Story Transcript
Su Mejor Alternativa
IMPORTANCIA DE LA FUNCIÓN DE AUDITORÍA INTERNA EN LA PREVENCIÓN DE RIESGO DE FRAUDE DEL NEGOCIO EN LAS INSTITUCIONES FINANCIERAS VENEZOLANAS
Auditoria | Asesoria Tributaria | Consultoria
CONCEPTO DE RIESGO Las Normas Internacionales para la Práctica Profesional de Auditoría Interna del IIA definen el riesgo como “la incertidumbre que ocurra un acontecimiento que podría tener un impacto en el logro de los objetivos. El riesgo se mide en términos de impacto y probabilidad”. (Fuente: Instituto de Auditores Internos – IIA)
CONCEPTO DE RIESGO DEL NEGOCIO La amenaza de que un hecho, acción ejecutada o no, afecte adversamente la habilidad de la organización para alcanzar el logro de sus objetivos de negocio. El nivel de exposición a la incertidumbre que la empresa debe administrar efectivamente para crear valor. (Fuente: Instituto de Auditores Internos – IIA)
CONCEPTO DE RIESGO RESIDUAL Es el riesgo que permanece después de que la Dirección haya realizado sus acciones para reducir el Impacto y la Probabilidad de un acontecimiento
adverso, incluyendo las actividades de control en respuesta a un riesgo. (Fuente: Instituto de Auditores Internos – IIA)
CONCEPTO DE RIESGO DIGITAL Es la exposición a pérdidas o daños a la que está expuesta la institución, por la probable vulnerabilidad a los ataques informáticos o violaciones de la seguridad de los controles establecidos en su Plataforma de Tecnología de Información y Comunicación – TIC´S. Entre las posibles amenazas, están: Robo de Información. (Phishing) Extorsión. Robo de Propiedad Intelectual. (Spyware)
Paralización del Negocio. (Ransomware) Imposibilidad de realizar ventas por Internet. Hackeo de perfiles y correos corporativos. (Spear Phishing). Sanciones por Protección de Datos. Robo electrónico del Dinero. Fuente: Manual de Auditoría Interna de Horwath
CONCEPTO DE FRAUDE El término fraude se refiere a un acto intencional llevado a cabo por una o más personas de la Gerencia del ente, sus empleados o terceras partes, el cual resulta en una afirmación errónea en los estados financieros. El fraude puede involucrar entre otros: La manipulación, falsificación o registros contables o documentos,
alteración
de
La malversación o distracción de activos o aplicar mal intencionalmente las normas contables.
CONCEPTO DE FRAUDE Actividades o Acciones con el propósito de enriquecimiento personal a través del uso inapropiado o la sustracción de recursos/activos de una organización por parte de una persona. (Fuente: Asociación de Examinadores de Fraude Certificados - ACFE)
El uso de Acciones que buscan presentar ante los inversionistas, analistas y/o mercado una situación no realista de la Compañía, con el fin de cumplir con las expectativas de alguno o algunos de los grupos de interés. (Fuente: Instituto Americano de Contadores Públicos Certificados - AICPA)
Cualquier acto ilegal caracterizado por el engaño, el ocultamiento o la violación de la confianza. Los fraudes son perpetrados por individuos y organizaciones para: Obtener dinero, propiedades o servicios Evitar pagos o pérdida de servicios Asegurar una ventaja personal o del negocio (Fuente: Instituto de Auditores Internos – IIA)
AXIOMA DEL EXÁMEN DE FRAUDE
MOTIVO • Problemas de Adicciones • Metas Muy Altas
D SI CE NE
Control Interno
AD
Posibilidad de ser detectado Severidad de la Sanción
FRAUDE
CONOCIMIENTO (RACIONALIZACIÓN) OPORTUNIDAD • Falta de Control • Segregación de Funciones
RACIONALIZACIÓN • Baja Auto-Estima • Seguir el Mal ejemplo de la Directiva
POSIBLES CAUSAS DE FRAUDES Ausencia o Incumplimiento del Control Interno Desorden y / o Atraso Contable - Operativo Desconocimiento o desprecio por la seguridad de los medios informáticos. Pérdida de Identidad Corporativa y Mística Organizacional. Exceso de confianza entre los miembros de la Organización. Complicidad entre dos o más empleados, y/o con la participación de personas ajenas a la empresa.
EL GRAN ROBO BANCARIO KASPERSKY LAB - COMUNICADO DE PRENSA (16/02/2015)
La banda delictiva cibernética CARBANAK roba mil millones de dólares de 100 instituciones financieras en todo el mundo Kaspersky Lab, la INTERPOL, EUROPOL y autoridades de diferentes países han unido sus fuerzas para dejar al descubierto el complot delictivo de un robo cibernético sin precedentes. Hasta mil millones de dólares americanos fueron robados en cerca de dos años de instituciones financieras en todo el mundo. Los expertos informan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentes de Rusia, Ucrania y otras partes de Europa, así como de China. La banda CARBANAK responsable del robo cibernético utilizó técnicas extraídas del arsenal de los ataques selectivos. El complot marca el inicio de una nueva etapa en la evolución de la actividad de delincuencia cibernética, donde usuarios maliciosos roban dinero directamente de los bancos, y evitan concentrar sus ataques en los usuarios finales.
