabajo, y
Diversidad y discriminación.
d) Clientes, productos y prácticas empresariales
Pérdidas derivadas del incumplimiento involuntario o negligente de una
obligación profesional frente a clientes concretos (incluidos requisitos
fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Tiene cinco sub-niveles, los cuales son:
Adecuación, divulgación de información y confianza,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 27/163
16
Prácticas empresariales o de mercado improcedentes,
Productos defectuosos,
Selección, patrocinio y riesgos, y
Actividades de asesoramiento.
e) Daños a activos materiales
Pérdidas derivadas de daños o perjuicios a activos materiales como
consecuencia de desastres naturales u otros acontecimientos. Cuenta
con un sub-nivel:
Desastres y otros acontecimientos.
f) Incidencia en el negocio y fallos en los sistemas
Pérdidas derivadas de incidencias en el negocio y de fallos en los
sistemas. Cuenta con un sub-nivel:
Sistemas.
g) Ejecución, entrega y gestión de procesos
Pérdidas derivadas de errores en el procesamiento de operaciones o en
la gestión de procesos, así como de relaciones con contrapartes
comerciales y proveedores. Cuenta con seis sub-niveles:
Recepción, ejecución y mantenimiento de operaciones,
Seguimiento y presentación de informes,
Aceptación de clientes y documentación,
Gestión de cuentas de clientes,
Contrapartes comerciales, y
Distribuidores y proveedores.” (3:342)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 28/163
17
1.4.4 Pilares del acuerdo de Basilea
El Acuerdo de Basilea II se asienta sobre dos grandes bloques: el ámbito de
aplicación, que va a determinar las entidades en las que deberá cumplirse el
coeficiente de solvencia; y los denominados tres pilares: requerimientos
mínimos de capital, revisión supervisora y disciplina de mercado.
“El primer pilar define los requisitos mínimos de capital en función de los riesgos
asumidos, es decir, el coeficiente de solvencia del 8%. La definición de capital
no varía, pero el denominador del coeficiente si sufre importantes alterac iones.”
(6:4)
a) Pilar I: Medición y adecuación de capital de riesgo operativo
“La medición es, sin duda, el aspecto más complejo y a la vez el más
trascendental en el tratamiento de este riesgo. Una correcta cuantificación
del riesgo operacional permitirá, entre otras cuestiones, facilitar la
racionalización de las pólizas de seguros, posibilitando, con ello, una
reducción de capital regulatorio para los enfoques más avanzados. Por
otra parte, desde un punto de vista práctico, la medición del riesgo
operacional permite su inclusión en el cálculo de la rentabilidad ajustada
al riesgo y, por tanto, acercar más a la realidad el modelo de creación de
valor de la compañía. Basilea II propone tres enfoques para calcular los
requerimientos de capital por riesgo operativo, que de menor a mayor
sofisticación y sensibilidad al riesgo, son:
El método del indicador básico (basic indicator approach o BIA);
El método estándar (standardized approach o SA); y
Las metodologías de medición avanzada (advanced measurement
approach o AMA).” (6:10)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 29/163
18
El método del indicador básico y el modelo estándar cubren el riesgo operativo
con un capital equivalente a un porcentaje fijo de los ingresos brutos. La
principal diferencia entre uno y otro se observa en que en el método estándar el
total de capital requerido se calcula como la suma de las necesidades de capital
regulador de cada una de las líneas de negocio descritas por el Comité. El
Acuerdo de Basilea II se basa en la simplicidad de su concepto para convertir la
variable ingresos brutos en aproximación al tamaño o nivel de la exposición al
riesgo operativo. El método de indicador básico es el que más se adecua a la
entidad si está iniciando con la gestión de riesgo operativo.
Método del indicador básico (función de ingresos netos)
Es equivalente a un porcentaje fijo de los ingresos brutos anuales medios
de los tres últimos años.
KBIA= GI x α
Dónde:
KBIA = Requerimiento de capital en el método del indicador básico
GI = Ingresos brutos anuales medios de los tres últimos años
α = 15%, fijado por el Comité de Basilea.
Ingresos brutos: ingresos netos por intereses más otros ingresos netos
ajenos a intereses (medida bruta de cualquier provisión dotada, excluye
los beneficios / pérdidas realizadas de la venta de valores de la cartera deinversión y excluye partidas extraordinarias o irregulares)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 30/163
19
Línea de negocio Factor BetaFinanzas corporativas 18%
Negocios y ventas 18%
Banca minorista 12%
Banca comercial 15%
Liquidación y pagos 18%
Servicio de agencia 15%
Administración de activos 12%
Intermediación minorista 12%
Tabla ponderada por línea de negocio
Método estándar (función líneas de negocio)
En este enfoque, las actividades de la entidad se dividen en 8 líneas de
negocio. Dentro de cada línea, el ingreso bruto es indicador para
aproximar la magnitud del negocio operacional y por lo tanto del riesgo de
operaciones.
KTSA = Σ(GI1-8 x β1-8)
Dónde:
KTSA = Requerimiento de capital en el método estandarizado
GI1-8 = Ingresos brutos anuales medios de los tres últimos años para cada
línea de negocio, indicada en la tabla no. 1.
β1-8 = porcentaje fijado por el Comité de Basilea llamado factor Beta,indicado en la tabla no. 1.
TABLA No. 1
Tabla de ponderación % de requerimiento de capital
Fuente: elaboración propia con base en información indicada en la publicación de Basilea II
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 31/163
20
Método Avanzado (cálculos probabilísticos)Se requiere información consolidada en forma global y por línea de
negocio. Requerimiento basado en medición interna sujeta a los criterios
definidos por el acuerdo. Criterios definidos de organización y gestión,
data y control.
“Los bancos que adopten el método avanzado, previa aprobación de los
supervisores del país de acogida y el respaldo de su supervisor de origen,
podrán utilizar un mecanismo de distribución a efectos de determinar el
requerimiento de capital regulador para las filiales de bancos con
actividad internacional que no se consideren significativas con respecto al
grupo en su conjunto pero que estén sujetas al presente marco en virtud
del primer pilar. El consentimiento del supervisor podrá depender de que
el banco logre demostrar que los mecanismos de distribución entre estas
filiales es el adecuado y se apoya en datos empíricos. El consejo de
administración y la alta dirección de cada filial deberán realizar su propiaevaluación de los riesgos operacionales de la misma, así como controlar
y asegurar que el capital que mantiene es el adecuado para estos
riesgos.” (3:163)
1.4.5 Pilar II: Proceso de revisión del supervisor
El Comité de Supervisión Bancaria de Basilea emitió un conjunto de principios
para una gestión y supervisión eficaz del riesgo operativo, de manera tal que losbancos y los entes supervisores puedan utilizarlos al evaluar políticas y
prácticas destinadas a gestionar este tipo de riesgo. Los principios de prácticas
adecuadas para la gestión y supervisión del riesgo operativo dentro de la
institución son:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 32/163
21
a) Desarrollo de una cultura adecuada de riesgo
“Principio 1: El consejo de administración ha de ser consciente de los
principales aspectos de los riesgos operacionales del banco.
Principio 2: El consejo de administración debe asegurar que el esquema
de gestión del riesgo operacional del banco esté sujeto a una auditoría
interna efectiva e integral.
Principio 3: La alta dirección de la compañía debe tener la
responsabilidad de implementar el esquema de gestión del riesgo
operacional aprobado por el consejo de administración.
b) Gestión de riesgos: identificación, evaluación, seguimiento, control
y mitigación
Principio 4: Los bancos deben identificar y evaluar el riesgo operacional
inherente a todos los productos, actividades, procesos y sistemas
relevantes.
Principio 5: Los bancos deben implementar un proceso para el
seguimiento regular de los perfiles del riesgo operacional y de su
exposición material a pérdidas.
Principio 6: Los bancos deben tener políticas, procesos y procedimientospara controlar o mitigar los riesgos operacionales más significativos.
Principio 7: Los bancos deben implementar planes de contingencia y de
continuidad del negocio a fin de garantizar su capacidad para operar en
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 33/163
22
forma continua y minimizar las pérdidas en caso de una interrupción
severa del negocio.
c) Papel de los supervisores
Principio 8: Los supervisores deben exigir a todos los bancos, sin
importar su tamaño, que implementen un esquema eficaz para identificar,
evaluar, seguir y controlar o mitigar los riesgos operacionales materiales
como parte de un enfoque integral para la gestión de riesgos.
Principio 9: Los supervisores deben llevar a cabo, de manera directa o
indirecta, una evaluación periódica independiente de las políticas,
procedimientos y prácticas de un banco relacionadas con el riesgo
operacional.
d) Papel de divulgación
Principio 10: Los bancos deben realizar suficiente divulgación pública
para permitir que los participantes del mercado evalúen su enfoque para
la gestión del riesgo operacional.” (6:8)
Los principios básicos de Basilea comprenden 25 preceptos que se consideran
necesarios para que un sistema de supervisión sea efectivo; los cuales, son
categorizados de forma general en siete grupos:
Grupo 1: (principio 1). Objetivos, independencia, poderes, transparencia
y cooperación,
Grupo 2: (principios 2 a 5) Otorgamiento de licencia y estructura,
Grupo 3: (principios 6 a 18) Regulación prudencial y requerimientos,
Grupo 4: (principios 19 a 21) Métodos de supervisión continua,
Grupo 5: (principio 22) Contabilidad y divulgación de información,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 34/163
23
Grupo 6: (principio 23) Poderes correctivos y poder de los supervisores,
Grupo 7: (principios 24 y 25) Supervisión consolidada y supervisión
bancaria transfronteriza.
Es importante mencionar muchos de los aspectos que se consideran en estos
principios se encuentran recogidos en la Ley de Bancos y Grupos Financieros,
lo cual demuestra que la supervisión financiera en el país de Guatemala tiene
una clara tendencia a adoptar las mejores prácticas internacionales.
“La supervisión bancaria no es una ciencia exacta y, por tanto, es inevitable la
presencia de elementos discrecionales en el proceso de examen supervisor. Los
supervisores deberán esforzarse por cumplir sus obligaciones de forma
transparente y asumiendo sus responsabilidades. Deberán hacerse públicos los
criterios que deben utilizar los supervisores para examinar las evaluaciones
internas de capital de los bancos. Si un supervisor decide fijar coeficientes
objetivo o coeficientes límite, o establecer categorías de capital por encima del
mínimo regulador, tendrá que hacer públicos los factores que puedan tenerse en
cuenta al adoptar tales decisiones. Cuando se fijen requerimientos de capitalpor encima del mínimo para un determinado banco, el supervisor deberá
explicarle cuáles fueron las características de riesgo específicas que dieron
lugar a esos requerimientos, así como cualquier medida correctiva necesaria. ”
(3:241)
1.4.6 Pilar III: Disciplina de mercado
No requerido en el reglamento de riesgos operativos. Establece que todo bancodebe poseer una política formal de divulgación aprobada por el directorio. Dicha
política deberá reflejar los objetivos y la estrategia del banco para el anuncio
público de información sobre su condición y rendimiento financieros, según lo
indicado por Basilea II.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 35/163
24
1.5 Apetito de riesgo
“Es el nivel máximo de exposición total a aquellos riesgos específicos cuya
exposición deba expresarse en términos cuantitativos, que pueden ocasionar
pérdidas a la institución que la misma está dispuesta y en capacidad de asumir
tomando en cuenta su plan estratégico, condición financiera y su rol en el
sistema financiero. Dicho nivel puede estar expresado en términos absolutos o
en relación a variables financieras de la institución.” (1:3) El apetito de riesgo
puede ser evaluado y determinado según la vulnerabilidad y severidad.
1.5.1 Frecuencia
“Es una medida para indicar el número de repeticiones de cualquier fenómeno o
evento periódico en una unidad de tiempo.” (2:28)
1.5.2 Severidad
“Tamaño de la consecuencia o nivel de daño potencial de un evento. ” (2:29)
Podría decirse también que está relacionado con el valor en moneda que seregistraría al momento en que el evento de riesgo se materialice, evaluando la
parte cuantitativa de la gestión.
1.5.3 Vulnerabilidad
“Susceptibilidad a un ataque o falla, incrementando la posibilidad de daño.”
(2:31). En otras palabras, la vulnerabilidad se relaciona con las características
básicas que debe tener los controles, y que dependiendo de la naturaleza de la
actividad y del control, deben de aplicarse, evaluando la parte cualitativa de lagestión.
1.6 Tipos de objetivo por materialización de eventos
Los eventos de riesgo operativo al materializarse pueden afectar uno o más
objetivos dependiendo de su severidad y rango de pérdidas expresados en
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 36/163
25
cualquier moneda determinado por cada entidad bancaria. El apetito de riesgo
está definido por cada objetivo, debido a que no todos los objetivos tienen el
mismo valor o importancia.
1.6.1 Pérdida por fraude
Este tipo de pérdida puede suceder al haber colusión entre el personal, o bien
puede ser individual cuando la persona tiene el acceso a recursos y se presenta
la oportunidad acompañada de una necesidad que debe ser cubierta,
provocando un robo o hurto. Depende de la entidad bancaria que se enfoque es
este objetivo, debido a que por su naturaleza se debe monitorear cada puntodébil que se identifique en los procesos a modo de prevenir los fraudes, no
importando el valor monetario que este represente, por lo que el apetito de
riesgo de este objetivo solo toma en cuenta la vulnerabilidad.
1.6.2 Pérdida por error
Este es el tipo de evento más común que se presenta en las entidades
bancarias, y tiene relación con los procesos que son ejecutados o monitoreados
por personal, debido a que el error está presente en todo momento. Dependede su vulnerabilidad y severidad para que se defina su apetito de riesgo.
1.6.3 Requerimientos del cliente
Son eventos relacionados con el cumplimiento de las solicitudes del cliente, y
que dependiendo de la eficiencia puede ser cubierta su necesidad o por la
deficiencia en el proceso se le puede perjudicar. Depende de su vulnerabilidad
y severidad para que se defina su apetito de riesgo.
1.6.4 Continuidad de Negocio
Son eventos relacionados con la interrupción de las operaciones en la entidad
bancaria. Sus causas pueden variar desde desastres naturales hasta un mal
manejo del sistema y de la información que ocasione la parálisis de las
actividades en la empresa, y que en algunas ocasiones pueden evitarse,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 37/163
26
teniendo un plan de contingencia o en otras ocasiones se escapan de la
voluntad de la administración de la entidad. Depende de su vulnerabilidad y
severidad para que se defina su apetito de riesgo.
1.6.5 Cumplimiento regulatorio
Son eventos que son originados por el descuido del personal y falta de control,
el cual provoca un incumplimiento de normativa o marco regulatorio. Por su
naturaleza no debería de suceder, debido a que se tienen controles dentro de
las entidades, para evitar este tipo de faltas, por lo que depende únicamente de
su vulnerabilidad para que se defina su apetito de riesgo.
1.6.6 Revelación financiera
Este tipo de eventos afectan la información de los estados financieros al
tergiversarla hasta el punto en que la misma ya no sea razonable. Tendrán
relación con los procesos que afecten directamente las cuentas contables.
Depende de su vulnerabilidad y severidad para que se defina su apetito de
riesgo.
1.7 Estructura y definición de responsabilidadesLa entidad bancaria define las responsabilidades a todos los niveles jerárquicos
de la siguiente manera:
1.7.1 Junta Directiva
“Es responsable de:
a) Aprobar las políticas, procedimientos y sistemas para la administración
del riesgo operativo, incluyendo el nivel de tolerancia al riesgo.
b) Conocer los reportes que le remita el comité de riesgos sobre la
exposición del riesgo operativo, el cumplimiento delas políticas y
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 38/163
27
procedimientos así como adoptar las medidas correctivas que regularicen
incumplimientos si los hubiere.” (1:6)
1.7.2 Comité de riesgos operativos
“Es responsable de:
a) Proponer a junta directiva, para su aprobación las políticas,
procedimientos y sistemas para la administración del riesgo operativo que
incluyan los niveles de tolerancia y límites prudenciales.
b) Reportar a junta directiva la exposición del riesgo operativo, elcumplimiento de las políticas y procedimientos así como adoptar las
medidas correctivas que regularicen incumplimientos si los hubiere.” (1:7)
1.7.3 Gerencia General
“Es el conjunto de individuos con autoridad gerencial, incluye al gerente
general y a todos sus subalternos directos de nivel gerencial. Es
responsable en última instancia de la administración del riesgo operativo.
Sus responsabilidades incluyen:
a) Asegurarse de que se completen todas las acciones correctivas
necesarias para resolver problemas de control.
b) Asegurarse de que la información de riesgos operativos reportada en los
sistemas correspondientes cumpla con los estándares de calidad,
integridad y oportunidad que se definirán como parte de los
requerimientos de la política.
c) Obtener la aprobación de la junta directiva para todas las excepciones
que se hagan a la política.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 39/163
28
d) Garantizar la independencia de la unidad de gestión de riesgo operativo y
su funcionamiento.” (1:7)
1.7.4 Auditoría interna de riesgo operativo
El papel de la auditoría de riesgo operativo, por su ciclo de gestión, debe
ser de forma dinámica y menos estática y predecible que las auditorías
internas convencionales de las entidades bancarias. La responsabilidad
la define el comité de riesgos operativos de la entidad bancaria,
limitándolas a:
a) “Proponer al comité de r iesgos, políticas, procedimientos y sistemas para
la administración del riesgo operativo, que incluyan, niveles de tolerancia,
metodologías, herramientas, modelos y limites prudenciales y otros
mecanismos de control.
b) Identificar causas de incumplimiento a las políticas, errores y fraudesdetectados, determinar si dichos incumplimientos se presentan en forma
reiterada, mantener registros históricos a tales incumplimientos e informar
los resultados al comité de riesgos.
c) Monitorear y mitigar en conjunto con las Unidades Funcionales los
riesgos principales, eliminando o disminuyendo las brechas al mejorar los
controles y procedimientos.”(1:7)
1.7.5 Unidad Funcional
“Se llama unidades funcionales a toda unidad organizativa de una entidad
perteneciente a la Institución. y cuyo supervisor directo tiene al menos el
rango de jefe. Las unidades funcionales pueden ser de tres tipos:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 40/163
29
a) De negocios, que tienen establecidas metas de ingresos y tienen
relaciones directas con clientes o toman decisiones de transacciones de
riesgos de mercado.
b) De ejecución, que tienen como objetivo efectuar transacciones de clientes
o de riesgo de mercado, o funciones administrativas o de apoyo a otras
áreas.
c) De control, que tienen como objetivo asegurar el cumplimiento de
políticas o procedimientos y/o evaluar y mantener el riesgo dentro de
límites razonables.” (1:3)
Las unidades funcionales tienen las siguientes responsabilidades dentro de lagestión:
a) “Identificar y evaluar los riesgos de su operación de manera oportuna,
b) Implementar los controles y medidas mitigantes necesarias para
mantener los riesgos operativos en niveles adecuados, según los planes
de acción que las mismas unidades deberán establecer,
c) Efectuar oportunamente los ejercicios y actividades de autoevaluación,
d) Ingresar la información de riesgos operativos en los sistemas
correspondientes de manera exacta, íntegra y oportuna, y
e) Para cumplir con las responsabilidades anteriores de manera organizada
y eficiente, cada unidad funcional deberá designar dentro de su estructura
uno o más coordinadores para las actividades de administración de
riesgos operativos.” (1:8)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 41/163
30
1.7.6 Auditoría interna
“La auditoría interna es la responsable de:
a) Evaluar la ejecución del proceso y cumplimiento de las funciones de la
auditoría interna de riesgo operativo, y
b) Evaluar los controles implementados y propuestos por las unidades
f uncionales.” (1:13)
1.7.7 Unidad de calidad“La unidad de calidad es la responsable de:
a) Dar apoyo en la generación de información sobre debilidades de control
en las unidades funcionales que se registran sistema de gestión de
calidad que funcione en la entidad. Este sistema puede utilizarse como
fuente directa o indirecta de información para el monitoreo de riesgos
operativos, y
b) Dar apoyo en la ejecución de evaluaciones puntuales de procesos para el
seguimiento de la implementación de mejoras incluidas en planes de
trabajo de mitigación de riesgos operativos.” (1:8)
1.8 Ciclo de gestión de riesgo operativo
“La administración de riesgos operativos incluye los procesos de: a)
identificación de riesgos operativos; b) mitigación de riesgos principales; c)evaluación de los riesgos identificados y sus controles; d) medición y reportes de
incidentes de riesgo; e) gestión ambiente de control y f) la generación de
reportes en un ciclo continuo, aunque para efectos descriptivos se presentan
como si fueran secuenciales.” (1:9)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 42/163
31
Los primeros tres de estos procesos (identificación, evaluación y mitigación)
son los ciclos principales y de mayor énfasis, los restantes son complementarios
a los mismos. A continuación se describen los procesos más importantes del
ciclo de gestión de riesgos operativos con los subprocesos que los componen:
1.8.1 Identificación de riesgos operativos
“Este proceso está compuesto por tres subprocesos que deben efectuarse
anualmente por cada unidad funcional, siguiendo los estándares mínimos
establecidos por la gestión de riesgo operativo.
a) Identificación de riesgos operativos por las unidades funcionales
Cada unidad funcional debe identificar los riesgos operativos en su
estrategia, objetivos, productos y actividades. Se incluyen aquí los
riesgos relacionados con procesos, productos, gente, infraestructura,
sistemas y cumplimiento con leyes, regulaciones y políticas, pero no los
que se deben exclusivamente a exposiciones, posiciones o pérdidas
potenciales relacionadas con decisiones de riesgo de crédito, de
mercado, de tasas de interés, de liquidez o estratégico.
b) Evaluación de riesgos operativos
Después de identificar los riesgos, las unidades funcionales deben
evaluar su vulnerabilidad a cada uno de esos riesgos. Para esto se debe
considerar tanto el monto en riesgo como la frecuencia de ocurrencia de
los eventos y su severidad. Con base en esta evaluación se determinacuáles son los riesgos principales de cada unidad y se establecen planes
de acción para mitigar.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 43/163
32
c) Identificación de indicadores de riesgos principales
Para cada uno de los riesgos principales de cada unidad funcional, se
deben identificar indicadores de riesgo y alertas de escalamiento. Se
debe establecer en cada unidad funcional el proceso para comunicar
prontamente a la Gerencia cuando se dispara una alerta.” (1:10)
1.8.2 Evaluación de controles y riesgos operativos
“El proceso de autoevaluación consiste de tres subprocesos que deberán
efectuarse en cada unidad funcional siguiendo los estándares especificados por
la auditoría interna de riesgo operativo:
a) Calificación de controles
Cada unidad funcional debe calificar la calidad y efectividad de los
controles asociados con cada riesgo principal en una escala del 1 (peor =
no satisfactorio) al 3 (mejor = satisfactorio); además debe calificarse la
calidad global del ambiente de control de la unidad funcional en la misma
escala.
b) Evaluación puntual
Cada unidad debe evaluar la efectividad de sus controles periódicamente,
mediante una combinación de indicadores cuantitativos, investigación,
observación (por ejemplo, técnica de “cliente oculto”) y pruebas de
cumplimiento, y la administración debe indicar por qué considera
adecuada la metodología de evaluación específicamente utilizada.
c) Corrección de brechas
Cada unidad funcional debe formular un plan de acción correctiva (que
detalle el control, la deficiencia, la acción correctiva necesaria, la fecha
meta, el responsable directo y el gerente responsable del seguimiento)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 44/163
33
para cubrir las debilidades de control detectadas en las actividades de
evaluación puntual.” (1:11)
1.8.3 Mitigación de riesgos operativos principales
Las medidas de mitigación que se establezcan en los planes de acción
resultantes de la identificación de riesgos podrán ser llevadas a cabo por cada
unidad funcional mediante dos subprocesos diferentes:
a) Establecimiento de controles
“Cada unidad funcional debe establecer (siguiendo los planes de accióncorrespondientes) y mantener un esquema de controles acorde con su
nivel de riesgo operativo, incluyendo la adecuada documentación de
esos procedimientos de control y el apropiado entrenamiento para el
personal que debe ejercerlo.
b) Transferencia de riesgos
Cada unidad funcional debe evaluar las opciones de transferencia de los
riesgos residuales (después de aplicados los controles internos) que se
determine que no son aceptables para el apetito de riesgo de la
organización. Los detalles de todo mecanismo de transferencia que se
utilice deben reportarse a la Auditoría de Riesgo Operativo. ” (1:10)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 45/163
34
CAPÍTULO II
MARCO REGULATORIO APLICABLE A LAS ENTIDADES BANCARIAS
CONFORME A LAS ENTIDADES REGULADORAS PARA LA GESTIÓN DE
RIESGO OPERATIVO
2.1 Entidades regulatorias locales
Las entidades regulatorias locales tienen como responsabilidad el supervisar,
monitorear el cumplimiento de las normativas que se promulguen en el país
donde se encuentran en funcionamiento, así como el velar por el correcto
funcionamiento de las entidades bancarias.
