View
213
Download
0
Category
Preview:
Citation preview
+
UNIVERSIDAD SIMÓN BOLÍVAR
DECANATO DE ESTUDIOS DE POSTGRADO
COORDINACIÓN DE POSTGRADOS EN GERENCIA
ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE
MARÍA DEL CARMEN ALLONES ALONSO
Caracas, Junio 2007
2
UNIVERSIDAD SIMÓN BOLÍVAR
DECANATO DE ESTUDIOS DE POSTGRADO
COORDINACIÓN DE POSTGRADOS EN GERENCIA
ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE
Informe final del diseño, ejecución y evaluación de un sistema de administración
de matrices de riesgo para optimizar el proceso de planificaciòn anual de
auditorias, presentado a la Universidad Simón Bolívar
por Maria del Carmen Allones Alonso
como requisito parcial para optar al título de Especialista en Gerencia de
Empresas, realizado con la tutoría del ingeniero Freddy Márquez
Caracas, Junio del 2007
3
+
UNIVERSIDAD SIMÓN BOLÍVAR
DECANATO DE ESTUDIOS DE POSTGRADO
ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO
EN LA DIRECCION DE AUDITORIA DE BANCARIBE
Este trabajo especial de grado ha sido aprobado en nombre de la Universidad Simón Bolívar por el siguiente jurado examinador:
___________________
Jurado
___________________
Tutor Freddy Márquez
Caracas, Junio de 2007
4
DEDICATORIA Y AGRADECIMIENTOS
Dedico este trabajo a mi esposo e hijos quienes han sido el apoyo en todos los
pasos de mi vida en los últimos años, y el cual no sería sencillo lograr todas las
metas y objetivos que siempre estoy tentada de lograr. Gracias por su
comprensión y entender que durante algunos momentos no pude estar con
ustedes por estar logrando mis objetivos.
Gracias a BANCARIBE, especialmente a todo el personal de la Dirección de
Auditoría, que me brindó la oportunidad de desarrollar este proyecto y me
dieron toda su colaboración y confianza.
Agradezco también a mi tutor académico y amigo Ing. Freddy Márquez, porque
siempre está seguro que puedo lograr todo lo que me propongo y por su
constante apoyo y motivación.
Quiero también agradecer al profesorado de la Universidad Simón Bolívar y a
mis compañeros de estudio por compartir conmigo sus conocimientos y
experiencias, las cuales han sido muy enriquecedoras y fuente constante de
inspiración.
Por último, gracias a mis familiares y amigos que siempre estuvieron
convencidos de que podía lograrlo.
A todos gracias.
5
RESUMEN
El propósito del presente trabajo fue desarrollar un sistema de gestión de matrices de riesgo para apoyar a la Dirección de Auditoría de Bancaribe que permitiera optimizar las herramientas de riesgo utilizadas en sus procesos de planificación. Para ello se realizaron levantamientos de información con todo el personal de la Dirección de Auditoría y se analizaron los resultados de dichos levantamientos, los cuales permitieron identificar las debilidades y fallas existentes en los procesos existes, y determinar las oportunidades de mejora que podían ser implantadas para optimizar los procesos definidos para elaborar el plan anual de auditoría, y así garantizar que sean evaluados los principales riesgos que pudieran afectar negativamente la operación de la empresa y permitir así el monitoreo y seguimiento constante de los aspectos medulares y críticos del negocio. Este proceso implicó diseñar los requerimientos detallados de los usuarios y el diseño de un sistema que permite administrar de manera eficiente las matrices de riesgo, para lo cual se definieron las especificaciones y requisitos de la Dirección de Auditoría y el diseño de los procedimientos requeridos para la inclusión y administración de información en el sistema. Adicionalmente, fueron consideradas las normas y políticas existentes en la Organización que regulan el desarrollo de sistemas y aplicaciones y las relacionadas con Seguridad de la información. Palabras claves: auditoría, matrices de riesgo, plan anual, oportunidades de mejora, sistema.
Fecha de Inicio:
Fecha de culminación:
Estudiante:
Tutor:
6
INDICE
Hoja de Aprobación ii
Dedicatorias y agradecimientos iii
Resumen iv
Indice v
Introducción vii
FASE DE PLANIFICACION
1
Capítulo I: El proyecto de trabajo especial de grado
I. Justificación II. Objetivos de estudio III. Metodología IV. Cronograma de ejecución
2 2 4 5 7
FASE DE EJECUCION
9
Capítulo II: Marco Conceptual Referencial. 2.1. Fundamentos Conceptuales 2.2. Análisis de riesgo en el proceso de planificación 2.3. La función de Control Interno
10 10 14 16
Capítulo III: Marco Organizacional 3.1. La Organización BANCARIBE 3.2. La Dirección de Auditoría 3.3. Situación
23 23 27 28
Capítulo IV: El examen de la situación 4.1. Propósitos del proceso
31 31
7
Capítulo V: Diseño de la propuesta 5.1. Justificación de la propuesta 5.2. Objetivos de la propuesta 5.3. Resultados de los levantamientos de informacilón 5.4. Oportunidades de mejora 5.5. Diseño del formato de matrices propuesto 5.6. Diseño del sistema propuesto
36 36 37 37 39 40 43
Capítulo VI: El proceso de aplicación de la metodología 6.1. Aplicación de la metodología 6.2. Presentación de la propuesta 6.3. Diseño del proceso de gestión de cambio
64 64 70 70
FASE DE EVALUACION
72
Capítulo VII: Evaluación del proyecto 7.1. Resultados relevantes 7.2. Comparación entre lo planificado y lo ejecutado 7.3. Revisión sobre el cronograma 7.4. Logro de los objetivos planteados en la propuesta del estudio
73 73 75 75 77
Capítulo VIII: Conclusiones y Recomendaciones 8.1. Conclusiones 8.2. Recomendaciones
79 79 80
Referencias
82
8
INTRODUCCIÓN
Los sistemas de información son un conjunto de programas interrelacionados, que
forman un conjunto de actividades para alcanzar un objetivo y facilitar la ejecución
de las operaciones y funciones dentro de una unidad u organización.
Por otra parte los sistemas de información también reducen los tiempos de
ejecución, mejora los métodos de acceso a la información y proporciona un control
eficiente de los datos.
De esta forma el sistema de información diseñado para administrar las matrices de
riesgo de la Dirección de Auditoría BANCARIBE, tiene como propósito mejorar
los procesos de creación y mantenimiento de las matrices, para así apoyar de
manera adecuada durante la planificación de anual de la Dirección.
Adicionalmente, este sistema pretende que los usuarios obtengan acceso rápido a
toda la información manejada y evitar inconsistencias en los datos, esto redunda en
la mejora de los procesos y en que los recursos sean destinados efectivamente a
aquellos elementos de riesgo relevante para la Organización.
Este informe contiene una serie ordenada de elementos teóricos y metodológicos
que fueron ejecutados para elaborar el diseño del sistema de gestión de matrices de
riesgo.
9
__________________________________________________________________
FASE DE PLANIFICACIÓN
_________________________________________________________________
CAPITULO I: EL PROYECTO DE TRABAJO ESPECIAL DE GRADO
10
CAPITULO I
EL PROYECTO DE TRABAJO ESPECIAL DE GRADO
En las páginas siguientes se expone el Proyecto de trabajo Especial de Grado
presentado a las instancias correspondientes. Se expone la Justificación, los
objetivos, la metodología establecida y el cronograma de ejecución planificado.
I. JUSTIFICACION.
Las normas internacionales de Auditoria definen a la auditoria interna como “una
actividad independiente y objetiva de aseguramiento y consulta, concebida para
agregar valor y mejorar las operaciones de la organización”
(http://www.jps.go.cr/licitaciones/metodología de desarrollo de sistemas.doc,
consultado el 19/09/2006).
El desarrollo de la Auditoria interna fue fomentado por el creciente tamaño y
descentralización de las organizaciones, la gran complejidad y sofisticación
tecnológica de sus operaciones y la necesidad de contar con medios
independientes y objetivos que apoyen al negocio en el cumplimiento de sus
objetivos del negocio, aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y
gobierno
El área de Auditoria del Bancaribe realiza una actividad de evaluación de forma
independiente y objetiva, a fin de revisar los controles y operaciones como
servicio a la alta administración, es decir, “sirve de apoyo a la Junta Directiva
11
en sus funciones de vigilancia, seguimiento y control” (Reglamento de Régimen
Interno de la Junta Directiva Bancaribe.”, marzo 2006, pág 13).
Para lograr sus objetivos, la Unidad de Auditoria aplica una metodología de
planificación basada en la administración integral de riesgos, que consiste en
identificar los objetivos del negocio, los procesos del mismo y los riesgos
potenciales a los que podría estar expuesto (Metodología de planificación basada
en riesgo de la Dirección de Auditoria Bancaribe).
Para realizar ésta planificación, la Unidad debe contar las matrices de riesgo que
les permitirá identificar los posibles riesgos a ser evaluados, a partir de esta
herramienta los auditores podrán identificar los procesos, actividades, sistemas o
áreas a ser auditadas, y con ello elaborar un efectivo plan de trabajo que permita
un monitoreo continuo del entorno del negocio.
La Dirección de Auditoria, a través de las diferentes gerencias que la integran
deben realizar cada año la planificación de las auditorias que serán desarrolladas
en cada semestre, para esto debe contar con una matriz que le permita identificar
los posibles riesgos a ser evaluados, de acuerdo a lo establecido por la Alta
Administración y los organismos reguladores. Basado en el análisis de riesgo, el
plan anual ayuda a desarrollar evaluaciones que permiten identificar los riesgos
potenciales a los que pudieran estar expuestas las distintas unidades de negocios
(Manual de normas y procedimientos de la Dirección de Auditoria Bancaribe)
Actualmente las matrices de Riesgo se construyen y manipulan de forma
individual y aislada por cada una de las gerencias que componen el área de
Auditoria, y se gestionan y administran a través de hojas de trabajo elaboradas
en Excel, herramienta que no permite centralizar la información en una sola base
de datos, incluir nuevos datos que faciliten al auditor elaborar el plan de trabajo
y manejar mayor volumen de información de la mencionada matriz.
12
Adicionalmente, la herramienta no permite un control preciso de las matrices y
no se dispone de un estándar para su elaboración.
Por lo expuesto anteriormente, aparentemente, urge el diseño de una herramienta
tecnológica para automatizar la elaboración y administración de las matrices de
riesgo que permita incluir, modificar, consultar y eliminar datos, así como
también administrar la actualización de las matrices de manera centralizada para
hacer más eficiente y eficaz el proceso de planificación.
En ese contexto, con el presente Trabajo Especial de Grado se espera diseñar
un sistema de Información para Administrar las Matrices de Riesgo que
permitirá tener normas y datos concretos de todo el proceso y así elaborar un
efectivo plan anual de Auditoria y obtener los procesos, sistemas y áreas a los
que deben enfocarse los esfuerzos del área.
II. OBJETIVOS DEL ESTUDIO.
Durante la ejecución del proyecto de trabajo especial de grado se plantearon los
siguientes objetivos:
a) General: Diseñar un sistema de gestión para administrar las matrices de
riesgo para la Dirección de Auditoria del Bancaribe.
b) Específicos:
• Efectuar un diagnóstico de la situación actual del proceso de elaboración y
mantenimiento de las matrices de riesgo de la Dirección de Auditoria;
13
determinando las oportunidades de mejora en el proceso de elaboración del
plan de auditoria.
• Elaborar una propuesta de sistema de gestión de matrices de riesgo;
definiendo los procedimientos requeridos para la inclusión y actualización
de las matrices de riesgo en el sistema.
• Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad
de su implantación.
III. METODOLOGÍA.
Para el logro de los objetivos propuestos se establecieron los siguientes pasos:
3.1. Elaborar el Marco Conceptual Referencial: Tomando como base
bibliografía especializada en el área de Auditoría, contenida en la página web
del Instituto de Auditores Internos (www.theiia.org), en la cual se revisó la
documentación relacionada con las normas internacionales de auditoría y
mejores prácticas en materia de administración y gestión de riesgos, entre las
que se encuentran el Convenio de Basilea, el marco de control interno (Coso y
Coco) y el modelo de evaluación de riesgos. Esta revisión permitió comprender
el alcance y los objetivos de control que se persiguen con las evaluaciones
basadas en riesgo, de acuerdo a su impacto en la organización y la probabilidad
de ocurrencia.