LA AMENAZA PERSISTENTE AVANZADA DE 1.000 MILLONES DE U$D ESTÁ EN LA RED DE TU BANCO SI:
¿QUÉ SIGNIFICA PHISHING? “Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.” Fuente: WIKIPEDIA
¿QUÉ ES SPEAR PHISHING? Spear phishing es una estafa focalizada por correo electrónico cuyo único propósito es obtener acceso no autorizado a datos confidenciales. A diferencia de las estafas por phishing, que pueden lanzar ataques amplios y dispersos, el spear phishing se centra en un grupo u organización específica. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos confidenciales. Fuente: KASPERSKY LAB
¿QUÉ ES UN MALWARE? Malware es la abreviatura de “Malicious software”, término que engloba a todo tipo de programa o
código informático malicioso cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos como:
Virus,
Troyanos
keyloggers,
(Trojans),
Botnets,
Gusanos
(Worm),
Ransomwares,
Spyware,
Adware, Hijackers, Keyloggers, FakeAVs, Rootkits,
Bootkits, Rogues, etc. Fuente: www. InfoSpyware.com
VÍAS DE INFECCIÓN DEL MALWARE
Adjuntos en Correos no solicitados (Spam)
Redes Sociales Sitios webs fraudulentos
Programas “gratuitos”, (pero con regalo) Dispositivos USB / CDs / DVDs infectados. Sitios webs legítimos previamente infectados.
¿CÓMO PROTEGERSE DEL MALWARE?
Mantener actualizado Cortafuego (Firewall).
el
Antivirus
y
el
Concientizar al personal de la Institución (Sentido Común al utilizar la Red Informática).
Mantenerse medianamente informados sobre las nuevas amenazas informáticas. No instalar software sin Licencia de Uso.
¿QUÉ ES EL CONTROL INTERNO? Es un proceso, efectuado por todo el personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
Eficiencia y Eficacia en las Operaciones. Confiabilidad de la información financiera. Cumplimiento del Marco Jurídico y Normas Establecidas.
MARCO INTEGRADO COSO III Permite a las organizaciones desarrollar, de manera
eficiente y efectiva, sistemas de control interno que se adapten a los cambios del entorno operativo y de negocio, mitigando riesgos hasta niveles aceptables
y apoyando en la toma de decisiones y el Gobierno Corporativo de la Organización.
COSO III - UN NUEVO ENFOQUE El 14 de mayo de 2013, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) publicó la versión actualizada de Control Interno – Marco Integrado (COSO III). Se estableció un período de transición desde el 14 de Mayo de 2013, hasta el 15 de Diciembre de 2014.
Las novedades que introducirá este Marco Integrado de Gestión de Riesgos son: Mejora de la agilidad de los Sistemas de Gestión de Riesgos para adaptarse a los entornos.
Mayor confianza en la consecución de objetivos. Mayor claridad Comunicación.
en
eliminación
cuanto
a
la
de
riesgos
y
Información
y
MISIÓN DE COSO III Proveer liderazgo de pensamiento a través de la elaboración de marcos y guías para la gestión del riesgo empresarial, control interno y disuasión del fraude diseñado para mejorar el desempeño y gobernanza organizacional y para reducir el alcance del fraude en las organizaciones.
PRINCIPIO FUNDAMENTAL DE COSO Una buena Gestión de Riesgos y Control Interno son esenciales para que las organizaciones logren sus objetivos estratégicos. Fuente: Conferencia Internacional – Instituto de Auditores Internos – IIA – Julio 2013
CUBO COSO III - COMPONENTES OBJETIVOS
NIVELES DE LA ORGANIZACIÓN
COMPONENTES
Eficiencia y Eficacia en las Operaciones
Confiabilidad de la Información que se Publica
Cumplimiento del Marco Jurídico y Normas Establecidas
Relación entre Componentes y Objetivos de Control Interno MARCO INTEGRADO COSO III
COMPONENTES Y PRINCIPIOS DE COSO III El Marco COSO III establece un total de diecisiete principios que presentan los conceptos fundamentalmente asociados a cada componente. Dado que estos diecisiete principios proceden directamente de los componentes, una entidad puede alcanzar un control interno efectivo aplicando todos los principios. La totalidad de los principios son aplicables a los objetivos operativos, de información y de cumplimiento. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
BENEFICIOS DEL USO Y APLICACIÓN DEL MODELO COSO III Fortalece el esfuerzo en la implementación de las Estrategias Anti - Fraude. Mejora considerablemente la Calidad en la Evaluación del Riesgo. Mejora el Gobierno Corporativo. Adapta los controles a las necesidades cambiantes del Negocio.
Considera muy importante la Tecnología de Información (TI).
Plataforma
de
DEFINICIÓN DE AUDITORÍA INTERNA La Auditoría Interna es una actividad independiente y objetiva de Aseguramiento y Consulta. Su rol fundamental respecto de la Gestión Integral de Riesgos (ERM) es brindar un aseguramiento objetivo al Consejo de Administración en cuanto a la eficacia de la Gestión de Riesgo. En efecto, la investigación ha demostrado que los Directores que forman el Consejo de Administración y los Auditores Internos coinciden en que las dos maneras más importantes a través de las cuales la Auditoría Interna agrega valor a la organización son brindando aseguramiento objetivo de que los Principales Riesgos de Negocio se gestionan apropiadamente y de que el enfoque de Gestión de Riesgo y Control Interno funciona eficazmente. Fuente: Instituto de Auditores Internos - IIA
DEFINICIÓN DE AUDITORÍA INTERNA ARTÍCULO 3 - RESOLUCIÓN N° 064.14
“Auditoría Interna: La actividad independiente y objetiva de aseguramiento y
consulta, concebida para agregar
valor y mejorar las operaciones de una organización. Ayudando a la institución a cumplir
sus objetivos
aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobernabilidad.”