2.1.1 Constitución Política de la República de Guatemala y sus reformas
Obedeciendo la jerarquía de las normas jurídicas, la Constitución Política de la
República de Guatemala, promulgada por la Asamblea Nacional Constituyente
del año 1985, reformada en virtud de consulta popular por medio de Acuerdo
Legislativo No. 18-93 del 17 de noviembre de 1993, emitido por el Congreso de
la República de Guatemala.
Según la carta magna, el artículo 132 indica que las actividades monetarias,
bancarias y financieras, estarán organizadas bajo el sistema de banca central, el
cual ejerce vigilancia sobre todo lo relativo a la circulación de dinero y a la deuda
pública; la norma establece también que el referido sistema es dirigido por la
Junta Monetaria, de la que depende el Banco de Guatemala.
Posteriormente, el artículo 133 comunica que la Junta Monetaria tendrá a sucargo la determinación de la política monetaria, cambiaria y crediticia del país y
velará por la liquidez y solvencia del sistema bancario nacional, asegurando la
estabilidad y fortalecimiento de la banca privada nacional. En materia de
supervisión del sistema financiero, dicho artículo señala que la Superintendencia
de Bancos, organizada conforma a la ley, es el órgano que ejercerá la vigilancia
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 46/163
35
e inspección de bancos, instituciones de crédito, empresas financieras, de
seguros y las demás que la ley disponga.
2.1.2 Ley de Bancos y Grupos Financieros y sus reformas
De conformidad con su artículo 1, esta ley tiene por objeto regular lo relativo a la
creación, organización, fusión, actividades, operaciones, funcionamiento,
suspensión de operaciones y liquidación de bancos y grupos financieros, así
como lo relativo al establecimiento y clausura de sucursales y de oficinas de
representación de bancos extranjeros. Esta norma fue promulgada por el
Congreso de la República de Guatemala en abril de 2002 mediante el DecretoNo. 19-2002 y sus reformas.
2.1.3 Ley de Supervisión Financiera
Contiene lo relativo a las atribuciones y funciones de la Superintendencia de
Bancos, como ente encargado de la vigilancia e inspección del sistema
financiero. Indica el cumplimiento de las funciones constitucional y legalmente
asignadas a la Superintendencia de Bancos, creando un marco regulatorio que
otorga la capacidad para desarrollar su labor de vigilancia e inspección de
manera preventiva, así como de facultades sancionatorias y otorgándole
independencia funcional.
2.1.4 Reglamento para la Administración Integral de Riesgos
Contenida en la Resolución JM-56-2011, “tiene por objeto regular los aspectos
mínimos que deben observar los bancos, las sociedades financieras, las
entidades fuera de plaza o entidades off shore autorizadas por la Junta
Monetaria para operar en Guatemala y las empresas especializadas en servicios
financieros que formen parte de un grupo financiero, con relación a la
administración integral de riesgos.” (7:3)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 47/163
36
Este reglamento toma en cuenta los demás tipos de riesgo como el crediticio, de
liquidez, de mercado, riesgo país y el riesgo operativo. Introduce una serie de
definiciones, las cuales se han detallado en el capítulo I del presente trabajo.
Además indica que “las instituciones deberán implementar una administración
integral de riesgos, acorde al nivel de tolerancia al riesgo, considerando la
naturaleza, complejidad y volumen de las operaciones que realizan, con el
propósito de evaluar la suficiencia de capital con relación a su exposición al
riesgo.” (7:4)
En el artículo 4 de dicho reglamento, asigna responsabilidades al consejo deadministración de la entidad bancaria como el encargado “de velar porque se
implemente e instruir para que se mantenga en adecuado funcionamiento y
ejecución la administración integral de riesgos.” (7:8)
Las asignaciones que hace el reglamento a la unidad de administración de
riesgos, puede ser tomado como responsabilidad de la auditoría especializada
en riesgo operativo. Dichas responsabilidades están detalladas en el capítulouno del presente trabajo.
a) Aspectos necesarios del manual de administración integral de
riesgos
El reglamento solicita en el artículo diez que “Las instituciones deberán
contar con un manual de administración integral de riesgos, el cual
deberá incluir las políticas, procedimientos y sistemas de administración
integral de riesgos aprobados por el consejo, así como los aspectos
siguientes:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 48/163
37
La descripción de las principales líneas de negocio y de los productos y
servicios, así como los riesgos que los mismos incorporan, incluyendo
diagramas de flujo que ilustren los procesos y que permitan identificar
dónde y cuándo se manifiestan los riesgos, así como su interrelación y
posibles acciones para controlar y mitigar los mismos.
El proceso para la aprobación de propuestas de nuevos productos y
servicios, el cual deberá incluir un análisis de los riesgos implícitos; un
planteamiento de iniciativas para la administración integral de riesgos y
de los mecanismos para informar y revelar a quien corresponda; y, unaopinión sobre la viabilidad financiera, jurídica y operativa.
La estructura organizacional para llevar a cabo la administración integral
de riesgos, así como el detalle de las funciones y responsabilidades
claramente definidas del comité, la unidad y de las diferentes unidades de
negocios de la institución, de manera que se garantice la independencia
funcional de la unidad.” (7:8)
La entidad deberá crear manuales específicos por cada clase de riesgo
existente, y deberán contener un mínimo de aspectos contemplados en la
normativa específica.
b) Aspectos necesarios en el informe del comité de gestión de riesgos
El artículo 14 del reglamento, estipula lo concerniente al informe de
comité de gestión de r iesgos. “El Comité deberá presentar un informe al
consejo anualmente, y cuando la situación lo amerite, quien deberá
conocerlo dentro del bimestre siguiente a la finalización del año que
corresponda. Dicho informe deberá contener lo siguiente:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 49/163
38
Las labores realizadas por el comité y los objetivos alcanzados,
La exposición total e individual por tipo de riesgo de la institución en sus
principales líneas de negocio, y el posible impacto en los resultados y en
el capital de la institución,
Los casos donde se excedieron los límites prudenciales establecidos, si
los hubiere, y sus causas,
Las medidas correctivas adoptadas, derivadas del resultado de lasverificaciones efectuadas, así como las propuestas de acciones a adoptar
con relación a incumplimientos de políticas y procedimientos,
Un resumen estadístico sobre el comportamiento histórico y tendencia de
la exposición a los riesgos, así como de los diferentes incumplimientos, si
los hubiere, incluyendo el análisis de su reincidencia,
Los resultados del monitoreo y análisis de tendencias macroeconómicas,
financieras, sectoriales y de mercado, así como las recomendaciones
pertinentes,
Un resumen de las verificaciones del cumplimiento de las políticas y
procedimientos de administración integral de riesgos, incluyendo las
metodologías, herramientas o modelos para la medición de riesgos,
Cambios en las metodologías, herramientas o modelos empleados por la
institución para la administración integral de riesgos,
La relación rentabilidad-riesgo de las principales líneas de negocio,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 50/163
39
Otros aspectos que el Consejo requiera.” (7:9)
c) Aspectos necesarios en el informe de la unidad de administración
de riesgos
Posteriormente el artículo 15 del reglamento en mención, indica que la
unidad de administración de riesgos deberá presentar un informe al
comité de riesgo operativo, dicho informe deberá contener lo siguiente:
“Las labores realizadas por la unidad y los objetivos alcanzados,
La exposición total e individual por tipo de riesgo de la institución en sus
principales líneas de negocio, y el posible impacto en los resultados y en
el capital, incluyendo el análisis de la aplicación de las metodologías,
herramientas o modelos aprobados por el Comité,
Los casos donde se excedieron los límites prudenciales establecidos, si
los hubiere, y la explicación detallada de las causas,
Las propuestas de medidas correctivas con relación a las verificaciones
efectuadas,
Un resumen estadístico sobre el comportamiento histórico y tendencia de
la exposición a los riesgos, así como de los diferentes incumplimientos, si
los hubiere, incluyendo el análisis detallado de su reincidencia,
Los resultados del monitoreo y análisis de tendencias macroeconómicas,
financieras, sectoriales y de mercado y su impacto en la situación
financiera de la institución,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 51/163
40
La información acerca del cumplimiento de las políticas y procedimientos
de administración integral de riesgos, incluyendo las metodologías,
herramientas o modelos para la medición de riesgos,
Cambios en las metodologías, herramientas o modelos empleados por la
institución para la administración integral de riesgos,
El resultado de los análisis de las distintas unidades de negocios, de sus
principales líneas de negocio en términos de rentabilidad-riesgo,
Otros aspectos que el comité requiera.” (7:10)
2.2 Políticas internas de entidades bancarias para la administración de
Riesgo Operativo
De acuerdo con lo indicado en el reglamento para la administración integral de
riesgos, cada tipo de riesgo debe tener su propio manual de conceptos y
procedimientos, el cual debe incluir un mínimo de detalles y principiosaprobados por la junta directiva y el comité de riesgos. Una política básica de
gestión de riesgo operativo contiene lo siguiente:
2.2.1 Propósito“Establecer los principios básicos que van a gobernar la administración de
riesgos operativos y plantear el marco general para identificar, evaluar, mitigar,
medir, monitorear y reportar los riesgos operativos de manera consistente…”
(1:2)
2.2.2 AlcanceDefine las áreas que tendrán que gestionar el riesgo operativo obligatoriamente.
También define el límite o frontera con otro tipo de riesgos.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 52/163
41
“Esta política es de aplicación obligatoria para todas las unidades funcionales de
la institución. El incumplimiento con esta política puede ser un evento de riesgo
operativo que debe reportarse.
La política no cubre exposición o pérdidas potenciales relacionadas
exclusivamente con la toma de riesgos de crédito, de mercado, de tasas de
interés, de liquidez y otros, pero sí incluye las pérdidas producidas por
incumplimiento con los procesos internos relacionados con estos riesgos.“ (1:2)
2.2.3 DefinicionesLa política interna de riesgo operativo debe hacer referencia a los conceptos
básicos que se maneja en la gestión, para que las áreas funcionales puedan
apoyarse en dicho documento. Las definiciones básicas se encuentran en el
capítulo I del presente trabajo.
2.2.4 Beneficios
Debe indicar los beneficios que tendrán el área funcional como tal, así como la
entidad completa, además de indicar los puntos de vista de la gestión utilizadacomo una herramienta, y no desde el punto de vista como una normativa.
Algunos beneficios son:
a) Permite un trato conceptual homogéneo de los riesgos operativos de
todos los productos, y posibilita la comunicación y discusión efectiva de
exposiciones y acciones correctivas asociadas con riesgos principales,
b) Promueve un uso eficiente y efectivo de los recursos de control: se
dedica más esfuerzo a las unidades donde hay mayores riesgos
operativos,
c) Mejora el entendimiento y la pertenencia de los riesgos operativos por
parte de las unidades funcionales mismas.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 53/163
42
2.2.5 Responsabilidades
Debe indicar el grado de responsabilidad por nivel jerárquico que participa, así
como las funciones de todas las áreas de apoyo en la gestión. Las
responsabilidades se encuentran indicadas en el capítulo II del presente trabajo,
donde se detalla las funciones de las partes involucradas en la gestión de riesgo
operativo de la entidad.
2.2.6 Ciclo fundamental de la gestión
Indica la forma en que se desarrollará la gestión la cual se encuentra detalladaen el capítulo I del presente trabajo, los cuales no se desarrollan en una
secuencia cronológica sino que ellos a su vez pueden ser continuos. Los
principales ciclos son los primeros tres:
a) Identificación de riesgos operativos,
b) Mitigación de riesgos principales,
c) Evaluación de los riesgos identificados y sus controles,
d) Medición y reportes de incidentes de riesgo,e) Gestión ambiente de control, y
f) Generación de reportes en un ciclo continuo.
“Cada unidad funcional, con validación de la auditoría interna de riesgo
operativo, debe identificar y evaluar los riesgos principales (presentes o
potenciales) de sus procesos al menos una vez al año, considerando tanto el
monto en riesgo, como la vulnerabilidad de ocurrencia de los eventos y su
severidad. Para esto se utilizará el concepto establecido por Basilea: Pérdidaesperada = Exposición x Probabilidad de evento x Pérdida en caso de evento.
Los riesgos operativos pueden mitigarse de dos maneras básicas: a) mediante
controles internos dentro de cada proceso mitigando el riesgo o disminuyéndolo
b) mediante la transferencia a un tercero.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 54/163
43
Se considera como controles internos adecuados todos aquellos que
efectivamente reduzcan la probabilidad de ocurrencia de un evento de riesgo
operativo o que disminuyan su severidad potencial; son de naturaleza
preventiva. Los controles internos principales incluyen la segregación de
funciones, la eliminación de los conflictos de interés, los controles cruzados, la
capacitación de personal y la estandarización de procesos (y cuando sea
aplicable, la automatización). Se dará especial atención a los controles para
exposiciones altas.
Los únicos mecanismos de transferencia de riesgos que se consideran
aceptables son aquellos que estén debidamente documentados mediante un
contrato legalmente válido y que cuenten con garantías financieras adecuadas
(garantía específica formalizada y/o patrimonio no redimible de la entidad
responsable). Las dos modalidades que inicialmente se va a considerar son los
seguros (incluyendo los autoaseguros justificados técnicamente) y los
subcontratos a terceros (outsourcing) con responsabilidad financiera.” (1:15)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 55/163
44
CAPÍTULO III
AUDITORÍA DE RIESGO OPERATIVO EN LA IDENTIFICACIÓN DE RIESGO
Y EVALUACIÓN DE CONTROLES Y PROCEDIMIENTOS
3.1 Auditoría
3.1.1 Concepto de auditoría
“Es un proceso sistemático para obtener y evaluar de manera objetiva las
evidencias relacionadas con informes sobre actividades económicas y otras
situaciones que tienen una relación directa con las actividades que se
desarrollan en una entidad pública o privada.” (15:6)
3.1.2 Importancia y objetivo
a) Importancia
Las entidades empresariales que no tienen un área de auditoría no
pueden tener seguridad de que los datos financieros registrados sean
verdaderos y confiables.
b) ObjetivoEs el examen imparcial con la finalidad de expresar una opinión
profesional sobre la confiabilidad de los estados financieros, sí estos
presentan razonablemente la situación financiera de una empresa, así
como los resultados de sus operaciones del periodo examinado.
3.1.3 Clasificación
Existen varios criterios para clasificar la auditoría, entre los cuales se tiene:
a) De acuerdo a la ubicación de la persona que realiza la auditoría
Auditoría interna, y
Auditoría externa.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 56/163
45
b) De acuerdo al objetivo general que se persigue
Auditoría financiera,
Auditoría administrativa, y
Auditoría operacional.
c) De acuerdo a la profundidad de la investigación o alcance de la
auditoría
Auditoría completa,
Auditoría limitada, Auditoría detallada, y
Auditoría por pruebas selectivas.
d) De acuerdo al ciclo de transacciones y cuentas relacionadas entre
sí
Auditoría al ciclo de tesorería,
Auditoría al ciclo de ingresos, Auditoría al ciclo de egresos,
Auditoría al ciclo de conversión, y
Auditoría al ciclo de información financiera.
e) De acuerdo a la fecha en que se efectúa la auditoría
Auditoría preliminar,
Auditoría final, y
Auditoría continua.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 57/163
46
3.1.4 Normas que regulan la actuación de quienes la ejecutan
Los profesionales en contaduría pública y auditoría se rigen por diversas normas
y el código de ética, debido a la índole del ámbito financiero en el que se
desarrolla se requiere de perfiles íntegros y transparentes.
a) Normas de ética profesional
El Colegio de Contadores Públicos y Auditores de Guatemala, es uno de
los dos colegios gremiales que reúne a los contadores públicos y
auditores del país, el cuál fue creado en el 2,005. El colegio en mención
es el encargado de la actualización de conocimientos en base alineamientos internacionales, emisión de los principios y normativas
necesarias para la regulación de la actuación profesional del contador
público y auditor
El código de ética profesional del Colegio de Contadores Públicos y
Auditores de Guatemala, publicado en el 2,008, tiene las siguientes
secciones:
Alcance del código,
Responsabilidad hacia la sociedad,
Responsabilidad hacia quien contrata los servicios,
Responsabilidad hacia la profesión,
Normas generales,
El contador público y auditor como profesional independiente,
El contador público y auditor como auditor externo,
El contador público y auditor como consultor tributario
El contador público y auditor en los sectores público y privado,
El contador público y auditor en la docencia,
Infracciones y sanciones,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 58/163
47
De los procedimientos para sancionar, y
Disposiciones legales.
Por otro lado el Colegio de Economistas, Contadores Públicos y Auditores y
Administradores de Empresas que reúne a los profesionales que su nombre
indica, ha emitido su código de ética, publicado en el año 1,986.
Postulados generales de desempeño profesional,
Normas generales,
Normas de conducta profesional, Proceso de denuncia,
Sanciones y rehabilitaciones, y
Derogatoria y vigencia.
b) Normas internacionales de auditoría
Estas normas son emitidas por el Comité Internacional de Prácticas de
Auditoría (IAPC), encargado de desarrollar y emitir a nombre del Consejode la Federación Internacional de Contadores (IFAC) normas y
declaraciones de auditoría y servicios relacionados. Con fecha 20 de
diciembre de 2007, el Colegio de Contadores Públicos y Auditores de
Guatemala y el Instituto de Contadores Públicos y Auditores publicó en el
diario de Centro América la adopción de las normas internacionales de
auditoría (NIA), emitidas por el Consejo de Normas Internacionales y
Atestiguamiento (IAASB) y bajo la responsabilidad de la Federación
Internacional de Contadores (IFAC), como normas a observar en
Guatemala.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 59/163
48
c) Normas internacionales de práctica de la auditoría interna
El propósito de las normas es definir principios básicos que representen
el ejercicio de la auditoría interna. Proveer un marco para ejercer y
promover un amplio rango de actividades de auditoría de valor agregado.
Establecer las bases para evaluar el desempeño de la auditoría interna y
fomentar la mejora en los procesos y operaciones de la organización.
3.1.5 Técnicas y procedimientos de auditoría
Para la ejecución de cualquier trabajo de auditoría practicada en forma interna o
externa, son numerosos los elementos que debe tomar en cuenta el profesionalencargado de esa actividad, tales como:
a) Técnicas de auditoría
“Son recursos particulares de investigación que el auditor utiliza en la
realización de su trabajo para obtener información relevante, que otros le
han suministrado o él mismo ha obtenido.
b) Procedimientos de auditoría
Conjunto de técnicas de investigación aplicadas a una partida o a un
grupo de hechos o circunstancias relativos a los estados financieros
examinados.” (14)
3.2 Auditoría interna
3.2.1 Concepto de auditoría interna
“Actividad independiente y objetiva de aseguramiento y consulta concebida para
agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y gobierno.” (11)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 60/163
49
3.2.2 Funciones
Entre las funciones más importantes de la auditoría interna se encuentran:
a) La demostración de fiabilidad e integridad de los informes,
b) La revisión de la integridad y fiabilidad de la información financiera,
operativa, y los medios utilizados para identificar, medir, dosificar, y
divulgar dicha información.
3.2.3 Alcance
“El alcance de la auditoría interna depende del tamaño, estructura de la entidady de los requerimientos de su administración. Debe cubrir el examen, evaluación
de la adecuación y eficiencia del sistema de control interno de la organización,
de igual manera la calidad de ejecución en el desempeño de las
responsabilidades asignadas.
El alcance de la auditoría interna incluye:
a) Revisión de la veracidad e integridad de la información financiera y
operativa, y los medios utilizados para identificar, medir, clasificar y
reportar esa información.
b) Examinar los sistemas establecidos para asegurar el cumplimiento de
políticas, planes, procedimientos, ordenamientos legales y contratos.
c) Evaluar la economía y eficiencia con que los recursos están siendoutilizados.
d) Inspeccionar las operaciones o programas para asegurarse de que los
resultados son consistentes con los objetivos y metas establecidos, y si
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 61/163
50
esas operaciones o programas están siendo llevados a cabo según lo
planeado.”(11)
3.2.4 Responsabilidades
Es responsable de establecer y evaluar la efectividad de los controles internos,
para obtener confiabilidad sobre la información financiera.
a) Debe verificar el uso económico y eficiente de los recursos ya sean estos
materiales o personales, para promover la eficiencia operativa de la
entidad al identificar situaciones tales como: sub-utilización de lasinstalaciones, trabajo no productivo, procedimientos que no justifican su
costo o insuficiencia de personal.
b) Conocer los objetivos, políticas, planes y procedimientos determinados
por la administración para evaluarlos y verificar su cumplimiento.