3.2. Elaborar el Marco organizacional: Con base a la información contenida
en la página web de la empresa “www.bancaribe.com.ve” y al manual de normas
y procedimientos de la Dirección de Auditoría Bancaribe se determinó presentar
14
una reseña histórica de la empresa, su misión, visión, valores y objetivos, así
como también la estructura organizativa de la institución y de la Dirección de
Auditoría.
3.3. Elaborar el diagnóstico de la situación actual: Para realizar el examen de
la situación se dispuso cumplir con las siguientes tres etapas:
a) Determinar el procedimiento a ser utilizado para recopilar y analizar la
información relacionada con los procesos y metodologías actuales aplicadas en
Auditoría. Para esto se efectuaron entrevistas y levantamientos de información
con todos los involucrados en estos procesos y se definieron los mecanismos que
se utilizarán para presentar los resultados del análisis.
b) Identificar las oportunidades de mejora de los procesos de acuerdo a la
evaluación de los resultados del diagnóstico de la situación actual con la
finalidad de determinar los aspectos que pueden ser mejorados, y la manera en
que los mismos serán incluidos en la definición de requerimientos detallados.
c) Definir los requerimientos detallados, en función a las necesidades de los
usuarios y las funciones especiales que debe realizar el sistema, así como
también la interrelación entre las actividades de los diferentes niveles del área de
Auditoría. Adicionalmente se deben propuso incluir los requerimientos
relacionados con el flujo de los datos en el sistema, o sea cuáles son las entradas,
salidas, esquemas de almacenamiento y procedimientos funcionales para el uso
del sistema.
15
3.4. Elaborar la propuesta para el sistema de gestión de matrices: La
elaboración de la propuesta implicó el desarrollo de las siguientes dos fases:
a) La primera cuyo objeto propuesto fue elaborar el diseño del sistema de
información que satisfaga los requerimientos, restricciones y atributos
establecidos por los usuarios en la fase anterior. Partiendo, para ello, de un
prototipo, es decir un modelo lógico que muestra claramente la interacción entre
los usuarios y el sistema y se definen qué procesos son manuales y cuáles
automáticos, lo cual permite aumentar la comprensión del problema y en qué
medida es solventado por el sistema.
b) En la segunda se estableció definir el proceso de gestión de cambio, el cual se
propuso que contemplaría el diseño de una propuesta para la redefinición de los
procesos que deben ser implantados para el adecuado uso del sistema.
Asimismo, la definición de los adiestramientos que deben ser impartidos para
vencer la resistencia al cambio y lograr una adaptación fácil y ágil a los nuevos
esquemas.
3.5. Evaluar la propuesta: La propuesta o prototipo del sistema se presentaría a
los responsables de la Dirección de Auditoría para su revisión y aprobación. En
esta presentación se permitiría determinar la viabilidad de la propuesta de
acuerdo a las expectativas de los usuarios y de los recursos de los que se
dispone, así como también el análisis del impacto de la instalación del sistema.
IV. CRONOGRAMA DE EJECUCION.
Para el cumplimiento de los pasos definidos en la metodología se estableció
cumplir el siguiente cronograma:
16
Actividad Tiempo
Estimado
Fecha Probable
Elaborar el Marco Conceptual
Referencial
3 día 01/12/2006
Elaborar el Marco organizacional 3 día 06/12/2006
Elaborar el diagnóstico de la
situación actual
5 días 11/12/2006
Identificar las oportunidades de
mejora de los procesos
5 días 18/12/2006
Definir requerimientos detallados 5 días 26/12/2006
Elaborar la propuesta para el
sistema de gestión de matrices
10 días 03/01/2007
Evaluación de la propuesta 1 día 09/01/2007
Diseñar el proceso de gestión de
cambio
5 días 17/01/2007
Evaluación del Proceso 1 día 23/01/2007
Elaboración del informe final de
grado
10 días 24/01/2007
17
__________________________________________________________________
FASE DE EJECUCIÓN
__________________________________________________________________
CAPITULO II: MARCO CONCEPTUAL REFERENCIAL
CAPITULO III: MARCO ORGANIZACIONAL
CAPITULO IV: EXAMEN DE LA SITUACIÓN
CAPITULO V: DISEÑO DE LA PROPUESTA
CAPITULO VI: EL PROCESO DE APLICACIÓN DE LA METODOOGÍA
18
CAPITULO II
MARCO CONCEPTUAL REFERENCIAL
Como Marco Conceptual del trabajo se presentan los fundamentos conceptuales
relativos a la gestión de la Auditoría Interna, el análisis de riesgos en el proceso de
planificación y la función de control interno, concluyendo con el marco de control
establecido por el modelo COSO.
2.1. FUNDAMENTOS CONCEPTUALES
2.1.1. Misión de la Auditoría Interna:
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos
de gestión de riesgos, control y gobierno. Asimismo, la función de auditoría está
regida por las normas internacionales para el ejercicio de la práctica, las cuales son
promulgadas por el Instituto de Auditores Internos (The Institute of Internal
Auditors), el cual se encarga, además, de emitir pronunciamientos para impartir el
entendimiento de los roles, responsabilidades de la auditoría interna, de su
constitución e inclusive de las guías para la medición de su desempeño.
2.1.2. Concepto de matrices de riesgo:
“Una matriz de riesgo es una herramienta de control y de gestión normalmente
utilizada para identificar las actividades (procesos y productos) más importantes de
una institución financiera, el tipo y nivel de riesgos inherentes a estas actividades y
19
los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo).
Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada
gestión y administración de los riesgos financieros, operativos y estratégicos que
impactan la misión de la organización”.
(http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248, consultado
el 15/03/2007).
2.1.3. Alcance de la Auditoría Interna:
El alcance del trabajo de Auditoría Interna es determinar si la administración de
riesgos, control y el proceso de gobierno está diseñado y representado por la
Administración, así como también que sea adecuado y que permita asegurar que:
• Los riesgos son identificados y administrados.
• La información financiera es exacta, confiable y oportuna
• Exista apego a las políticas y procedimientos
• Los programas, planes y objetivos son llevados a cabo.
2.1.4. Responsabilidad de la Auditoría Interna:
El Director de auditoría interna en el ejercicio de su función tiene las siguientes
responsabilidades:
• Desarrollar un plan de auditoría flexible, usando una metodología apropiada y
basada en riesgo, que permita evaluar la efectividad de los procesos de la
Organización, incluyendo las preocupaciones de los auditados. Este plan debe
ser aprobado por el Comité de Auditoría.
• Implementar el plan antes mencionado.
• Reportar los asuntos identificados durante los trabajos, incluyendo sugerencias
de mejoramiento a los mismos.
20
• Mantener un equipo de auditores con suficientes conocimientos, experiencia
para cumplir con las necesidades del departamento (en función del plan y los
estatutos)
2.1.5. Independencia y Objetividad de Auditoría Interna:
La objetividad y la independencia son las bases esenciales de la función de Auditoría
Interna.
La independencia de un departamento o gerencia describe su nivel de reporte y la
libertad de interferencia de sus funciones, esto en cierta forma define también la
objetividad y sus revelaciones cuando la independencia y objetividad se ven
obstruidas.
La actividad de auditoría interna debe ser independiente de las funciones
administrativas, financieras, operativas y de otra índole, dentro de la organización, así
como también debe estar libre de inherencias al determinar el alcance de sus
evaluaciones, al desempeñar su trabajo y al comunicar sus resultados. No sólo se
requiere ser independiente sino parecerlo.
Para dar independencia a la Unidad de Auditoría, ésta debe tener una línea de reporte
al Comité de Auditoría.
Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos
de intereses, por lo que cualquier impedimento de hecho o en apariencia que afecte la
Independencia u Objetividad se debe dar a conocer a las partes correspondientes.
2.1.6. Autoridad de la Auditoría Interna:
La Auditoría Interna debe estar autorizada por la empresa para:
21
• Tener acceso sin restricciones a todas las funciones, registros, propiedades o
personal de la organización.
• Tener libre acceso al Comité de Auditoría.
• Obtener asistencia del personal de las diferentes unidades donde realizan
auditorías.
2.1.7. El Comité de Auditoría, características y responsabilidades:
Actualmente el papel de un Comité de Auditoría en el fortalecimiento de la posición
de Auditoría se reconoce ampliamente. Un Comité de Auditoría formado por
directores no gerenciales promueve la independencia tanto de los auditores internos
como externos, especialmente cuando selecciona la firma de Auditoría Externa y el
director de Auditoría Interna. Así, un Comité de Auditoría sólido protege a los
auditores de influencias que pudieran comprometer su independencia y objetividad.
Las siguientes son algunas de sus características y responsabilidades:
• Debe estar conformado por Directores no gerenciales.
• La Junta Directiva de cada compañía debe crear y aprobar un estatuto escrito
que describa las obligaciones y responsabilidades del Comité de Auditoría.
• El Comité de Auditoría debe:
o Revisar la independencia de la Auditoría Interna.
o Monitorear el cumplimiento de los códigos de conducta.
o Tener disponibilidad suficiente de recursos.
o Supervisar el proceso de emisión de informes trimestrales.
o Servir de mediador de disputas entre los auditores y la gerencia.
o Seleccionar al auditor externo, revisar sus honorarios y los términos de la
contratación.
o Revisar el plan de trabajo de la auditoría del auditor externo.
o Revisar los resultados de las auditoría internas y externas.
22
o Reunirse regularmente con el Director de Auditoría Interna.
o Revisar las evaluaciones de control interno.
o Revisar los controles operativos, financieros y contables de la empresa.
o Revisar políticas sobre procedimientos no éticos e ilegales.
o Revisar los estados financieros para las Agencias Reguladoras.
( http://www.theiia.org/guidance/standards-and-practices, consultado el 15/03/2007).
2.2. ANÁLISIS DE RIESGOS EN EL PROCESO DE PLANIFICACIÓN
2.2.1. Concepto de riesgo:
Riesgo es la probabilidad de que se materialice cualquier situación negativa que
eventualmente al concretarse pudiera evitar o dificultar que alguno o varios de los
objetivos se logren en la forma y con la oportunidad con que fueron planeados por la
empresa, pudiendo afectar las finanzas de la empresa.
2.2.2. Importancia de la evaluación y administración de riesgos:
Es un axioma común el aceptar que se deben tomar ciertos riesgos para tener éxito en
los negocios y aún para permanecer en el medio. En este sentido, la administración es
la responsable de identificar los riesgos e implantar los controles apropiados que
permitan su adecuado manejo.
Un aspecto fundamental en la evaluación de los riesgos estriba en que no solo es
importante conocerlos sino administrarlos de manera eficiente, esto significa,
determinar cuales eliminar, cuales transferir o reducir y cuales aceptar. Siempre hay
que tener presente la relación de costo beneficio, ya que resulta incosteable tratar de
obtener una seguridad total o absoluta, es decir cero riesgos.
23
Las personas que procesan las operaciones y tienen la responsabilidad de cumplir las
metas y objetivos, son las que mejor conocen los riesgos que pudieran dificultar el
cumplimiento del objetivo correspondiente, por lo que también son los más
capacitados para definir sus causas. Adicionalmente, son quienes pueden precisar las
mejores acciones para administrar dichos riesgos, puesto que también conocen las
condiciones del entorno, los recursos que se podrían asignar al efecto y desde luego,
la oportunidad con que se deben aplicar las respectivas acciones de mejora.
Existen riesgos que pueden ser comunes a varios tipos de organizaciones, sin
embargo el Auditor Interno contribuye con su experiencia y conocimiento a la
definición específica de los riesgos en la organización a la que sirve.
2.2.3. Beneficios de la administración de riesgos:
La administración de riesgos dentro de una empresa permite:
• Identificar aquellos acontecimientos que puedan impactar en la organización
impidiéndole alcanzar sus objetivos.
• Realizar una valoración de los riesgos de la compañía y gestionar su tratamiento
en función del riesgo aceptado en la misma.
• Integrar la gestión de riesgos en los procesos de planificación estratégica de la
compañía, en el control interno y en la operativa diaria de la misma.