RESPONSABILIDAD DEL AUDITOR INTERNO ARTÍCULO 3 - RESOLUCIÓN N° 064.14
“Auditor Interno: Es el responsable de la dirección y conducción de la auditoría interna y de sistemas de una institución del sector bancario, con el fin de que ésta
cumpla los propósitos para los cuales fue creada y que opere o funcione con la mayor eficacia y eficiencia apegado
al
cumplimiento
del
marco
legal
vigente,
recomendando para ello las medidas preventivas o correctivas a su desempeño.”
UNIDAD DE AUDITORÍA INTERNA ARTÍCULO 4
“Artículo
4:
Las
- RESOLUCIÓN N° 064.14
instituciones
del
sector
bancario,
deberán contar con una Unidad de Auditoría Interna, a la cual deberá estar adscrita un área de Auditoría de Sistemas.
En
el
caso
de
instituciones
extranjeras
establecidas en el país, las funciones de esta Unidad podrán ser asumidas por la casa matriz de dicha institución, sujetándose igualmente a las disposiciones establecidas en la presente normativa.”
MODELO DE LAS “3” LÍNEAS DE DEFENSA ANTI-FRAUDE El modelo de las Tres Líneas de Defensa Anti-Fraude proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestión de riesgos y control mediante la aclaración de las funciones y deberes esenciales relacionados. Este modelo proporciona una mirada nueva a las operaciones, ayudando a asegurar el éxito continuo de las iniciativas de gestión del riesgo, y este modelo es apropiado para cualquier organización (independientemente de su tamaño o complejidad). Aún en organizaciones donde un marco o sistema de gestión de riesgos formal no existe, el modelo de Las Tres Líneas de Defensa puede aumentar la claridad respecto a los riesgos y los controles y ayudar a mejorar la efectividad de los sistemas de gestión de riesgos. (Fuente: Instituto de Auditores Internos – IIA)
MODELO DE LAS “3” LÍNEAS DE DEFENSA ANTI-FRAUDE
CONSEJO DE ADMINISTRACIÓN / COMITÉ DE AUDITORÍA
ALTA DIRECCIÓN
3ª LÍNEA DE DEFENSA
Controles Financieros | Gestión Operativa
Seguridad Gestión de Riesgos
Calidad Control Interno
Inspección Cumplimiento
Auditoría Interna
Entes Reguladores
2ª LÍNEA DE DEFENSA
Auditoría Externa
1ª LÍNEA DE DEFENSA
MODELO DE LAS “3” LÍNEAS DE DEFENSA QUE INCLUYE DEFENSA ANTI-FRAUDE Primera Línea de Defensa La Gerencia Operativa tiene la propiedad, la responsabilidad y la obligación de evaluar, controlar y mitigar los riesgos, a la vez que mantiene controles internos eficaces. Segunda Línea de Defensa
El Contralor, la Gestión de Riesgos, las funciones de cumplimiento y otras similares facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización.
MODELO DE LAS “3” LÍNEAS DE DEFENSA QUE INCLUYE DEFENSA ANTI-FRAUDE Tercera Línea de Defensa
La función de Auditoría Interna, a través de un enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno en el organismo de gobierno y la alta dirección de la organización, incluidas las maneras en que funcionan la primera y segunda línea de defensa. Esta responsabilidad de aseguramiento cubre todos los elementos del enfoque de gestión de riesgos de la institución: identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de información relativa a riesgos (de toda la organización y hacia la alta dirección y el organismo de gobierno).
