Relator • 25 años en la dirección de equiposde auditoría (5 años en auditoríaexterna EY y 20 años en auditoríainterna).

• Gestiona un equipo de 16profesionales.

• Responsable de Auditar el RiesgoOperacional en Banco, Filiales ySucursal Nueva York.

• Ha diseñado y coordinadoMetodologías de Auditorías; Autoevaluaciones; Auditores Externos;Comité Auditoría, EvaluacionesCalidad,

• Ha sido responsable de Funciones desegunda línea y de su traspaso.

• Ex Director del IIA Chile.• Profesor de Magíster.• Representante Auditoría Bancos

FELABAN

Hernán Rebolledo Migliardi, CIA, CRMA, ISO

31000/22301, QA

Jefe de Auditoría Interna

BancoEstado

AGENDA1. Lecciones y Exigencias Recientes de GC

2. Qué es GRC: Gobierno, Riesgo, Cumplimiento

3. Modelo de las 3 Líneas de Defensa

4. La Importancia de la Contabilidad como Segunda Línea.

5. Marco Internacional para Práctica Internacional de la Auditoría Interna.

6. Gestión de Riesgos: Aplicación COSO 2013 a Procesos de Negocios.

7. Certificación Áreas de Auditoría Interna: La Experiencia Nacional.

8. Certificaciones Profesionales y Educación Continua: Qué Pasa en Chile.

Empresas

1.1.- Lecciones de Gobierno Corporativo

1.2.-Exigencias Recientes: OCDE

1.2.-Exigencias Recientes: Basilea

Reforzar las responsabilidades de supervisión y gobierno corporativoen materia de riesgos de la junta directiva.Enfatizar componentes claves de la gestión de riesgos: cultura deriesgo, apetito de riesgo y su relación con la capacidad de riesgo delbanco.Delinear roles específicos de la junta directiva, comités de riesgo dela junta, gerencia superior y funciones de control (incluyendoDirector de Riesgos y auditoría interna).Fortalecer, en general, la separación de funciones (frenos y

contrapesos) de los bancos.

1.2.- Exigencias Recientes: EE.UU.

OCC (Regulador)

1.2.- Exigencias Recientes: España

Exigencias Recientes: Chile (SVS)

Exigencias Recientes: Chile (SVS)

2. Qué es GRC: Gobierno, Riesgo, Cumplimiento

Fuente: www.oceg.org

GRC: Actores y Objetivos

Sostenibilidad Organizacional

Optimización Recursos

Asegurar Desempeño, Gestión Riesgos y Cumplimiento

Fuente: www.oceg.org

15

INVERSIONISTAS

Directorio

Equipo

Gerencia

Clientes Empleados Proveedores Organismos de Control

Designan Protección Intereses

OrientaciónEstratégica

EstablecimientoObjetivos

• Valor Empresa (Valor de la Acción)

• Dividendos (Distribución anual)

Resultados

Estratégicos

Financieros

Operacionales

CumplimientoDeleganAutoridad

DefinenApetito de Riesgo

Relación Gobierno y Gestión

Aprobar Políticas

RendirCuenta

MideDesempeño

Fuente: Elaboración Propia

Elementos Sistema de Gestión

Integrando la Estrategia con los Procesos

Objetivos del Cumplimiento

Estructura del Sistema de Cumplimiento

3.-

Actividad Control

Monitoreo Auditoría

Supervisión

Enfoque de las 3 Líneas

Fuente: 20 Principios de Basilea para Auditoría Interna – Junio 2012.

4.- La Importancia de la Contabilidad como Segunda Línea de Defensa

• Adopción IFRS Empresa

• Contabilidad genera Políticas Contables

• Directorio aprueba Políticas y Cambios Contables

• Contabilidad Capacita y Difunde a resto Empresa las Políticas

• Áreas deben cumplir con políticas en preparación de información y registro descentralizado.

• Contabilidad Monitorea Cumplimiento de Políticas

• Contabilidad Rinde Cuenta ante Directorio del Cumplimiento de Políticas.

• Presenta Estados Financieros a Directorio

• Directorio protege independencia auditores externos e internos.

• Auditores EE.FF. Presentan plan de trabajo, evaluación de control interno contable y Dictamen.

5.- Marco Internacional para Práctica Internacional de la Auditoría Interna

El IIA Global

• Fundado en 1941 en la ciudad de Nueva York, EE.UU.

• Líder mundial en investigación, educación, guía tecnológica y certificación de auditores internos y certificación de áreas de auditoría interna.