• Disponer del portafolio de riesgos a nivel global de la compañía y para cada una
de sus divisiones y/o funciones.
http://www.capgemini.es/sectores/finanzas/riesgos.htm consultado el
20/04/2007
24
http://dmi.uib.es/~bbuades/riesgos/sld003.htm consultado el 20/04/2007
2.3. LA FUNCIÓN DE CONTROL INTERNO
2.3.1. Definición de Control Interno:
En general puede definirse el concepto de control, como una serie de normas,
técnicas, y procedimientos a través de las cuales se mide y corrige el desempeño
de una actividad para asegurar la consecución de los resultados esperados.
El control interno comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada, se adoptan en una entidad para
proteger los activos, asegurar la confiabilidad de la información, promover la
eficiencia operacional y estimular la adherencia del personal a las políticas pre-
establecidas por la dirección.
2.3.2. Fases del proceso de Control:
El proceso de control contempla la ejecución de cuatro fases, las cuales se
mencionan a continuación:
25
2.3.3. Clasificación de los Controles:
Los controles se clasifican según:
• Su Cobertura: generales y específicos.
• Su Naturaleza: manuales y automáticos.
• Su propósito: disuasivos, preventivos, detectivos, correctivos y recuperativos.
• Su estado: implantados, por implantar y descartados.
2.3.4. Estructura de la gestión de control:
La gestión de control contempla tres tipos bien definidos que deben estar bien
diferenciados en las instituciones, y son los siguientes:
26
• Control Estratégico: que debe estar a cargo de la Alta Dirección (Junta
Directiva y Gerencia General).
• Control Táctico: a cargo de la Administración Media (Gerencia Media).
• Control Operativo: a cargo de la Administración Baja (Supervisores).
2.3.5. Componentes del control interno:
Para que exista un adecuado ambiente de control dentro de las instituciones éste
debe contemplar los siguientes aspectos:
� Objetivos definidos.
� Estructura de organización sólida.
� Procedimientos efectivos y documentados.
� Personal competente.
� Sistema de información confiable y oportuna.
� Sistema de seguridad.
� Sistema de Auditoría efectivo.
2.3.6. Enfoques de control - Modelo Coso:
En la evolución de la teoría del control interno se definió en principio a los
controles como mecanismos o prácticas para identificar actividades no
autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan; la
corriente actual define al control como cualquier esfuerzo que se realice para
aumentar las posibilidades de que se logren los objetivos de la organización.
El modelo COSO trata al control interno como un proceso, efectuado por el
Consejo de Administración, la dirección y demás personal de una entidad,
27
concebido para proporcionar aseguramiento razonable respecto del
cumplimiento de los objetivos relacionados con:
� Confiabilidad de la información financiera: Se relaciona con la preparación
de estados financieros confiables
� Eficacia y eficiencia de las operaciones: Relacionado con los objetivos del
negocio incluyendo el desempeño y metas de rentabilidad
� Cumplimiento de leyes y regulaciones: Se relaciona con el cumplimiento de
las leyes y las regulaciones a las cuales está sujeta la entidad
Para este modelo, el control interno es:
� El corazón de una organización.
� La cultura, las normas sociales y ambientales que la gobiernan.
� Los procesos del negocio (los mecanismos por medio de los cuales una
organización produce bienes y/o servicios de valor agregado).
� La infraestructura, la tecnología de la información, las actividades, las
políticas y los procedimientos.
2.3.7. Componentes de control del Modelo Coso:
En la evolución de la teoría del control interno se definió
28
• Ambiente de control: Se refiere a la “conciencia” de control de la
organización y sus principales factores son:
o Integridad y valores éticos.
o Compromiso y competencia profesional.
o Filosofía de la Dirección y estilo de gestión.
o Estructura de la Organización.
o Asignación de autoridad y responsabilidad.
o Políticas y prácticas del recurso humano.
• Establecimiento de objetivos: Los objetivos deben existir antes de que la
administración pueda identificar potenciales eventos que afecten su
consecución.
29
• Identificación de eventos: Los acontecimientos externos o internos que
pudieran afectar a los objetivos de la institución deben ser identificados,
diferenciando entre riesgos y oportunidades.
• Respuesta al riesgo: La administración selecciona las posibles respuestas al
riesgo (evitar, aceptar, reducir o compartir), desarrollando una serie de acciones
para alinearlas con el riesgo aceptado y las tolerancias al riesgo de la
institución.
• Evaluación de riesgos: Es la identificación y análisis de los riesgos que se
relacionan con el logro de los objetivos, la administración debe cuantificar su
magnitud, proyectar su probabilidad y sus posibles consecuencias. Se debe
prestar especial atención a:
o Los avances tecnológicos.
o Los cambios en los ambientes operativos.
o Las nuevas líneas de negocio.
o La reestructuración corporativa.
o La expansión o adquisiciones.
o El personal de nuevo ingreso.
o El rápido crecimiento.
• Actividades de control: Ocurren a lo largo de la organización, en todos los
niveles y todas las funciones, incluyendo los procesos de aprobación,
autorización, conciliaciones, etc. Estas actividades deben ser apropiadas para
minimizar los riesgos y deben incluir los siguientes aspectos:
o Las revisiones de desempeño.
o Análisis de indicadores.
30
o El análisis de indicadores de desempeño.
o El procesamiento de información.
o Los controles físicos.
o La separación de funciones.
• Información y Comunicaciones: Se debe generar información relevante y
comunicarla oportunamente, de tal manera que permita a las personas
entenderla y cumplir con sus responsabilidades. Las comunicaciones pueden
ser:
o Formales o informales.
o Vertical u horizontal.
• Monitoreo: Los controles internos deben ser monitoreados constantemente para
asegurarse que el proceso se encuentra operando como se planeó y comprobar
que son efectivos ante los cambios de las situaciones que les dieron origen. El
alcance y la frecuencia del monitoreo depende de los riesgos que se deseen
cubrir.
http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007
http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el
19/03/2007
31
CAPITULO III
MARCO ORGANIZACIONAL
Como Marco organizacional del presente trabajo, se desarrollará la descripción de la
Organización para la cual se realizó la propuesta de mejora, el detalle de la
composición y estructura organizativa de la Dirección de Auditoría y una breve
reseña de la situación que presenta esta Unidad.
3.1. LA ORGANIZACIÓN BANCARIBE
EL BANCO DEL CARIBE, C. A, Banco Universal, (BANCARIBE) fue fundado el
día 12 de febrero de 1954 e inició sus operaciones el día 3 de noviembre del mismo
año en la ciudad de Puerto Cabello, Estado Carabobo. Su domicilio social fue
cambiado a la ciudad de Caracas, Distrito Federal, en agosto de 1.963.
Actualmente opera en todo el país, a través de 119 agencias distribuidas
estratégicamente, de las cuales 70% están ubicadas fuera de la capital de la
República. Por mandato legal, el Banco del Caribe actúa bajo la supervisión de la
Superintendencia de Bancos y Otras Instituciones Financieras y de la Comisión
Nacional de Valores, pues sus acciones están inscritas en el Registro Nacional de
Valores de Venezuela.
En septiembre de 1.997, BANCARIBE absorbió, mediante el procedimiento de
fusión, al Banco de Inversión del Caribe, C .A., y al Fondo de Activos Líquidos del
Caribe, C. A., para convertirse en Banco Universal.
32
En diciembre de 1.997, la Asamblea de Accionistas de BANCARIBE autorizó el
ingreso de un nuevo socio: Scotia International Limited, una empresa poseída en un
cien por cien, por The Bank of Nova Scotia (Scotiabank), uno de los bancos más
importantes del mundo, quien suscribió en su totalidad un aumento del capital del
Banco del Caribe, equivalente al 25% del nuevo capital social.
Durante el primer semestre de 2000 culminó el proceso de instalación de la nueva
plataforma tecnológica en todas las oficinas en el país, con lo cual se automatizaron
los procesos y se estableció una relación con la clientela a través de nuevas y
modernas formas de comunicación.
En el año 2001, BANCARIBE adoptó los Principios de Wolfsberg1, como normas
internas para el combate contra la legitimación de capitales provenientes, no sólo del
tráfico de sustancias psicotrópicas y estupefacientes, lo cual ya había sido regulado
por leyes y por la normativa prudencial dictada por la Superintendencia de Bancos y
Otras Instituciones Financieras, sino de cualquier delito, incluidos el terrorismo y la
corrupción.
En septiembre de 2003, BANCARIBE adaptó su Estatuto a las mejores prácticas de
gobernabilidad; no sólo a las prácticas de gobierno corporativo recomendadas por
organismos internacionales como la Organización para la Cooperación y Desarrollo
Económico (OECD), sino especialmente a las recomendaciones del Comité de
Basilea para la Gobernabilidad de las Instituciones Financieras, dirigidas
específicamente a los bancos y otras empresas financieras en todo el mundo y a sus
supervisores y reguladores. De acuerdo a estas prácticas, la junta directiva del Banco
está formada por 14 directores de los cuales 8 son directores independientes, se
encarga de supervisar, controlar y hacer seguimiento a los aspectos más importantes
de la administración de la institución y apoya su actividad en cuatro comités: un
33
Comité de Auditoría, Control y Cumplimiento; un Comité de Riesgo, un Comité de
Nombramientos y Remuneraciones y un Comité de Crédito.
El 7 de septiembre de 2006 se hizo pública la nueva imagen corporativa del Banco
que incorpora el término BANCARIBE como el signo distintivo del Banco y del
GRUPO FINANCIERO BANCARIBE. BANCARIBE es el resultado de un largo
proceso evolutivo que abre una nueva e importante etapa en la vida de nuestra
institución, que nos identifica como un banco ágil, flexible e innovador, dedicado con
pasión a conocer y satisfacer las necesidades de la clientela, eficientes en la
prestación de servicios financieros integrales, dedicado a construir con la clientela,
nuestro personal, nuestros relacionados y con el país, una relación de confianza
mutua y duradera, porque tenemos un profundo compromiso con el país, porque
creemos en Venezuela.
BANCARIBE, es un banco con cultura de Riesgo, ha sido uno de las primeras
instituciones financieras del país en desarrollar y aplicar una metodología para
atender el concepto de Riesgo Integral, con el fin de adaptarse a los nuevos Principios
de Basilea y, posteriormente, para atender las disposiciones de la Norma Prudencial
establecida por la Superintendencia y Otras Instituciones Financieras.
A continuación presentamos la misión y la visión de la empresa, los cuales resumen
los objetivos del negocio y la forma en que los empleados están comprometidos con
ellos, para determinar el éxito no sólo de la Institución, sino también el de sus
miembros.
Misión: "Somos socios en la prosperidad de nuestros clientes. Brindamos soluciones
financieras integrales, generadas por la suma del compromiso individual de toda
nuestra gente, creando valor para el país, para el accionista y para nosotros mismos"
Visión: "Hacemos Gente Próspera"
34
Entre los valores que la Institución inculca a todos sus miembros, tanto empleados
como accionistas y asociados, se encuentran los siguientes:
Somos conservadores: Hoy igual que ayer, hay una forma de hacer las cosas bien.
Por eso, conservamos el tradicional estilo de hacer dinero, con trabajo. Conservamos
una atención personal y respetuosa. Y lo más importante, conservamos nuestros
clientes.
Somos tradicionales: Los tiempos han cambiado, pero el servicio y el respeto hacia
nuestros clientes ha sido el ideal que nos ha acompañado desde hace mucho. La
forma en que concebimos nuestro trabajo es un acto honesto y transparente. Por eso,
por mucho que cambiemos seguiremos con una posición responsable.
Somos prudentes: No asumimos inversiones arriesgadas, aunque supongan
ganancias jugosas. Preferimos cuidar el capital e invertirlo en negocios seguros, por
eso estudiamos detalladamente cada inversión que realizamos, solo así, podemos
mantener la confianza en nuestros clientes.
Buscamos su prosperidad: La felicidad de compartir cada día con su familia. La paz
de responder cuando se necesita. La satisfacción de construir un mañana mejor. Es la
prosperidad que buscamos para nuestros clientes, amigos y empleados.
No hacemos dinero fácil: Nosotros hacemos dinero igual que usted, trabajando. Por
eso sabemos el esfuerzo que requiere ganar cada bolívar. No jugamos con su dinero,
ni lo despilfarramos, para nosotros es más importante un negocio seguro que uno
fácil.
Somos su aliado: Porque nunca lo dejamos solo, porque sabemos que trabajar en
equipo con usted es la única forma de alcanzar las metas. Por eso, confiamos en
35
nuestros clientes, como ellos confían en nosotros. Esta es la alianza que nos ha
convertido en un equipo ganador.