DOCUMENTACIÓN ESENCIAL DEL ÁREA DE AUDITORIA INTERNA MISIÓN VISIÓN
ESTATUTOS
CÓDIGO DE ÉTICA
MANUAL DE ORGANIZACIÓN MANUAL DE CARGOS MANUAL DE POLÍTICAS MANUAL DE NORMAS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA MARCO PROFES. AUDITORÍA INTERNA EN VENEZUELA - FCCPV NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORÍA INTERNA – (IIA) CONSEJOS PARA LA PRÁCTICA DE AUDITORÍA INTERNA MARCO 2013 – (COSO III) - EVALUACIÓN DE CONTROL INTERNO
BUEN GOBIERNO CORPORATIVO Sistema que busca otorgar transparencia a las actuaciones de las organizaciones en sus diversos niveles de ejecución, para lo cual establece las obligaciones y responsabilidades de todos los involucrados con la organización (dirección, administración y gestión), en aras del reconocimiento, ejercicio y logro de los derechos de todos los grupos de interés. El Buen Gobierno Corporativo surge del compromiso real de los accionistas, directores y gestores mediante la ejecución de prácticas que trascienden la regulación general. (Fuente: FELABAN 2008)
GOBIERNO CORPORATIVO EN LAS INSTITUCIONES FINANCIERAS Desde la perspectiva del sector financiero, el Gobierno Corporativo se refiere a la manera en que el Consejo de Administración y la Alta Gerencia dirigen las actividades y negocios de la institución financiera, lo cual influye en la forma de: Fijar objetivos corporativos. Realizar las operaciones financieras diarias Asumir sus responsabilidades frente al accionariado y tener en cuenta los intereses de otras partes con intereses reconocidos. Asegurar que las actividades y el comportamiento de la institución financiera estén a la altura de la seguridad y solidez que de él se espera y cumplen las leyes y reglamentos en vigor. Proteger los intereses de los depositantes. (Fuente: ALIDE XXXVII)
GOBIERNO CORPORATIVO Y LA COMISIÓN DE AUDITORÍA Gobierno Corporativo es el sistema a través del cual las corporaciones empresariales son dirigidas y controladas. Es un elemento clave para aumentar la eficacia económica y potenciar el crecimiento, así como para fomentar la confianza de los inversores. Proporciona la estructura a través de la cual se fijan los objetivos y los medios para lograr que esos objetivos se cumplan y supervisar su cumplimiento. Implica un sistema de relaciones entre la dirección de una compañía, sus consejeros, sus accionistas y demás personas con intereses en la sociedad. Una pieza clave del Gobierno Corporativo es la Comisión de Auditoría, en su relación con los auditores externos y con el departamento de auditoría interna. Fuente: Organización para la Cooperación y el Desarrollo Económicos (OCDE)
COMPONENTES DEL BUEN GOBIERNO CORPORATIVO
PRINCIPIOS DEL BUEN GOBIERNO CORPORATIVO - (OCDE)
1. Garantizar la Base de un Marco Eficaz para el Gobierno Corporativo 2. Los Derechos de los Accionistas y Funciones Clave en el Ámbito de la Propiedad
3. Tratamiento Equitativo de los Accionistas 4. El Papel de las Partes Interesadas en el Ámbito del Gobierno Corporativo 5. Divulgación de Datos y Transparencia 6. Las Responsabilidades del Consejo Fuente: Organización para la Cooperación y el Desarrollo Económicos (OCDE)
NORMATIVA ESENCIAL PARA UN BUEN GOBIERNO CORPORATIVO
ESTATUTOS
CÓDIGO DEL BUEN GOBIERNO CORPORATIVO
CÓDIGO DE ÉTICA
REGLAMENTO DE LA JUNTA DIRECTIVA
DOCUMENTACIÓN DE LA ESTRUCTURA ORGANIZATIVA
INTEGRANTES DEL BUEN GOBIERNO CORPORATIVO
Asamblea General de Accionistas. Junta Directiva. Comité de Auditoría.
Administradores de la Sociedad. Sistema de Control Interno.
Misión
Gobierno Corporativo
Gestión de Riesgos
Cumplimiento del Marco Jurídico y Normativa Interna de la Organización
Procesos y Plataforma de Tecnología de Información
GOBIERNO CORPORATIVO, GESTIÓN DE RIESGO Y CUMPLIMIENTO DEL MARCO JURÍDICO Y NORMATIVO
GOBIERNO DE TI (TECNOLOGÍA DE INFORMACIÓN)
El Gobierno TI (Tecnología de Información) forma parte del Gobierno Corporativo. El Gobierno de TI es responsabilidad de ejecutivos y Juntas Directivas. Consiste en liderazgo, estructuras organizacionales y procesos que aseguren que Tecnología de Información (TI) sostiene y extiende las estrategias de la organización y sus objetivos.
(Fuente: Instituto de Gobierno de TI, ISACA)
MARCO JURÍDICO QUE REGULA LA FUNCIÓN DE AUDITORÍA INTERNA EN LAS INSTITUCIONES FINANCIERAS VENEZOLANAS
ARTÍCULO 156, NUMERAL 11 CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA GACETA OFICIAL N° 36.860, DEL 30/12/1999
Const. República Bolivariana de Venezuela DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO RESOLUCIÓN N° 064.14, DEL 16/08/2014 GACETA OFICIAL N° 40.484 DEL 27/08/2014
NORMAS PARA UNA ADECUADA ADMINISTRACIÓN INTEGRAL DE RIESGO, RESOLUCIÓN N° 136-03, DEL 29/05/2003 NORMAS RELATIVAS A LA ADM. Y FISC. DE LOS RIESGOS RELAC. CON LOS DELITOS DE LEGIT. DE CAPITALES Y FINAN. AL TERRORISMO, RESOLUCIÓN N° 119-10, DEL 09/03/2010
ARTÍCULO 156, NUMERAL 11 CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA GACETA OFICIAL N° 36.860, DEL 30/12/1999
“Artículo 156. “Es de la competencia del Poder Público Nacional:
…Numeral 11. La regulación de la banca central, del sistema
monetario,
del
régimen
cambiario,
del
sistema financiero y del mercado de capitales; la
emisión y acuñación de moneda."