3.2.5 Papel del auditor internoEl auditor interno en el ejercicio de su profesión debe considerar las siguientes
normas o estatutos:
a) Código de ética
Su propósito es promover una cultura de ética en la profesión de la
auditoría interna. Es necesario en la profesión, sus pilares se asientan en
la confianza, en el aseguramiento de objetivos de la gestión de riesgos,
control y gobierno de las empresas. El contenido del código se basa en
principios y reglas de conducta. En Guatemala, el profesional deberá
acatar el código de ética dependiendo del colegio al que se afilie.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 62/163
51
b) Principios
Entre los principales y relevantes para la profesión y práctica de la
auditoría interna se encuentran:
Integridad: establece confianza y provee la base para confiar en su
juicio.
Objetividad: hace una evaluación equilibrada de todas las circunstancias
relevantes y forma sus juicios sin dejarse influir indebidamente por sus
propios intereses o por otras personas.
Confidencialidad: los auditores internos respetan el valor y la propiedad
de la información que reciben y no divulgan información sin la debida
autorización a menos que exista una obligación legal o profesional para
hacerlo.
c) Reglas de conducta
Describen las normas de comportamiento que se espera sean
observadas por los auditores internos. Entre las cuales se pueden
encontrar:
Integridad: desempeñarán su trabajo con honestidad, diligencia y
responsabilidad.
Objetividad: no participarán en ninguna actividad o relación que pueda
perjudicar su evaluación imparcial.
Confidencialidad: serán prudentes en el uso y protección de información
adquirida en el transcurso de su trabajo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 63/163
52
3.2.6 Normas internacionales para el ejercicio de la auditoría interna
“Declaraciones de requisitos básicos para el ejercicio de la auditoría interna y
para evaluar la eficacia de su desempeño, de aplicación internacional a nivel de
las personas y a nivel de las organizaciones. La estructura de las Normas está
formada por las Normas sobre Atributos, las Normas sobre Desempeño y las
Normas de Implantación”. (12) Dichas normas fueron emitidas por el Instituto de
Auditores Internos, en Estados Unidos de Norteamérica.
a) “Las Normas sobre Atributos tratan las características de lasorganizaciones y las personas que prestan servicios de auditoría interna ”.
(10) Dentro de las cuales se encuentran:
1000 Propósito, Autoridad y responsabilidad
1010 Reconocimiento de la definición de auditoría interna,
el el Código de Ética y las Normas en el estatuto de auditoría
interna. 1100 Independencia y objetividad
1110 Independencia dentro de la organización
1111 Interacción directa con el Consejo
1120 Objetividad individual
1130 Impedimentos a la independencia u objetividad
1200 Aptitud y cuidado profesional
1210 Aptitud
1220 Cuidado profesional
1230 Desarrollo profesional continuo
1300 Programa de aseguramiento y mejora de la calidad
1310 Requisitos del programa de aseguramiento y mejora de la
calidad calidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 64/163
53
1311 Evaluaciones internas
1312 Evaluaciones externas
1320 Informe sobre el programa de aseguramiento y mejora de
la calidad la calidad
1321 Utilización de Cumple con las Normas Internacionales para
el el Ejercicio Profesional de la Auditoría Interna
1322 Declaración de incumplimiento” (12)
b) “Las Normas sobre Desempeño describen la naturaleza de los servicios
de auditoría interna y proporcionan criterios de calidad con los cualespuede evaluarse el desempeño de estos servicios.” (12) Las cuales son:
2000 Administración de la actividad de auditoría interna
2010 Planificación
2020 Administración de recursos
2040 Políticas y procedimientos
2050 Coordinación 2060 Informe a la alta dirección y al consejo
2070 Proveedor de servicios externos y responsabilidad de la
organización organización sobre auditoría interna
2100 Naturaleza del trabajo
2110 Gobierno
2120 Contribución a la mejora de los procesos de gestión de
riesgos riesgos
2130 Control
2200 Planificación del trabajo
2201 Consideraciones sobre planificación
2210 Objetivos del trabajo
2220 Alcance del trabajo
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 65/163
54
2230 Asignación de recursos para el trabajo
2240 Programa de trabajo
2300 Desempeño del trabajo
2310 Identificación de la información
2320 Análisis y evaluación
2330 Documentación de la información
2340 Supervisión del trabajo
2400 Comunicación de resultados
2410 Criterios para la comunicación
2420 Calidad de la comunicación
2421 Errores y omisiones
2430 Uso de “Realizado de conformidad con las Normas
Internaciona Internacionales para el Ejercicio Profesional de la Auditoría
Interna Interna.
2431 Declaración de incumplimiento de las normas
2440 Difusión de resultados
2450 Opiniones globales 2500 Seguimiento del progreso
2600 Comunicación de la aceptación de los riesgos
c) “Las Normas de Implantación amplían las Normas sobre Atributos y
Desempeño, proporcionando los requisitos aplicables a las actividades de
aseguramiento y consultoría”. (12)
3.2.7 Guías de auditoría interna del Instituto Guatemalteco de Contadores
Públicos y Auditores
“Son lineamientos establecidos por el Instituto Guatemalteco de Contadores
Públicos y Auditores, las cuales hacen referencia a los criterios que se deben
tomar en cuenta respecto al área contable.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 66/163
55
La auditoría interna es un recurso gerencial; dicho recurso debe ser igualado
con un crecimiento equivalente en el profesionalismo y capacidad, es por ello
que se hace necesario consolidar y comunicar los conocimientos y experiencias
que se han dado en el campo de la auditoría interna para beneficio de la
profesión en Guatemala. Las guías también establecen la responsabilidad que
tiene el departamento de auditoría interna, dentro de la organización, así como
la metodología que no es más que la sistematización de todos los pasos de una
revisión, de manera que permita la formulación de conclusiones válidas en el
menor tiempo posible.
Por último habla del informe, que es el producto que se dará a conocer del
trabajo elaborado durante un periodo de tiempo establecido; por lo que se debe
hacer especial énfasis en los segmentos que las componen.
Guía de Auditoría No. 1 Conceptos básicos,
Guía de Auditoría No. 2 Guías para la práctica profesional de la
auditoría interna,
Guía de Auditoría No. 3 Metodología de la auditoría interna,
Guía de Auditoría No. 4 Función de compras,
Guía de Auditoría No. 5 Inventario,
Guía de Auditoría No. 6 Ventas y otros ingresos,
Guía de Auditoría No. 7 Créditos y cuentas por cobrar,
Guía de Auditoría No. 8 Tesorería,
Guía de Auditoría No. 9 Cuentas por pagar,Guía de Auditoría No. 10 Nominas y planillas,
Guía de Auditoría No. 11 Propiedad, planta y equipo,
Guía de Auditoría No. 12 Depreciaciones,
Guía de Auditoría No. 13 Préstamos bancarios,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 67/163
56
Guía de Auditoría No. 14 Administración del departamento de auditoría
interna,
Guía de Auditoría No. 15 Informe de auditoría interna “(5)
3.3 Auditoría interna de riesgo operativo
“Un gobierno corporativo sólido requiere que un sistema de control interno
efectivo debe ser acompañado por auditorías internas y externas independientes
y efectivas. Las experiencias de las instituciones bancarias indica que es
importante establecer una relación constructiva y eficiente entre la alta gerencia
los auditores y supervisores bancarios con el fin de garantizar la eficacia de lasauditorías y de la supervisión.” (10)
Basilea II indica que se deben definir responsabilidades, por lo que debe existir
un área especializada para hacer este tipo de actividades de revisión y
seguimiento. Algunas instituciones bancarias asignan estas tareas al área de
auditoría interna; sin embargo, otras han optado por crear una nueva área de
auditoría interna especializada en riesgo operativo.
3.3.1 Concepto de auditoría interna de riesgo operativo
Es el área asignada para realizar la actividad de acompañamiento a las
unidades funcionales al momento de cumplir con el ciclo de gestión de riesgos
operativos, además de establecer las políticas de riesgo operativo y validar su
cumplimiento, proponer mejoras y generar información consolidada para que el
comité de riesgo operativo y el consejo de administración tomen decisiones para
la mitigación de riesgos operativos.
La auditoría interna de riesgo operativo debe contar con jerarquía y autonomía
propia, sin estar supeditada a ninguna otra área de negocios o de registro de
operaciones, ni tampoco debe depender del área de auditoría interna.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 68/163
57
Consecuentemente, para que la auditoría interna de riesgo operativo desarrolle
sus funciones con absoluta independencia, únicamente debería estar
subordinada a un comité de riesgo operativo, y este a su vez, al consejo de
administración.
La gestión del riesgo operativo abarca a una entidad bancaria en su totalidad,
por lo que requiere de difusión y concientización en todos los niveles de la
estructura organizacional, tarea que debe de estar a cargo de la auditoría
interna de riesgo operativo, para lo cual, debe generar estrategias de
comunicación efectivas y adoptar acciones para infundir una cultura de gestióndel riesgo operativo dentro de un enfoque integral.
3.3.2 Diferencia entre auditoría interna y auditoría interna de riesgo
operativo
Con base en los conceptos de auditoría interna y auditoría interna de riesgo
operativo, la diferencia es que la auditoría interna de riesgo operativo, evalúa
toda la gestión de un ente, mide la eficiencia en todos sus aspectos y en todos
sus niveles (incluso en la dirección superior), no solo establece los defectos sino
que propone mejoras. Además la forma de trabajo debe ser de forma dinámica y
no tan estacionaria.
Por último la auditoría interna evalúa las tareas que se desarrollan en cada área,
determina si se cumplen las normas internas establecidas, sobre pautas más
rígidas y sigue las instrucciones de la dirección superior, y no se involucran tanto
con la unidad funcional, siendo su participación como un área de revisión y node gestión.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 69/163
58
3.3.3 Objetivos de la auditoría interna de riesgo operativo
“Permite un trato conceptual homogéneo de los riesgos operativos de
todos los productos, y posibilita la comunicación y discusión efectiva de
exposiciones y acciones correctivas asociadas con riesgos principales.
Promueve un uso eficiente y efectivo de los recursos de control: se
dedica más esfuerzo a las unidades donde hay mayores riesgos
operativos.
Mejora el entendimiento y la pertenencia de los riesgos operativos porparte de las unidades funcionales mismas.
Reconocimiento oportuno de dónde están las exposiciones principales a
eventos de riesgo operativo y cómo pueden mitigarse.
Proporciona incentivos a los gerentes de línea para mejorar la
administración y control de sus riesgos operativos.
La información de pérdidas operativas con el tiempo podrá servir de base
para efectuar análisis de costo / beneficio a la hora de evaluar posibles
nuevos controles.
Prepara anticipadamente a la organización para el cumplimiento con la
normativa de Basilea II y otras normativas que crea conveniente la
entidad reguladora sobre riesgos además de la entidad.” (10:5)
3.3.4 Factores internos para administrar el riesgo operativo
“ Aumentar eficiencia operativa,
Gestión óptima y racionalización de operaciones,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 70/163
59
Reducción de costo de operaciones,
Aumento en rentabilidad y reducción de volatilidad de resultados
operativos,
Optimización de sistema de controles,
Mejor balance riesgo real – retorno.” (18:11)
3.3.5 Factores externos para administrar el riesgo operativo
“Marco regulatorio explícito sobre requerimientos de capital
Presión competitiva
Nuevos productos y mercados estresan operaciones y sistemasintroduciendo mayor volatilidad y márgenes operacionales
Revelación externa de infraestructura de riesgo operativo mejora imagen
y se percibe como mayor calidad interna de la gestión .” (18:11)
3.3.6 Política y procedimiento
“Para poder establecer un control interno, se debe analizar las políticas y
procedimientos establecidos y así poder evaluar el grado de eficiencia yfuncionalidad de las políticas y procedimientos. Por tanto, se puede definir lo
siguiente:
a) Política: se define como la directriz emitida por la Administración, sobre
lo que hay que hacer para efectuar el proceso y el control. Constituye la
base de los procedimientos que se requieren para la implantación del
control. Por lo general las políticas quedan a criterio y cumplimiento del
recurso humano, por tal razón son más probables a su incumplimiento.
b) Procedimiento: la serie de pasos consecutivos y predefinidos que se
utilizan para ejecutar y alcanzar un objetivo específico de manera eficaz.”
(13) Todas las actividades que se realizan en las entidades bancarias
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 71/163
60
poseen un procedimiento o una forma de realizarse que debe cumplirse a
cabalidad.
3.3.7 Evaluación de procedimientos y controles internos
“La función de control interno desde el punto de vista de la auditoría de riesgo
operativo, es proporcionar la seguridad de que los errores e irregularidades
serán descubiertos con rapidez asegurando la integridad de la información
financiera.
Esta función de control interno implica los siguientes pasos:
a) Análisis de posibilidades de errores e irregularidades:
En el sistema de procesamiento de la información,
En cada área de operaciones de contabilidad y del procesamiento de
información.
b) Evaluación de los controles que existen sobre esas posibilidades,utilizando las herramientas necesarias tales como flujogramas,
cuestionarios y evaluaciones directas, por medio de muestreo, etc.
c) Evaluación de puntos débiles para determinar su efecto en:
Los procedimientos de auditoría que se aplicarán,
Las sugerencias que se harán al cliente.” (17)
Las políticas y procedimientos ayudan a asegurar que se realicen las
instrucciones de la administración, de tal forma que se toman las medidas
necesarias para controlar los riesgos relacionados con la consecución de los
objetivos de la compañía.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 72/163
61
3.3.8 El informe de la auditoría interna de riesgo operativo
Constituye la etapa final del proceso de la auditoría de riesgo operativo, en el
mismo se reúne el resultado de todos los hallazgos detectados y el soporte
documental para sustentar por escrito las deficiencias sobre el área o actividad
auditada en relación con los objetivos fijados, señalan las debilidades de control
interno, si las ha habido, y formula recomendaciones pertinentes para eliminar
las causas de tales deficiencias y establecer las medidas correctoras
adecuadas.
“La estructura es básicamente la misma que el informe de auditoría interna, la
cual contiene:
Fecha,
Destinatario,
Párrafo de introducción,
Antecedentes,
Resumen de aspectos principales e individuales,
Determinación de los hallazgos y sus responsabilidades,
Párrafo de conclusión, y
Firma” (5)
3.4 Control interno basado en COSO ERM (COSO II)
El COSO II son las estipulaciones que determinan la característica que debe
tener el control interno. Este no contradice a su predecesor el COSO I, sin
embargo, este marco se enfoca a la gestión de los riesgos, más allá de la
intención de reducir riesgos que se plantea en el COSO I, publicado en el año
de 1992.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 73/163
62
3.4.1 Concepto e historia de COSO I y COSO II
“El Committee of Sponsoring Organizations of the Treadway Commission,
conocido como COSO, publicó el Internal Control - Integrated Framework,
conocido como COSO I, con el objetivo de facilitar a las empresas a evaluar y
mejorar sus sistemas de control interno. Desde entonces esta metodología se
incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas
compañías para mejorar sus actividades de control hacia el logro de sus
objetivos.
Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos,
e irregularidades que provocaron pérdidas importante a inversionistas,
empleados y otros grupos de interés, nuevamente el Committee of Sponsoring
Organizations of the Treadway Commission, publicó el Enterprise Risk
Management - Integrated Framework, conocido por el nombre de COSO II y sus
aplicaciones técnicas asociadas, el cual amplía el concepto de control interno,
proporcionando un foco más robusto y extenso sobre la identificación,
evaluación y gestión integral de riesgo.
Este nuevo enfoque de COSO II no sustituye el marco de control interno, sino
que lo incorpora como parte de él, permitiendo a las compañías mejorar sus
prácticas de control interno o decidir encaminarse hacia un proceso más
completo de gestión de riesgo.
A medida que acelera el ritmo de cambio, la mayoría de las organizaciones
necesitarán mejorar su capacidad de aprovechar oportunidades, evitar riesgos y
manejar la incertidumbre. Esta nueva metodología proporciona la estructura
conceptual y el camino para lograrlo.” (16)
3.4.2 Etapas de la gestión de riesgo
Las etapas de la gestión de riesgo se desarrollan en un ciclo repetitivo que debe
efectuarse al momento de ejecutar la auditoría interna de riesgo operativo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 74/163
63
Identificar los riesgos
La primera etapa de la gestión es identificar y nombrar a los riesgos. Esto se
logra a través de una lluvia de ideas y con la revisión de riesgos comunes. Los
riesgos de un negocio son riesgos identificados. Esto ocurre cuando existe el
riesgo de no completar un proyecto antes de plazo. Con cada riesgo, el riesgo
se identifica y su investigación se amplía.
Cuantificar los riesgos
La segunda etapa de la gestión de riesgos es la cuantificación de los riesgos en
dos dimensiones: probabilidad e impacto. Después que los riesgos seidentificaron e investigaron, los gerentes evalúan el impacto del riesgo
incluyendo la determinación de la probabilidad de que el riesgo está ocurriendo.
Muchas empresas utilizan una escala de calificación de uno a cuatro puntos
para esto. Cuanto mayor sea el número, más probable es que el riesgo
realmente ocurra. La escala para medir el impacto o nivel de pérdida depende
de lo estipulado por cada empresa.
Identificar las respuestas al riesgo
Cuando las empresas se enfrentan a los riesgos, se utilizan cuatro estrategias.
La primera estrategia es evitar el riesgo. La segunda estrategia es transferir el
riesgo a otra persona, como plan de contingencia. El riesgo puede ser
transferido a otras empresas para evitar que el riesgo se mantenga. La tercera
estrategia es aceptar el riesgo, destinando un porcentaje de fondos para cubrir
las pérdidas al materializarse el riesgo. Y por último, la cuarta estrategia
consiste en determinar los puntos a mejorar en los controles de la actividad,
para disminuir la probabilidad de que se materialice el riesgo detectado.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 75/163
64
3.4.3 Objetivos de COSO ERM
“En el contexto de una entidad con una misión o visión establecidas, en donde la
administración ha establecido los objetivos estratégicos, ha seleccionado la
estrategia, y establecido metas alineadas en cada nivel de la empresa. El ERM
está orientado a la consecución de los objetivos de dicha entidad, enunciados
en cuatro categorías:
Estratégico: Relacionados con las metas de alto nivel; asimismo están
alineados y dan apoyo a la misión del negocio.
Operacional: Relacionados con la efectividad y eficiencia de las
operaciones de la entidad o empresa o corporación, lo cual incluye su
rendimiento y rentabilidad. Usualmente, varían según las opciones
adoptadas por la gerencia en cuanto a estructura y rendimiento.
Información: Relacionado a la confiabilidad, fiabilidad y efectividad de la
información suministrada.
Cumplimiento: Relacionado con el apego de la organización a las leyesy regulaciones.” (16)
Esta clasificación de los objetivos de una entidad permite centrarse en aspectos
diferenciados de la gestión de riesgos corporativos. Estas categorías distintas se
dirigen a necesidades diferentes de la entidad y pueden ser de responsabilidad
directa de diferentes ejecutivos. También permiten establecer diferencias entre
lo que cabe esperar de cada una de ellas. Otra categoría utilizada por algunas
entidades es la salvaguarda de activos.
Relación entre objetivos y componentesExiste una relación directa entre los objetivos que la entidad desea lograr
y los componentes de la gestión de riesgos corporativos, que representan
lo que hace falta para lograr aquellos. La relación se representa con una
matriz tridimensional, en forma de cubo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 76/163
65
FIGURA No. 2
Matriz de Objetivos y Componentes del COSO II
Fuente: gestión de Riesgos Corporativos – Marco integrado
Las cuatro categorías de objetivos - estrategia, operaciones, información y
cumplimiento - están representadas por columnas verticales, los ocho
componentes lo están por filas horizontales y las unidades de la entidad, por la
tercera dimensión del cubo. La figura 2 refleja la capacidad de centrarse sobre la
totalidad de la gestión de riesgos corporativos de una entidad o bien por
categoría de objetivos, componente, unidad o cualquier subconjunto deseado.
3.4.4 Componentes de COSO ERM
Se encuentra clasificado en ochos componentes los cuales se describen a
continuación:
a) “Ambiente de control
Abarca parte importante de una organización, influye en la conciencia de
sus empleados sobre el riesgo y forma la base de los otros componentes
de la gestión de riesgos corporativos el cual proporciona disciplina y
estructura. Los factores de control interno influyen en la filosofía de
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 77/163
66
gestión de riesgos de una entidad, riesgo aceptado, supervisión ejercida
por el consejo de administración, integridad, valores éticos y competencia
de su personal.
b) Establecimiento de objetivos
Estos se fijan en escala estratégica estableciendo con ellos una base
para los objetivos operativos de información y cumplimiento, cada
entidad se enfrenta a una gama de riesgos procedentes de fuentes
internas y externas y una condición previa para la identificación eficaz de
eventos. La evaluación de sus riesgos y la respuesta a ellos es fijar losobjetivos que tienen que estar alineados con el riesgo aceptado por la
entidad, que orienta a su vez los niveles de tolerancia al riesgo de la
misma.
c) Identificación de eventos
Son los acontecimientos internos y externos que afectan a los objetivos
de la entidad, deben ser identificados, y buscar la diferencia entre riesgos
y oportunidades.
d) Evaluación de riesgos
Para poder establecer el efecto que determinados acontecimientos
pueden tener en la consecución de los objetivos impuestos por la
dirección, es necesario evaluarlos desde la doble perspectiva de su
impacto económico y de la probabilidad de ocurrencia de los mismos.
Para ello es necesaria una adecuada combinación de técnicascuantitativas y cualitativas.
e) Respuesta al riesgo
Deben identificarse y evaluarse posibles respuestas a cada riesgo para:
evitar, aceptar, reducir o compartir. Deben seleccionarse a continuación
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 78/163
67
un conjunto de acciones para poner en línea los riesgos con sus
tolerancias respectivas y el riesgo aceptado por la organización.
Dados los componentes de dichos sistemas, y la nueva visión de
considerarlos dentro de un nuevo marco de gestión de riesgos
corporativos, como antes se ha enunciado, podría señalarse que
seguramente las Unidades de control interno del próximo futuro, además
de los estrictamente relacionados con dicho control, debieran también
tener entre sus cometidos los de:
Promoción de la cultura de autocontrol.
Participación en la elaboración de los planes y sistemas de control de
gestión.
Asesoramiento cualificado y documentado a los equipos directivos, a
través de la gestión de los sistemas de información para la dirección, en
la mejora de los procesos y para la obtención de resultados.
Y, finalmente, la evaluación de los componentes propios del sistema de
control interno y de gestión de riesgos corporativos del que se disponga
en la organización.