• Más de 175.000 miembros

• Más de 165 países de todo el mundo.

• Normas reconocidas mundialmente (OCDE, Basilea, etc.), así como el EXAMEN CIA (Certified Internal Auditor), símbolo de excelencia y globalización profesional.

Casa Central Global Orlando, Florida, EE.UU.

Misión Auditoría Interna

"MEJORAR Y PROTEGER

EL VALOR

DE LA ORGANIZACIÓN, PROPORCIONANDO

ASEGURAMIENTO, ASESORÍA Y ANÁLISIS EN BASE A RIESGOS".

GUIASOBLIGATORIAS

Principios Fundamentales Auditoría Interna

1. Demuestra integridad;

2. Demuestra competencia y diligencia;

3. Es objetiva y se encuentra libre de influencias (Independiente);

4. Se alinea con las estrategias, los objetivos y los riesgos de la Organización;

5. Está posicionada de forma apropiada y cuenta con los recursos adecuados;

6. Demuestra compromiso con la calidad y la mejora continua de su trabajo;

7. Se comunica de forma efectiva;

8. Proporciona aseguramiento en base a riesgos;

9. Hace análisis profundos, es proactiva y está orientada al futuro;

10. Promueve la mejora de la Organización.

La Auditoría Interna es una actividadindependiente y objetiva de aseguramiento yconsulta, concebida para agregar valor ymejorar las operaciones de una organización.

Ayuda a una organización a cumplir susobjetivos aportando un enfoque sistemático ydisciplinado para evaluar y mejorar la eficaciade los procesos de gestión de riesgos, controly gobierno (GRC).

Definición de Auditoría Interna

NORMAS SOBRE ATRIBUTOS

1000 Propósito, autoridad y responsabilidad (Estatuto)

1100 Independencia y objetividad

1200 Aptitud y cuidado profesional

1300 Programa de aseguramiento y mejora de la calidad

NORMAS SOBRE DESEMPEÑO

2000 Administración de la actividad de auditoría interna

2100 Naturaleza del trabajo (GRC)

2200 Planificación del trabajo

2300 Desempeño del trabajo

2400 Comunicación de resultado

2500 Seguimiento del Progreso

2600 Decisión de aceptación de los riesgos por la dirección

CÓDIGO DE ÉTICA

Normas

6.- Gestión de Riesgos: Aplicación COSO 2013 a Procesos de Negocios.

Objetivos

Componentes

Procesos

NivelesAplicación

Fuente: www.coso.org

17 Principios COSO 2013

Ambiente de Control

Evaluación de Riesgo

Actividades de Control

Información & Comunicación

Actividades de Monitoreo

1. Demostrar compromiso con la integridad y los valores éticos

2. Ejercer la responsabilidad de supervisión

3. Establecer la estructura, la autoridad y la responsabilidad

4. Demostrar compromiso con las competencias

5. Aplicar la rendición de cuentas

6. Especificar objetivos adecuados

7. Identificar y analizar los riesgos

8. Evaluar el riesgo de fraude

9. Identificar y analizar cambios significativos

10. Seleccionar y desarrollar actividades de control

11. Seleccionar y desarrollar controles generales sobre la tecnología

12. Implementación a través de políticas y procedimientos

13. Utilizar información pertinente

14. Comunicación interna

15. Comunicación externa

16. Realizar evaluaciones continuas y / o separadas

17. Evaluar y comunicar las deficiencias

Fuente: www.coso.org

Se descomponen en 79 puntos de enfoque o revisión.

6.1.- GOBIERNO CORPORATIVO

ASEGURAMIENTO

GESTION

6.2.- PROCESOS (RESPONSABLES-PRIMERA LINEA)

6.3.- DesempeñoLogro Objetivos

(KPI)

Integración a Procesos de Negocios

6.6.-CumplimientoRegulaciones

6.8 AUDITORIA INTERNA A PROCESOS (TERCERA LINEA)

6.4.- GestiónRiesgos (KRI)

6.5.- EficaciaOperativaControles

(KCI)

6.7.- MONITOREO (SEGUNDAS LINEAS)

Principio 2: Directorio Ejerce Responsabilidad

de Supervisión• Opera Independiente • Aprobación Objetivos,

Modelo de Operación Niveles de Tolerancia.

• Comprensión Riesgos Asociados.

• Aprobación de Políticas• Definición de Indicadores

e incentivos• Aprobar Planificación de

Responsables.• Formalizar en Actas

decisiones, a objeto de facilitar seguimiento.