ARTÍCULO 80 DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014
Const. República Bolivariana de Venezuela DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014
NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO RESOLUCIÓN N° 064.14, DEL 16/08/2014 GACETA OFICIAL N° 40.484 DEL 27/08/2014 NORMAS PARA UNA ADECUADA ADMINISTRACIÓN INTEGRAL DE RIESGO, RESOLUCIÓN N° 136-03, DEL 29/05/2003 NORMAS RELATIVAS A LA ADM. Y FISC. DE LOS RIESGOS RELAC. CON LOS DELITOS DE LEGIT. DE CAPITALES Y FINAN. AL TERRORISMO, RESOLUCIÓN N° 119-10, DEL 09/03/2010
ARTÍCULO 80 DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014
“Las instituciones bancarias tendrán una unidad de auditoría interna establecida conforme lo previsto en la normativa prudencial emitida por la Superintendencia de las Instituciones del Sector Bancario. Los auditores internos serán nombrados por la Asamblea General de Accionistas. En caso de ausencia definitiva y comprobada, la Asamblea General de Accionistas procederá a designar su reemplazo, dentro del plazo no mayor de treinta (30) días. La normativa anteriormente indicada, tendrá carácter supletorio, para las instituciones del sector bancario público en virtud de lo establecido en la Ley Orgánica de la Contraloría General de la República y del Sistema Nacional de Control Fiscal."
RESOLUCIÓN N° 064.14 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 40.484 DEL 27/08/2014
Const. República Bolivariana de Venezuela DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO RESOLUCIÓN N° 064.14, DEL 16/08/2014 GACETA OFICIAL N° 40.484 DEL 27/08/2014 NORMAS PARA UNA ADECUADA ADMINISTRACIÓN INTEGRAL DE RIESGO, RESOLUCIÓN N° 136-03, DEL 29/05/2003 NORMAS RELATIVAS A LA ADM. Y FISC. DE LOS RIESGOS RELAC. CON LOS DELITOS DE LEGIT. DE CAPITALES Y FINAN. AL TERRORISMO, RESOLUCIÓN N° 119-10, DEL 09/03/2010
RESOLUCIÓN N° 064.14 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 40.484 DEL 27/08/2014
“Artículo 1: El objeto de las presentes normas es regular de manera general, los parámetros mínimos que deberá adoptar la unidad de auditoría interna; así como, los lineamientos para elaborar y presentar los informes
de
las
auditorías
internas
instituciones del sector bancario.
de
Todo ello,
las
sin
perjuicio de lo dispuesto en la legislación vigente y demás normas que rigen la materia.”
APLICACIÓN DEL MARCO
INTEGRADO COSO III ARTÍCULOS 3 Y 5 RESOLUCIÓN N° 064.14
ARTÍCULO 3 - RESOLUCIÓN N° 064.14 “Sistema de Control Interno: Conjunto de políticas, procedimientos y normas establecidos por la institución del sector bancario para proveer una seguridad razonable en el logro de lo siguiente: a) la eficiencia y efectividad de las operaciones; b) la confiabilidad y oportunidad de los informes y datos que fluyen de sus sistemas de información y; c) el cumplimiento de las leyes y regulaciones que le son aplicables.
a) Por Eficiencia y Efectividad de las Operaciones se entiende el adecuado manejo de los activos y otros recursos, protegiendo a la institución de posibles pérdidas, asegurando que el personal de la institución se enfoque en la consecución de las metas establecidas y se protejan los recursos de la entidad contra el desperdicio, fraude o uso ineficiente. b) La Confiabilidad y Oportunidad de los Informes y Datos que fluyen de sus sistemas de información se refiere a que éstos deben ser exactos, confiables, íntegros y pertinentes para la toma de decisiones en los distintos niveles de la institución de sector bancario, este Ente· Supervisor, los clientes o usuarios y usuarias, inversionistas y otros. c) En el Cumplimiento de las Leyes y Regulaciones que le son aplicables se debe incluir también las políticas, procedimientos y normas vigentes de la propia institución.”
ARTÍCULO 5 RESOLUCIÓN N° 064.14 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 40.484 DEL 27/08/2014
“Artículo 5: Estas instituciones están obligadas a contar con un Sistema de Control Interno, que como mínimo contemple lo señalado en el artículo 3 de la presente Resolución, en el sentido que el conjunto de políticas, procedimientos y normas de control establecidas por las instituciones se orienten a proveer una
seguridad razonable en la salvaguarda de los activos y en el logro de
una
adecuada
organización
administrativa
y
operativa,
apropiada identificación y administración de los riesgos que enfrentan.”
ARTÍCULO 5 - RESOLUCIÓN N° 064.14 “… Por consiguiente, deberán incorporar al Sistema entre otros, los elementos del Control Interno a saber: 1. Ambiente de Control, que incluya la integridad, los valores éticos, la capacidad del personal de la institución bancaria, el estilo de operación, la filosofía de la administración, la asignación y adecuada segregación de responsabilidades, organización y desarrollo del personal, la atención y dirección del consejo de administración. 2. Evaluación del Riesgo, siendo una condición previa el establecimiento de los objetivos. Dicha evaluación consiste principalmente en la identificación y análisis de riesgos relevantes para el logro de esos objetivos. 3. Actividades de Control, consideradas como políticas y procedimientos que ayudan a cerciorarse que las directrices se lleven a cabo, tal como corresponde. 4. Información y Comunicación, donde verificarse, capturarse y comunicarse.
la
información
pertinente
debe
5. Supervisión o Monitoreo, mediante procesos que comprueben que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo, a través de actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas.”