De ese modo, un desarrollado control interno debe considerarse incluido
en la actualidad en un nuevo marco suficientemente amplio para que,
dentro de él y como uno de sus concretos componentes de la función
gerencial, los directivos también practiquen eficazmente el control de
gestión de las organizaciones que dirigen, en tanto que se enfatiza cómo
asegurar el cumplimiento de objetivos, a través fundamentalmente de esa
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 79/163
68
nueva conceptualización y desarrollo del marco integrado de la gestión de
riesgos corporativos. El control de gestión, finalmente, incorpora ese
control interno devenido y renovado con la gestión de riesgos, necesario
a las compañías, en toda gerencia moderna.
f) Actividades de control
Las actividades de control son las políticas y procedimientos. Estos
últimos las acciones de las personas para implantar las políticas,
directamente o a través de la aplicación a los riesgos. Las actividades decontrol pueden ser clasificadas por la naturaleza de los objetivos de la
entidad con la que están relacionadas: estratégicos Operativos, reporte y
de cumplimiento.
Aunque algunas actividades de control corresponden exclusivamente a
una sola categoría a menudo se traslapan. Según circunstancias, una
determinada actividad de control podría ayudar a alcanzar los objetivos
de la entidad en más de un categoría.
Políticas y procedimientos: Las actividades de control normalmente
implican dos componentes: Una política que establece lo que debe
hacerse y procedimientos para llevarla a cabo. El procedimiento lo
constituye dicha revisión en sí misma, realizada de manera oportuna y
con atención a los factores establecidos en la política, tales como la
naturaleza y volumen de los valores contratados y su relación con elpatrimonio y edad del cliente.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 80/163
69
g) Información y comunicación
La información relevante se identifica, capta y comunica en forma y plazo
adecuado para permitir al personal afrontar sus responsabilidades. Una
comunicación eficaz debe fluir en todas las direcciones dentro de la
entidad.
Información: La información se necesita a todos los niveles de la
organización para identificar, evaluar y responder a los riesgos y por otra
parte dirigir la entidad y conseguir sus objetivos. Se usa mucha
información, relevante para una o más categorías de objetivos.
Comunicación: La comunicación es inherente a los sistemas de
información. Pero la comunicación también debe tener lugar en un
sentido más amplio, abordando las expectativas, las responsabilidades de
los individuos y grupos y otros temas importantes
h) Monitoreo
La totalidad de la administración de riesgos corporativos es monitoreada
y se efectúan las modificaciones necesarias. Este monitoreo se lleva a
cabo mediante actividades permanentes de la dirección, evaluaciones
independientes o ambas actuaciones a la vez.
El monitoreo puede realizarse de dos maneras: a través de actividades
permanentes o mediante evaluaciones independientes.
Actividades permanentes: muchas actividades sirven para seguir la
efectividad de la administración de riesgos corporativos durante el
transcurso normal del negocio. Son los directivos de línea o función de
apoyo quienes llevan a cabo las actividades de monitoreo y dan meditada
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 81/163
70
consideración a las implicaciones de la información que reciben. Las
actividades permanentes de monitoreo se distinguen de las actividades
de funcionamiento según lo requiera la política de procesos de negocio.
Evaluaciones independientes: aunque los procedimientos de
seguimiento permanente normalmente proporcionan una
retroalimentación importante sobre la efectividad de otros componentes
de la administración de riesgos corporativos, puede resultar provechoso
echar un nuevo vistazo de vez en cuando, centrándose directamente
sobre la efectividad de la administración de riesgos corporativos.” (16)
3.5 Planificación técnica y administrativa de la auditoría interna de
riesgo operativo
En una auditoría es imprescindible llevar a cabo la planificación, para establecer
con claridad cuáles son los objetivos que se persiguen, en cuánto tiempo se va
a realizar, qué recursos son necesarios, y si se tiene la capacidad para hacerlo.
3.5.1 Concepto
Planificar una auditoría implica establecer una estrategia general, que permita
identificar previamente las técnicas y los procedimientos que se aplicarán según
las circunstancias para obtener los objetivos, naturaleza, oportunidad, alcance
de la dirección, supervisión de los miembros del equipo en el desarrollo de un
plan de trabajo de manera efectiva.
3.5.2 Alcance
“La auditoría interna de riesgo operativo debe preparar un plan de trabajo en
donde contemple las auditorías que ejecutará en un período
de tiempo determinado, éste debe ser presentado a la autoridad superior
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 82/163
71
correspondiente de más alto nivel jerárquico para su aprobación. El plan anual
de auditoría de riesgo operativo debe reflejar la importancia relativa de los
asuntos a ser auditados. La exploración es la etapa en la cual se realiza el
estudio o examen previo al inicio de la auditoría con el propósito de conocer en
detalles las características de la entidad a auditar para tener los elementos
necesarios que permitan un adecuado planeamiento del trabajo a realizar y
dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los
objetivos previstos.
La planificación exige ser cuidadosa, creativa, positiva e imaginativa, debe teneren cuenta alternativas así como establecer un calendario para realizar las
verificaciones, se elaborarán los programas de auditoría para realizar el examen
y obtener la evidencia necesaria que r espalde el trabajo.”(15)
3.5.3 Importancia de la planificación
“Es la realización de una auditoría efectiva y eficiente, ya que permitirá
identificar los objetivos y determinar los métodos para alcanzarlos. La estrategia
deberá fijar el alcance, oportunidad, dirección; que servirán de guía para el
desarrollo del plan de auditoría. Al establecer dicha estrategia deberá:
a) Identificar las características del trabajo que definen su alcance,
b) Confirmar los objetivos de los informes del trabajo para planear la
programación de la auditoría y la naturaleza de las comunicaciones que
se requieran,
c) Considerar los factores que, a juicio profesional del auditor, seanimportantes para dirigir los esfuerzos del equipo de trabajo,
d) Verificar los resultados de las actividades preliminares del trabajo y
cuando sea aplicable, si el conocimiento obtenido en otros trabajos
desempeñados por el socio de la entidad es relevante,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 83/163
72
e) Establecer la naturaleza, oportunidad y extensión de los recursos
necesarios para desempeñar el trabajo.” (15)
3.5.4 El control interno al planificar la auditoría interna de riesgo operativo
“El auditor debe adquirir un conocimiento suficiente de la función de la auditoría
interna de riesgo operativo de manera que pueda planear la auditoría a
realizarse. Esto incluye el conocimiento del diseño de los controles relevantes y
determinar si han sido puestos en práctica por la compañía.
Este conocimiento sirve para:a) Identificar los tipos de posibles errores,
b) Examinar los factores que influyen en el riesgo de error material,
c) Diseñar pruebas de controles, cuando se apliquen, y
d) Diseñar pruebas sustantivas.”(15)
3.5.5 Diferencias entre planificación técnica y administrativa
La planificación técnica está enfocada a los aspectos que se deben prever sobre
la entidad que será revisada para efectuar el trabajo de auditoría. Verifica el
trabajo que realiza el personal del cliente, procesos, distribución e identifica los
sistemas y procedimientos de control que utiliza la entidad para realizar sus
actividades y operaciones. Los aspectos considerados por la planificación
técnica son:
a) Condiciones de trabajo,
b) Actualización de la información básica,c) Componentes importantes,
d) Objetivos de la auditoría,
e) Planificación del enfoque de auditoría,
f) Planificación del alcance de la auditoría,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 84/163
73
g) Memorando de planificación de auditoría.
La planificación administrativa está enfocada a los aspectos internos del auditor
o equipo de auditoría interna de riesgo operativo en cuanto a la distribución del
trabajo, tiempo, tareas administrativas propias. Organiza, segrega las
actividades y funciones que realizará su personal. Identifica los sistemas,
programas, procedimientos de control que utiliza la entidad para realizar sus
actividades y operaciones. Los aspectos considerados por la planificación
administrativa son:
a) Personal que efectuará el trabajo,
b) Control de tiempo empleado y presupuestado en el trabajo,
c) Evaluación del personal (personalidad, presentación, actitud hacia el
trabajo, etc.),
d) Control de facturación a clientes o cuentas por cobrar.
3.5.6 Detalles a conocer previo a la planificación de la auditoría de riesgo
operativo
Las normas de auditoría requieren que el trabajo de auditoría de riesgo
operativo sea adecuadamente planificado y supervisado. Es un elemento
importante para la entidad auditada, pues podrá programar adecuadamente las
actividades de su personal, sin afectar seriamente el trabajo rutinario.
Es importante que el auditor también investigue la historia de dicha entidad,
como por ejemplo: líneas de productos, posición del capital, la identificación deaccionistas, directores, funcionarios, y otros.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 85/163
74
3.5.7 Planificación y responsabilidad de la auditoría interna de riesgo
operativo
La auditoría interna de riesgo operativo establece qué trabajo necesita
desarrollar para satisfacerse de la información que le presente la entidad, cómo
enfocará las pruebas de la auditoría, cuándo las efectuará, para que le permitan
cumplir con sus objetivos y determinar la cantidad de áreas que será necesario
evaluar para lograr una visión en conjunto.
a. Planificación del trabajo
Ayuda a asegurar que se preste atención adecuada a las áreasimportantes de la auditoría, los problemas potenciales son identificados y
el trabajo es llevado a cabo en forma expedita. Al momento de realizar la
actividad de identificación y evaluación de riesgos, se puede determinar
las áreas importantes con base a la cantidad y magnitud de los riesgos
principales. Esto no quiere decir que si la evaluación indica que no
existen riesgos principales no se tome en cuenta en la gestión, si no que
se debe revisar el motivo por el cuál no existen riesgos principales,
certificando que la ponderación y evaluación de riesgos se haya realizado
de la forma correcta.
El grado de planificación variará de acuerdo al tamaño de la entidad, la
complejidad de la auditoría, la experiencia del auditor y su conocimiento
del negocio.
b. Programa de auditoríaEl auditor deberá desarrollar, documentar un programa de auditoría que
exponga la naturaleza, oportunidad y alcance de los procedimientos de
auditoría planificados.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 86/163
75
3.6 Ejecución y supervisión de la auditoría interna de riesgo operativo
Durante la ejecución de la auditoría, deben existir mecanismos que permitan
asegurar que el trabajo se realiza con base al programa y que las deficiencias
se corrigen oportunamente; esto se realiza a través de la supervisión.
Obtener y analizar toda la información del proceso que se audita, con la finalidad
de tener evidencia suficiente, competente y relevante es decir, contar con todos
los elementos que le aseguren al auditor el establecimiento de conclusiones
fundadas en el informe acerca de las situaciones analizadas en la evaluación,
que entre otras incluyan: el nivel efectivo de exposición al riesgo, las causas quelo originan, los efectos o impactos que se podrían ocasionar al materializarse un
riesgo; con base a estos análisis, generar y fundamentar las recomendaciones
que debería acoger la administración.
3.6.1 Concepto de ejecución de auditoría interna de riesgo operativo
En esta etapa se debería dar cumplimiento a las normas que regulan la
actividad de ejecución del trabajo en auditoría, las que en general señalan que
los auditores internos deben:
a) Obtener, identificar, analizar y registrar suficiente información de manera
tal que les permita cumplir con los objetivos del trabajo.
b) Contar con suficiente información, la que tiene que ser de carácter
confiable, relevante y útil de manera que permita alcanzar los objetivos
del trabajo.
c) Basar sus conclusiones y los resultados del trabajo en adecuados análisis
y evaluaciones.
d) Registrar información relevante que les permita soportar las conclusiones
y los resultados del trabajo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 87/163
76
e) Supervisar adecuadamente la ejecución de la auditoría de riesgo
operativo, para asegurar el desarrollo profesional del personal, el logro de
los objetivos y la calidad del trabajo.
3.6.2 Concepto de supervisión de auditoría interna de riesgo operativo
Corresponde a la coordinación de los recursos durante la programación,
ejecución, comunicación de resultados de la revisión de control, a fin de vigilar,
revisar y verificar el correcto cumplimiento de las metas y objetivos planteados al
inicio de la misma, así como la debida aplicación de los procedimientos
establecidos.
La supervisión persigue ciertos objetivos que posibilitan promover las acciones
para ejercer de la mejor forma y evaluar la efectividad de su aplicación. Dichos
objetivos son:
a) Incrementar la calidad de la auditoría, a través de la revisión periódica del
trabajo del auditor, en función de los objetivos planteados.
b) Lograr que las revisiones se desarrollen con la máxima economía,
eficiencia, eficacia, efectividad, imparcialidad y honestidad, normativa
aplicable.
c) Elaborar los papeles de trabajo de tal forma que éstos apoyen
adecuadamente los objetivos fijados y proporcionen información objetiva;
además, obtener evidencia suficiente, competente, relevante y pertinente
en las auditorías.
d) Lograr que los auditores desarrollen la capacidad necesaria para larealización de la auditoría de riesgo operativo.
e) Conocer de inmediato y en cualquier momento el avance de la auditoría
realizada.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 88/163
77
f) Determinar si se han aplicado íntegramente los procedimientos
específicos de auditoría.
3.6.3 Alcance de la ejecución de auditoría interna de riesgo operativo
“Está referido al conjunto de procedimientos de auditoría de riesgo operativo
considerados necesarios de acuerdo a las circunstancias, para lograr los
objetivos de la auditoría realizada.
Para abordar el trabajo de auditoría interna de riesgo operativo se debe hacer
un enfoque basado en el conocimiento de la entidad, es decir se debecomprender y entender las atribuciones, el entorno en que ésta ópera, la
naturaleza de sus operaciones, los métodos utilizados y su sistema de control
interno. Evaluación de los riesgos, tanto el riesgo inherente al que las
actividades de la entidad están expuestas, como a los riesgos de control o de
auditoría.
El enfoque de la auditoría de riesgo operativo permite establecer si existen:
a) Operaciones eficientes y eficaces,
b) Políticas y procedimientos confiables, y
c) Cumplimiento de leyes y reglamentos.
Basado en riesgos, lo que implica profundizar en la evaluación del sistema de
control interno, de manera que con base en los resultados de la evaluación se
identifiquen las áreas críticas del sujeto de control y se establezcaadecuadamente el alcance de las pruebas de auditoría.”(18)
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 89/163
78
3.6.4 Importancia de la ejecución de auditoría interna de riesgo operativo
El propósito fundamental de esta etapa es recopilar las pruebas que sustenten
las opiniones del auditor en cuanto al trabajo de campo realizado, ésta depende
grandemente del grado de profundidad con que se hayan realizado las dos
etapas anteriores, en ésta se elaboran los papeles de trabajo y las hojas de
notas, instrumentos que respaldan excepcionalmente la opinión del auditor
actuante.
3.6.5 Importancia de la supervisión de auditoría interna de riesgo
operativoEl éxito de cada auditoría depende de la efectividad de la supervisión al
personal de todos los niveles.
El alcance y frecuencia de las evaluaciones periódicas dependerán
esencialmente de una evaluación de los riesgos y de la eficacia de los procesos
de supervisión continuada. Las deficiencias detectadas en el control interno
deberán ser notificadas a niveles superiores, mientras que la alta dirección y el
consejo de administración deberán ser informados de los aspectos significativos
observados.
3.6.6 Responsabilidad de la auditoría interna de riesgo operativo en la
ejecución
La auditoría interna de riesgo operativo es responsable de visitar la unidad en la
cual se desarrolle el trabajo, encargarse que el personal que ejecute cada
auditoría, reciba la orientación, supervisión adecuada para asegurar el logro delos objetivos. Deberá controlar la correcta ejecución de los programas, aprobar
los ajustes a los mismos y efectuar o delegar la revisión de la preparación de los
papeles de trabajo. Tendrá en cuenta:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 90/163
79
a) Revisión del diseño del programa de auditoría de riesgo operativo, es
decir, asegurar una adecuada planificación de los trabajos en función de
los puntos críticos determinadas bajo un análisis de riesgos.
b) La ejecución del trabajo conforme al programa de auditoría y las
modificaciones autorizadas a los mismos, observar que el resultado de la
aplicación de técnicas y procedimientos sea congruente con los alcances
previstos.
c) Comprobaciones realizadas con la profundidad adecuada y muestrencorrectamente los resultados, así como que las evidencias de los
hallazgos cumplan con los requisitos de suficiencia, relevancia y
competencia.
d) Utilizar técnicas de muestreo que permitan, a partir de las
comprobaciones y verificaciones efectuadas inferir el estado de las
operaciones en el período seleccionado como auditable. De ser posible
que en la elaboración del informe final, se lleve paralelamente al
desarrollo de la auditoría.
e) La correcta formulación de los papeles de trabajo de auditoría, con el fin
de asegurarse que cumplen con las normas.
3.6.7 Responsabilidad de la auditoría interna de riesgo operativo en la
supervisiónComprende dirigir el esfuerzo de los integrantes del equipo de auditoría en
lograr los objetivos propuestos y determinar su cumplimiento.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 91/163
80
La auditoría interna de riesgo operativo final deberá instruir a los otros
integrantes del equipo, para que le informen los asuntos importantes. El trabajo
que haga cada integrante del equipo de auditoría deberá ser revisado para
determinar si fue ejecutado adecuadamente, para evaluar si los resultados son
consistentes con las conclusiones que se van a presentar en el informe del
auditor.
3.6.8 Papeles de trabajo de la auditoría interna de riesgo operativo
Los papeles de trabajo son la evidencia de los análisis, comprobaciones,
verificaciones, interpretaciones en que se fundamenta el Contador Público y Auditor para dar sus opiniones y juicios sobre el sistema de información
examinado.
a) Objetivos
El objetivo general de los papeles de trabajo es ayudar a la auditoría de riesgo
operativo a evidenciar en forma adecuada que una auditoría se hizo de
acuerdo a la normativa aplicable de acuerdo al tipo de auditoría.
Los objetivos específicos de los papeles de trabajo son:
Facilitar la preparación del informe: comprobar y explicar en detalle las
opiniones y conclusiones resumidas en el informe.
Coordinar y organizar todas las fases del trabajo.
Proveer un registro histórico permanente de la información examinada y
los procedimientos de auditoría aplicados.
Servir de guía en revisiones subsecuentes.
Cumplir con las disposiciones legales.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 92/163
81
b) Contenido
Los papeles de trabajo deben incluir:
Programas de trabajo.
Manifestaciones obtenidas de la entidad.
Extractos de documentos y registros de manuales y procedimientos
aplicables a la entidad.
Memorándums preparados por el auditor, para exponer algunos hechos,
que complementan la información.
Flujogramas y herramientas que ayuden a tener un mejor análisis de losprocesos y sus riesgos.
Las matrices de identificación y mitigación de riesgos, así como el mapa
de calor o heatmap que ayuda a determinar de mejor forma el estado en
que se encuentra el área funcional en sus riesgos.
Los archivos de presentación que se hayan utilizado para exponer el
análisis y los hallazgos realizados durante la ejecución.
Debiendo cumplir con algunos lineamientos estandarizados:
No ser copia de los manuales y procedimientos de la empresa.
No ser copia de las auditorias pasadas.
3.6.9 Forma de los papeles de trabajo de la auditoría interna de riesgo
operativo
Los papeles de trabajo pueden ser diferentes en la forma y formato. Las cédulas
que elabora el auditor pueden tener distintas formas de acuerdo a su criterio, las
cuales llevan generalmente la siguiente estructura formal:
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 93/163
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 94/163
83
3.6.10 Propiedad y custodia de los papeles de trabajo de la auditoría
interna de riesgo operativo
Los papeles de trabajo son propiedad del auditor, él los prepara y son la prueba
material del trabajo efectuado pero, esta propiedad no es irrestricta ya que por
contener datos que puedan considerarse confidenciales, están obligados a
mantener absoluta discreción respecto a la información que contienen.
a) Importancia
Los papeles de trabajo se consideran completos cuando reflejan en forma clara
los datos significativos contenidos en los registros, los métodos decomprobación utilizados, evidencia adicional necesaria para la formación de una
opinión, preparación del informe.
b) Naturaleza confidencial
Gran parte de la información obtenida por el Contador Público y Auditor con
carácter confidencial, se registra en sus papeles de trabajo, por lo tanto los
papeles de trabajo son de naturaleza confidencial y los auditores no deben
divulgar información de la empresa fuera de ella ni dentro cuando es auditoría
financiera, de gestión, administrativa y operativa, excepto cuando es de
cumplimiento fiscal o cuando es pericial, que se informa al juez competente de
un caso judicial.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 95/163
84
CAPÍTULO IV
LA AUDITORÍA INTERNA DE RIESGO OPERATIVO EN EL ÁREA DE
TELEMERCADEO DE UNA ENTIDAD BANCARIA
(CASO PRÁCTICO)
4.1 Perfil de la entidad y antecedentes
El Banco de Saturno, S.A., fue constituido en el año 2008 en la ciudad de
Guatemala, en cumplimiento con lo dictaminado por las leyes de la República de
Guatemala. A la fecha, enero de 2014, el banco posee 150 agencias y 2,000
colaboradores en todo el país. El producto principal, las tarjetas de crédito, es
su principal fuente de fondeo, debido a que tiene los dos roles: adquiriente y
emisor. Los ingresos que registra la entidad por concepto de emisión y
colocación de tarjetas asciende a un 45% de los ingresos totales, por lo cual la
entidad prioriza los recursos en esta parte.
4.1.1 Estructura organizacional
El Banco de Saturno, S.A, se encuentra estructurado organizacionalmente en
forma tradicional conforme a todas las entidades bancarias, con la asamblea deaccionistas como máxima autoridad, seguido del consejo de administración y
posteriormente dirigido por la gerencia general. Dicha entidad decide separar
las actividades propiamente de la tarjeta de crédito de las bancarias,
descentralizando varias funciones, para que cada una tenga su propia área de
créditos, y se designan responsabilidades a las gerencias encargadas, así como
distintos objetivos y metas.
La gerencia de negocios que comercializa las tarjetas de crédito entre otros
productos es el área de Telemercadeo, debido a su estrategia y agresividad en
la colocación de tarjetas de crédito, extrafinanciamientos y seguros para las
mismas, la ha constituido como el área de negocio con mayor colocación de la
institución, llegando a tener a cargo 200 colaboradores realizando las llamadas
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 96/163
85
CONSEJO DE
ADMINISTRACIÓN
GERENCIAGENERAL
AUDITORÍA INTERNA
& CUMPLIMIENTO
COMITÉ DE RIESGO
OPERATIVO
CALIDAD
GERENCIA DE BANCO GERENCIA DE TARJETA
CANALES
BANCA DE EMPRESAS
BANCA DE PERSONAS
BANCA PRIVADA
TESORERÍA
OPERACIONES
FINANZAS
TECNOLOGÍA E
INFORMACIÓN
SEGURIDAD
BANCARIA
MERCADEO
CRÉDITOS TARJETA
CRÉDITOS BANCO
CANAL TELEFÓNICO
TELEMERCADEO
VENTAS TARJETA
COBROS Y JURÍDICO
AUDITORÍA
INTERNA DE RIESGO
OPERATIVO
JUNTA GENERAL DE
ACCIONISTAS
a clientes existentes y potenciales para ofrecerles el producto. El volumen diario
de colocación de tarjetas en el área es de 150 aproximadamente, y la cantidad
de dinero que se financia a través del Extrafinanciamiento diariamente es
cercana a los Q600,000.