Principio 3: AprobaciónEstructuras, Autoridad y

Responsabilidad• Aprobación de Estructura

con dotación consistente volumen/complejidad.

• Aprobación de Roles, Responsabilidades (Segregación de funciones-Líneas Defensa)

• Consideración sobre supervisión de Proveedores Externos Críticos al proceso.

• Líneas de Reporte Coherentes con Estructura aprobada.

• Aprobación Esquema de Atribuciones

Principio 5: Aplicar Rendición de Cuentas

• Controlar Planificación• Informarse de Desempeño• Informarse Gestión Riesgos• Informarse de

Cumplimiento de Políticas y Uso de Atribuciones (Controles)

• Cumplimiento de Regulaciones

• Informarse de medidas disciplinarias aplicadas.

6.1.- GOBIERNO CORPORATIVO

Proceso: Conjunto de actividades secuenciales que realizan una transformación de una serie de inputsentrada en los salidad outputs deseados añadiendo valor”

“Conjunto de actuaciones, decisiones, actividades y tareas que se encadenan de forma secuencial y ordenada para conseguir un resultado que satisfaga plenamente los requerimientos del cliente al que va dirigido”.

6.2.- PROCESOS (RESPONSABLES-PRIMERA LINEA)

Por qué gestionar los Procesos?•Mejora continua de las actividades desarrolladas.

•Reducir la variabilidad innecesaria.

•Eliminar las ineficiencias asociadas a la repetitividad de las actividades.

•Optimizar el empleo de los recursos.

Administra el espacio en blanco de la organización.

Versiones de un Proceso

• Escrito• El que se cree• Existente

• Muchas variaciones

• No estabilizado• Cuál versión se

gestiona y audita?

Levantamiento Información de Proceso• Objetivos: Estratégicos, Operacionales,

Información, Normativo Externo.• Factores Críticos de Éxito • Responsable/Participantes• Segmento/Clientes Atendidos• Información relacionada a objetivos: Metas,

KPI, Tolerancias.• Proveedores Críticos• Sistemas y Aplicaciones• Cuentas Contables• Eventos ocurridos• Cambios recientes

La versión existente• Diagramas

• Descriptivos/Procedimientos• Conexión a Manuales

Documentación de los Procesos

Objetivos: Deben ser fácilmente entendibles y medibles.

• Estratégicos: Como la entidad creará valor para sus grupos de interés.

Cómo se alinea el proceso con la Estrategia Organizacional? Vínculo entre las actividades diarias (Proceso) y las estrategias que impulsan el éxito de la Organización.

Ejemplo: La cobranza asegura una adecuada gestión de la liquidez (Flujo Caja)

• Operacionales: Motivo de la existencia del proceso. Atributos de calidad, exactitud, puntualidad, integridad o control. Asegurar eficiencia, eficacia o protección de activos.

Ejemplo: Efectuar una cobranza oportuna y completa.

6.3.- DesempeñoLogro Objetivos

(KPI)

Principio 6.- Especificar Objetivos Adecuados

• Informe: Necesidades de la organización respecto de informes , sean internos o externos/Reportes normativos. – Ejemplo: informes de flujos de caja / Reporte al regulador.

• Cumplimiento: con Leyes y Regulaciones Externas /Contractual Afiliadas– Ejemplo: Asegurar que la cobranza cumpla con la Ley de Cobranzas.

• Responsable del proceso debiera tener definidos los objetivos.

• Si no ocurre, se debe generar debate, a fin de determinar los objetivos claves del proceso.

Comprensión de los Objetivos (Proceso)

Preguntas :

• ¿Por qué existe este proceso; es decir, cuál es su propósito principal?

• ¿Cuáles objetivos estratégicos de la Organización afecta o influye el proceso y cómo?

• ¿Qué iniciativas aborda/debe abordar el proceso para ayudar a la Organización a lograr sus objetivos estratégicos?

• ¿Qué es lo que este proceso le brinda a la Organización , que resulta esencial para lograr el éxito?

• Al final del mes ¿qué es que les brinda a los empleados del proceso una sensación de cumplimiento con su trabajo?

• Qué logros deben conseguir los empleados para ser reconocidos por la Gerencia o clientes respecto a este proceso?

40

Indicadores Claves de Desempeño (KPI) :

• Pueden existir KPI con los cuales se supervisa el desempeño del proceso y de su eficiencia con la que se lleva a cabo.

• Pueden existir niveles de tolerancia (niveles aceptables de desviación relativa a la consecución de objetivos). Por ejemplo: 5%.