COMPONENTES Y PRINCIPIOS DE COSO III
1 ENTORNO DE CONTROL 1. La organización demuestra compromiso con la Integridad y los Valores Éticos. 2. El Consejo de Administración demuestra independencia de la Dirección y ejerce la supervisión del desempeño del Sistema de Control Interno. 3. La Dirección establece, con la supervisión del Consejo, las estructuras, las líneas de reporte, los niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos. 4. La organización demuestra compromiso para atraer, desarrollar y retener profesionales competentes, en alineación con los objetivos de la organización. 5. La organización define las responsabilidades de las personas a nivel de Control Interno para la consecución de los objetivos. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
COMPONENTES Y PRINCIPIOS DE COSO III
2 EVALUACIÓN DE RIESGOS
6. La organización define los objetivos con suficiente claridad para permitir la identificación y evaluación de los riesgos relacionados. 6. La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de la entidad y los analiza como base sobre la cual determinar cómo se deben gestionar. 6. La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de los objetivos.
7. La organización identifica y evalúa los cambios que podrían afectar significativamente al Sistema de Control Interno. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
COMPONENTES Y PRINCIPIOS DE COSO III
3 ACTIVIDADES DE CONTROL 10.La organización define y desarrolla actividades de control que contribuyen a la mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos. 11.La organización define y desarrolla actividades de control sobre la tecnología para apoyar la consecución de los objetivos. 12.La organización despliega las actividades de control a través de políticas que establecen las líneas generales de control interno y procedimientos que llevan dichas políticas a la práctica. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
COMPONENTES Y PRINCIPIOS DE COSO III
4 INFORMACIÓN Y COMUNICACIÓN 13.La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el funcionamiento del control interno. 14.La organización comunica la información internamente, incluidos los objetivos y responsabilidades que son necesarios para apoyar el funcionamiento del Sistema de Control Interno. 15.La organización se comunica con los grupos de interés externos sobre los aspectos claves que afectan al funcionamiento del control interno. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
COMPONENTES Y PRINCIPIOS DE COSO III
5 ACTIVIDADES DE SUPERVISIÓN 16.La
organización
evaluaciones
selecciona,
continuas
y/o
desarrolla
y
realiza
independientes
para
determinar si los componentes del Sistema de Control Interno están presentes y en funcionamiento. 17.La organización evalúa y comunica las deficiencias de control interno forma oportuna a las partes responsables de
aplicar
medidas
correctivas,
incluyendo
la
Alta
Dirección y el Consejo, según corresponda. Fuente: COSO - Control Interno – Marco Integrado – Mayo 2013
ARTÍCULO 6 RESOLUCIÓN N° 064.14 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 40.484 DEL 27/08/2014
“Artículo 6: El Sistema de Control Interno en su conjunto, deberá ser evaluado y verificado por la Unidad de Auditoría interna, en cuanto al uso adecuado de las políticas, procedimientos y normas de control; así como, al cumplímiento por parte de las áreas involucradas y deberán comprender como mínimo las principales áreas, entre en las cuales se consideran imperativas las relacionadas con: Disponibilidades, Tesorería, Inversiones en Títulos Valores, Cartera de Créditos, Otros activos, Captaciones del Público, Patrimonio, Servicio al Usuario, Tecnología y Seguridad de la Información. Dichas políticas, procedimientos y normas deben estar aprobadas por la Junta Directiva.”
COMITÉ DE AUDITORÍA El Comité de Auditoría es un ente independiente que debe reportar directamente a la Junta Directiva de la organización. Es responsable por el monitoreo del funcionamiento de los Procesos de Gobierno Corporativo, Administración Integral de Riesgos y el Sistema de Control Interno del Negocio y vigilar el cumplimiento del Código de Ética y del marco jurídico que rige el negocio financiero. Además, el Comité de Auditoría debe cumplir un rol fundamental en el proceso de Gobierno Corporativo de la organización, mediante la participación mayoritaria independiente, capacitación continua y el aseguramiento de la independencia de criterio de la actividad de Auditoría Interna. Fuente: Consejo para la Práctica 2060-2 - Instituto de Auditores Internos – IIA
ARTÍCULO 13 - RESOLUCIÓN N° 064.14
DEL COMITÉ DE AUDITORÍA “Artículo 13: Las instituciones del sector bancario deberán constituir y mantener un Comité de Auditoría conformado por personas que tengan conocimiento sobre la materia, sean éstos miembros o no del Directorio, uno de los cuales
presidirá el Comité de Auditoría. El auditor interno no podrá formar parte de dicho Comité, el cual debe cumplir con las funciones y compromisos puntualizados en la normativa
legal vigente.”