Creemos en Venezuela: Lo hemos dicho antes y lo volvemos a decir ahora, somos lo
que somos gracias a nuestros clientes, quienes en cada rincón de Venezuela nos han
dado su respaldo y confianza. No estamos de paso. Por eso, tenemos un compromiso
con Venezuela, un compromiso profundo con su destino y con el destino de su gente.
Vamos a la vanguardia: Estamos mejorando para darle la mejor a nuestros clientes.
Por eso, estamos especializando a nuestra gente sustentados en tecnología de
avanzada, que nos pondrá a la vanguardia de la banca venezolana durante todo el
siglo XXI.
Tenemos un compromiso con el futuro: Ese es nuestro compromiso, por eso
trabajamos junto a los hombres y mujeres que quieren un mañana mejor. El futuro
hay que hacerlo todos los días con optimismo y ganas de trabajar.
3.2. LA DIRECCIÓN DE AUDITORÍA
La Dirección de Auditoría es un área de staff que sirve de apoyo a la Junta Directiva
y reporta al Comité de Auditoría, control y cumplimiento. Esta área cuenta en su
estructura organizativa con: El Director de Auditoría, una secretaria, la Gerencia de
Medición de Gestión y Auditoria de Riesgos Integrales y la Dirección Asociada
Auditoría de Sistemas y Procesos, que a su vez está compuesta por las Gerencias
Auditoría Operativa, Auditoría Financiera Auditoría de Sistemas y Auditoría de
Procesos; a cada una de estas Gerencias están adscritos los cargos de Auditor Señor,
Semi-senior y Junior. A continuación se muestra la estructura organizativa de la
Dirección de Auditoría.
36
La misión de la Dirección de Auditoría es: “Desarrollar una actividad de apoyo que
contribuya a mejorar el control interno en la Organización, con el fin de propiciar la
mitigación de aquellos riesgos que puedan afectar los intereses de la institución.”
Y su visión es: “Consolidarse como unidad asesora de la organización en el proceso
de riesgos y en fortalecimiento del control interno.”
3.3. SITUACIÓN
La Dirección de Auditoría, a través de las diferentes gerencias que la integran deben
realizar cada año la planificación de las evaluaciones que serán desarrolladas en cada
semestre, para esto debe contar con diferentes matrices que les permitan identificar
los principales riesgos a los que se encuentran expuestos los procesos del negocio,
Junta Directiva
Comité de Auditoría, Control y Cumplimiento
Dirección de Auditoría
Gerencia Auditoría Operativa
Gerencia Auditoría Financiera
Secretaría
Dirección Asociada Auditoría Sistemas y Proceso
Auditores Senior, Semi
Senior y Junior
Gerencia de Medición de Gestión y Auditoria de
Riesgos Integrales
Gerencia Auditoría Sistemas
Gerencia Auditoría Procesos
Auditores Senior, Semi
Senior y Junior
Auditores Senior, Semi Senior y
Junior
Auditores Senior, Semi Senior y
Junior
37
para así enfocar las revisiones en los riesgos que podrían impactar de manera
negativa a la Institución, afectando sus balances financieros y los objetivos
organizacionales que se han establecido.
Basado en el análisis de riesgo, se logra identificar los riesgos potenciales a los que
pudieran estar expuestas las distintas unidades de negocios y, así, establecer el plan
anual donde se definen las auditorías que permitirán evaluar la efectividad de los
mecanismos de control existentes para minimizar el impacto inherente de dichos
riesgos.
Como herramienta base y principal insumo para efectuar el análisis de riesgo,
actualmente la Dirección de Auditoría elabora unas matrices de Riesgo donde se
identifican los principales riesgos a los que se encuentra expuesta la organización, así
como también la probabilidad de que el riesgo se materialice y el impacto que el
mismo puede ocasionar. Con estos datos se le da una calificación de riesgo a cada
evento y el enfoque de las evaluaciones va dirigido a los riesgos altos y medios, ya
que son aquellos que deben ser controlados de manera efectiva.
Las matrices se construyen de forma individual por cada gerencia, a través de la
herramienta Excel. Sin embargo, esta herramienta no permite consolidar toda la
información en una sola base de datos, dificulta incluir nuevos datos que faciliten al
auditor elaborar el plan de trabajo y manejar altos volúmenes de información, por lo
que no se puede determinar, en un momento dado, si la cobertura de las evaluaciones
contempla todos los riesgos importantes o si se están duplicando esfuerzos evaluando
el mismo riesgo a través de las diferentes Gerencias de Auditoría.
Por ello, se requiere automatizar el modo de elaboración de las matrices de riesgo
por medio de un sistema de información que permita incluir, modificar y eliminar
datos de manera dinámica y oportuna, así como también administrar y efectuar
38
consultas de todas las matrices de riesgo, de manera eficaz por cada una de las
Gerencias de Auditoria.
39
CAPITULO IV
EL EXAMEN DE LA SITUACIÓN
4.1. PROPÓSITOS DEL PROCESO
Con la finalidad de apegarse a las mejores prácticas de la industria y a las normas
internacionales definidas para la práctica de la auditoría, desde el año 2003 la
Dirección de Auditoría, desarrolló una metodología denominada “Metodología de
planificación basada en riesgo”, la cual sirve de base para elaborar la planificación
anual de la Unidad, desde la perspectiva de un análisis de riesgo detallado de todos
los procesos, áreas y sistemas de la empresa, para así identificar aquellos que tienen
un mayor impacto y mayor probabilidad de ocurrencia para la Organización, lo cual
podría impactar negativamente el logro de sus objetivos y los resultados financieros
de la misma.
La metodología establece que cada una de las áreas de la Dirección de Auditoría debe
determinar los eventos de riesgo asociados a cada proceso, área y/o aplicación
tecnológica. Una vez identificados los eventos de riesgo se debe valorar, para cada
uno de ellos, el impacto que podría tener para la Empresa en caso de que se
materialice o se concrete el evento, así como también se debe valorar la probabilidad
de que el evento ocurra, la cual viene dada por la calidad de los controles implantados
en la Organización, cuanto más débiles sean los controles mayor la probabilidad de
ocurrencia.
El valor del impacto y la probabilidad es definido por la metodología en números que
van desde el 1 hasta el 9. Una vez que se disponga de los valores correspondientes al
impacto y la probabilidad la metodología indica que se debe calcular la valoración de
riesgo para cada uno de ellos, la cual se obtiene a través de la siguiente fórmula:
40
Riesgo = (Impacto x 0.60) + (Probabilidad x 0.40)
2
El valor obtenido indica el nivel de riesgo al que se encuentra expuesta la
empresa, en caso de que el evento se materialice, y el cual se mide a través de las
siguientes escalas:
• Del 1 al 3 el riesgo es Bajo.
• Del 4 al 6 el riesgo es Medio.
• Del 7 al 39el riesgo es Alto.
Cada una de las Gerencias de Auditoría realiza una identificación de los eventos
de riesgo y procede a valorar la exposición a la que se encuentra la empresa para
cada uno de ellos. Una vez obtenidos los eventos se procede a construir las
matrices de riesgo, las cuales son el elemento básico para establecer la
planificación y definir los programas de trabajo que serán realizados durante el
proceso de ejecución de auditorías.
La planificación de las auditorías se realiza seleccionando los riesgos altos y
medios de las matrices y tienen por finalidad evaluar la efectividad y adecuación
de los controles establecidos para proteger a la Organización en caso de que se
concreten dichos riesgos. Una vez definidas las auditorías se procede a
determinar las horas requeridas para ejecutar las mismas y a asignar los recursos
tanto humanos como materiales que serán requeridos por las mismas. A
continuación se presenta un diagrama del proceso de planificación definido en la
Direcci{on de Auditoría:
41
Sin embargo, y a pesar de que todas las Gerencias de Auditoría utilizan la misma
metodología para efectuar el proceso de planificación anual, la misma no es
específica en cuanto a la forma como deben plasmarse los resultados de la
identificación de riesgos y no establece estándares ni lineamientos para la
elaboración de las matrices. Debido a esto, cada Gerencia ha desarrollado su
propio esquema de elaboración, los cuales difieren entre sí, en cuanto a la
información manejada y a la presentación de la misma. A continuación, se
presenta una muestra de los diferentes formatos manejados por las áreas:
������ ������ �� ������ ���� � ���� ���� ���� ����� ���� ���������������
������ ������������
42
Impacto Probabilidad Procesos AsociadosRiesgo Riesgo
������������
���� ���������������� �������������������������������������� ��
Por otra parte, cada Gerencia de Auditoría no dispone de acceso a la información
de las matrices elaboradas por las demás unidades, por lo que, existen eventos y
matrices duplicadas, y en algunos casos se han detectado duplicidad de esfuerzos
en la revisión de los mismos riesgos por parte de las diferentes Unidades del área.
Adicionalmente, no se tiene certeza de que los recursos son utilizados de manera
efectiva y no se puede garantizar que se están evaluando todos los riesgos altos y
medios que han sido identificados y que el alcance establecido para las
evaluaciones sea adecuado para proporcionar a la empresa un análisis razonable
del estado de su control interno.
Debido a todas las debilidades del proceso, se decidió elaborar una propuesta para
automatizar las matrices de riesgos, lo cual permitiría estandarizar la información
manejada por las diferentes Unidades, así como también actualizar y consultar
toda la información disponible, lo cual permitirá optimizar la utilización de los
recursos y garantizar que no se están duplicando esfuerzos en la ejecución de las
auditorías.
En este sentido se efectuaron una serie de levantamientos de información con los
responsables de las diferentes Gerencias, con la finalidad de conocer las
actividades actuales que son ejecutadas para elaborar las matrices de riesgos y la
planificación anual.
Los resultados del levantamiento de información fueron analizados y se presentó
al Director de la Unidad y a los Gerentes la identificación de las debilidades y las
43
oportunidades de mejora que podían ser aplicadas para optimizar el proceso, así
como también los requerimientos detallados que debían ser considerados para el
diseño del sistema.
44
CAPITULO V
DISEÑO DE LA PROPUESTA
A continuación se presenta la justificación de la propuesta de desarrollo del
sistema, los objetivos de la misma, las oportunidades de mejora identificados
para el proceso, el diseño propuesto para el sistema, diseño del proceso de
elaboración y carga de las matrices en el sistema y el diseño del proceso de
gestión de cambio para la implantación del sistema y de los nuevos procesos.
5.1. JUSTIFICACIÓN DE LA PROPUESTA
Las actividades de planificación de la Dirección de Auditoría se ven dificultadas
por el hecho de de que la información requerida para ejecutar este proceso, las
matrices de riesgo, se elaboran y manipulan de manera manual. Adicionalmente,
la información es generada y utilizada de manera aislada por cada una de las
Gerencias que componen la Dirección, lo cual, no garantiza que las evaluaciones
planificadas sean las más adecuadas para cubrir razonablemente los principales
riesgos a los que se enfrenta la Organización.
Por otra parte, no se dispone de un estándar para la elaboración de las matrices ni
para la valoración de los riesgos, lo que trae como consecuencia, que cada Unidad
tenga su diseño propio y manejen información diferente, por lo que no existe un
control preciso de la información manejada.
Además, no es fácil determinar efectivamente si se está invirtiendo una cantidad
excesiva de horas hombre de las diferentes Gerencias para revisar los mismos
riesgos, y si se están dejando de evaluar otros riesgos que son necesarios controlar
45
y que pudieran significar un impacto negativo en la Empresa, en caso de que se
materialicen.
Por todas estas razones, se requiere diseñar un sistema de información para
Administrar las Matrices de Riesgo, el cual permitirá unificar la información
manejada por las diferentes Gerencias e identificar de manera eficiente los riesgos
que deben ser evaluados, asimismo, optimizará el control de las actividades de los
recursos con los que cuenta la Dirección y se podrán definir adecuadamente los
procesos, sistemas y áreas en los que deben enfocarse sus esfuerzos.
5.2. OBJETIVOS DE LA PROPUESTA
Los objetivos que se persiguen con esta propuesta son los siguientes:
• Diseñar un sistema de gestión para administrar las matrices de riesgo para la
Dirección de Auditoria de Bancaribe.
• Establecer un estándar para la elaboración de las matrices y la valoración de los
eventos de riesgo.
