DECANATO DE ESTUDIOS DE POSTGRADO COORDINACIN DE POSTGRADOS EN GERENCIA ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO EN LA DIRECCION DE AUDITORIA DE BANCARIBE
MARA DEL CARMEN ALLONES ALONSO Caracas, Junio 2007 2 UNIVERSIDAD SIMN BOLVAR DECANATO DE ESTUDIOS DE POSTGRADO COORDINACIN DE POSTGRADOS EN GERENCIA ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO EN LA DIRECCION DE AUDITORIA DE BANCARIBE Informe final del diseo, ejecucin y evaluacin de un sistema de administracin de matrices de riesgo para optimizar el proceso de planificacin anual de auditorias, presentado a la Universidad Simn Bolvar por Maria del Carmen Allones Alonso como requisito parcial para optar al ttulo de Especialista en Gerencia de Empresas, realizado con la tutora del ingeniero Freddy Mrquez
Caracas, Junio del 2007 3 + UNIVERSIDAD SIMN BOLVAR DECANATO DE ESTUDIOS DE POSTGRADO ESPECIALIZACION EN GERENCIA DE EMPRESAS
GESTION DE MATRICES DE RIESGO EN LA DIRECCION DE AUDITORIA DE BANCARIBE Este trabajo especial de grado ha sido aprobado en nombre de la Universidad Simn Bolvar por el siguiente jurado examinador:
___________________ Jurado
___________________ Tutor Freddy Mrquez
Caracas, Junio de 2007 4
DEDICATORIA Y AGRADECIMIENTOS
Dedico este trabajo a mi esposo e hijos quienes han sido el apoyo en todos los pasos de mi vida en los ltimos aos, y el cual no sera sencillo lograr todas las metas y objetivos que siempre estoy tentada de lograr. Gracias por su comprensin y entender que durante algunos momentos no pude estar con ustedes por estar logrando mis objetivos.
Gracias a BANCARIBE, especialmente a todo el personal de la Direccin de Auditora, que me brind la oportunidad de desarrollar este proyecto y me dieron toda su colaboracin y confianza.
Agradezco tambin a mi tutor acadmico y amigo Ing. Freddy Mrquez, porque siempre est seguro que puedo lograr todo lo que me propongo y por su constante apoyo y motivacin.
Quiero tambin agradecer al profesorado de la Universidad Simn Bolvar y a mis compaeros de estudio por compartir conmigo sus conocimientos y experiencias, las cuales han sido muy enriquecedoras y fuente constante de inspiracin.
Por ltimo, gracias a mis familiares y amigos que siempre estuvieron convencidos de que poda lograrlo.
A todos gracias.
5
RESUMEN
El propsito del presente trabajo fue desarrollar un sistema de gestin de matrices de riesgo para apoyar a la Direccin de Auditora de Bancaribe que permitiera optimizar las herramientas de riesgo utilizadas en sus procesos de planificacin.
Para ello se realizaron levantamientos de informacin con todo el personal de la Direccin de Auditora y se analizaron los resultados de dichos levantamientos, los cuales permitieron identificar las debilidades y fallas existentes en los procesos existes, y determinar las oportunidades de mejora que podan ser implantadas para optimizar los procesos definidos para elaborar el plan anual de auditora, y as garantizar que sean evaluados los principales riesgos que pudieran afectar negativamente la operacin de la empresa y permitir as el monitoreo y seguimiento constante de los aspectos medulares y crticos del negocio.
Este proceso implic disear los requerimientos detallados de los usuarios y el diseo de un sistema que permite administrar de manera eficiente las matrices de riesgo, para lo cual se definieron las especificaciones y requisitos de la Direccin de Auditora y el diseo de los procedimientos requeridos para la inclusin y administracin de informacin en el sistema. Adicionalmente, fueron consideradas las normas y polticas existentes en la Organizacin que regulan el desarrollo de sistemas y aplicaciones y las relacionadas con Seguridad de la informacin.
Palabras claves: auditora, matrices de riesgo, plan anual, oportunidades de mejora, sistema.