FUNCIÓN DEL COMITÉ DE AUDITORÍA La función principal del Comité de Auditoría consiste en establecer y mantener el pleno respeto y apoyo a la función de Auditoría Interna y Externa, por parte de todos los integrantes de la empresa, y de esta forma asegurar el cumplimiento de los objetivos del control interno de la institución. Además, deberá supervisar el proceso de generación transparente de la información financiera y su presentación a la Junta Directiva, incluyendo los riesgos y los controles que coadyuven a establecer y mantener la confianza por parte del mercado financiero y de los inversionistas de la organización. Fuente: Consejo para la Práctica 2060-2 - Instituto de Auditores Internos – IIA
ARTÍCULO 17 - RESOLUCIÓN N° 064.14
FUNCIONES DEL COMITÉ DE AUDITORÍA “Artículo 17: Entre las principales funciones del Comité de Auditoría deberán incluir, entre otras, las siguientes:
1. Apoyar la función directiva en sus esfuerzos por promover el mejoramiento de la gestión y la eficiencia en sus operaciones. 2. Verificar el cumplimiento y fortalecimiento de las políticas, criterios y procedimientos establecidos en la institución del sector bancario. 3. Propiciar que la ejecución de las políticas, planes, programas y procedimientos administrativos y financieros se ajuste al ordenamiento jurídico que regula el funcionamiento de la institución del sector bancario. 4. Velar porque el uso de los recursos tanto materiales, financieros como humanos se lleve a cabo bajo una política de economía, eficiencia y eficacia y que las metas y objetivos atribuibles a la organización se cumplan con efectividad…”
RESOLUCIÓN N° 136-03 NORMAS PARA UNA ADECUADA ADMINISTRACIÓN INTEGRAL DE RIESGO SUDEBAN, DEL 29/05/2003
Const. República Bolivariana de Venezuela DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO RESOLUCIÓN N° 064.14, DEL 16/08/2014 GACETA OFICIAL N° 40.484 DEL 27/08/2014
NORMAS PARA UNA ADECUADA ADMINISTRACIÓN INTEGRAL DE RIESGO SUDEBAN, RESOLUCIÓN N° 136-03, DEL 29/05/2003
RESOLUCIÓN 136-03 (SUDEBAN) ARTÍCULO 10 “La unidad de contraloría o auditoría interna de las instituciones financieras, efectuará revisiones periódicas en las unidades operativas, de negocio, o de cualquier otra índole, que involucren la generación directa o indirecta de riesgos, a fin de verificar el cumplimiento por parte de éstas, de las políticas e instrucciones contenidas en los Manuales de riesgos y demás instrucciones y normativas emanadas del Comité de Administración Integral de Riesgos. En ese sentido con frecuencia semestral, como mínimo, presentarán un informe al Comité de Riesgos, el cual contendrá las observaciones derivadas de las revisiones llevadas a cabo.”
ROL DE LA AUDITORÍA INTERNA EN LA GESTIÓN DE RIESGOS EMPRESARIALES
El Rol principal de la Auditoría Interna con respecto a la Gestión de Riesgos Empresariales (ERM) es proporcionar aseguramiento objetivo al consejo de administración respecto de la eficacia de las actividades de ERM de una empresa, para ayudar a garantizar que los Riesgos Claves del Negocio se están gestionando correctamente y que el Sistema de Control Interno está funcionando eficazmente. Fuente: Instituto de Auditores Internos - IIA
DOCUMENTACIÓN ACTUALIZADA ESENCIAL PARA UNA EFICIENTE GESTIÓN INTEGRAL DE RIESGOS
Macro Procesos Procesos
Sub -Procesos
Procedimientos
Actividades
RESOLUCIÓN N° 119-10 NORMAS RELATIVAS A LA ADMIN. Y FISCALIZ. DE LOS RIESGOS RELAC. CON LOS DELITOS DE LEGITIMAC. DE CAPITALES Y FINANANC. AL TERRORISMO SUDEBAN, DEL 09/03/2010
Const. República Bolivariana de Venezuela DECRETO CON RANGO, VALOR Y FUERZA DE LEY DE INSTITUCIONES DEL SECTOR BANCARIO GACETA OFICIAL N° 6.154 EXT. DEL 19/11/2014 NORMAS GENERALES RELATIVAS A LA UNIDAD DE AUDITORÍA INTERNA DE LAS INSTITUCIONES DEL SECTOR BANCARIO RESOLUCIÓN N° 064.14, DEL 16/08/2014 GACETA OFICIAL N° 40.484 DEL 27/08/2014
NORMAS RELATIVAS A LA ADMIN. Y FISCALIZ. DE LOS RIESGOS RELAC. CON LOS DELITOS DE LEGITIMAC. DE CAPITALES Y FINANANC. AL TERRORISMO SUDEBAN, RESOLUCIÓN N° 119-10, DEL 09/03/2010
RESOLUCIÓN 119-10 (SUDEBAN) ARTÍCULO 69 “Las auditorías al programa de cumplimiento contra Legitimación de Capitales / Financiamiento al Terrorismo serán efectuadas por los auditores internos, los auditores externos u otros terceros independientes calificados… …La auditoría debe basarse en el riesgo y sus programas variarán según el tamaño de la Institución, su complejidad, el alcance de sus actividades, su perfil de riesgo, la calidad de sus funciones de control, su diversidad geográfica y el uso que hace de la tecnología. Un programa de auditoría basado en riesgo efectivo cubrirá todas las actividades de la Institución Financiera. La frecuencia y alcance de cada auditoría variará según la valoración de los riesgos.