• Definir los responsables para la administración del sistema.
• Establecer los procedimientos para el ingreso y actualización de la información
en el sistema.
• Diseñar el proceso de gestión de cambio.
5.3. RESULTADOS DE LOS LEVANTAMIENTOS DE INFORMACIÓN:
Se efectuaron reuniones con todos los Gerentes de la Dirección de Auditoría para
levantar el proceso ejecutado para elaborar la planificación anual y así identificar
las debilidades existentes en el proceso y el impacto de las mismas, y determinar
las oportunidades de mejora que se van a incluir en el proceso con la implantación
46
del sistema propuesto. A continuación se muestran los resultados obtenidos en los
levantamientos de información:
No se realiza análisis del entornointerno / externo
X
No se consideren algunos aspectos relativos a plande negocio, políticas, cambios en los procesos,cambios en los sistemas, regulaciones y/o mejoresprácticas, en el plan anual de auditoría / Ejecuciónde auditoría no alinedas al logro de los objetivosestrategias del negocio
No existe un check list para validarlos insumos necesarios para realizarel plan anual de auditoría
X XNo se valida efectivamente los insumos necesariospara elaborar el plan anual
No se realizan reuniones con losdueños de los procesos paralevantaar la información referente alas leyes y/o normativas, requeridapara elaborar el plan.
X No se consideren aspectos regulatorios en laplanificación.
Información inoportuna de losproyectos aprobados por el ComitéEjecutivo.
X La cobertura de la participación en los proyectos no es adecuada
Inexistencia el mapa de proceso delBanco.
X X Desconocimiento de la totalidad de los procesos del banco / Limita la planificación por procesos.
No existe un control de horasinvertidas en la planificación
XCualquier actividad imprevista (reposo, trabajo especial, otros) puede afectar el cumplimiento de la planificación
No se consideran las horasimproductivas en la planificaciónanual.
XCualquier actividad imprevista (reposo, permisos, otros) puede afectar el cumplimiento de la planificación
Horas hombre no disponible pararevisar los riesgos medios
X Sin evaluar una cantidad importante de riesgos medios identificados.
No se consideran las horas dediseño de la revisión, inducción,redacción y discusión de informesentre otros
X Retraso en la ejecución de la planificación.
No se consideran las horasadministrativas en la planificaciónanual.
XTiempo invertido en la revisión de papeles de trabajo, viaticos, elaboración del presupuesto anual, trabajos especiales, entre otros.
No se consideran las horas hombrepara el diseño o rediseño depruebas
X Tiempo invertido no planificado ni medido
Entrega inoportuna de la planificación a la Dirección
Permanencia frecuente de los auditores en las áreas / No se atacan actividades comunes
No existe interacción entre lasdistintas gerencias al momento derealizar y/o revisar la planificaciónanual
X X X X Entrega inoportuna de la planificación a la Dirección
Inexistencia de un formularioestandar para elaborar el plan anual
X X Informalidad en la presentación del plan anual
Inexistencia de herramientastecnológicas que faciliten laelaboración del plan anual
X X X X Reprocesos en la elaboración y entrega inoportuna del plan anual
No se considera la existencia denuevas estrategias de negocio
X XNo está alineado el plan anual de auditoría con las estrategias de negocio del banco
Retrabajo
Fuente de
Error
����������� ��������
��������� ���������
No Agrega Valor
Cuello de Botella Redundancia
��������
X X X X
No existe interacción entre lasdistintas gerencias al momento derealizar y/o revisar la planificaciónanual
47
5.4. OPORTUNIDADES DE MEJORA
A partir de las debilidades ya identificadas se efectuó un análisis para identificar
las oportunidades de mejora que pudieran ser aplicadas para la solución de dichas
debilidades. Los resultados de este análisis son presentados a continuación:
• Definir un mecanismo que permita analizar el entorno externo / interno.
• Elaborar un check list que permita validar los insumos necesarios en la
planificación anual.
• Realizar mesas de trabajo con los dueños de los procesos, previa a la
planificación para conocer los procesos a ser auditados.
• Realizar reuniones previas con los dueños de los procesos a fin de conocer los
cambios.
• Solicitar a los líderes de los proyectos el listado de proyectos aprobados con
sus respectivos cronogramas.
• Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de
la institución y/o elaborar un mapa de procesos desde la visión de la Dirección
de Auditoría.
• Iniciar la planificación a partir del entorno interno y externo, en el cual se
identifican los aspectos claves.
• Considerar en la planificación anual horas para actividades extraordinarias.
• Considerar en la planificación anual horas improductivas.
• Analizar la valoración de los riesgos medios para determinar las prioridades de
revisión.
• Asignar las horas reales para la ejecución de las revisiones.
• Considerar en la planificación anual horas para actividades administrativas.
• Considerar en la planificación anual horas para el diseño y/o rediseño de
pruebas.
• Realizar mesas de trabajo previa revisión de la dirección con el fin de integrar
los conceptos y contenido de plan anual.
48
����������
• Coordinar las revisiones comunes en las distintas áreas del banco con la
finalidad de formar equipos de auditoría integrales.
• Realizar mesas de trabajo previa revisión de la dirección con el fin de integrar
los conceptos y contenido de plan anual.
• Establecer un formato estándar para la elaboración de las matrices de riesgo.
• Implantar un Sistema Integrado donde se puedan incluir todas las matrices de
riesgo manejadas por la Dirección de Auditoría.
• Documentar el proceso de planificación anual
5.5. DISEÑO DEL FORMATO DE MATRICES PROPUESTO
Del levantamiento de información realizado entre las diversas áreas de la
Dirección de Auditoría, y en base a las necesidades de información que son
requeridas para el proceso de planificación, se propuso el siguiente formato, para
la construcción de las matrices de riesgo. Este formato recoge todas las
necesidades de las Gerencias y serán parte de los requerimientos funcionales del
sistema propuesto.
���� ������� ���� ��� ����!����
���� ���
������
� �������
��� ��
"���������
���� ������������
#���������
$� ����������
���
����������
%��������
������
��� ���������
���� ������� ����� �
�������&'( ����������)'(
*��+����� ��������
��� ��
Adicionalmente, se desarrollaron una serie de instrucciones para proporcionar guía a
los usuarios sobre la información requerida en cada uno de los campos definidos.
1. Código del Riesgo. Crear el código del riesgo, de acuerdo a la siguiente nomenclatura: “XXX-YYY-ZZZ-W-000”, donde: XXX = Número secuencial del Proceso (Se necesita el mapa de Procesos)
49
����� � *��+����� ������ � *��+����� �
���� ��� ����
�������
&'(
���� ��� ����
�������
&'(
�������
��� ��
�������
��� ��
YYY = Número secuencial del Sub-Proceso (Se necesita el mapa de Procesos) ZZZ = Nombre según el Tipo de Riesgo (Determinado por la resolución 136.03) W = Código de Área de Auditoría (Codificar las cinco áreas) 000 = Secuencial Numérico Ejemplo: 001- 011- 001- 1- 001 Proceso 001 = Gestionar Créditos Sub-Proceso 011 = Analizar Créditos Tipo de Riesgo 001 = Riesgo Operacional Área de Auditoría 1 = Gerencia de Procesos Secuencial 001 = Evento de Riesgo número 1 2. Evento de Riesgo. Indicar el evento de riesgo correspondiente al proceso y/o subproceso a evaluar, de acuerdo al análisis de las leyes, políticas, normas y circulares existentes; así como a la experiencia de auditorías anteriores. 3. Proceso / Subproceso. Indicar el nombre del Procesos y/o Subprocesos a evaluar, de acuerdo al Mapa de Procesos, Diagrama o alguna documentación suministrada por la Dirección Asociada de Procesos y Unidades del Banco del Caribe. 4. Impacto. De acuerdo al evento de riesgo, estimar el Impacto del riesgo, considerando los siguientes criterios:
50
���� ��� ����
����������
)'(
���� ��� ����
����������
)'(
!����
���� ���
������
� �������
��� ��
"���������
���� ������������
!����
���� ���
������
� �������
��� ��
"���������
���� ������������
Alto: Disminución de la capacidad para alcanzar los objetivos del negocio. Medio: Alteración en la operación normal con efecto limitado en la realización de los objetivos y estrategias del negocio. Bajo:No impacta la realización de los objetivos y estrategias del negocio. El impacto resultante del análisis del evento de riesgo, tendrá una ponderación del sesenta por ciento (60%). 5. Probabilidad. De acuerdo al evento de riesgo, estimar la Probabilidad de ocurrencia del riesgo, considerando los siguientes criterios: Alto: Por encima del sesenta y seis por ciento (66%) de ocurrencia. Media: Por encima del treinta y tres por ciento (33%) de ocurrencia. Bajo: Uno por ciento (1%) mínimo de probabilidad de ocurrencia. La Probabilidad resultante del análisis del evento de riesgo, tendrá una ponderación del cuarenta por ciento (40%). 6. Valoración y Justificación de la Valoración Se debe calcular la Valoración del riesgo, de acuerdo al resultado obtenido del impacto y la probabilidad de ocurrencia del evento de riesgo. La Documentación de la Valoración, consiste en justificar o realizar una descripción del evento del riesgo. 7. Clasificación de Riesgo. Se debe indicar el tipo riesgo asociado al evento: Operacional, Reputacional, Mercado (Tasa de interés, cambio y precio), Liquidez, Crédito, Legal 8. Revisión de Auditoría.
#���������
$� ����������
���
����������
��� ���������
���� ��
51
%��������������
Se debe indicar el Tipo de Revisión para evaluar el evento de riesgo: A distancia, en Sitio, mixta, alerta Temprana Indicar la Prueba mediante la cual se evaluará el evento de riesgo. Indicar la Frecuencia de revisión del evento de riesgo: Diaria, Semanal, Quincenal, Mensual, Bimensual, Trimestral, Semestral, Anual. 9. Normativa Formal. Aquí se debe detallar la fuente de información (leyes, normas, circulares, manuales, entre otras) que permite documentar el evento de riesgo.
5.6. DISEÑO DEL SISTEMA PROPUESTO
5.6.1. Información que debe ser manejada por el sistema:
1. Código del evento de riesgo.
2. Evento de riesgo.
3. Proceso asociado
4. Sub proceso asociado
5. Impacto
6. Probabilidad
7. Valoración
8. Justificación de la valoración
9. Clasificación de riesgo
10. Tipo de revisión de auditoría
11. Pruebas asociadas a la revisión
12. Frecuencia de la revisión
13. Normativa que rige el evento de riesgo.
52
5.6.2. Requisitos de entrada del sistema:
1. Los usuarios podrán acceder al sistema según su perfil, el cual limitará sus
funciones dentro del mismo
2. Los usuarios deben poseer una clave única para el acceso al sistema.
3. Las claves no serán conocidas por ninguna persona.
4. Todo el personal Adscrito a la Dirección de Auditoría podrá consultar datos de
la Matriz de Riesgo.
5. Se restringe el incluir, modificar y eliminar datos a usuarios que cumplan con
un perfil determinado.
5.6.3. Requisitos de salida del sistema:
1. El ingreso de la información deberá realizarse de manera fácil y con la menor
cantidad de pantallas posible.
2. Presentar los datos de forma amigable y sencilla, con información confiable.
3. Generar Reportes y/o consultas estandarizados, sencillos y prácticos.
4. Poder exportar la Información a cualquier otro programa (Word, Excel,
Powerpoint, etc.) para poder ser manipulada y presentada a diferentes niveles.
5. Hacer consultas dinámicas que permitan escoger entre diversos campos y
diversas combinaciones.
5.6.4. Requisitos de almacenamiento:
1. Se debe disponer de una base de datos única para todas las Gerencias de la
Dirección de Auditoría.
2. El acceso a la actualización de la base de datos debe estar restringida para el
administrador de la misma.
5.6.5. Requisitos funcionales:
53
1. El diseño del sistema debe estar sujeto a los estándares de la empresa, en lo
relacionado a lenguajes de programación y estructuración de las bases de datos.
2. El sistema debe validar las claves de acceso correspondientes a cada usuario.
3. Se debe poder actualizar los datos cada vez que se requiera.
4. Se deben definir consultas que faciliten la toma de decisiones y que puedan ser
accedidas por todo el personal.