FIGURA No. 3
Estructura Grupo Financiero Banco Saturno, S.A.
Fuente: Elaboración propia con base a los organigramas de distintas entidades bancarias.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 97/163
86
Nombre CargoEriberto de la Joya Gerente general
Marcos Castro Auditor interno
Luis Rey del Cid Oficial de cumplimiento
Pedro Navas Quinto Gerente de calidad
Sied Van Riel Gerente de banco
Jhon O´Callaghan Gerente de tarjeta
José Monroy Escobar Gerente de telemercadeo
Carlos Barrios Coronado Gerente créditos tarjeta
Mark Schulz Gerente de ventas tarjeta
William David de la Riva Hernández Gerente auditoría interna de riesgo operativoDiana Santizo Gaitán Gerente de canales
Verónica Quezada Gerente de operaciones
TABLA No. 2
Gerencias relevantes del Banco Saturno
Fuente: Elaboración propia con base en la figura No. 3
4.1.2 Estructura del área de auditoría interna de riesgo operativo
El área de auditoría interna de riesgo operativo, está conformada por William de
la Riva Hernández, gerente de dicha área, con el título de CPA. Está a cargo deun grupo de personas entre los 22 y los 28 años, con distintas carreras
universitarias (3 auditores, 1 abogado, 2 administradores y 1 ingeniero en
sistemas), esto con la finalidad de tener el conocimiento variado y poder analizar
desde varios puntos de vista los procesos y los planes de mitigación de todas
las áreas funcionales. Usualmente las áreas de auditoría contratan a auditores
para realizar estas labores, pero el alcance se limita a analizar todo desde el
punto de vista de un auditor, cuando existen factores a tomar en cuenta y que
deben ser analizados desde el punto de vista de otros profesionales, teniendo
como guía o base lo indicado en la NIA 620 en la utilización del trabajo de un
experto del auditor.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 98/163
87
4.1.3 Nombramiento de auditoría interna de riesgo operativo
Guatemala, 01 de febrero de 2014
Sr.Sergio Lombardo Quiñonez Medina
Asistente de auditoría interna de Riesgo OperativoBanco de Saturno, S.A.Pte.
Estimado señor Quiñonez:
En relación a lo estipulado en la reunión mensual de enero 2014 entre la junta
directiva y el comité de riesgo operativo, usted fue nombrado como responsable
para realizar la identificación, análisis y mitigación de riesgos en el área de
telemercadeo. Iniciando la evaluación en marzo 2014 y finalizando en julio
2014.
Planificación de trabajo. Preparación de las matrices de riesgo.
Identificación de riesgos.
Evaluación y mitigación de riesgos.
Definir los hallazgos encontrados y presentación de informe final.
Atentamente,
Lic. Eriberto de la JoyaGerente GeneralBanco de Saturno, S.A.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 99/163
88
4.1.4 Memorándum de aviso de evaluación la auditoría de riesgo operativo
FECHA: 07 de febrero de 2014
PARA: Área Extrafinanciamiento, Área Créditos tarjeta, ÁreaContabilidad tarjeta DE: Auditoría Interna de Riesgo Operativo ASUNTO: Evaluación de auditoría interna de Riesgo Operativo
Quienes suscriben y desarrollan en el área de auditoría interna de riesgo
operativo, se hace de su conocimiento que a partir del día 01 de marzo del
presente año, se iniciará la auditoría interna de riesgo operativo, evaluando los
siguientes procesos:
Colocación y contacto con clientes
Segmentación de base de datos de los clientes
Contabilización
Se solicita que ustedes y el personal a su cargo, puedan otorgar el apoyo
requerido en el desarrollo de dicha evaluación, por lo anterior se requiere:
Envío de manuales y procedimientos escritos
Reunión previa para definir la forma de trabajo y cronograma de
actividades
Reuniones para enlistar procesos, identificación y evaluación de riesgos
Presentación y discusión de hallazgos con jefaturas y supervisiones
Presentación de hallazgos y planes finales con la gerencia
Elaboración y entrega de informe final al Comité de Riesgo Operativo
Atentamente,
William de la Riva HernándezGerente de auditoría interna de riesgo operativoBanco de Saturno, S.A.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 100/163
89
4.2 Planificación del programa para la ejecución de auditoría de riesgo
operativo
No. De Auditoria Tipo de Auditoría Fecha
1 AUDITORÍA INTERNA DE RIESGO OPERATIVO 15/02/2014
Banco de Saturno, S.A,
Área a revisar Telemercadeo
I. ANTECEDENTES: Conforme a lo estipulado por el comité de riesgo
operativo del Banco Saturno, S.A., el plan anual del área de auditoría de
riesgo operativo debe cumplirse con la gestión del ciclo de riesgooperativo, y se asignó los recursos necesarios para la ejecución del
mismo. Se realizará la auditoría interna de riesgo operativo, del área de
telemercadeo, quienes manejan el producto de extrafinanciamiento, el
cual está relacionado con el área de créditos tarjeta, mensajería y
contabilidad tarjeta.
El proceso de extrafinanciamiento toma en cuenta las siguientes áreas:
TELEMERCADEO: es el área que se encarga de contactar, negociar y
colocar los productos tales como extrafinanciamiento, tarjetas, entre
otros.
CRÉDITOS TARJETA: es el área que se encarga de segmentar y
seleccionar que clientes son los que aplican para determinados
productos, definiendo los filtros para su selección efectiva
CONTABILIDAD TARJETA: área encargada de contabilizar y emitir los
cheques de extrafinanciamiento a requerimiento del área detelemercadeo.
MENSAJERÍA: área que realiza la labor de entrega de los cheques,
tarjetas y demás productos al domicilio de los clientes.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 101/163
90
II. OBJETIVO: El objetivo de la revisión es presentar las deficiencias y sus
respectivas recomendaciones para mejorar los procesos en el área de
telemercadeo del Banco de Saturno, S.A., según los lineamientos
proporcionadas por las normas internacionales para el ejercicio
profesional de la auditoría interna, COSO II y Basilea II.
III. ALCANCE: Considerando el conocimiento que se posee del proceso de
extrafinanciamiento, se realizarán pruebas de cumplimiento, basados en
los manuales de procedimientos previamente establecidos por la
gerencia, haciendo muestreo selectivo de los documentos y formasempleadas, para obtener evidencia razonable para sustentar las
conclusiones de la revisión, además de la identificación, evaluación y
planes de mitigación de riesgos operativos.
IV. PERSONAL CLAVE:
Gerente general: Eriberto de la Joya
Gerente de tarjeta: Jhon O’Callaghan.
Gerente de telemercadeo: José MalcriadoGerente de créditos tarjeta: Carlos de la Calle
Jefatura de extrafinanciamiento: Jonathan Polanco.
Jefe de contabilidad tarjeta: Luis Morales
Supervisión de contabilidad: Hugo Leiva
V. ACTIVIDADES A REALIZAR POR MESES:
FEBRERO: lectura y comprensión de los procesos escritos y políticas del
área de telemercadeo; preparación de las matrices de identificación deriesgos operativos.
MARZO Y ABRIL: identificación de riesgos en los procesos del área de
telemercadeo, utilizando la matriz de riesgos juntamente con las jefaturas
del proceso; evaluación de los riesgos identificados realizada por los
expertos y/o ejecutores de la actividad utilizando los parámetros de
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 102/163
91
COSO II y taxonomía de Basilea II establecidos en la matriz; identificacón
de los riesgos altos con base a la evaluación; revisiones y muestreos a
los procesos prioritarios, analizando por medio de las herramientas aptas
para determinar el cumplimiento de los procesos.
MAYO Y JUNIO: definición de los planes de mitigación con base en los
riesgos principales; determinación de responsables y fechas de
finalización por plan de mitigación, y las áreas relacionadas.
JULIO: presentación y discusión de los hallazgos y planes de mitigación a
la gerencia de la unidad funcional; elaboración del informe para presentar
en el comité de riesgo operativo; entrega informe final
VI. RECURSOS Y FECHAS CLAVES DE AUDITORÍA E INFORMES: Una computadora portátil
Mobiliario y equipo, útiles de oficina ubicada dentro del banco a
disposición
Total de Horas Hombre: 800
Fecha de inicio: 01/03/2014
Fecha tentativa de finalización: 30/06/2015Fecha de tentativa de entrega de informe: 31/07/15
Informe a entregar: Informe a comité de riesgo operativo del Banco de
Saturno, S.A., con sus respectivas deficiencias y recomendaciones.
Atentamente,
F._______________________ F. ______________________Lic. William de la Riva Lic. Eriberto de la JoyaGte. Auditoría interna riesgo operativo Vo. Bo. Gerente general
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 103/163
92
4.3 Programa general para la auditoría de riesgo operativo en el área de
telemercadeo
4.4 Actividades previas a la auditoría interna de riesgo operativo
El auditor del área de riesgo operativo asignado al área de telemercadeo,
previo al trabajo, realizó las siguientes actividades:
Identificación y evaluación de riesgos operativos PROG 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
No. OBJETIVOS DE AUDITORÍA
1 Que se realizan los procedimientos adecuados para el proceso de extrafinanciamiento.2 Que el procedimiento presente la información correcta y oportuna.
3 Que la información se registre al 100%.
4 Que las transacciones hayan ocurrido.
5 Que exista una secuencia lógica en el proceso.
6 Que se pueda detectar problemas o deficiencias en los controles operacionales existentes y que
en la solución de los mismos puedan surgir disminución en los costos y aumentos en la eficiencia
No. Ref. P.T. Encargado
a.
1CIH 1/3 SQ
b.
1 CIH 2/3 SQ2 CIH 2/3 SQ
3 CIH 2/3 SQ
4 Soportes lega les de col oca ci ón de extra fi nanci ami ento CIH 2/3 SQ
5 Registro de transacciones en POS CIH 2/3 SQ
6 Registro de crédito en sistema CIH 2/3 SQ
7 CIH 2/3 SQ
c.
1 SQ
2 DPT 1/1 SQ
d.
1 CIH 3/3 SQ
2 CIH 3/3 SQ
3 CIH 3/3 SQ
Nombre Unidad: Extrafinanciamientos tarjeta
Entrega de soportes firmados por cl iente
Identificac ión del c li ente y entrega de cheque
Contabilidad
Recepción y revisi ón de reportes de transa cciones
Emisión de cheques y aprobación
Programa de trabajo
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
DESCRIPCIÓN
Créditos tarjeta
Revisar la definición de perfil de cliente y la aplica ción
de filtros a la base de datos
Telemercadeo
Mensajería
Recepción y revisi ón de cheques a entregar
Definición de metas de colocaci ón por ejecutivoCarga de base de datos al sistema
Script de llamda de los ejecutivos e identificación cliente
Grabación de llamadas
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 104/163
93
Coordinar con la jefatura del área de telemercadeo una reunión previa
para explicar la forma de trabajo y la preparación para las actividades. En
esta reunión inicial se convocó al gerente del área que se auditó,
juntamente con las jefaturas y supervisiones que tienen a cargo el único
proceso de colocación de extrafinanciamiento. También participó la
gerencia del área de auditoría interna de riesgo operativo, con la finalidad
de respaldar cualquier consulta que pueda surgir en la reunión, en la cual
se definió la revisión del único proceso.
Procedimiento: Extrafinanciamiento
Sub-procesos: Contacto con el cliente
Solicitud de cheque
Gestiones contables
Emisión de cheque
Grabación de llamada
Traslado de saldo
Soportes de entrega y resguardo
Desbloqueo de tarjetasGestión de cancelación de tarjetas
Gestiones en sistema
POS virtual
Retención de tarjetahabiente
Correo externo
Opciones en sistema
Eliminación/creación de usuarios
Contacto con los clientes
Procedimiento de baja de personal
Monitoreo de llamadas
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 105/163
94
Solicitó los manuales de procedimientos y de políticas para proceder con
la lectura y tener una idea preliminar de las prácticas y controles
ejecutados en el proceso de extrafinanciamiento.
Preparó de las matrices de riesgo definido por los principios de COSO II y
Basilea II, además del enlistado de procesos que pueda identificar
previamente a la reunión solicitada a la jefatura encargada de la unidad
funcional.
Las matrices de riesgo son las mejores herramientas para el área de
auditoría de riesgos, debido a que puede obtener una fotografía del
estatus de riesgos existentes en los procesos de las unidadesfuncionales. Debe existir una matriz de riesgo por cada gerencia auditada
de la entidad. Por la forma en que está estructurada la matriz de riesgo,
esta puede ser interpretada por personas no involucradas en el proceso o
institución. Al momento de utilizar las matrices para evaluar los riesgos
en su vulnerabilidad, se toma en cuenta los requerimientos de COSO II,
evaluando características necesarias en los controles, además de la
taxonomía indicada por Basilea II para clasificar los riesgos según la
naturaleza analizada.
4.4.1 Manual para llenado y aplicación matrices de riesgo operativo
El manual será apoyo para cuando el auditor interno de riesgo operativo
asignado al área funcional lo utilice y se puedan basar en los criterios
establecidos.
RiesgoDescriba el evento de riesgo, siguiendo la siguiente estructura:
Quién ejecuta (puesto),
Qué es lo que ejecuta y
Cuál es la Consecuencia.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 106/163
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 107/163
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 108/163
97
Relacionado con TI
Marcar con '1' si el riesgo está relacionado con la falla de un componente
tecnológico: aplicaciones, hardware, comunicaciones, bases de datos.
Evaluación de vulnerabilidad de riesgo operativo
Permite identificar que tan robusto y maduro es el proceso. Los puntajes de
escala de criterios de probabilidad fueron estipulados por el comité de riesgo
operativo.
Segregación de funcionesNo existe segregación de funciones cuando un proceso está a cargo de la
ejecución solamente una persona, no existe revisión o aprobación por un
tercero que certifique que la transacción es correcta.
Óptima: a) separación detallada de funciones a nivel de individuos; y si
se trata de funciones operativas: b) la unidad no reporta a un área de
negocios, y c) no tiene contacto con el cliente. Su puntaje en la escala de
criterios de probabilidad es de 0.
Regular: se cumple a); tal vez b) o c) no se cumplen. Su puntaje en la
escala de criterios de probabilidad es de 1.24.
No aceptable: no se cumple a), aunque tal vez se cumplen b) o c). Su
puntaje en la escala de criterios de probabilidad es de 2.
Supervisor participa
En cada proceso debe existir un colaborador que se encargue de
supervisar el proceso y su aprobación a nivel sistema o papel.Óptimo: un supervisor debe a) revisar detalladamente cada transacción,
y b) debe aprobar cada transacción individual en sistemas. Su puntaje en
la escala de criterios de probabilidad es de 0.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 109/163
98
Regular: un supervisor aprueba las transacciones en el sistema pero
agrupadas o en lotes, o aprueba las transacciones individuales pero no lo
hace en sistemas. O sea, no se cumple b). Su puntaje en la escala de
criterios de probabilidad es de 0.50.
No participa: no participa un supervisor en la revisión y aprobación de
transacciones en los sistemas. Su puntaje en la escala de criterios de
probabilidad es de 1.
Verificación del requerimiento
Verificación si lo requerido en el proceso cumple con los requerimientosmínimos para su aprobación.
Óptima: se cumple siempre que a) cada transacción procesada es
revisada, b) la revisión se hace contra un checklist oficial, y c) se
documenta la conformidad o no conformidad de la transacción con los
requerimientos formalmente (sello y firma). Su puntaje en la escala de
criterios de probabilidad es de 0.
Aceptable: se cumple a), pero no se cumple b) o c). Su puntaje en la
escala de criterios de probabilidad es de 0.50.
No hay revisión individual: no se cumple a). Su puntaje en la escala de
criterios de probabilidad es de 1.
Información segura
El manejo de la información debe considerarse desde la información
física que se maneja en los escritorios hasta la información crucial de la
empresa que se maneja en las computadorasÓptima: la información (electrónica y en papel) utilizada en el proceso se
mantiene siempre con restricciones de acceso, es precisa y completa, y
es accesible para quien requiere usarla. Su puntaje en la escala de
criterios de probabilidad es de 0.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 110/163
99
Aceptable: la información tiene restricciones en sistemas pero no en
papel, o tiene algunas imprecisiones, o a veces no es posible accesarla
para quien la requiere. Su puntaje en la escala de criterios de
probabilidad es de 0.50.
No adecuada: la información no tiene restricciones de acceso, o es
imprecisa o no es fácil de accesar para quien la requiere. Su puntaje en la
escala de criterios de probabilidad es de 1.
Automatización
Debe considerar en cada proceso el volumen transaccional y lacomplejidad del procesamiento de las transacciones, para poder basarse
en ello y determinar si el proceso está suficientemente automatizado.
Óptima: el nivel de automatización es el ideal para el volumen y
complejidad del procesamiento actual. Su puntaje en la escala de criterios
de probabilidad es de 0.
Aceptable: se podría automatizar más, pero en su nivel actual es
adecuado. Su puntaje en la escala de criterios de probabilidad es de
0.25.
No adecuada: el nivel de automatización no es adecuado para el
volumen actual; hay mucho trabajo manual. Su puntaje en la escala de
criterios de probabilidad es de 1.
Estabilidad de sistemas
Se debe considerar la continuidad de los sistemas, si sufren caídas, el
tiempo para restablecer y si existe algún plan de contingencia.Óptima: los sistemas que requiere el procesamiento siempre están
disponibles o cuentan con contingencia inmediata (<10 minutos). Su
puntaje en la escala de criterios de probabilidad es de 0.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 111/163
100
Aceptable: los sistemas salen de operación algunas veces por períodos
cortos; nunca impiden procesar las transacciones. Su puntaje en la
escala de criterios de probabilidad es de 0.25.
No aceptable: los sistemas pueden estar caídos por períodos mayores;
algunas transacciones quedan pendientes o se procesan fuera de
sistemas. Su puntaje en la escala de criterios de probabilidad es de 0.67.
Rotación de Personal
Determinar si el área posee demasiado volumen de contratación y
despidosÓptima: la rotación de personal es extremadamente baja. Su puntaje en
la escala de criterios de probabilidad es de 0.
Aceptable: la rotación es baja o moderada; la mayor parte del personal
tiene experiencia suficiente. Su puntaje en la escala de criterios de
probabilidad es de 0.25.
No aceptable: la rotación es importante; podría afectar la eficiencia y la
precisión de algunas funciones. Su puntaje en la escala de criterios de
probabilidad es de 0.67.
Procedimientos
El procedimiento escrito debe reflejar las políticas y procesos
actualizados de la forma en que se realizan las actividades.
Óptimo: los procedimientos están escritos y están bien detallados según
su nivel de complejidad; un funcionario nuevo puede orientarse fácilmente
recurriendo a ellos. Su puntaje en la escala de criterios de probabilidades de 0.
Aceptable: los procedimientos están escritos, pero faltan algunos
detalles en la descripción. Su puntaje en la escala de criterios de
probabilidad es de 0.33.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 112/163
101
No aceptable: los procedimientos no están escritos o lo están pero son
muy generales. Su puntaje en la escala de criterios de probabilidad es de
0.67.
Indicadores de proceso
Tener a disposición las bases de datos para determinar los indicadores
de volumen, calidad y que estos puedan ser monitoreados de manera
continua
Continuo: a) este proceso es monitoreado por medio de indicadores que
se llevan actualizados en todo momento (no solo para entrega a fin demes); y b) se tienen definidos niveles de alerta y continuamente se
verifica el nivel actual del indicador contra estas alertas. Su puntaje en la
escala de criterios de probabilidad es de -0.50 debido a que esta
característica es un plus para poder cuantificar y medir los errores en la
ejecución de actividades.
Periódico: el proceso es monitoreado por indicadores pero éstos son
actualizados solo semanal/mensualmente, o no se han definido niveles de
alerta. O sea, hay indicadores de riesgo pero alguna de las condiciones a)
o b) no se cumple. Su puntaje en la escala de criterios de probabilidad es
de -0.24 debido a que esta característica es un plus para poder cuantificar
y medir los errores en los procedimientos.
No hay: oficialmente no hay un indicador de riesgo para este proceso.
Su puntaje en la escala de criterios de probabilidad es de 0, debido a que
es un valor agregado del proceso, por lo que no tiene peso, sino al
contrario, de existir podría cuantificar y medir los errores en la ejecuciónde actividades.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 113/163
102
Incidentes de riesgo operativo
Ninguna: no ha ocurrido ningún evento de riesgo (pérdidas,
incumplimientos, reprocesos, imprecisión contable, según corresponda).
Su puntaje en la escala de criterios de probabilidad es de 0.
Pocos: ha habido algunos eventos de riesgo (sean grandes o pequeños)
en los últimos 12 meses, pero no son frecuentes (unos 6 por año). Su
puntaje en la escala de criterios de probabilidad es de 0.74.
Frecuentes: ha habido bastantes eventos de riesgo en los últimos 12
meses (más de 6). Su puntaje en la escala de criterios de probabilidad es
de 1.50.
Informes de auditoría interna
Óptimo: ha habido auditorías en los últimos 12 meses y no hay
observaciones abiertas. Su puntaje en la escala de criterios de
probabilidad es de 0.
Aceptable: ha habido auditorías en los últimos 12 meses y hay alguna(s)
observación(es) media(s) o baja(s) abierta(s). Su puntaje en la escala de
criterios de probabilidad es de 0.74.
No aceptable: las auditorías de los últimos 12 meses muestran
observaciones mayores abiertas. Su puntaje en la escala de criterios de
probabilidad es de 1.50.
Sin Auditorías: no ha habido auditorías de este proceso en los últimos
12 meses.
Evaluación de severidad de riesgo operativoTamaño de la consecuencia o nivel de daño potencial de un evento de riesgo.
Participación de un 60% en la evaluación final de riesgo. Los puntajes de escala
de criterios de probabilidad fueron estipulados por el comité de riesgo operativo.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 114/163
103
Cumplimiento regulatorio
2.0: El incumplimiento no es sancionable, sino que a lo sumo generaría
observaciones en un informe regulatorio.
2.5: El cumplimiento no es monitoreado de manera regular pero su
incumplimiento, si el regulador lo detecta, no conlleva suspensión sino
solo una multa no importante.
3.0: El cumplimiento no es monitoreado de manera regular por el
regulador, pero su incumplimiento, de ser detectado, conlleva sanción
monetaria importante, suspensión o advertencia de suspensión, o es
monitoreado de manera regular pero solo implica sanción monetaria (noes posible una suspensión)
4.0: El cumplimiento es monitoreado de manera regular (diario, mensual,
trimestral) por el regulador; el incumplimiento conlleva sanción monetaria
importante, suspensión o advertencia de suspensión.