MARCO INTERNACIONAL PARA LA PRÁCTICA DE LA AUDITORÍA INTERNA (MIPP)
Fuente: Instituto de Auditores Internos - IIA
DEFINICIÓN DE AUDITORÍA INTERNA La Auditoría Interna es una actividad independiente y objetiva de Aseguramiento y Consulta. Su rol fundamental respecto de la Gestión Integral de Riesgos (ERM) es brindar un aseguramiento objetivo al Consejo de Administración en cuanto a la eficacia de la Gestión de Riesgo. En efecto, la investigación ha demostrado que los Directores que forman el Consejo de Administración y los Auditores Internos coinciden en que las dos maneras más importantes a través de las cuales la Auditoría Interna agrega valor a la organización son brindando aseguramiento objetivo de que los Principales Riesgos de Negocio se gestionan apropiadamente y de que el enfoque de Gestión de Riesgo y Control Interno funciona eficazmente. Fuente: Instituto de Auditores Internos - IIA
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORIA INTERNA - (IIA) El propósito las Normas es: Definir principios básicos que representen el ejercicio de la Auditoria Interna tal como este debería ser. Proveer un marco para ejercer y promover un amplio rango de actividades de Auditoria Interna de valor añadido. Establecer las bases para evaluar el desempeño de la Auditoria Interna. Fomentar la mejora en los procesos y operaciones de la organización. Fuente: Instituto de Auditores Internos - IIA
CÓDIGO DE ÉTICA DE AUDITORÍA INTERNA INSTITUTO DE AUDITORÍA INTERNA PRINCIPIOS Integridad: La integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio. Objetividad: Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los Auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas.
CÓDIGO DE ÉTICA DE AUDITORÍA INTERNA INSTITUTO DE AUDITORÍA INTERNA PRINCIPIOS Competencia: Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempeñar los servicios de auditoría interna. Objetividad: Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los Auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas.
MARCO INTERNACIONAL PARA LA PRÁCTICA DE LA AUDITORÍA INTERNA (MIPP) GUÍAS ALTAMENTE RECOMENDADAS
Consejos para la Práctica Profesional Guías Prácticas Papeles o Comunicaciones o de Posición
Fuente: Instituto de Auditores Internos – IIA - www.theiia.org
ESTRATEGIAS DE AUDITORÍA INTERNA ANTE EL FRAUDE
PREVENTIVA Enfoque proactivo orientado a proporcionar aseguramiento o asesoría respecto de su capacidad para disuadir, prevenir (evitar), detectar y reaccionar ante los fraudes, e implementar programas y controles anti fraude; esquemas de alerta temprana de irregularidades y sistemas de administración de denuncias.
DETECTIVA Enfoque reactivo orientado a identificar la existencia de fraudes mediante la investigación de los mismos llegando a establecer su cuantía; efectos directos e indirectos; posible tipificación; presuntos autores, cómplices y encubridores, método empleado, controles no eficaces.
ACCIONES A SEGUIR POR AUDITORÍA INTERNA EN LA PREVENCIÓN DEL RIESGO DE FRAUDE DEL NEGOCIO Elaborar Un Plan de Prevención Basado en Matriz de Riesgos. Presentar el Plan de Prevención ante el Comité de Auditoría para sus respectiva consideración y aprobación. Implementar Una Evaluación Conjunta de Procesos Críticos: * Definir socios estratégicos, esquemas de evaluación y comunicación de resultados. * Identificar brechas y generar un proceso continuo de validación. * Desarrollar Planes de Acción y Capacitación en la materia. Identificar Riesgos de Fraude no cubiertos al participar en Proyectos, Normas y Desarrollo de Nuevos Productos. Monitorear Controles Críticos. Profundizar los resultados de la Auditoría Continua.
PLAN PARA LA PREVENCIÓN DEL FRAUDE Análisis y monitoreo de los principales riesgos de fraude dentro del negocio o segmento de operaciones de la institución. Evaluación permanente (Fraud Risk Assesment) de nuevos eventos o patrones de fraude que se puedan estar generando. Establecimiento de una Política de Manejo de Eventos de Fraude.
Análisis de controles que mitiguen eventos de fraude a nivel procesos. Mejora continua del Ambiente de control, relacionado con aspectos directos a eventos de fraude. Planes proactivos de detección de fraudes.
PROGRAMA Y CONTROL ANTI-FRAUDE Crear una Cultura de Honestidad y Ética Elevada Evaluar los Procesos y Controles Anti-Fraude Desarrollar un Proceso Adecuado de Vigilancia
ALGUNAS RECOMENDACIONES PARA LA PREVENCIÓN ANTI-FRAUDE
Realizar Auditorías Sorpresivas Disponer de Línea Anónima para el Reporte de Irregularidades Capacitar Fraude
al
Personal
en
aspectos
sobre
MEJORES PRÁCTICAS QUE EL ÁREA DE AUDITORÍA INTERNA DEBE APLICAR EN LA INSTITUCIÓN Elaborar el Plan Anual de Auditoría Basado en Riesgo, previo a la Evaluación de los Riesgos del Negocio. Desarrollar actividades de Aseguramiento y Consultoría. Formar parte activa de los equipos de trabajo multidisciplinarios responsables del diseño o rediseño de Procesos de Negocio.
Analizar la seguridad en las operaciones electrónico (E-Commerce / Cyber-Security).
de
comercio
Analizar la seguridad en las Redes Sociales que utiliza el la Institución Financiera (Twitter, Facebook, YouTube y Blogs). Gestionar los Papeles de Trabajo de Auditoría en forma automatizada. Entrenamiento Permanente del Personal en Control Interno de la Institución Financiera.
¡ Por su Atención, Muchas Gracias…!
Fin del Evento Técnico