5. Que cada usuario pueda seleccionar el tipo de información que requiere.
6. Los eventos de riesgos deben ser codificados a través de un formato ya
establecido, que lo enlace a ciertos datos que facilitaran su consulta.
7. El sistema debe efectuar los cálculos pertinentes de Valoración de Riesgos.
5.6.6. Requerimientos operacionales:
En esta actividad se identificaron los equipos necesarios para operar el sistema, asì
como también algunas actividades claves que deben ser consideradas:
1. Revisión de los estándares operativos
2. Horarios / ciclos de negocio
3. Recuperación de datos y de operación
4. Medios de almacenamiento
5. Distribución de salidas
6. Equipos necesarios: unidades de cintas, computadores, modem, terminales, etc.
5.6.7. Arquitectura del sistema:
Los requisitos de arquitectura tecnológica definidos fueron los siguientes:
1. Control de acceso: Esta fase definió los requerimientos de seguridad para
controlar el acceso físico y lógico del sistema, de acuerdo a lo establecido en
las políticas de seguridad de la información de la Organización. Se
consideraron los siguientes aspectos:
54
a. Niveles de seguridad
b. Custodia compartida
c. Contraseñas y claves
d. Archivos de seguridad
e. Encriptación
f. Dispositivos de seguridad
2. Descomposición del diseño: Se descompuso el complejo diseño del negocio en
un proceso manejable de componentes tal como se describe a continuación:
a. Descomponer sistemas en programas
b. Descomponer programas en módulos
c. Dependencias de programas y módulos
d. Consideraciones de solapamiento
3. Interfaces: En esta actividad se definió la información que debe intercambiarse
con otros sistemas de la Organización, y los formatos en que se debe ejecutar
dicho intercambio. Aquí se definieron los siguientes elementos:
a. Programas
b. Procesos
c. Otros sistemas
4. Integridad de la data: El propósito de esta actividad es identificar el proceso
requerido para prevenir o detectar datos inválidos. Se deben considerar los
siguientes aspectos:
a. Razonabilidad de la información
b. Cuadre y balanceo
c. Auditabilidad
d. Chequeos de validación
e. Cantidad de registros en archivos y tablas
55
f. Totales
g. Puntos de control y chequeo
h. Procesos
5. Identificación de procesos comunes: Aquí se identificaron las entidades
reutilizables que existen actualmente, o que deben ser creadas y pueden ser
requeridas en aplicaciones futuras. Se identificaron las siguientes entidades.
a. Archivos
b. Códigos de programas
c. Estándares de la industria externa
d. Software preestablecido
5.6.8. Ambiente Técnico:
El propósito de esta actividad es definir la plataforma óptima y la red que satisfaga
los requerimientos de procesamiento del negocio:
1. Plataforma: Es la combinación de hardware, software y modos de
procesamiento requeridos para soportar la operación del sistema. Se
contemplaron los siguientes elementos:
a. Consideraciones de solapamiento
b. Centralización – descentralización
c. Distribución
d. Cantidad de usuarios (únicos o múltiples)
e. Idiomas de operación
f. Captura de datos en línea
g. Procesamiento de lotes (batch)
2. Red: Son los medios de comunicación necesarios para soportar la transferencia
de información entre las diferentes entidades de la plataforma tecnológica.
56
5.6.9. Opciones que debe contemplar el sistema:
1. Administrar la seguridad del sistema:
a. Registrar usuarios.
b. Modificar datos de usuarios.
c. Consultar usuarios.
d. Actualizar cargos
2. Administrar las matrices de riesgo
a. Incluir matrices de riesgo.
b. Modificar matrices de riesgo.
c. Consultar matrices de riesgo.
d. Eliminar matrices de riesgo.
e. Incluir, actualizar y eliminar eventos de riesgo.
3. Administrar mapa de procesos.
a. Incluir procesos.
b. Modificar procesos.
c. Consultar mapa de procesos.
d. Eliminar procesos.
4. Actualizar Gerencias de auditorìa.
5. Actualizar tipos de auditorías.
6. Actualizar frecuencia de auditorìas.
5.6.10. Diagramas de caso de uso:
57
Los requisitos funcionales del sistema se determinaron mediante la elaboración de los
casos de usos mostrados a continuación:
5.6.11. Diagramas de secuencia del sistema:
Los diagramas de secuencia mostrados a continuación muestran las interacciones
entre los objetos organizados en una secuencia temporal, estos incluyen secuencias
temporales pero no incluyen relaciones entre objetos.
58
1. Diagrama de secuencia – controlar seguridad: Este diagrama muestra la
interacción de los usuarios con el Sistema, se muestra de manera cronológica,
los diferentes pasos requeridos para la validación de un usuario.
2. Diagrama de secuencia – creación de usuarios: Este diagrama muestra como
interactúan el usuario, el administrador y el Sistema, así como también los
pasos requeridos para incluir un usuario al sistema.
59
3. Diagrama de secuencia – inclusión de matrices: aquí se indica cómo debe ser
construidas las matrices por cada Gerencia e incluidas en el sistema siguiendo
los pasos mostrados en la mencionada figura, aquí interactúan el administrador
del sistema. y/o los usuarios con el sistema.
60
4. Diagrama de secuencia – modificación de matrices: aquí se describe la
secuencia de eventos que se deben ejecutar para modificar las matrices, es de
notar que solo puede ser modificada o actualizada por el administrador de las
matrices de Riesgo, para esto debe ser aprobado previamente por el gerente de
cada área.
61
5.6.12. Atributos:
A continuación se muestran las estructuras que deben poseer las bases de datos para
gestionar en el sistema los diferentes procesos establecidos.
Usuarios: Permite registrar los datos de los diferentes Usuarios del sistema.
62
Campo Tipo Null Clave Descripción
U_cod_usuario String No PK Clave personal que el banco establece a
cada empleado (BC)
U_nombre String No Nombre y Apellido del Usuario
U_administrador bolean Si o no es Administrador de la base de
Datos
U_perfil String No Se refiere al perfil del usuario que puede
ser Todos los accesos y derechos, de
carga el cual se le permite incluir
matrices, mantenimiento, seguridad, para
administrar tablas.
Cargo: Registra los cargos adscrito a la Dirección de Auditoría.
Campo Tipo Null Clave Descripción
C_cod_cargo String*
3
No PK Código de los cargos adscritos a la
Dirección de Auditoría (DA)
C_cargo String No Nombre del cargo adscrito a la DA
Matriz de Riesgo: Permite registrar la descripción de las matrices de riesgos de cada
gerencia de Auditoría con los datos Código gerencia, código proceso, código
subproceso, código Riesgo, secuencial, Fecha, Evento de Riesgo, impacto,
probabilidad, valoración, causa del valor, afecta a prevención, el tipo de revisión, la
prueba asociada, la frecuencia y la norma.
63
Campo Tipo Null Clave Descripción
M_cod_Matriz String*3 No PK Secuencial Numérico para cada
matriz
M_fecha Date No Fecha en que se realiza la
actualización de la matriz
M_evento String No Descripción del evento de
Riesgo correspondiente al
proceso y subproceso a avaluar.
M_impacto Entero No Impacto del riesgo
M_probabilidad Entero No Probabilidad de ocurrencia del
riesgo.
M_valoración Singel No Relacionado con el valor del
riesgo, de acuerdo al resultado
obtenido del impacto y la
probabilidad de ocurrencia del
evento.
M_justificación String No Causa de la valoración del
evento de riesgo.
M_afecta_Prevenci
ón
Bolean Identifica si el evento de riesgo
afecta prevención.
R_cod_Revisión String No Tipo de revisión para evaluar el
riesgo.
M_Prueba String Prueba asociada al riesgo
F_cod_frecuencia String No Frecuencia de revisión del
evento de riesgo
M_Normativa String Fuente de información que
documenta el evento de Riesgo.
64
Área de auditoría: Se registran las diferentes gerencias de Auditoría existentes en el
área como son: centralizada, sistemas, procesos, operativa y riesgos.
Campo Tipo Null Clave Descripción
A_cod Gerencia String*
3
No PK Código de las gerencia adscritos a la
Dirección de Auditoría (DA)
A_Gerencia String No Nombre de las Gerencias de la DA
Riesgos: Se registran los tipos de riesgos aprobados por la alta Administración y los
Organismos Reguladores, a saber, Operacional, reputacional, financiero, Crédito y
legal.
Campo Tipo Null Clave Descripción
R_cod_riesgo String*
3
No PK Código de los tipos de riesgos.
C_riesgo String No Nombre del tipo de riesgo.
Macro Procesos: Se registran los macro procesos a los cuales se asocia el riesgo.
Campo Tipo Null Clave Descripción
Mp_cod_ Macro String*2 No PK Código del Macro proceso
Mp_Macro _ proceso String No Nombre del Macro proceso
Proceso: Se registran los procesos asociados a los Macro procesos.
Campo Tipo Null Clave Descripción
P_cod _proceso String*3 No PK Código del proceso
P_Proceso String No Nombre del Proceso
65
Subproceso: Se registran los subprocesos asociados a los procesos.
Campo Tipo Null Clave Descripción
S_cod_Subproceso String*3 No PK Código del subproceso
S_subproceso String No Nombre del subproceso
Tipo de Revisión: Se registran los tipos de revisión para evaluar el evento de riesgo:
a distancia, en sitio, Mixta o alerta temprana.
Campo Tipo Null Clave Descripción
R_Cod_ Revisión String No PK Código del tipo de Revisión
R_Tipo_Revisión String No Nombre del tipo de Revisión.
Frecuencia: Se registran la frecuencia de revisión del evento de riesgo: Diaria,
semanal, quincenal, mensual, bimensual, trimestral, semestral o Anual.
Campo Tipo Null Clave Descripción
F_Cod_Frecuencia String No PK Código de la frecuencia .
F_frecuencia String No Frecuencia de revisión.
Perfil: Se registran en esta tabla el código y descripción de los perfiles de acceso al
sistema.
Campo Tipo Null Clave Descripción
P_Cod_Perfil String*
1
No PK Código del perfil
P_descripción String No Descripción del perfil
Acceso: Se registran en esta tabla el código del perfil el código del modulo
66
relacionado con cada perfil y las acciones permitidas
Campo Tipo Null Clave Descripción
A_Cod Perfil String*
1
No Código del perfil
A_Cod_Modulo String*
1
No Código del modulo
A_Acceso Bolean Indica si tiene acceso al modulo
A_Crear Bolean Muestra si puede crear campos
A_Modificar Bolean Muestra si puede modificar campos
A_Eliminar Bolean Muestra si el usuario puede eliminar.
Modulo: Se registran en esta tabla el código y descripción de los perfiles de acceso al
sistema.
Campo Tipo Null Clave Descripción
M_Cod modulo String*
1
No PK Código del modulo
M_Modulo String No Descripción del modulo
5.6.13. Diagrama de clases de diseño:
A continuación se presenta el diagrama de clases de diseño del sistema.
67
5.6.14. Esquema de bases de datos:
El diagrama entidad relación muestra las relaciones de la base de datos y el contenido
de sus tablas.
68
5.6.15. Funcionalidad del sistema:
Se elaboró un prototipo del sistema en el cual se contempló que el mismo consiste en
cuatro (4) módulos, que son los siguientes: matriz de riesgos, consultas,
administración y seguridad. Cada módulo presentará varias opciones de acuerdo a
los requerimientos establecidos. A continuación se detalla brevemente la
funcionalidad de cada uno de los módulos y se presentan las pantallas definidas.
Pantalla principal del sistema: Es la pantalla de presentación del sistema y que es
mostrada en cuanto el usuario accede a la aplicación.
69
Módulo matriz de riesgo: permite incluir y actualizar en el sistema todas las
matrices de riesgo de las diferentes Gerencias de la Unidad.
Módulo de consultas: permite consultar información de las matrices de riesgo, así
como también los mapas de procesos y subprocesos definidos en el sistema.
70
Adicionalmente, este módulo permite exportar reportes a otras herramientas
tecnológicas, como excel, con la finalidad de que los usuarios lo utilicen como
papeles de trabajo para la documentación de la auditoría y para cualquier
presentación que sea requerida.
Módulo de administración: permite ingresar y actualizar información relacionada
con los parámetros de campos definidos en el sistema, y los cuales son requeridos
para ingresar la información relacionada con las matrices de riesgo. Entre los
parámetros establecidos se encuentran: Tipos de riesgo, gerencias de la Dirección de
Auditoría, procesos, tipos de revisión, frecuencia de las revisiones y cargos.