Pérdida por fraude
1.0: Posibles pérdidas menores a Q80 mil antes de que se ajuste/corrija
el proceso.
1.5: Posibles pérdidas de entre Q80 mil y Q160 mil.
2.0: Posibles pérdidas de entre Q160 mil y Q400 mil.
2.5: Posibles pérdidas de entre Q400 mil y Q800 mil.
3.0: Posibles pérdidas de entre Q800 mil y Q2 millones.
3.5: Posibles pérdidas de entre Q2 millones y Q 4millones.
4.0: Posibles pérdidas mayores a Q4 millones.
Pérdida por errores
1.0: Posibles pérdidas menores a Q80 mil antes de que se ajuste/corrija
el proceso.
1.5: Posibles pérdidas de entre Q80 mil y Q160 mil.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 115/163
104
2.0: Posibles pérdidas de entre Q160 mil y Q400 mil.
2.5: Posibles pérdidas de entre Q400 mil y Q800 mil.
3.0: Posibles pérdidas de entre Q800 mil y Q2 millones.
3.5: Posibles pérdidas de entre Q2 millones y Q 4millones.
4.0: Posibles pérdidas mayores a Q4 millones.
Requerimientos del cliente
1.0: Impactos potenciales sobre muy pocos clientes y de 'baja
importancia'.
2.0: Impactos potenciales a pocos clientes y de 'baja importancia'.2.5: Impactos potenciales a una cantidad moderada de clientes y de
importancia moderada, o a pocos clientes pero 'importantes'.
3.0: Impactos potenciales a bastantes clientes o a una cantidad
moderada pero 'importantes'.
4.0: Impactos potenciales sobre muchos clientes o una cantidad no tan
alta pero 'muy importantes'.
Revelación financiera
1.0: Posibles errores o imprecisiones acumulables menores a Q80 mil,
antes de que se ajuste o corrija el proceso, en cuentas contables no
sujetas a control regulatorio ni límites internos.
2.0: Posibles errores o imprecisiones acumulables menores a Q800 mil
en cuentas contables no sujetas a control regulatorio ni límites internos.
2.5: Posibles errores o imprecisiones acumulables menores a Q4 millones
en cuentas contables no sujetas a control regulatorio ni de límitesinternos, o menores a Q800 mil en cuentas sujetas a límites internos
pero no regulatorio.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 116/163
105
3.0: Posibles errores o imprecisiones acumulables menores a Q4 millones
en cuentas contables no sujetas a control regulatorio ni límites internos o
menores a Q800 mil en cuentas contables sujetas a control regulatorio.
4.0: Posibles errores o imprecisiones acumulables mayores a Q4 millones
en cuentas contables no sujetas a control regulatorio ni límites internos, o
mayores a Q800 mil en 'cuentas regulatorias'.
Continuidad de negocios
1.0: Indisponibilidad momentánea (corta duración) de las operaciones/
servicios producida en horarios no sensibles. No provocan degradaciónde las operaciones.
2.0: Indisponibilidad inferior al tiempo de recuperación tolerable definido
de las operaciones/servicios en horarios no sensibles. Provocan
degradación de las operaciones, con bajo volumen de afectación a
clientes.
3.0: Indisponibilidad inferior al tiempo de recuperación tolerable definido
de las operaciones/servicios en horarios sensibles. Provocan
degradación de las operaciones, impacto regulatorio/legal con un
volumen de afectación a clientes medio.
4.0: Indisponibilidad superior al tiempo de recuperación tolerable definido
de las operaciones/servicios en horarios sensibles. Provocan
discontinuidad de las operaciones, impacto regulatorio/legal con un
volumen de afectación a clientes alto.
Tipo nivel 1Este campo lo debe llenar el Depto. de Gestión de Riesgos Operativos. Está
basado en la taxonomía indicada por Basilea II para una correcta clasificación
de eventos de riesgo operativo
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 117/163
106
Tipo nivel 2
Este campo lo debe llenar el Dpto. de Gestión de Riesgos Operativos. Está
basado en la taxonomía indicada por Basilea II para una correcta clasificación
de eventos de riesgo operativo
4.5 Índice de papeles de trabajo y de abreviaturas
Evaluación de procesos y riesgos operativos INDICE 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Índice de papeles de trabajo
INDICE Contiene las abrev iaturas utilizadas en los papeles de trabajo y el índice de los mismos
DPT Papel de trabajo que detalla el ambiente de control y la descr ipc ión del proceso de ex traf inanc iamiento
OE Papel de trabajo que contiene los objetivos establecidos
IC Papel de trabajo que contiene los información y comunicación utilizada.
SUP Papel de trabajo que contiene la supervisión en el proceso de control del área
Matriz de identificación Papel de trabajo que contiene los riesgos determinados por el área y su evaluación
RP Papel de trabajo que contienen la definición de los riesgos principalesMCRP Papel de trabajo que contiene el mapa de calor de los riesgos principales
NF Papel de trabajo que detalla la nomenc latura utilizada para el f lujograma de anális is de proceso
FP Papel de trabajo que contiene el f lujograma del proceso de extraf inanciamiento
CIH Papel de trabajo que contiene la rev is ión del c ontrol interno y los hallaz gos detec tados en la rev is ión
ST Papel de trabajo que detalla el listado y status de controles internos existentes y por crear
Matriz de mitigación Papel de trabajo que contiene los planes de mitigación de los riesgos principales
Informe Informe final de la auditoría interna de ries go operativ o en el área de telemerc adeo
Abreviaturas utilizadas
ARO Auditoría riesgo operativoCRO Comité riesgo operativoTC Tarjeta de créditoCTROL Control
ID IdentificaciónTI Área de Tecnología de información
Indice de papeles de trabajo y abreviaturas
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos tarjeta
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 118/163
107
4.6 Ambiente de control y descripción del proceso
Identificación y evaluación de riesgos operativos DPT 1/2
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Proceso de extrafianciamiento
El proceso de colocación de extrafinanciamiento se realiza en la gerencia de telemercadeo, donde la jefatura esta
a cargo de Jonathan Polanco. Las cantidades que se financian diariamente ascienden a un promedio diario de
Q600,000.
El proceso inicia en la parte de la gerencia de Créditos tarjeta, a cargo de Carlos Barrios Coronado. Dicha área
determina el perfil del cliente que puede otorgarsele el extrafinanciamiento, en base al record crediticio registrado
en el sistema. Existe riesgo que al momento de fil trar la base de datos se incluya a clientes en mora. De esto
no se puede dar cuenta en ningún caso el área de Telemercadeo. (** coordinar revisión)
Posteriormente el área de Créditos tarjeta, traslada la base final, y el área de telemercadeo define la meta que se
asignará al ejecutivo. Posteriormente la cargan al sistema que de manera automática realiza las llamadas y las
asigna. En algunos casos los clientes llaman solicitando extrafinanciamiento pero si no estan en la base no se
les otorga. (** Hacer revisión de base trasladada vs extrafinanciamientos otorgados)
Los ejecutivos que realizan las llamadas, deben de cumplir con el script asignado. Existe una revisión de las
llamadas pues quedan en resguardo, siendo esta grabación el único soporte sobre la solicitud del cliente. Se
tiene un máximo de limite de extrafinanciamiento por cliente, dependiendo del límite, y el % de interés que se le
cobrará depende del tipo de cliente que esté aplicando. Esta asignación se la indica el ejecutivo al momento de
la llamada, pero finalmente es aplicada por los colaboradores en el puesto de auxiliar administrativo.
Existe el problema que algunos clientes indican que no se les llamó, y ya no aceptan el extrafinanciamiento. No
ha existido un fraude por el momento en el proceso. La única papelería que se requiere al cliente es su DPI y losmensajeros la traen de regreso, para su resguardo. Todos los extrafinanciamientos se otorgan si el cliente
entrega su copia del documento de identificación. (** hacer muestreo)
Los ejecutivos incluyen al cliente en el reporte especial, centralizándolo el auxil iar administrativo, quién se
encarga de realizar el cobro a travez del POS virtual. Además de incluirlo en el sistema operativo y realizar la
gestión contable, girando la orden de emitir un cheque de caja a nombre de la persona indicada. El sistema es
seguro, y las personas de contabilidad revisan que sea la persona indicada y el monto. El sistema es seguro, y
las personas de contabilidad revisan que sea la persona indicada y el monto.
También puede depositarse a una cuenta del cliente, según el número de cuenta que indique el cliente. Por el
lado nuestro no se hace una revisión debido a que eso es responsabilidad de contabil idad. No se tiene la
capacidad de validar todo, por el alto volúmen de transacciones. Contabilidad nos entrega los cheques al día
siguiente de haberlos solicitado, y se coordina con Mensajería para la entrega en el domicilio del cliente.
A los ejecutivos se les paga por cada colocación aceptada.
Descripción del proceso y ambiente de control Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 119/163
108
Identificación y evaluación de riesgos operativos DPT 2/2
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Ambiente de control
Filosofía de administración de riesgos:No se tiene definida una filosofía de administración de los riesgos, con el propósito que el personal involucradocon el proceso de colocacón de extrafinanciamientos en el área de telemercadeo, incluya dentro de susactividades cotidianas la administración de riesgos.
Integridad y valores éticos:Banco Tres, S.A. cuenta con un código de ética, en el cual se indican las reglas de conducta que el personaldebe manifestar en el trabajo, y que a través del comportamiento permitan alcanzar los resultados esperados. Delmismo modo, se indican, las sanciones que implican el quebrantar las reglas establecidas.
Políticas y procedimientos:Existen políticas y procedimientos por esc rito para los procesos relac ionados conel produc to delextrafinanciamiento, pero los mismos se encuentran detallados de manera general y no profundizan en la formade operar los mismos. Los procesos operativos que se realizan a la fecha, han sido divulgados como parte de lacultura, lo cual ha originado que en ocasiones al ingresar nuevo personal operativo o administrativo omitan ocambien los procesos.
Descripción del proceso y ambiente de control
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 120/163
109
4.7 Objetivos establecidos
Identificación y evaluación de riesgos operativos OE 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Unidad: Extrafinanciamientos TC
Objetivos estable cidos
• Estratégicos
Innovar en cada uno de los nuevos productos financieros, así como ofrecer un valor agregado en los productos ya
existentes para aumentar la satisfacción de los clientes.
Incrementar la base de clientes por medio de la expansión, así como la constitución de nuevas redes de servicio
para la realización de transacciones financieras a nivel nacional.
• Operativos
Mantener un adecuado control y cuadre, de los procesos del área de Telemercadeo
Brindar tecnología de punta al recurso humano para optimizar los procesos operativos y minimizar los errores.
Buscar constantemente el ahorro, a efecto de alcanzar la mejor rentabilidad para el banco.
• Reporte
Asegurar que dentro de la estructura organizacional del banco, se suministre información de un modo preciso y
oportuno.
Garantizar que la información financiera sea confiable y oportuna.
• Cumplimiento
Asegurar que se cumplan con las leyes y regulaciones establecidas, que apliquen en Guatemala.
Velar para que se cumplan con las normas de conducta y desempeño del personal en todos los niveles
jerárquicamente establecidos de
Banco de Saturno, S.A.
Los objetivos antes descritos están debidamente alineados con la misión y visión de Banco de Saturno, S. A.
Objetivos establecidosNombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 121/163
110
4.8 Información y comunicación
Identificación y evaluación de riesgos operativos IC 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
Información y comunicación
Para la obtención de la información externa e interna, Banco de Saturno, S.A., utiliza de acuerdo a lo observadoen todos los niveles de la entidad, y cuenta con los medios para garantizar la oportuna información y
comunicación.
Para la generac ión y suminis tro de la información, la ent idad cuenta con un sis tema informát ico, que laproporciona de una forma oportuna y adecuada, así como para procesar y registrar las transacciones realizadas,por medio de los agentes bancarios, para con esto cumplir los objetivos de la información financiera u otranecesaria en la entidad.
Para mantener una comunicación ordenada, se realiza por medio de correo electrónico, boletines internos, páginade intranet, donde se capta y exhibe toda la información, siendo éstos medios, de fácil acceso por parte de todoel personal de la entidad. El personal que realiza actualmente las actividades relacionadas con los agentesbancarios mantiene una comunicación adecuada para solucionar problemas, dudas o incertidumbres; sinembargo, dicha comunicación se ha implementado por costumbre y no se han definido el flujo por escrito.
Información y comunicaciónNombre Empresa: Banco de Saturno, S.A.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 122/163
111
4.9 Supervisión
Identificación y evaluación de riesgos operativos SUP 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Supervisión
Se real iza una supervisión en cascada y permanente. Pese a la supervisión que se real iza, al efectuar laevaluación del sistema de control interno, se determinaron algunas deficiencias, lo cual denota que no hay una
adecuada supervisión en los procesos que conlleva la administración de los agentes bancarios. Asimismo, no sehan definido evaluaciones puntuales, periódicas y de cómo dejar evidencia de lo actuado, tampoco se describecómo será el plan de acción sobre las recomendaciones de mejoras sugeridas.
Cuando se detectan deficiencias no se informan al más alto nivel de la administración, tampoco se ha definido,qué tipo de información se debe comunicar y a quién informar. Asimismo, no hay informes elaborados de lasrevisiones efectuadas que muestren las deficiencias determinadas.
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
Supervisión
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 123/163
112
4.10 Identificación y evaluación de riesgos
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última ac tualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
1
Extra -
financiamientos
TC
Contacto
con el
cliente
Que e l e jecu tivo no
confirme los datos al
cliente, ocasionando
que se otorgue el
servicio a una
terce ras persona ypueda ser objeto de
fraude.
1 1 2.0 1.0 1.4 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u
o
N i n g u n o
S i n A u d
i t o r í a 2.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
2
Extra -
financiamientos
TC
Contacto
con el
cliente
Que el auxiliar al
momento de
contactar al c liente y
este se encuentre en
el extranjero, adicional
solicite la información
por correo y elmismo
confirme por mediode
correo, ocasionando
posibles fraudes.
1 1 3.0 1.0 1.8 1
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
N o a
d e c u a
d a
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
A c e p
t a b l e
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
3.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 124/163
113
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
3Extra-
financiamientos
TC
Solicitud
de cheque
Que el ejecutivo proporcione
información incorrecta del
TH, al momento de requerir
el cheque, provocando que
es te esté inc or rec to, y
ocasionando reprocesos.
1 1 2.0 1.0 1.4 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
2.0 1.0 1.0 1.07 Ejecución,entrega y
procesamiento
01 Captura,
ejecución ymantenimiento
de
transacciones
4
Extra-
financiamientos
TC
Solicitud
de cheque
Que el ejecutivo incluya un
extrafinanciamiento que el
cliente no autorizó,
provocando reprocesos y
pérdida de imagen.
1 1 1 2.0 1.0 1.4 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a 2.0 1.0 1.0 1.0 1.0
4 Clientes,
productos,
prácticas de
negocios
01 Idoneidad,
revelación y
fiduciario
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 125/163
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 126/163
115
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Pr oceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
7Extra-
financiamientos
TC
Emisión
de cheque
Queel auxiliar con colusión
con otra persona solicite la
emisión del cheque quenoes té autorizado en la
pr omoc ión o que s ea a
nombre de otra persona
con intención de fraude.
1 1 1 2.0 2.5 2.3 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a 2.0 1.0 1.0 2.5 2.5
1 Fraude
interno
02 Robo y
fraude internos
8
Extra-
financiamientos
TC
Emisión
de cheque
Queel backoficce porerror
realic e la c reac ión del
proveedor y en lasolicitud
del cheque, sea con
información incorrecta,
ocasionando reprocesos.
1 1 2.0 1.0 1.4 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
2.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulner abilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 127/163
116
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
9
Extra -
financiamientos
TC
Emisión
de cheque
Que el bac kof ic ce
modifique los tipos de
pago y/o número de
cuenta en la opción
ABC Proveedores,
ocasionando posiblesfraudes.
1 1 1 4.0 3.0 3.4 1 1
N o a c
e p
t a b l e
N o p a
r t i c i p a
N o
h a
y r e v
i s i ó n
i n d i v i d u a
l
A c e p t a
b l e
N / A
N / A
A c e p t a
b l e
N o a c
e p
t a b l e
N o
h a
y
N i n g u n o
S i n A u
d i t o r í a 4.0 3.0 3.0 2.5 3.0
1 Fraude
interno
02 Robo y
fraude internos
10
Extra -
financiamientos
TC
Grabación
de llamada
ue rea e
Telemercadeo no tenga
como validar la
aceptación del
productopor el cliente,
debido a que no s e
realizó grabación de
llamada y/o no existe
un resguardo
apropiado de las
grabaciones por parte
de TI.
1 1 2.5 2.0 2.2 0 1
N / A
N / A
N / A
A c e p
t a b l e
N / A
N / A
Ó p
t i m a
N / A
N / A
P o c o s
S i n A u
d i t o r í a
2.5 1.0 2.0 2.0
7 Ejecución,
entrega y
procesamiento
05
Contrapartes
de negociación
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 128/163
117
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
11
Extra-
financiamientosTC
Traslado
de saldo
Que la jefatura no de
s eguimiento a los
traslados de saldo al
momento de existir un
force autorizado por
Créd itos , y que este
se encuentrecon tasa
0% o incorrecta,
ocasionando la
pérdida económica o
inconformidad por
parte del cliente.
1 1 3.5 2.0 2.5 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
I n s u
f i c i e n
t e
Ó p
t i m a
A c e p
t a b l e
A c e p
t a b l e
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
3.5 1.0 2.5 2.0
7 Ejecución,
entrega yprocesamiento
01 Captura,
ejecución y
mantenimientode
transacciones
12
Extra-
financiamientos
TC
Traslado
de saldo
Que el aux iliar c on
colusión con otra
per sona s olic it e la
emisión de crédito a
cuenta sin realizar el
t ras lado del s aldo,
ocasionando perdidas.
1 1 1 2.0 1.0 1.4 0
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a 2.0 1.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 129/163
118
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n
p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
13
Extra-
financiamientos
TC
Traslado
de saldo
Que el backoficce o
Contabilidadno apruebe las
gestiones por traslado de
saldo, y que la tarjeta
realice el corte y se genere
intereses.
1 1 2.5 1.0 1.6 0
Ó p
t i m a
R e g u l a
r
A c e p t a
b l e
Ó p
t i m a
A c e p t a
b l e
Ó p
t i m a
A c e p t a
b l e
A c e p t a
b l e
C o n
t i n
u o
P o c o s
S i n A u
d i t o r í a
2.5 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
02 Monitoreo y
reporte
14
Extra-
financiamientos
TC
Soportes
de
entrega y
resguardo
Que el supervisor no revise
la c arta la c ual f ir ma el
c liente y s irve a lavez de
cont rat o, y vaya con u n
error ortográfico, el cualal
momento en que el cliente
no quiera pagar , no s e
pueda usarcomo medio de
prueba
1 1.0 1.0 1.0 0
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/201403/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 130/163
119
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extra nancam entos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
15
Extra-
financiamientos
TC
Soportes
de entrega
y
resguardo
Que el backof icce se
equivoque al momento
de distribuir los
cheques con los
contratos donde firma
el cliente, ocasionando
perdida de imagen y
reproceso, al momento
en que el cliente reciba
el cheque.
1 1 2.0 1.0 1.4 0
N / A
N / A
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r
í a
2.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
16
Extra-
financiamientos
TC
Desbloqueo
de TC
Que el ejecutivo
realice desbloqueo de
TC sin conf irmar que
sea los datos del
cliente que realizó la
llamada.
1 1 3.5 1.0 2.0 1
R e g u
l a r
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
A c e p
t a b l e
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
3.5 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/2014
03/mar/2014Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 131/163
120
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proce so
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
17
Extra-
financiamientos
TC
Desbloqueo
de TC
Quesupervisor solicite
e l desbloqueo s in e l
sopor te adecuado y
que el ejecutivo
proceda a operarlosin
requeri r e l cor reo de
autorización,
ocasionando posibles
fraudes.
1 1 3.5 1.0 2.0 1
R e g u
l a r
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
A c e p
t a b l e
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
3.5 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
18
Extra-
financiamientos
TC
Gestión de
cancelación
de TC
Que bac kof ic ce en
colusión con ejecutivo
de ventas cancele las
tarjetas sin movimiento,
con el objetivo de
poder vender una
cuenta nueva y no
rea liza r migrac ión,
incrementando el costo
de colocación,
1 4.0 1.0 2.2 1
N o a c e p
t a b l e
N o p a r t i c
i p a
N o
h a y r e v
i s i ó n
i n d i v i d u a
l
A c e p
t a b l e
N / A
N / A
A c e p
t a b l e
A c e p
t a b l e
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
4.0 1.0 1.01 Fraude
interno
02 Robo y
fraude internos
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 132/163
121
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Pr oc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
19
Extra-
financiamientos
TC
Gestiones
en Sistema
Que el s is tema de
Siebel tenga
problemas y no s e
pueda documentar o
ingresar lasgestiones,ocasionando
reprocesos e
información errónea.
1 2.5 3.0 2.5 0 1
N / A
N / A
N / A
N / A
A c e p
t a b l e
A c e p
t a b l e
N / A
N / A
N o
h a y
P o c o s
S i n A u
d i t o r í a 2.5 3.0 3.0
6 Fallas de
sistemas y
trastornos delnegocio
01 Trastornos
severos de
infraestructuray sistemas
20
Extra-
financiamientos
TC
Grabación
de
llamadas
Que no s e tenga el
sistema de grabaciòn
de llamadas para los
nuevos colaboradore
o el sistema caiga, no
teniendo respaldos de
las ventas realizadas
de los ejecutivos.
1 1 2.5 1.0 1.6 0 1
N / A
N / A
N / A
A c e p
t a b l e
N / A
A c e p
t a b l e
N / A
A c e p
t a b l e
P e r i ó
d i c o
P o c o s
S i n A u
d i t o r í a
2.5 1.0 1.0 1.0
6 Fallas de
sistemas y
trastornos del
negocio
01 Trastornos
severos de
infraestructura
y sistemas
03/mar/201403/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 133/163
122
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Pr oc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
21
Extra-
financiamientos
TC
POS
Virtual
Que el ejecutivo
ingrese al POS virtual
un a TC q ue no hay a
autorizado el producto,
ocasionando perdidad
de imagen hac ia el
cliente
1 1 1.0 1.0 1.0 0
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m o
C o n
t i n u o
N i n g u n o
S i n A u
d i t o r í a
1.0 1.0 1.0 1.01 Fraude
interno
01 Actividad
no autorizada
22
Extra-
financiamientos
TC
POS
Virtual
Que el sistema dePOS
virtual por problemas
tecno lógicos, no se
pueda ingresar y
realizar el cobro a los
TH's oc as ionando
reprocesos.
