El proceso de emisión de los Informes sobre los Exámenes de Auditoría

...

A continuación presentamos la Matriz de Riesgo Inherente, cuyos valores de Impacto y Frecuencia han sido homologados con la Gerencia de Área Administración de Riesgos de Operación y Gestión de Seguros y aprobados por el Comité de Riesgos:

[pic 4]

El Riesgo Residual es el resultado de aplicar un factor de reducción (control y frecuencia) a la Matriz de Riesgo Inherente (impacto y frecuencia), después de haber efectuado la evaluación de los controles internos. Para este efecto, se ha adoptado el supuesto que el funcionamiento adecuado de los controles sólo mitiga la frecuencia del riesgo para el cálculo matemático del modelo.

Por lo tanto, de la aplicación del factor de reducción a las matrices de impacto y probabilidad, mediante fórmulas definidas en el Manual de Metodología de Auditoría Interna, da como resultado la clasificación del riesgo residual:

Clasificación del Riesgo Residual

[pic 5]

- Interpretación de las observaciones

En base al apetito de riesgo aceptado por la alta dirección, al nivel de los riesgos residuales y a los resultados de las pruebas realizadas sobre la efectividad de controles, las observaciones se clasifican conforme a la metodología expuestas líneas arriba. Sin embargo, la Unidad de Auditoría Interna considerará también aspectos cualitativos fundamentales al momento de la evaluación, primando el juicio profesional y la experiencia del equipo de auditoría en su conjunto. En consecuencia, las observaciones pueden catalogarse cualitativamente de la siguiente manera:

Riesgo Crítico

- Tienen el potencial de generar graves pérdidas financieras y por tanto poner en riesgo significativo la fortaleza financiera de la organización.

- Representan graves casos de incumplimiento de leyes y regulaciones.

- Tienen el potencial de poner en grave riesgo la reputación del Banco.

- Tienen el potencial de poner en grave riesgo la autorización de funcionamiento del Banco u originar una intervención.

- Tienen el potencial de poner al Banco a Régimen de Vigilancia.

Riesgo Alto

- Tienen el potencial de generar significativas pérdidas financieras, y poner en riesgo alto la seguridad y fortaleza de la organización

- Representan significativos casos de incumplimiento de leyes y regulaciones.

- Tienen el potencial de poner en significativo riesgo la reputación del Banco.

- Tiene el potencial riesgo de suspensión de directores o empleados del Banco por parte de los entes reguladores.

- Tienen el potencial riesgo de suspensión de la colocación de una oferta pública o suspensión de la negociación de uno o más valores por parte de la Superintendencia del Mercado de Valores (SMV) o tienen el potencial riesgo de exclusión de un Valor del Registro Público del Mercado de Valores por parte de la SMV o de otros reguladores de mercados de valores.

Riesgo Relevante

- Tienen el potencial de generar importantes pérdidas financieras.

- Representan incumplimientos de normas internas del Banco.

- Tienen el potencial de poner en moderado riesgo la reputación del Banco.

- Tienen el potencial de generar multas por parte de la SBS u otras autoridades.

- Representan incumplimientos de cláusulas contractuales que deriven en demandas y daños a la entidad.

Riesgo Moderado

- Tienen el potencial de generar moderadas pérdidas financieras.

- No aseguran un cumplimiento integral de normativas internas.

- Tienen el potencial de poner en bajo riesgo la reputación del Banco.

- Tienen el potencial de exponer a la organización a amonestaciones de los entes reguladores.

- Representan incumplimientos de cláusulas contractuales que podrían derivar en pérdidas menores a la entidad.

Riesgo Bajo

- Tienen el potencial de generar pérdidas menores para el Banco.

- Son considerados necesarios para impedir que en el mediano plazo la actuación o administración de las operaciones de la organización pierda su eficiencia.

Adicionalmente, una oportunidad de mejora es utilizada para mejorar los procesos, la gestión, los controles y los resultados del proceso o unidad auditada conforme a las mejores prácticas tanto de otras unidades o procesos de la Corporación como de otras empresas y/o industrias y servicios. Su implementación es opcional.

5. De la Respuesta a los Informes de Auditoría y Seguimiento de Observaciones

- La Gerencia de División de Auditoría efectuará el seguimiento de las observaciones efectuadas por los Organismos Reguladores, los Auditores Externos y la Gerencia de División Auditoría. El estado de las observaciones emitidas por la (SBS) se reportan cuatrimestralmente (dentro de los 20 días posteriores al cierre de cada cuatrimestre) a través del aplicativo SIRAI. Asimismo, se presenta al Comité de Auditoría un informe conteniendo el estado de las observaciones emitidas por la SBS, Auditoría Externa y Auditoría Interna.

- La División de Auditoría cuenta con una herramienta tecnológica llamada TeamMate en la cual se registra la totalidad de observaciones. Para realizar un eficiente seguimiento de observaciones se emplea uno de los módulos de la herramienta, llamado TeamCentral. En dicho módulo se cargan las observaciones y los sustentos de las unidades auditadas, para realizar esta labor se han definido los siguientes roles:

- Observador (Gerente Central, División, Área): visualiza la totalidad de las observaciones asignadas a su unidad, por status (superada, en proceso o pendiente), nivel de riesgo, y antigüedad respecto a la fecha de implementación del plan de acción. Asimismo visualiza las respuestas de su Propietario y Colaboradores a la División de Auditoría.

-

-