71
Módulo de seguridad: en este módulo se podrá administrar y actualizar la
permisología de los usuarios que van a acceder al sistema, y definir sus perfiles de
operación.
72
CAPITULO VI
EL PROCESO DE APLICACIÓN DE LA METODOOGÍA
6.1. Aplicación de la metodología.
A continuación se presenta la metodología utilizada para elaborar el diseño del
sistema de gestión de matrices de riesgos propuesto para la Dirección de Auditoría de
Bancaribe.
Este proyecto siguió la metodología de desarrollo de sistemas orientada a objetos con
UML explicado por Juan de Dios Bátiz, el cual sigue el proceso de desarrollo
orientado a objetos propuesto por Craig Larman, este proceso es muy apropiado
porque aplica los últimos avances de la ingeniería de Software. Diferentes autores
dividen el desarrollo de un proyecto de sistema de información en fases, este proceso
por su parte no fija una metodología estricta, sino define una serie de actividades que
pueden realizarse en cada fase, las cuales deben adaptarse según las condiciones del
proyecto que se estén llevando a cabo.
La notación que se usa para los distintos modelos, es la proporcionada por UML, que
permite integrar con mayor facilidad en el equipo de desarrollo a nuevos miembros y
compartir con otros equipos la documentación. El proceso esta formado por una serie
de actividades y subactividades, cuya realización se va repitiendo en el tiempo,
aplicadas a distintos elementos. Cabe destacar que para la realización de este trabajo
de grado la metodología fue ejecutada hasta la fase de Construcción y hasta la sub
fase de diseño de bajo nivel.
Las tres fases al nivel más alto son las siguientes:
73
1. Planificación y Especificación de Requisitos: aquí se definen tanto la
planificación del proyecto como la definición de requisitos detallados, entre otros.
2. Construcción: Implica la construcción del sistema y dentro de esta etapa se
encuentran las siguientes sub fases.
a) Diseño de alto nivel: Se analiza el problema a resolver desde la perspectiva de
los usuarios y de las entidades externas que van a solicitar servicios al
sistema.
b) Diseño de Bajo Nivel: El sistema se especifica en detalle, describiendo como
va a funcionar internamente para satisfacer lo especificado en el diseño de
alto nivel.
c) Implementación: Se lleva lo especificado en el diseño de bajo nivel a un
lenguaje de programación.
d) Pruebas: Se llevan a cabo una serie de pruebas para corroborar que el software
funciona correctamente y que satisface lo especificado en la etapa de
Planificación y Especificación de Requisitos.
3. Instalación: La puesta en marcha del sistema en el entorno previsto de uso.
6.1.1. Fase de planificación y especificación de requisitos:
Esta fase corresponde con la especificación de requisitos ampliada con un borrador
de modelo conceptual y con una definición de casos de uso de alto nivel. Se recaba
toda la información para alimentar la base teórica del proyecto mediante guías,
manuales y textos bibliográficos.
Las actividades que se muestran a continuación son las que se desarrollaron durante
esta fase, pero lo normal es que estas actividades se solapen en el tiempo, esto sucede
también en las actividades de diseño, que se mostrarán más adelante.
74
• Definir el Plan-Borrador: Se recopilaron y analizaron aquellos elementos que
indican la necesidad de un nuevo sistema, se realizaron reuniones preliminares
con el personal de las unidades involucradas para definir la necesidad de un
cambio; luego de discutir, se determinaron las necesidades preliminares que
pueden o no justificar el desarrollo del sistema nuevo, así como los objetivos
del sistema de información, su alcance y las actividades para desarrollarlo.
• Crear el informe de investigación preliminar: Para esta actividad se obtuvo
la línea base de la arquitectura del sistema, se entrevistó a los usuarios de
diferentes niveles, se capturó la mayoría de los requisitos y se estableció la
arquitectura del ciclo de vida, calculando los tiempos, fechas de planificación y
finalización de la fase de construcción
• Definir los requisitos: se definieron los Requisitos de entrada (datos que
alimentan al Sistema para su posterior uso), Requisitos de salida (información
que el usuario desea obtener como resultado), Requisitos de almacenamiento
(información esencial que el usuario desea en la base de datos) y Requisitos
funcionales (Procesos y puntos específicos establecidos por el usuario, para que
el sistema realice).
• Identificar los requerimientos detallados: En esta fase debe describirse
detalladamente los requerimientos de los usuarios en cuanto al funcionamiento
del sistema para cada módulo de programas, de tal manera que sirvan de base
para la programación del mismo.
• Definir el ambiente operacional: Esta fase permitió definir los requerimientos
de operatividad e identificar el impacto en el ambiente actual de la plataforma
tecnológica de la Organización, para así lograr el desempeño requerido y
especificado por los usuarios.
75
• Implementar un Prototipo: Se definieron los diferentes módulos que
conformarían el sistema, así como también las pantallas iniciales y el flujo de
navegación en el sistema.
• Definir los casos de Uso (de alto nivel y esenciales): Un Caso de uso es un
documento narrativo que describe a los actores utilizando un sistema para
satisfacer un objetivo. No son requisitos ni especificaciones funcionales. Para
este trabajo se ejecutaron las siguientes actividades: Identificación de los
actores y los procesos en los que participan, identificación de los eventos
externos a los que el sistema debe responder y definición de los límites del
sistema (tanto internos como externos).
• Definir el Modelo Conceptual: El Modelo Conceptual permite tener una
representación de conceptos del mundo real, no de componentes software. El
objetivo de la creación de un modelo conceptual es aumentar la comprensión
del problema. Para la construcción del modelo se identificaron los conceptos y
los atributos mínimos requeridos.
• Definir la Arquitectura y ambiente del Sistema: En esta actividad se
determinó la arquitectura en la cual se instalará el sistema y los requisitos
mínimos necesarios para su operación, así como también de qué manera se
conectará el sistema con el resto de las aplicaciones utilizadas por los usuarios.
6.1.2. Fase de Construcción (diseño de alto nivel):
Esta fase buscó definir un modelo lógico a partir de lo encontrado durante la fase
anterior, con el fin de establecer los planes del proyecto sin entrar en detalles de
implementación. Las Actividades de la fase de diseño de alto nivel fueron las
siguientes:
76
• Elaboración de diagramas de secuencia del sistema: Una parte de la
descripción del comportamiento del Sistema se realiza mediante los diagramas
de secuencia del sistema. En cada caso de Uso se muestra a una interacción de
actores con el sistema. En esta interacción los actores generan eventos,
solicitando al sistema operaciones. Los casos de uso representan una interacción
genérica. Una instancia de un caso de uso se denomina escenario, y muestra una
ejecución real del caso de uso, con las posibles bifurcaciones alternativas
resueltas de forma particular.
• Elaboración del modelo Conceptual: en esta fase se identificaron los
conceptos que conforman el dominio del problema. Para representar estos
conceptos se usó un diagrama de estructura estática de UML, al que se llama
Modelo Conceptual. En este Modelo Conceptual se tiene una representación de
conceptos del mundo real, no de componentes software. El objetivo de la
creación de un modelo conceptual es aumentar la comprensión del problema.
Por tanto, a la hora de incluir conceptos en el modelo, es mejor crear un modelo
con muchos conceptos que olvidar algún concepto importante.
• Definición de Contratos de Operación: estos contratos describen el
comportamiento esperado del sistema en cada operación y los cambios en el
estado del sistema cuando una operación es invocada. Los pasos a seguir para
construir un contrato son los siguientes.
• Elaboración de los diagramas de Estados: Sirven para modelar el
comportamiento del sistema. La utilidad de un Diagrama de Estados en el
Diseño de Alto Nivel reside en mostrar la secuencia permitida de eventos
externos que pueden ser reconocidos y tratados por el sistema. Para los casos de
uso complejos se puede construir un Diagrama de Estados. El Diagrama de
Estados del sistema es una combinación de los diagramas de todos los casos de
uso.
77
6.1.3. Fase de Construcción (diseño de bajo nivel):
En esta fase se creó una solución a nivel lógico para satisfacer los requisitos,
basándose en lo diseñado en la fase anterior. Las actividades realizadas durante esta
fase fueron las siguientes:
• Definición de casos de uso reales: Estos describen el diseño real del caso de
uso según una tecnología concreta de entrada y de salida y su implementación.
El caso de uso implicó además, la definición de una interfaz de usuario, los
bocetos de las ventanas y detalles de la interacción a bajo nivel. En esta
actividad sólo se elaboraron los bocetos a nivel de diseño y se especificaron los
detalles para la fase de implementación.
• Elaboración de los diagramas de Interacción: Estos diagramas muestran el
intercambio de mensajes entre instancias del modelo de clases para cumplir las
post-condiciones establecidas en los contratos. Estos permiten tomar
decisiones clave acerca del funcionamiento del futuro sistema.
• Elaboración de diagramas de clases de diseño: Estos diagramas muestran la
especificación para las clases software de una aplicación e incluyen la siguiente
información: clases, asociaciones y atributos, Interfaces, Métodos,
Navegabilidad y Dependencias.
• Definición del ambiente técnico: En esta fase se definió la plataforma
requerida para la implantación del sistema y la red en la que debe ejecutarse
para satisfacer los requerimientos de procesamiento del negocio.
• Definición de la arquitectura de los datos: El propósito de esta fase fue
definir la estructura óptima de los datos y de las estructura de archivo, así como
también, la forma en que los archivos se van a interrelacionar unos con otros.
78
6.2. Presentación de la propuesta
Una vez elaborado el prototipo y el diseño detallado del sistema, se presentaron los
resultados a los niveles gerenciales de la Dirección de Auditoría, con la finalidad de
facilitará al usuario la comprensión y operación de cada una de las opciones
disponibles en el sistema y obtener retroalimentación sobre la propuesta.
En la presentación se brindó información sobre los siguientes aspectos:
• Objetivos y alcance del sistema y estructura del sistema.
• Funcionalidad e interfaces con los usuarios y otras aplicaciones.
• Definición de responsables y perfiles de usuario.
• Seguridad de operación del sistema.
Durante la presentación se recogieron sugerencias de mejora, las cuales fueron
incluidas en el diseño presentado y que fundamentalmente, estaban orientadas al flujo
de trabajo y de los datos dentro del sistema.
6.3. Diseño del proceso de gestión de cambio
Con la finalidad de apoyar a la Dirección de Auditoría en el proceso de gestión de
cambio se diseñó una estrategia general para ser aplicada en todos los niveles de
cargo y así transmitir a todo el personal de la Dirección la información relacionada
con el desarrollo y con la futura operación del sistema. Este proceso incluyó las
siguientes actividades:
6.3.1. Elaboración de una presentación para el personal: En esta presentación se
incluyeron los siguientes aspectos:
• Mostrar los resultados de los levantamientos de información con todas las
Gerencias de Auditoría y las oportunidades de mejora detectadas.
• Los objetivos, alcance y estructura del sistema.
79
• Facilidades de operación del sistema, tales como botones, teclas de función y
procedimiento de acceso.
• Proceso para realizar la carga y mantenimiento de las matrices de riesgo.
• Forma de efectuar consultas generales.
• Generación de reportes.
• Procedimientos de operación correspondientes a la carga de parámetros y
actualización de las tablas
• Seguridad del sistema, donde se delimita el acceso a la información manejada
por la aplicación, a través de la creación de perfiles y usuarios.
6.3.2. Elaboración del manual de usuario del sistema: Se elaboró el manual de
usuario del sistema, el cual constituye la documentación oficial que facilitará la
comprensión y operación de cada uno de los módulos que conforman el sistema.
6.3.3. Definición de plan de adiestramiento: Se diseñó el contenido y cantidad de
horas que se requieren para dictar el adiestramiento relacionado con el uso y
mantenimiento del sistema. Adicionalmente, se elaboró el cronograma de ejecución
del entrenamiento, de acuerdo a los niveles de cargo y a las funciones que
desempeñarán los usuarios en el sistema. Por otra parte, también se diseñó la
logística para dictar los talleres, lo cual incluyó la selección de salones, solicitud de
refrigerios y diseño de los certificados para los participantes.