1 2.5 3.0 2.5 0 1
N / A
N / A
N / A
N / A
A c e p
t a b l e
A c e p
t a b l e
N / A
N / A
N o
h a y
P o c o s
S i n A u
d i t o r í a
2.5 3.0 3.0
6 Fallas de
sistemas y
trastornos del
negocio
01 Trastornos
severos de
infraestructura
y sistemas
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 134/163
123
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y ev aluación:
Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r
i m i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r
t i c i p a
3 .
V e r
i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r
i m i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
23
Extra-
financiamientos
TC
Retención
de TH
Que el ejecutivo de
Retenciones no cancele
la tarjeta c uando el
cliente lo indicó,
ocasionando pérdida deimagen hacia el Th.
1 2.0 1.0 1.4 0
Ó p t i m
a
Ó p t i m
o
Ó p t i m
a
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
Ó p t i m
a
A c e p
t a b l e
P e r i ó
d i c o
N i n g u n o
S i n A
u d i t o r í a
2.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
04
Administración
de cuentas de
clientes
24
Extra-
financiamientos
TC
Correo
externo
Que por dolo un
colaborador uti lice las
bases de datos
proporcionas con el f in
decausarfraudes a las
T.C, ò extorsiones a los
c lient es o v enta de la
base a terceros.
1 1 1.5 2.0 1.8 0 1
N / A
N / A
N / A
A c e p
t a b l e
N / A
N / A
A c e p
t a b l e
Ó p
t i m o
P e r
i ó d i c o
N i n g u n o
S i n A u
d i t o r í a
1.5 2.0 1.0 2.01 Fraude
interno
02 Robo y
fraude internos
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 135/163
124
Identificación y Evalu ación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d
( V )
S e v e r i d a d
( S )
E v a l u a c i ó n
R i e s g o
( E R )
R e q u i e r e P l a n
p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
25
Extra-
financiamientos
TC
Opciones
en sistema
Que personal de
Telemercadeo no
cuente con las
opciones necesarias
para las actividades del
área, prov ocando
atrasos en el proceso.
1 1 1 2.5 2.0 2.2 1 1
N / A
N / A
N / A
A c e p
t a b l e
N / A
N / A
Ó p
t i m a
N / A
N / A
P o c o s
S i n A u
d i t o
r í a 2.5 1.0 2.0 3.0 2.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
26
Extra-
financiamientos
TC
Eliminación
de usuario
Que jefatura de
Telemercadeo no
incluya en el reporte al
área de Operaciones de
Canales telefónicos a
unapersona que se dio
de baja o que se
t ras ladó a ot ra área,
ocasionandoque no se
elimine el usuario.
1 1.0 1.0 1.0 0
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
Ó p
t i m a
Ó p
t i m a
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
P e r i ó
d i c o
N i n g u n o
S i n A u
d i t o r í a
1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/201403/mar/2014
Objetivos Relacionados Evaluación Vulner abilidad Rie sgo O. Evaluación de Seve ridad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 136/163
125
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extrafinanciamientos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
27
Extra-
financiamientos
TC
Opciones
en
sistema
Que Jefatura asigne
una opción delsistema
a personal que no
corresponda o no
apl ique por su puesto,
ocasionando posibles
fraudes.
1 1 1.5 1.0 1.2 0
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
N o
h a y
N i n g u n o
S i n A u
d i t o r í a 1.5 1.0 1.0 1.0 1 Fraude
interno01 Actividad
no autorizada
28
Extra-
financiamientos
TC
Contacto
con el
cliente
Que el ejecutivo po r
requerimiento del
c liente lo at ienda en
persona, no cumpliendo
con la política de
Telemercadeo,
ocasionándo posibles
fraudes,por la faltade
conocimiento o tacto.
1 1 1 1.0 1.0 1.0 0
Ó p
t i m a
Ó p
t i m o
Ó p
t i m a
A c e p
t a b l e
N / A
N / A
A c e p
t a b l e
A c e p
t a b l e
N / A
P o c o s
S i n A u
d i t o r í a
1.0 1.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
03 Aceptación
y
documentación
de clientes
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulne rabilidad Ries go O. Evaluación de Sever idad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 137/163
126
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad: xtra nancam entos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última act ualización de identificación:
Id R Pr oceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
29
Extra-
financiamientos
TC
Procedimiento
de baja
Que la Jef atura no
solicite el gafete, tarjeta
de acceso o marbete, al
colaborador que fue
dado de baja,
ocasionando que este
tenga un ac ces o no
autorizado.
1 1 1.0 1.0 1.0 0
R e g u
l a r
Ó p
t i m o
A c e p
t a b l e
Ó p
t i m a
N / A
N / A
A c e p
t a b l e
Ó p
t i m o
N / A
P o c o s
S i n A u
d i t o
r í a 1.0 1.0 1.0 1.0
3 Prácticas
laborales y de
ambiente de
trabajo
01 Relaciones
laborales
30
Extra-
financiamientos
TC
Opciones en
sistema
Que la Jef atura no
confirme las
eliminaciones de
opciones que no
apliquen a solicitud de
algún área, ocasionando
que ciertos
procedimientos no se
rea licen , y se deje de
percibir ingresos.
1 1 3.5 1.0 2.0 1 1
Ó p
t i m a
Ó p
t i m o
A c e p
t a b l e
A c e p
t a b l e
A c e p
t a b l e
N / A
A c e p
t a b l e
N o a c e p
t a b l e
N / A
P o c o s
S i n A u
d i t o r í a
3.5 1.0 3.0 1.0
7 Ejecución,
entrega y
procesamiento
01 Captura,
ejecución y
mantenimiento
de
transacciones
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 138/163
127
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Pr oc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
31
Extra-
financiamientos
TC
Grabación
de llamada
Que las llamadas no se
graben o que si se
h ay an gr ab ado per o
que ya no existan por el
t iempo transcur rido .
(Pice: 1mes) (Pice APS:
6 mes es es to último
depende de la
capacidad del sistema)
l a r epe rc us ión s er ía
que no se puedan
solventar quejas o bien
realizar extornos
innecesarios.
1 4.0 1.0 2.2 0 1
N / A
N / A
N / A
A c e p
t a b l e
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m o
N o
h a y
F r e c u e n
t e s
S i n A u
d i t o r í a
4.0 1.0 1.0
6 Fallas de
sistemas y
trastornos del
negocio
01 Trastornos
severos de
infraestructura
y sistemas
32
Extra-
financiamientos
TC
Grabación
de llamada
Que e l agente pueda
ext raer info rmación
importante a través de
los dvd s o cd´sdebido
a que tiene una
quemadora de discos
instalada en su pc
provocando posibles
fraudes.
1 4.0 1.0 2.2 1 1
N o a c e p
t a b l e
N o p a r t i c
i p a
Ó p
t i m a
N o a
d e c u a
d a
A c e p
t a b l e
A c e p
t a b l e
Ó p
t i m a
Ó p
t i m o
N o
h a y
N i n g u n o
S i n A u
d i t o r í a
4.0 1.0 1.01 Fraude
interno
02 Robo y
fraude internos
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 139/163
128
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad:Extra nancam entos
tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proceso
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
33
Extra-
financiamientos
TC
Grabación
de llamada
Que no s e r es guar da el
100% de las ll amadas en
algún dispositivo de
almacenamiento,
oc as ionando que no s e
tenga soporte ante
eventualidades.
1 1 4.0 1.0 2.2 1 1
N / A
N / A
N / A
N o a
d e c u a
d a
I n s u
f i c i e n
t e
N o a c e p
t a b l e
N / A
N o a c e p
t a b l e
N / A
P o c o s
S i n A u
d i t o r í a 4.0 1.0 1.0 1.0
7 Ejecución,
entrega y
procesamiento
02 Monitoreo y
reporte
34
Extra-
financiamientos
TC
Grabación
de llamada
Que el s is tema Pice no
f un cio ne ( po r f alla s d el
s is te ma o b ie n p or ma la
manipulac ión por parte de
TI) no se graban las
llamadas y no puedan
recuperarse,quedándosela
organización sin respaldo
de las v entas rea li zadas
ocasionando pérdidas con
extornos no nec es ar ios o
cancelación de los
productos.
1 1 4.0 1.0 2.2 1 1
N / A
N / A
N / A
N o a
d e c u a
d a
N / A
A c e p
t a b l e
N / A
N / A
N / A
F r e c u e n
t e s
S i n A u
d i t o r í a
4.0 1.0 1.0 1.0
6 Fallas de
sistemas y
trastornos del
negocio
01 Trastornos
severos de
infraestructura
y sistemas
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 140/163
129
Identificación y Evaluación de Riesgos Operativos
Nombre Empresa: Banco de Saturno, S.A. Auditor: Sergio Quiñonez
Nombre Gerencia: Telemercadeo Revisor ARO: David de la Riva
Nombre Unidad: Extrafinanciamientos tarjeta Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación:
Fecha de última actualización de identificación:
Id R Proc es o
Sub-
proceso Riesgo 1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
V u l n e r a b i l i d a d ( V )
S e v e r i d a d ( S )
E v a l u a c i ó n R i e s g o ( E R )
R e q u i e r e P l a n p a r a R O
R e l a c i o n a d o c o n T I ?
1 .
S e g r e g a c
i ó n
d e
f u n c
i o n e s
2 .
S u p e r v
i s o r p a r t i c
i p a
3 .
V e r i f i c a c
i ó n
d e
l r e q u e r i m
i e n
t o
4 .
I n f o r m a c
i ó n s e g u r a
5 .
A u
t o m a
t i z a c
i ó n
6 .
E s
t a b i l i d a
d d e
l o s s
i s t e m a s
7 .
R o
t a c
i ó n
d e
P e r s o n a
l
8 .
P r o c e
d i m i e n
t o s
9 .
I n d i c a
d o r e s
d e p r o c e s o
1 0
. I n c
i d e n
t e s
d e
R i e s g o
1 1
. I n f o r m e s
d e a u
d i t o r í a s
V u l n e r a b i l i d a d
1 C u m p
l i m i e n
t o r e g u
l a t o r i o
2 P é r d
i d a s p o r
f r a u
d e
3 P é r d
i d a s p o r e r r o r e s
4 R e q u e r i m
i e n
t o s
d e
l c
l i e n
t e
5 R e v e
l a c
i ó n
f i n a n c
i e r a
6 C o n
t i n u
i d a
d d e
N e g o c
i o s
S e v e r i d a d
Tipo Nivel 1 Tipo Nivel 2
35
Extra-
financiamientos
TC
Monitoreo
de llamada
Que e l col aborador tenga
acceso a inf ormación
sensib le , por medio de l os
s is te mas A s- 400 y S ib el,como loqueson consultade
saldos en T.C, e información
per sonal del Cliente en
Cue nt as Mo ne tar ias q ue
puedan ser u ti lizadas con
intención de fraude.
1 3.0 1.0 1.8 1 1
N / A
R e g u
l a r
A c e p
t a b l e
N / A
Ó p
t i m a
A c e p
t a b l e
Ó p
t i m a
N o a c e p
t a b l e
N o
h a y
N i n g u n o
S i n A u
d i t o r í a
3.0 1.0 1.01 Fraude
interno
01 Actividad
no autorizada
36
Extra-
financiamientos
TC
Correo
externo
Que ejec ut iv os tengan
accesos al envío de correos
en nombrede BancoSaturno,
S.A. , provocando posibles
fraudes.
1 1 2.0 1.0 1.4 0 1
N / A
N / A
N / A
N o a
d e c u a
d a
N / A
Ó p
t i m a
Ó p
t i m a
Ó p
t i m o
N o
h a y
N i n g u n o
S i n A u
d i t o r í a
2.0 1.0 1.0 1.01 Fraude
interno
01 Actividad
no autorizada
03/mar/2014
03/mar/2014
Objetivos Relacionados Evaluación Vulnerabilidad Riesgo O. Evaluación de Severidad
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 141/163
130
No. Vulnerabilid Severidad
EvaluaciónfinalR.O.
1 3 1 1.8
2 4 3 3.4
3 3.5 1 2
4 3.5 1 2
5 4 1 2.2
6 3.5 1 2
7 2.5 2 2.2
8 3.5 1 2
9 4 1 2.2
10 4 1 2.2
11 4 1 2.2
12 3 1 1.8
Que el auxi li ar admin is t rat ivo en colus ión con ejecut ivo de ventas cancele las
t arjet as s in m ovim ient o, con el objet ivo de poder vender una cuent a nueva y
extrafinanciamiento en promoción y no realizar migración, incrementando el costo
de colocación.
Descripción
Que el aux iliar al m om ent o de c ont ac tar al c lient e y es te s e enc uent re en el
extranjero, adicional sol ic ite la información por correo y el mismo confi rme por
medio de correo, ocasionando posibles fraudes.
Que el auxil iar administ rativo modifique los t ipos de pago y/o número de cuenta
en la opción ABC Proveedores, ocasionando posibles fraudes.
Que el e jecutivo rea li ce desbloqueo de TC sin confi rmar que sea los datos delcliente que realizó la llamada.
Que supervisor sol ic ite el desbloqueo sin el soporte adecuado y que el ejecutivo
proceda a operarlo sin requeri r el correo de autorización, ocasionando posibles
fraudes.
Que el colaborador t enga acceso a inform ac ión sens ible, por m edio de los
sist emas, com o lo que son consulta de saldos en T.C, e información personal del
Cliente en Cuentas Monetarias que puedan ser utilizadas con intención de fraude.
Que el jefe de telemercadeo, por descuido no elimine el usuario al momento en
que se de de baja o traslade al c olaborador, pudiendo ser objeto de uso y
provocando fraudes.
Que personal de Telemercadeo no cuente con las opciones necesarias para las
actividades del área, provocando atrasos en el proceso.
Que la Jefa tura no confi rme las el im inac iones de opc iones que no apliquen a
solicitud de algún área, ocasionando que ciertos procedimientos no se realicen, y
se deje de percibir ingresos.Que el agente pueda extraer información importante a través de los dvd s o cd´s
debido a que t iene una quem adora de discos ins talada en su pc provocando
posibles fraudes.
Que no se resguarda el 100% de las llamadas en algún dispositivo de
almacenamiento, ocasionando que no se tenga soporte ante eventualidades.
manipulación por parte de TI) no se graban las llamadas y no puedan
recuperarse, quedándose la organización sin respaldo de las ventas realizadas
oc as ionando pérdidas c on ex tornos no nec es arios o c anc elac ión de los
productos.
4.11 Definición de procesos y eventos de riesgo principales
Al momento de hacer la identificación, se evaluaron 36 riesgos en el área de
Telemercadeo de los cuales 12 eventos resultaron ser altos, por lo que se
priorizarán y se tomarán como los más importantes de dicha área.
Los riesgos principales están relacionados al proceso de Extrafinanciamiento
son los siguientes:
Identificación y Evaluación de Riesgos Operativos RP 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 28/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Unidad: Extrafinanciamientos TC
Riesgos Principales
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 142/163
131
Crítica
Muy alta 1
Alta
Moderada
Baja 1
Muy baja 2 4 4
Mínima
10%
Mínima
15%
Muy baja
22%
Baja
32%
Moderada
46%
Alta
68%
Muy Alta
100%
Crítica
Se ve rida d Ca ntida d Porce nta je
Crítica 0 0.0%
Muy alta 1 8.3%
Alta 0 0.0%
Moderada 0 0.0%
Baja 0 0.0%
Muy baja 5 41.7%
Mínima 6 50.0%
Total 12
% del Total de riesgos 100%
Conclusión
En base a la identificación de riesgos operativos, que se evaluó en conjunto con la Jefatura de Telemercadeo,
se detectaron 12 riesgos principales relacionados con los procesos dentro del área, de los cuales solamente
un riesgo tiene severidad my alta y vulnerabilidad crítica, por lo que se estará evaluando el proceso de
manera macro, y los otros riesgos s i no están ligados al producto solamente se propondrá un plan de acción
de manera específica para minimizar y/o mitigar los riesgos.
S E V E R I D A D
VULNERABILIDAD
Identificación y Evaluación de Riesgos Operativos MCRP 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 10/abr/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Unidad: Extrafinanciamientos TC
Mapa de calor de Riesgos Principales
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
4.12 Evaluación de control interno en los procesos y eventos principales
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 143/163
132
Evaluación de proceos y riesgos operativos NF 1/1
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 05/may/2014
Nomenclatura de flujograma
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos tarjeta
Proceso
Control
Punto de decisión
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 144/163
133
Créditos TC Telemercadeo Contabilidad Mensajería
Inicio
Gerente de CréditosTC define
e indi ca el perfil del clienteque debe tener los clientes
para que realicen la base de
extrafinanciamiento
Analista de basede datos
descarga la base del sistema y
realiza los fil tros para
determinar los clientes que
pueden optar al extra.
Gerente de
Créditos revisa
base final
Base
correcta?
Si la base está correcta
proceden a enviar la misma al
área de Telemercadeo
Gerente de Telemercadeo
recibe labase de datos y
procede a defini r la meta para
el equipo de extra.
Jefaturarecibe la base y
procede a segmentarla para
que los supervisores puedan
cargarla al sistema automático
de l lamadas.
Unavez cargada al sistema,
los ejecutivos procede a
llamar al cliente utilizando elscript asignado y a ofrecer el
extra. con las tasas asignadas
Aceptael
cliente?
El ej ecutivo comprueba que
efectivamente sea el cliente y
realiza las preguntas clave,
certificando que sea el cliente
para poder otorgarle el extra.
Los ejecutivos proceden a
consolidar la información en
el archivo centralizador de la
carpeta compartida .
Evaluación de proceos y riesgos operativos FP 1/3
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 05/may/2014
Flujograma del proceso
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos tarjeta
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 145/163
134
Créditos TC Telemercadeo Contabilidad Mensajería
Auxil iar administrativo
procede a acceder a al archivo
centralizador para poder
hacer el cargo en la tarjeta de
débito en el POS que
corresponda según % interés
Auxili ar administrativo
procede a realizar lote
contable para solicitar que
generen el cheque en el
sistema
Auxil iar administrativo graba
al cliente en el sistema en la
opción ABC Extrafin,
indicando si será cheque o
traslado a cuenta bancaria.
Contabilidad
recibe reporte y
procede a
validar sistema
POS vs lote
contable
cuandra
montos?
Auxil iar de contabilidad
procede a emitir los cheques y
a la aprobaciónen el sistema
Auxil iar administrativo
coordina con mensajería para
la entrega de cheques
Auxiliar
administrativo
recoge los
cheques contra
listado
cheques
completos?
Mensajero
recoge loscheques contra
listado
cheques
completos?
Evaluación de proceos y riesgos operativos FP 2/3
Auditor: Sergio Quiñonez Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 05/may/2014
Flujograma del proceso
Nombre Empresa: Banco de Saturno, S.A.Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos tarjeta
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 146/163
135
Créditos TC Telemercadeo Contabilidad Mensajería
Mensajero procede a visitar al
cliente en el domicilio, y
solicita el documento deidentificación para validar que
sea el cliente
Es el
cliente?
Mensajero entregael cke y
recibe la copia del DPI y
procede a entregarlo a
Auxiliar administrativo del
área de Telemercadeo
Auxiliar
administrativo
recibe los
cheques contra
listado
cheques
completos?
Auxiliar administrativo
resguarda los dpis.
Fin
Evaluación de proceos y riesgos operativos FP 3/3
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 05/may/2014
Flujograma del proceso
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos tarjeta
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 147/163
136
4.13 Evaluación de mejoras y planes de mitigación de eventos de riesgo
operativo (Actividades de control y respuesta al riesgo)
Identificación y evaluación de riesgos operativos CIH 1/3
Auditor: Sergio Quiñonez
Revisor ARO David Hernández
Revisor CRO Verónica Quezada
Fecha de ejercicio de identificación y evaluación de control : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 06/jun/2014
Proceso de extracción de información
Fecha Usuario Fecha Usuario
05/01/2014 LCOGOZ 05/01/2014 LCOGOZ
15/12/2013 LCOGOZ 31/12/2013 SBARRIENT
30/12/2013 SBARRIENT
15/12/2013 LCOGOZ
Recomendación
a) Definir al gerente de Créditos TC como la persona que otorgará los permisos para usar la opción
ABC Datab) Definir que el área de Auditoría Interna realice revisión bimestral de accesos habilitados a USB
c) Definir revisión semestral por parte de las unidades funcionales, la revisión de accesos en el
sistema
Nombre Unidad: Extrafinanciamientos TC
Revisión de control interno y hallazgos
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
En cuanto a la definición de la base, existe una revisión a profundidad de los filtros que determinan el
perfil del c liente, esto lo realiza el gerente del área, certificando que sean los c lientes idóneos.
Se validó en el sistema, las fechas y usuarios que ingresaron al sistema y descarcaron información
para realizar las bases de datos de los clientes existente que se les otorgará el extrafinanciamiento.
Autorizado Real
Se detectaron dos ingresos no previstos, por parte del usuario SBARRIENT, que pertenece al
colaborador Steve Barrientos, quién fue dado de baja el 05/01/14, por motivos de productividad, en
créditos TC
Dicho usuario, no debió de haber tenido tal accesos. Solamente el usuario LCOGOZ, debe contar con tal opción, por lo que se procedió a revisar quienes tenían dicha opción al maestro de datos, y
solamente se encontraron estas dos personas. El usuario de Steve Barrientos fue dado de baja, por
lo que no se pudo determinar si el mismo tenía mas opciones sensit ivas. El usuario de LCOGOZ
pertenece a Luis Cogoz colaborador del área de Créditos TC.
Se procedió a revisar la computadora que tenía a cargo Steve Barrientos, pero no se encontró archivo
alguno excepto que se revisaron los puestos USB y estos se encontraban habilitados.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 148/163
137
Identificación y evaluación de riesgos operativos CIH 2/3
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 06/jun/2014
Proceso de llamada, identificación y grabación de llamada
Descripción %
Grabadas 60
No grabadas 40
De scripción Cant.
Cumple scrip 9
No cumple 3
Recomendación
d) Coordinar con TI una reunión con el proveedor Winsoft2003, para validar las fallas en las
grabaciones
e) Definir una carta de bienvenida, ademas de otorgar un Welcome Kit al c liente, en los cuales
especifique los datos básicos del extrafinanciamiento que se le está otorgando.
El princ ipal riesgo es el proceso de llamada es que las grabaciones de las llamadas no se están
realizando Se solicitó una revisión de 20 llamadas grabadas en el sistema de Nice, encontrando lo
siguiente:
El proceso de grabación de llamadas está a cargo de TI, quienes deben de revisar que el se graben
el 100% de las llamadas, ya que es el único soporte que se tiene ante los clientes. Sin este
soporte, los procesos de reclamo de los clientes, tendrían que aceptarse, debido a que no existe
ninún soporte que nos respalde
De igual forma, no puede validarse que los ejecut ivos esten cumpliendo con el script de forma
correcta pues al no existir grabación de llamada, no puede validarse si el ejecutivo identifica de la
forma correcta al cliente.