• Estos KPI y Tolerancias deben ser de conocimiento en la Organización.

Características KPI

• Alineado con Objetivos

• Relevante

• Medible, con información cuantificable para determinar desempeño exitoso.

• Disponible en el momento indicado.

• Articulado para los participantes del proceso y que éstos puedan mejorar.

41

QUE ES UN RIESGO?La palabra Riesgo viene del Italiano Risicare, que significa desafiar, retar, enfrentar; también se define como poner en peligro a una persona, en algunos escritos se refiere a la proximidad de un daño.

ISO 31000:2009Riesgo: efecto de la incertidumbre sobre los objetivos

NOTA 1: Un efecto es una desviación, positiva y/o negativa, respecto a loprevisto.

NOTA 2: Con frecuencia, el riesgo se caracteriza por referencia a potencialeseventos y consecuencias o a una combinación de ambos.

NOTA 3: Con frecuencia, el riesgo se expresa en términos de combinación delas consecuencias de un evento (incluyendo los cambios en lascircunstancias) y de su probabilidad asociada de ocurrencia.

Principio 7.- Identificación y Análisis de Riesgos

Principio 8- Evaluar el riesgo de fraude

Principio 9.- Identificar y analizar cambios significativos

6.4.- GestiónRiesgos (KRI)

TIPOLOGIA DE RIESGOS: EJEMPLO

TECNICAS IDENTIFICACION DE RIESGOS • Análisis de los objetivos y comprensión del proceso.

• Análisis de factores externos (económicos, competencia, políticos, sociales, tecnológicos) e internos (personal, sistemas, materiales, equipos, etc.).

• Uso de la tipología de riesgos detallada (Ejemplo anterior)

• Análisis de las actividades del proceso.

• Tomar en cuenta los registros de eventos ocurridos en la compañía o en la industria. (Eventos: errores, irregularidades, etc.).

• Considerar análisis internos de otras áreas por ejemplo, matrices de riesgo operacional, auditorías anteriores.

• Entrevistas y consultas al personal clave respecto de riesgos que ellos han identificado.

• Identificación de riesgos a un nivel específico o punto de falla.

• Riesgo específico se recomienda sea redactado considerando lo siguiente:

- Qué puede fallar: “No recuperar los valores del crédito…..

- Cómo puede fallar: …por capacidad de pago del cliente determinada erróneamente…

- Quién puede fallar: …. por el Ejecutivo…- Dónde puede fallar: ….en la etapa de evaluación”

(Componente del Proceso)

REDACCION RIESGOS ESPECIFICOS

EVALUACION RIESGOS ESPECIFICOS

• RIESGO

IMPACTO Y PROBABILIDAD

• RIESGO INHERENTE: Sin considerar controles

• RIESGO RESIDUAL: Menos los controles

IMPACTOS

Nivel Impacto

monetario Millones de $

Impacto Imagen Impacto Regulatorio

Catastrófico Más de 500

Generaría gran cobertura tanto periodística como a través de redes sociales, website, blogs, etc., a nivel nacional e internacional con alto interés público

Generaría prohibición de realizar determinadas operaciones

Mayor Entre 101 y 500

Generaría cobertura nacional con interés de algunos sectores

Generaría amonestaciones públicas.

Moderado Entre 10 y 100 Generaría cobertura regional y/o local por tiempo prolongado

Expone amonestaciones privadas.

Menor Entre 1,1 y 10.- Generaría cobertura regional puntual y/o local prolongada

Genera observaciones no relevantes del regulador

Insignificante Menos de 1.- Generaría cobertura local puntual Genera sólo comentarios menores del regulador

PROBABILIDAD

Nivel Probabilidad Frecuencia Mensual

Cierta Existe un alto grado de certeza que ocurra y/o ya ha ocurrido varias veces

Sobre 10.000 transacciones mensuales en el proceso evaluado.

Probable Probablemente ocurrirá y/o ha ocurrido alguna vez

Entre 1001 e 10.000 transacciones mensuales en el proceso evaluado.

Posible Es posible que ocurra en algún momento

Entre 101 y 1000 transacciones mensuales en el proceso evaluado.

Improbable Es poco probable que pueda ocurrir

Entre 11 y 100 transacciones mensuales en el proceso evaluado.

Remota Puede ocurrir sólo en circunstancias excepcionales (ej. en caso de catástrofe)

Menos de 10 transacciones mensuales en el proceso evaluado.

TABLA DE EVALUACION RIESGOS ESPECIFICOS

KRI (Indicador Clave de Riesgo)

Proporciona información sobre el nivel de perfil de riesgo en el que se encuentra la organización en un momento dado del tiempo.