80
__________________________________________________________________
FASE DE EVALUACIÓN
__________________________________________________________________
CAPITULO VII: EVALUACIÓN DEL PROYECTO
CAPITULO VIII: CONCLUSIONES Y RECOMENDACIONES
81
CAPITULO VII
EVALUACIÓN DEL PROYECTO
Tal y como se señaló en el Proyecto del Trabajo Especial de Grado,
específicamente en el apartado de Metodología, se desarrollará la Evaluación del
Proyecto, en este sentido se expone la evaluación realizada.
7.1. Resultados relevantes.
Después de efectuar levantamientos de información con personal de todos los
niveles de la Dirección de Auditorías, efectivamente se determinó que existían
debilidades en el proceso y se identificaron varias oportunidades de mejora para
hacer más eficiente la elaboración y administración de las matrices de riesgos, las
cuales son el principal insumo para definir la planificación anual de la Unidad.
Las debilidades detectadas y que generaban mayor impacto en el proceso son las
siguientes:
• Inexistencia de interacción entre las diferentes Gerencias al momento de
realizar las matrices de riesgo y diseñar el plan anual.
• Inexistencia de herramientas tecnológicas para administrar las matrices de
riesgo y efectuar seguimiento al plan anual.
• Inexistencia del mapa de procesos de banco.
Las oportunidades de mejora detectadas y que tienen una mayor relevancia para
las mejoras en el proceso son enumeradas a continuación:
82
• Realizar mesas de trabajo con los dueños de los procesos, previa a la
planificación para conocer los procesos a ser auditados.
• Realizar reuniones previas con los dueños de los procesos a fin de conocer los
cambios.
• Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de
la institución y/o elaborar un mapa de procesos desde la visión de la Dirección
de Auditoría.
• Analizar la valoración de los riesgos medios para determinar las prioridades de
revisión.
• Realizar mesas de trabajo previa revisión de la dirección con el fin de integrar
los conceptos y contenido de plan anual.
• Coordinar las revisiones comunes en las distintas áreas del banco con la
finalidad de formar equipos de auditoría integrales.
• Establecer un formato estándar para la elaboración de las matrices de riesgo.
• Implantar un Sistema Integrado donde se puedan incluir todas las matrices de
riesgo manejadas por la Dirección de Auditoría.
• Documentar el proceso de planificación anual
Adicionalmente, una vez identificadas las necesidades de todos los usuarios se
estableció un formato único para la construcción de las matrices de riesgo y se
desarrollaron una serie de instrucciones para proporcionar guía a los usuarios
sobre la información requerida en cada uno de los campos definidos. Este formato
sirvió como base para la definición de los requerimientos detallados del sistema
Finalmente, se logró elaborar los requerimientos detallados del sistema y un
diseño detallado de bajo nivel en cuanto a su funcionalidad y operación se refiere,
siendo esto el principal insumo para ejecutar su desarrollo y su posterior
implantación.
83
7.2. Comparación entre lo planificado y lo ejecutado
La principal diferencia entre lo planificado y lo ejecutado está relacionada con el
cumplimiento de las fechas del cronograma, lo cual conllevó a un retraso en la
entrega del trabajo final de aproximadamente tres (3) meses. Esto será detallado en el
punto siguiente.
Otra diferencia importante, es que en el inicio el trabajo se había considerado que los
levantamientos de información se realizarían únicamente en los niveles de Director y
de Gerentes de la Unidad, sin embargo, una vez realizados se determinó que era
necesario incluir en los levantamientos al resto del personal, ya que es en éstos en los
que se concentra la información detallada de la elaboración y administración de las
matrices. De hecho, al incluir a los demás niveles de empleados, se detectaron
muchas deficiencias y oportunidades de mejora que no se habían evidenciado en las
entrevistas sostenidas con Directores y Gerentes, lo cual enriqueció el proceso y los
requerimientos de funcionamiento del sistema.
Finalmente, a pesar de que la brecha entre lo planificado y lo ejecutado fue
significativa en cuanto a tiempo, la misma se justifica ampliamente en virtud de los
resultados obtenidos.
7.3. Revisión sobre el cronograma
En la ejecución del cronograma se presentó un retraso de aproximadamente tres
83) meses. La principal razón para el retraso en la entrega del informe se debió a
que no se pudo iniciar el trabajo en la fecha estipulada (01/12/2006), debido a
que el personal de la Dirección de Auditoría no disponían del tiempo requerido
para participar en los levantamientos de información y en la definición de
requerimientos detallados, por lo que el proyecto pudo dar inicio a partir del
01/02/2007. Adicionalmente, se estimaron dos (2) meses para la elaboración de
84
todas las actividades inherentes al proyecto, sin embargo, las mismas tomaron un
(1) mes adicional, ya que fue necesario conocer a fondo la arquitectura
tecnológica de la Organización para poder presentar una propuesta acorde con lo
que establecen los estándares, normas y políticas de “desarrollo de aplicaciones y
sistemas” y “seguridad de la información”, establecidos en la Organización. A
continuación se describe el cumplimiento del cronograma fase por fase, de
acuerdo a lo establecido:
• Elaboración del Marco Conceptual Referencial: En el cronograma se
estableció iniciar el 01/12/2006, sin embargo, la fecha real de inicio fue el
01/02/2007.
• Elaboración del Marco Organizacional: Se planificó iniciar en la segunda
semana de diciembre 2006 y se llevó a cabo durante la segunda semana de
febrero 2007.
• Elaboración del diagnóstico de la situación actual: Se estimaron 5 días para
ejecutar esta actividad pero en realidad se realizó en 10 días. Adicionalmente,
se inició la actividad el 09/02/2007 cuando estaba prevista para el 11/12/2007.
• Identificación de las oportunidades de mejora de los procesos: Esta actividad
se ejecutó durante la última semana de febrero 2007, en lugar de mediados de
diciembre 2006 y, además, implicó 15 días para la culminación de las
actividades, en lugar de los 5 días estimados en la planificación. Esta
actividad fue la que implicó una mayor brecha entre la cantidad de días
planificados y la cantidad de ejecutados.
• Definición de los requerimientos detallados: Se inició a mediados del mes de
marzo 2007 y tomó 10 días su ejecución en lugar de los 5 días planificados.
• Elaboración de la propuesta para el sistema de gestión de matrices: Esta fase
se comenzó durante la primera semana del mes de abril 2007 en lugar de la
primera semana de enero 2007.
85
• Evaluación de la propuesta: Se realizó a mediados de abril 2007, una vez
culminada la definición de la propuesta.
• Diseño del proceso de gestión de cambio: Se realizó a mediados de abril
2007.
• Evaluación del Proceso: Esta actividad se realizó a partir del 21/04/2007 e
implicó una cantidad de 5 días en lugar de 1 día planificado, ya que la
evaluación se realizó conjuntamente con los directores y gerentes de la
Dirección de Auditoría.
• Elaboración del informe final de grado: Debido al atraso general en la
ejecución del proyecto esta actividad se inició en la tercera semana del mes de
abril 2007 y no en la fecha establecida.
7.4 Logro de los objetivos planteados en la propuesta del estudio
Los objetivos planteas en la propuesta fueron ampliamente alcanzados y contribuyen
de manera efectiva a los procesos ejecutados por la Dirección de Auditoría de
Bancaribe.
Objetivo general: Diseñar un sistema de gestión para administrar las matrices de
riesgo para la Dirección de Auditoria del Bancaribe.
Este objetivo fue cubierto con la definición detallada de los requerimientos y
funcionalidad del sistema, los cuales son resultados de los levantamientos de
información realizados con los usuarios y basados en las expectativas que los mismos
tenían.
Objetivos específicos:
1. Efectuar un diagnóstico de la situación actual del proceso de elaboración y
mantenimiento de las matrices de riesgo de la Dirección de Auditoria;
86
determinando las oportunidades de mejora en el proceso de elaboración del plan
de auditoria: Se evidenciaron en los levantamiento de información diferentes
brechas y debilidades en el proceso de creación y administración de las matrices,
asimismo, se determinaron las posibilidades de mejora que podían ser aplicadas al
proceso.
2. Elaborar una propuesta de sistema de gestión de matrices de riesgo; definiendo los
procedimientos requeridos para la inclusión y actualización de las matrices de
riesgo en el sistema: Este objetivo se logró al proponer el diseño y estructura del
sistema que será utilizado para la carga y mantenimiento de las matrices del
sistema, así como también, la definición de los roles y perfiles para realizar estas
actividades.
3. Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad de su
implantación: La propuesta fue evaluada conjuntamente con los directores y
gerentes responsables de la Dirección de Auditoría de Bancaribe.
87
CAPITULO VIII
CONCLUSIONES Y RECOMENDACIONES
8.1. Conclusiones.
Las matrices de riesgo deben ser una herramienta flexible que documente los
procesos y evalúe de manera global el riesgo de la institución. Una matriz debe ser
una herramienta sencilla que permita realizar un diagnóstico objetivo de la situación
global de riesgo y una participación más activa de las unidades de negocios,
operativas y funcionales en la definición de la estrategia institucional de riesgo de la
empresa.
Una Matriz de Riesgo adecuadamente diseñada y efectivamente implementada se
convierte en soporte conceptual y funcional de un efectivo Sistema Integral de
Gestión de Riesgo y permite hacer comparaciones objetivas entre proyectos, áreas,
productos, procesos o actividades.
Los sistemas de información tienen sus propias características y particularidades, y
juegan un rol fundamental para satisfacer las necesidades de información y facilitar la
ejecución de los procesos operativos de las organizaciones.
Cada sistema debe ser tratado con la metodología que mejor se adapte a los objetivos
del análisis para obtener un producto final de calidad. A través de la ejecución de las
actividades de la metodología utilizada, se logró obtener los requisitos detallados del
sistema de una manera eficiente. La metodología también permitió efectuar un
modelo adecuado de sistema haciendo que el mismo sea amigable y fácil de usar para
los usuarios y permitiendo manejar eficientemente la información disponible y
88
facilitando la adecuada toma de decisiones, para obtener resultados de una alta
calidad.
�
A partir de este momento la Dirección de Auditoría contará con una herramienta
automatizada que permite registrar datos y hacer consultas dinámicas que
contribuyan con el análisis de los riesgos potenciales a los que pudieran estar
expuesta la organización, y así ejecutar la planificación anual basada en los riesgos
importantes que deben ser evaluados.
La herramienta diseñada cubre con sus cuatro (4) módulos todas las necesidades de
los usuarios, planteadas en el proyecto y mejora los procesos operacionales del
personal de la Dirección de Auditoría.
8.2. Recomendaciones.
A la Dirección de Auditoría se le efectúan las siguientes recomendaciones:
• Culminar el desarrollo de la aplicación, de acuerdo a las especificaciones y
diseño planteado y de acuerdo con los estándares, normas y políticas existentes
en la empresa en lo que a desarrollo de sistemas y aplicaciones se refiere.
• Efectuar una fase de pruebas con la finalidad de corroborar que el software
funciona correctamente y que satisface lo especificado en la etapa de
Planificación y Especificación de Requisitos.
• Dictar los entrenamientos planificados para informar a los usuarios sobre la
operación del sistema y distribuir los manuales de usuario para que sirvan de
apoyo durante los entrenamientos y la ejecución.
89
• Implantar la herramienta en su ambiente real e iniciar las actividades rutinarias
y ajustar los procesos existentes para el uso de la misma.
• Realizar una evaluación post implantación para garantizar que los resultados
obtenidos son los esperados y ejecutar las acciones requeridas en caso de
observarse alguna desviación.
90
REFERENCIAS
• Montilva, J. (1990). Desarrollo de sistemas de Información Consejo de
publicaciones de la U.L.A.
• Pinilla Forero, J. (1997). Auditoría informática un enfoque operacional.
Bogotá.
• Pinilla Forero, J. (1999). Auditoría informática aplicaciones en
producción. Bogotá.
• http://www.jps.go.cr/licitaciones/metodología de desarrollo de sistemas.doc,
consultado el 19/01/2007.
• http://www.theiia.org/guidance/standards-and-practices, consultado el
15/03/2007.
• http://www.capgemini.es/sectores/finanzas/riesgos.htm, consultado el
20/04/2007.
• http://dmi.uib.es/~bbuades/riesgos/sld003.htm , consultado el 15/04/2007.
• http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007.
• http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el
19/03/2007.
• http://www.bancaribe.com.ve/, consultado el 01/02/2007.
• http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248,
consultado el 15/03/2007)
Recommended