El proveedor de software de Pice, se llama Winsoft2003, quienes se encargan de validar que el
software funcione de manera correcta.
De las 12 llamadas que si estaban grabadas en el s is tema, un 75% cumple con el script indicado
por la Jefatura, pero todas identificaron al cliente de forma correcta.
Revisión de control interno y hallazgos
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 149/163
138
Identificación y evaluación de riesgos operativos CIH 3/3
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 03/mar/2014
Fecha de última actualización de identificación / evaluación de riesgos: 06/jun/2014
Proceso del auxiliar administrativo
Descripción Cant.
Muestra total 50
Si cumple 46
No cumple 4
Recomendación
h) Solicitar a TI la generación de un reporte de cambios realizados en la opción ABC Extrafin.
g) Coordinar con TI y el Comité de riesgo operativo la forma de mitigar el acceso a modificar los
datos en la opción ABC Extrafin.
El riesgo más crít ico y alto detectado en el área de Extrafinanciamientos TC de la gerencia de
Telemercadeo es el acceso a una opción sesible, llamada ABC Extrafin, la cuál se utiliza para
crear a los clientes y asignarles un número, con el cuál puede ligarse si será por medio de cheque
de caja o cuenta bancaria el medio de como trasladarles el extrafinanciamiento solicitado.
Esta opción no solo permite crear, sino que también permite modificar proveedores ya existentes
por lo que de ser util izada de otra forma, pueden modificar un proveedor cambiando el número de
cuenta a la que se le estará realizando el traslado, sin tener control sobre dicho cambio que logre
alertar de tal acción y por el proceso de depósito automático de depósitos del POS, podría bastar
realizar el cambio por unas horas y no podría detectarse el problema
Se intentó generar un reporte directo del sistema, por el archivo no guarda información histórica, por
lo que es imposible determinar por medio de reportes y alertas cuando se de este tipo de fraude.
También existe el riesgo que crucen los datos del cliente al momento de guardar la información enel archivo centralizador, también al momento de realizar el cambio en el POS. Por lo que se realizó
un muestreo de los datos grabados en el POS contra la base de datos, encontrando lo siguiente:
Se detectó 4 casos en donde existió error al momento de grabar en el POS, en donde se le otorgó
% de interés que no corresponden a lo asignado.
f) Crear un paso de revisión por parte de la Jefatura, para validar que lo grabado en el POS sea lo
correcto.
Revisión de control interno y hallazgos
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
Nombre Unidad: Extrafinanciamientos TC
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 150/163
139
Mitigación de Riesgos Operativos ST 1/2
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 24/may/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Unidad: Extrafinanciamientos TC
Lista y status de controles existentes y por crear
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
QuiénEjecuta el
Control
Periodicidad
Qué es lo queEjecuta
Cuál es elObjetivo del
Control
Nivel deEscalamiento
Cómo sedocumenta
Status
1Gerente de
Créditos
Al ser
requerido
Revisión de la
base de datos
Verificar que la
base incluya a
las personas
idóneas al
control
Gerente de
Tarjeta
Correo dándo
el Vo.Bo.Correcto
2Ejecutivos de
Telemercadeo
Cuando
contactan
al cliente
Compara datos
proporcionados
por el cliente
Validar la
información
proporcionada
por el cliente
contra el
sistema
Supervisor de
Ejecutivos
Grabación de
llamada
Mejorar la
grabación de
llamadas
3 As istente de
CréditosEventual
Análisis de
personal que no
esté incluída en
promoción para
que este aplique
Análisis e
inclusión de
cliente que
aplique
Gerente de
Créditos
Correo dándo
el Vo.Bo.Correcto
4Ejecutivos de
Telemercadeo
Cuando
contactan
al cliente
Inclusión dedatos del cliente
en el control de
la carpeta
compartida
Digitación y
Salvaguarda de
los datos del
cliente
N/AControl de
Excel
Mejorar, con la
impresión y
seguimiento de
ejecutivos que
realiazron la
llamada
5 Aux. A dmitivo
TelemercadeoDiario
Coteja
información
grabada por
ejecutivos vs
POS vir tual
Validar que no
exista
información
errónea tanto en
control como en
el sistema
Supervisor de
Ejecutivos
Control de
ExcelCorrecto
6 Aux. A dmitivo
TelemercadeoDiario
Coteja montos
totales en
control
consolidado vs
POS vir tual
Comparar los
montos
colocados por
extrafinanciamie
nto
Jefatura de
Telemercadeo
Control de
ExcelCorrecto
7Jefatura de
TelemercadeoDiario
Revisa ticket de
POS vs control
consolidado,
hacer cruce de
información
Comparar los
montos
colocados por
extrafinanciamie
nto
N/ACorreo dándo
el Vo.Bo.
Control
necesario de
crear
IdCtrol
1
Controles Previos y Sugeridos a Mitigación
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 151/163
140
Mitigación de Riesgos Operativos ST 2/2
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de identificación y evaluación exhaustiva : 24/may/2014
Fecha de última actualización de identificación / evaluación de riesgos: 03/mar/2014
Nombre Unidad: Extrafinanciamientos TC
Lista y status de controles existentes y por crear
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
QuiénEjecuta elControl
Periodicidad
Qué es lo queEjecuta
Cuál es elObjetivo del
Control
Nivel deEscalamiento
Cómo sedocumenta
Status
8 Auxiliar de
Contabilidad Diario
Revisión de
gestiones
ingresadas por
Telemercadeo
contra el control
de excel
Cotejar
información del
sistema vs
control
Supervisor de
Contabilidad
Impresión del
cheque
Mejorar control,
se realiza de
forma manual,
pero debe
cotejarse
contra carta
9 Aux. Admitivo
TelemercadeoDiario
Recibir los
cheques impresos
por Contabilidad
Verificar que
estén
completos los
cheques.
Supervisor de
Contabilidad
Checklist y
revisión a
detalle
Correcto
10 Aux. Admitivo
TelemercadeoDiario
Revisa datos
incluídos en las
cartas vs sistema
Validar que la
carta
(contrato) esté
con los datos
correctos
Supervisor de
Ejecutivos
Impresión de
carta
Control
necesario de
crear
11 Aux. Admitivo
Telemercadeo Diario
Enlista los
cheques que
deben de ser
entregadas al
domicilio o
agencia
Enlistar los
cheques para
que searevisado por el
mensajero
N/AImpresión de
checklist Correcto
12 Mensajero Diario
Revisa y coteja
información en
cheque contra
listado así como el
destino
Revisar que los
datos sean los
correctos (No.
cheque,
nombre,
Destino)
N/AFirma y sello
del mensajeroCorrecto
13 Mensajero
Cuando
contactan
al cliente
Solicita
documento de
identificación y
compara datos
contra el cheque
y carta
Mitigar el riesgo
de fraude
externo, por
usurpación de
identidad
N/A
Firma del
cliente en
carta y
voucher
Control
necesario de
crear
14Backoffice 2
TelemercadeoDiario
Revisa papeleríaque liquida
mensajero al
haber entregado
cheque, así como
recibe los que no
se entregaron, y
actualiza el
control de excel
Llevar el
control de lo
que se entregó
y de lo que
está pendiente
de entregarse
N/A
Control de
Excel y
resguardo de
papelería
liquidada.
Mejorar control,
se debe
realizar de
forma cruzada
IdCtrol
1
Controles Previos y Sugeridos a Mitigación
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 152/163
141
Mitigación de Riesgos Operativos Matriz de Mitigación
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de mitigación : 08/jul/2014
Fecha de última actualización de mitigación: 08/jul/2014
Nombre Unidad: Extrafinanciamientos TC
Planes de Mitigación
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
No.Tarea
IDCtrolRef
Descripción de la Tare aReduceVuln?S/N
ReduceSev?S/N
PesoEquivalente (Del 100%)
ResponsableFecha de
InicioFecha de
Finalización
% AvanceReal
(Base 100%)
Fecha de laEvaluación
1 2
Coordinar reunión con el proveedor del
s istema Nice, para validar y mejorar la
grabación de llamadas.
S S 35%
José
Malcriado /
Jonathan
Polanco
27-jun-2014 27-jul-2014 0.00% 15-jul-2014
2 4
Implementar carta que contenga los
detal les del extrafinanciamiento, para
que los c lientes tengan elmismo ysea
firm ad o, q ue da nd o e n re sg ua rd o la
carta firm ada por el cliente, com o
re sp ald o a dicio na l a la lla ma da . L a
impresión la debe hacer el ejecutivo de
la llamada.
S S 15%
José
Malcriado /
Jonathan
Polanco
27-jun-2014 03-jul-2014 0.00% 15-jul-2014
3 7
Realizar una última revis ión por par te
de la Jefatura de Extrafinanc iamiento
de la gerencia de Te lemercadeo de lo
registrado en el POS vs control y
archivo consolidado de extras, antes de
enviarlo al área de Contabilidad
S S 15%
José
Malcriado /
Jonathan
Polanco
27-jun-2014 03-jul-2014 0.00% 15-jul-2014
4 10
Mejorar el control de envíoy entrega de
cheques de extrafinanciamiento, crear
revisión de datos de la carta impresa vs
archivo y control central izado vs datos
del cheque antes de que e l cheque se
entregue a Mensajería, esto real izado
por el auxiliar administrativo de
Telemercadeo
S N 10%
José
Malcriado /
Jonathan
Polanco
27-jun-2014 03-jul-2014 0.00% 15-jul-2014
5 Todos
Mejorar y definir los detal les, políticas y
procedimientos del extrafinanciamiento
y pu blicarlo en QSI, incluyendo el
flujograma.
S S 25% osé Malcriado 13-jul-2014 30-s ep-2014 0.00% 15-jul-2014
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 153/163
142
Mitigación de Riesgos Operativos Matriz de Mitigación
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de mitigación : 08/jul/2014
Fecha de última actualización de mitigación: 08/jul/2014
Nombre Unidad: Extrafinanciamientos TC
Planes de Mitigación
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
No.Tarea
IDCtrolRef
Descripción de la TareaReduceVuln?S/N
ReduceSev?S/N
PesoEquivalente (Del 100%)
ResponsableFecha de
InicioFecha de
Finalización
% AvanceReal
(Base 100%)
Fecha de laEvaluación
Extra 8
Coordinar con Contabilidad TC y
Te lemercadeo para dete rminar una
m ejor revis ión de los clientes de
extrafinanciam iento. El área de
Contabi lidad debe implementar una
mejor forma de revisión, pues en global
pueden aprobar m uchos errores y
posibles fraudes.
S S
Verónica
Quezada /
Luis Morales
/
Hugo Leiva
27-jun -2014 14-jul -2014 0 .00% 15-jul-2014
Extra 13
Cotizar y realizar compra de cámaras
fotográficas digitales a los mensajeros,
para evitar la falta de copia del
documento de identifación.
S N
Verónica
Quezada /
José
Malcriado
27-jun -2014 14-jul -2014 0 .00% 15-jul-2014
TAREAS ADICIONALES RELACIONADAS CON OTRAS AREAS QUE NO AFECTAN CALIFICACIÓN
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 154/163
143
No.Tarea
IDCtrolRef
Descripción de la Tare aReduceVuln?
S/N
ReduceSev?S/N
PesoEquivalente (Del 100%)
ResponsableFecha de
InicioFecha de
Finalización
% AvanceReal
(Base 100%)
Fecha de laEvaluación
1 Identificar los puestos críticos de la Gerencia S N 10% José Malcriado 28-jun-2014 28-jul-2014 0.00% 04-ene-2015
2
Validar que no existan usuarios duplicados
activos o no activos y de personal de baja.
De ex istir estos usuarios, gestionar la
eliminac ión a través de UMS, además de
inf ormar a Riesgo Operativo sobre la
detección de dicho usuario.
S S 10% José Malcriado 28-jun-2014 14-ago-2014 0.00% 04-ene-2015
3
Analizar la funcionalidad de las opciones de
cada rol, coordinando esta actividad con el
área de Riesgo Operativo para obtener su
Vo.Bo., así como el personal incluido en dicho
rol.
S S 40% José Malcriado 28-jun-2014 10-oct-2014 0.00% 04-ene-2015
4
Actualizar los descriptores de puesto y
designar un nombre al rol que se adecué a la
actividad, incluyendo las opciones que debetener cada rol, en f uncionalidad a sus
actividades autorizadas, además de colocar el
motivo por el cuál es necesaria tal opción.
Centralizarlo por medio de un correo a RRHH
S N 40% José Malcriado 28-jun-2014 31-dic-2014 0.00% 04-ene-2015
Extra
Coordinar Auditoría Interna y el área de
Telemercadeo, para revisar el progreso de las
tareas asignadas
S SJosé Malcriado /
Chino Moreno27- jun-2014 31-dic-2014 0.00% 14-oct-2014
Extra
Auditoría Interna debe de revisar
semestralmente los accesos autorizados por
las gerencias, para validar el cumplimiento de
dicha revisión
S S Chino Moreno 27-jun-2014 31-dic-2014 0.00% 14-oct-2014
TAREAS ADICIONALES RELACIONADAS CON OTRAS AREAS QUE NO AFECTAN CALIFICACIÓN
Mitigación de R iesgos Operativos Matriz de Mitigación
Auditor: Sergio Quiñonez
Revisor ARO: David Hernández
Revisor CRO: Verónica Quezada
Fecha de ejercicio de mitigación : 08/jul/2014
Fecha de última actualización de mitigación: 08/jul/2014
Nombre Unidad: Extrafinanciamientos TC
Planes de Mitigación
Nombre Empresa: Banco de Saturno, S.A.
Nombre Gerencia: Telemercadeo
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 155/163
144
4.14 Informe final de auditoría interna de riesgo operativo con base a
requerimiento de comité de riesgo operativo
INFORME DE RIESGOS OPERATIVOS IDENTIFICADOS Y SUS
MITIGACIONES DE LA GERENCIA DE TELEMERCADEO
Guatemala, 31 de julio de 2014
SeñoresCOMITÉ DE RIESGO OPERATIVOBANCO DE SATURNO, S.A.Presente
Se ha efectuado la identificación de riesgos en la gerencia de telemercadeo,
evaluando su vulnerabilidad y severidad, así como los controles internos
relacionados, sobre los procedimientos relacionados en el área de
extrafinanciamientos, hasta el mes de julio 2014. El contenido de dicho Informe
es responsabilidad de la gerencia de telemercadeo, con respaldo de la auditoría
de riesgo operativo.
La responsabilidad de la auditoría de riesgo operativo, propia de la entidad,
consiste en emitir conclusiones sobre la consistencia y fiabilidad de los datos
cuantitativos, controles internos y mejoras a los procesos incluídos en dicho
informe, en función de los trabajos de verificación y el alcance que describimos
en las secciones siguientes. Debe tenerse en cuenta que el presente informe no
tiene la intención de evaluar, ni evalúa, el desempeño de Banco de Saturno,
S.A. con relación con la sustentabilidad, estabilidad y liquidez que presente la
entidad.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 156/163
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 157/163
146
Se examinó, sobre bases muéstrales, los controles y procedimientos, a través
de:
Identificación de riesgos principales y evaluación del proceso crítico
Revisión de los sistemas, procesos y procedimientos de recopilación, de
consolidación y de reporte de datos;
Verificación, de los controles y riesgos incluídos en los procesos así
como sus mitigantes.
La gerencia de telemercadeo aceptó todas las recomendaciones, actividades y
los dos planes de mitigación indicados en la matriz de mitigación (véase anexo:
matriz de mitigación), de tal manera que se definieron fechas de compromiso y
responsabilidades, contando con el apoyo de otras áreas para la mitigación de
los riesgos principales.
Conclusión
Con base en el trabajo efectuado, descrito en este informe, no ha llamado
nuestra atención algo que nos haga pensar que la aseveración realizada por lagerencia de telemercadeo del Banco de Saturno, S.A., no pueda cumplir con lo
requerido en los planes de mitigación, para la mejora de los controles internos y
que estos sean efectivos, en todos los aspectos importantes, con base en los
criterios utilizados y según lo requerido por la Superintendencia de Bancos.
Wiiliam David de la Riva Hernàndez
Jefe de Auditoría de Riesgo Operativo
Guatemala, 31 de julio de 2014
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 158/163
147
CONCLUSIONES
1. La hipótesis planteada en la investigación fue comprobada, confirmándolo
en el desarrollo textual de la realización de la auditoría de riesgo
operativo en el área de telemercadeo de una entidad bancaria, puesto
que la metodología beneficia a la institución en la identificación de
riesgos, el acompañamiento y apoyo a la unidad funcional en la
evaluación y mitigación de riesgos principales, además de agilizar y
dirigir la asignación de recursos y la coordinación de tareas a las demás
áreas involucradas de la institución, propiciando una mejora de procesos
y evitando perdidas de miles por temas de fraude y errores operativos.
2. Las entidades bancarias están cumpliendo con todo lo relacionado a
riesgos según el requerimiento de la Superintendencia de Bancos de
Guatemala, sin embargo, la misma solamente solicita el cumplimiento,
pero no proporciona una metodología de cómo aplicarlo y ejecutarlo,
ocasionando que las entidades bancarias lo gestionen de tal manera queno pueda aprovecharse al máximo y que no se otorgue la importancia
adecuada.
3. Algunas entidades bancarias a nivel nacional, se han dado cuenta de la
importancia que tiene la gestión de la Auditoría enfocada en Riesgo
Operativo, por lo que han creado la estructura y las herramientas
necesarias para ejecutar de una mejor forma la auditoría, en base a los
lineamientos generales de una auditoría interna, sin embargo existen
detalles que los obliga a tomar su propio criterio, sin alguna normativa o
lineamiento que logre llenar esos puntos inexistentes.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 159/163
148
4. A nivel de educación superior, las universidades imparten cursos de
auditoría dentro del pensum de estudio, sin embargo por las limitaciones
de tiempo, estos cursos impartidos no se adecuan a lo esperado y
necesitado por los estudiantes universitarios y por la empresas
guatemaltecas, ocasionando que los estudiantes realicen sus actividades
laborales sin un conocimiento a profundidad, asumiendo el riesgo de
cometer algún error y responsabilizarse por las consecuencias del
alcance.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 160/163
149
RECOMENDACIONES
1. Las entidades bancarias deben de implementar la metodología de riesgo
operativo, asignando dichas funciones a un área en específico, la razón
fundamental es el lograr evitar pérdidas económicas, además de obtener
beneficios y mejoras en menor tiempo, conocer los riesgos principales en
los procesos, y asignar los recursos necesarios, para obtener el
crecimiento sostenido deseado.
2. La Superintendencia de Bancos de Guatemala debe de acompañar y
apoyar a las entidades bancarias en el cumplimiento de las normativas,
además de realizar su labor de ente supervisor, con la finalidad de
determinar criterios y metodologías adecuadas, y lograr unificar los
mismos, para simplificar su labor de supervisión además de lograr una
mejora y aprovechamiento de conocimientos en las entidades bancarias
nacionales.
3. Las instituciones locales y comités internacionales que indican los
estatutos y lineamientos de las auditorías, deben de definir conceptos,
metodologías y formas de ejecución para la auditoría interna enfocada en
riesgo operativo, y lograr la estandarización de conocimientos en todos
los niveles.
4. Las universidades deben de evaluar el pensum impartido a los
estudiantes, para determinar que cursos son necesarios en las facultades
de Contaduría Pública y Auditoría, para priorizar e impartir más cursos
útiles a los estudiantes, desechando y modernizando cursos que sean
obsoletos en conocimientos.
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 161/163
150
REFERENCIAS BIBLIOGRÁFICAS
1. BAC | Credomatic. E. 2010. Política de Administración de Riesgos
Operativos. Guatemala, Guatemala
2. BAC | Credomatic. E. 2010. Riesgo Operativo Regional: Aprender a
enseñar: Gestión de Riesgo Operativo. San José, Costa Rica
3. Comité de Supervisión Bancaria de Basilea. Marco Basilea II:
Convergencia Internacional de Medidas y Normas de Capital. Basilea,Suiza. Págs. 208 -221
4. Congreso de la República de Guatemala. Decreto No. 19-2002. 2002
“Ley de Bancos y Grupos Financieros y sus reformas”
5. Instituto Guatemalteco de Contadores Públicos y Auditores. “Guías de
Auditoría Interna”.
6. Junta Monetaria de Guatemala. Resolución JM-56-2011. 2011
“Reglamento para la Administración Integral de Riesgos”.
7. Normas Internacionales de Auditoria (NIAS), Consejo de normas
internacionales de auditoría y aseguramiento (IAASB), NIA 400
Evaluación de Riesgos y Control Interno, Edición 2010
8. Superintendencia de Bancos de Guatemala. “Folleto ABC de Educación
Financiera” p. 11, 42 – 43,
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 162/163
151
9. Superintendencia de Bancos y Entidades Financieras de Bolivia. Glosario
de Términos de los Acuerdos de Capital de Basilea I y Basilea II. Primera
Edición: Diciembre de 2010. 301p.
10. The Institute of Internal Auditors. Estados Unidos de Norteamérica. 2012
“Normas Internacionales para el Ejercicio Profesional de la Auditoría
Interna”.
WEBGRAFÍA
11. Asesoría Contabilidad Puntual. “Normas Internacionales para el Ejercicio
de la Auditoría Interna (NIEPAI)”. Consultado el: 28/02/2014. Recuperado
en: http://asesoria.contapuntual.net/?p=741
12. Bank for International Settlements (BIS). Recuperado en:
http://www.bis.org/
13. Definición de Procedimiento. “Procedimiento”. Consultado el 4/11/2013.
Recuperado en: Definición de procedimiento - Qué es, Significado y
Concepto http://definicion.de/procedimiento/#ixzz2jpiBE0Xk
14. Instituto de Auditores Internos de Argentina. “Definición Auditoría Interna”.
Consultado el 5/02/2014. Recuperado en:
https://www.iaia.org.ar/?ID=definicionauditoríainterna
15. Mercado Tendencias.Com. “Los nuevos Conceptos Control Interno-
COSO II”. Consultado el 29/10/2013. Recuperado en:
http://www.mercadotendencias.com/informe-coso-definicion-de-control-
interno/
8/16/2019 TESIS SERGIO LOMBARDO Formateado 160815 (Final Final Final) (2)
http://slidepdf.com/reader/full/tesis-sergio-lombardo-formateado-160815-final-final-final-2 163/163
152
16. Normateca “Evaluación Control Interno”. Consultado el 4/02/2013.
Recuperado en: sibate-cundinamarca.gov.co/apc-
aa.../evaluacion_control_interno.do
17. Superintendencia de Banca, Seguros y AFP. http://www.sbs.gob.pe/
18. Superintendencia de Bancos de Guatemala. https://www.sib.gob.gt