Al analizarlo evolutivamente indica en formatemprana la aparición de riesgos emergentes.

• Prospectivo

• Enfocados en lo que está apareciendo.

• Indican la necesidad de tomar acciones.

Ejemplo:

% aumento de denuncios de seguros por terremoto

Para cada uno de los riesgos evaluados, se debenidentificar las actividades de control y/o monitoreo clavesEXISTENTES que permiten mitigar o cubren el riesgoidentificado.

No todas las actividades que contempla un procedimientoson actividades de control.

La ausencia de los controles claves podría dificultar ellogro de los objetivos del proceso.

IDENTIFICAR ACTIVIDADES DE CONTROL

10. Seleccionar y desarrollar actividades de control

11. Seleccionar y desarrollar controles generales sobre la tecnología

12. Implementación a través de políticas y procedimientos

6.4.- GestiónRiesgos (KRI)

Distintos Tipos de Actividades Control

Aprobar: Autorización para ejecutar una transacción por una persona con facultades para ello.

Calcular: Computar o volver a computar un importe que resulta de otros datos obtenidos en el proceso.

Documentar: Guardar información original o documentar la base lógica de las opiniones emitidas para referencia futura.

Examinar: Verificar la existencia o surgimiento de un atributo.

Comparar: Entre 2 atributos diferentes para verificar si coinciden.

Supervisar: Asegurar que las tareas se lleven a cabo tal y como se diseñaron.

5 CRITERIOS GENERALES• Oportunas para prevenir o detectar a tiempo el riesgo.

• Cobertura, es decir, abarca todas las transacciones y/o operaciones, etc. susceptibles de ocurrencia del riesgo;

• Difusión/Documentación, es decir, se informa a todos quienes deben aplicar el control y la forma de cómo aplicarlo dado el riesgo detectado, y se publica en medios oficiales, de manera que no se desconozca la responsabilidad.

• Debe quedar una Evidencia que se realizó la actividad de control y/o monitoreo; y finalmente

• Exista una adecuada Segregación de Funciones, en la medida que el tipo de negocio lo requiera.

Preguntarse cuáles son las causas raíz de diseños inadecuados . Por ejemplo: Procedimientos inadecuados, Políticas poco claras, Sistemas que no están interconectados, falta de segregación de funciones.

EVALUAR ACTIVIDADES CONTROL

No sirve de nada que el control este bien diseñado y en el proceso no opere o no se cumpla.

El riesgo no se mitiga.

Se requiere disciplina del Personal.

6.5.- EficaciaOperativaControles

6.6.-CumplimientoRegulaciones

Para cumplir una regulación se necesita evaluar el riesgo de incumplir en específico en el proceso (punto de falla) y asociarlo a

un control bien diseñado y que opere eficazmente en la práctica.

KCI (Indicador Controles Claves)

Sirven para monitorear el % de actividades de control claves (responsable proceso – Primera Línea). Monitoreo Continuo en Proceso.

Ejemplo:

- % de siniestros no liquidados dentro de plazo regulado.

6.7.- MONITOREO (SEGUNDA LINEA)

- Monitoreo Continuo o Periódico

- Centrado en Riesgos o en Controles

- Segunda Línea

- Nivel Agregado o por muestras

- Excepciones se escalan

- Se rinde cuenta a Directorio o Comité Directivo de Apoyo.

16. Realizar evaluaciones continuas y / o separadas

17. Evaluar y comunicar las deficiencias

Actividades de Monitoreo

7.- Certificación Áreas de Auditoría Interna: La Experiencia Nacional.

Empresas Certificadas Chile

Banco CentralCaja Los AndesCorpBancaNexusTransbancRedbancAchs….

Quien sigue?

8.- Certificaciones Profesionales y Educación Continua: Qué Pasa en Chile.

• CIA (Auditor Interno Certificado)

• CCSA (Certificación Autoevaluación de Controles)

• CFSA (Auditor de Servicios Financieros Certificado)

• CGAP (Auditor de Gobierno)

• CRMA (Asegurador en Gestión de Riesgos)

CertificacionesProfesionales

En Chile de 45 CIASEn el Mundo más de 140.000.-

“Si quieres viajar rápido viaja sólo, pero si quieres viajar lejos, ve

acompañado”.

Proverbio africano

REFLEXION FINAL

Progresemos Compartiendo

Gracias.

¿Preguntas?

hreboll1@hotmail.com

hreboll1@bancoestado.cl