Fecha de Inicio:
Fecha de culminacin: Estudiante:
Tutor:
6
INDICE
Hoja de Aprobacin ii Dedicatorias y agradecimientos iii Resumen iv Indice v Introduccin vii
FASE DE PLANIFICACION
1
Captulo I: El proyecto de trabajo especial de grado I. Justificacin II. Objetivos de estudio III. Metodologa IV. Cronograma de ejecucin
2 2 4 5 7
FASE DE EJECUCION
9
Captulo II: Marco Conceptual Referencial. 2.1. Fundamentos Conceptuales 2.2. Anlisis de riesgo en el proceso de planificacin 2.3. La funcin de Control Interno
10 10 14 16
Captulo III: Marco Organizacional 3.1. La Organizacin BANCARIBE 3.2. La Direccin de Auditora 3.3. Situacin
23 23 27 28
Captulo IV: El examen de la situacin 4.1. Propsitos del proceso
31 31 7
Captulo V: Diseo de la propuesta 5.1. Justificacin de la propuesta 5.2. Objetivos de la propuesta 5.3. Resultados de los levantamientos de informaciln 5.4. Oportunidades de mejora 5.5. Diseo del formato de matrices propuesto 5.6. Diseo del sistema propuesto
36 36 37 37 39 40 43
Captulo VI: El proceso de aplicacin de la metodologa 6.1. Aplicacin de la metodologa 6.2. Presentacin de la propuesta 6.3. Diseo del proceso de gestin de cambio
64 64 70 70
FASE DE EVALUACION
72
Captulo VII: Evaluacin del proyecto 7.1. Resultados relevantes 7.2. Comparacin entre lo planificado y lo ejecutado 7.3. Revisin sobre el cronograma 7.4. Logro de los objetivos planteados en la propuesta del estudio
73 73 75 75 77
Captulo VIII: Conclusiones y Recomendaciones 8.1. Conclusiones 8.2. Recomendaciones
79 79 80
Referencias
82
8
INTRODUCCIN
Los sistemas de informacin son un conjunto de programas interrelacionados, que forman un conjunto de actividades para alcanzar un objetivo y facilitar la ejecucin de las operaciones y funciones dentro de una unidad u organizacin.
Por otra parte los sistemas de informacin tambin reducen los tiempos de ejecucin, mejora los mtodos de acceso a la informacin y proporciona un control eficiente de los datos.
De esta forma el sistema de informacin diseado para administrar las matrices de riesgo de la Direccin de Auditora BANCARIBE, tiene como propsito mejorar los procesos de creacin y mantenimiento de las matrices, para as apoyar de manera adecuada durante la planificacin de anual de la Direccin. Adicionalmente, este sistema pretende que los usuarios obtengan acceso rpido a toda la informacin manejada y evitar inconsistencias en los datos, esto redunda en la mejora de los procesos y en que los recursos sean destinados efectivamente a aquellos elementos de riesgo relevante para la Organizacin.
Este informe contiene una serie ordenada de elementos tericos y metodolgicos que fueron ejecutados para elaborar el diseo del sistema de gestin de matrices de riesgo.
9
__________________________________________________________________ FASE DE PLANIFICACIN _________________________________________________________________ CAPITULO I: EL PROYECTO DE TRABAJO ESPECIAL DE GRADO
10
CAPITULO I EL PROYECTO DE TRABAJO ESPECIAL DE GRADO
En las pginas siguientes se expone el Proyecto de trabajo Especial de Grado presentado a las instancias correspondientes. Se expone la Justificacin, los objetivos, la metodologa establecida y el cronograma de ejecucin planificado.
I. JUSTIFICACION.
Las normas internacionales de Auditoria definen a la auditoria interna como una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de la organizacin
(http://www.jps.go.cr/licitaciones/metodologa de desarrollo de sistemas.doc, consultado el 19/09/2006).
El desarrollo de la Auditoria interna fue fomentado por el creciente tamao y descentralizacin de las organizaciones, la gran complejidad y sofisticacin tecnolgica de sus operaciones y la necesidad de contar con medios independientes y objetivos que apoyen al negocio en el cumplimiento de sus objetivos del negocio, aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno
El rea de Auditoria del Bancaribe realiza una actividad de evaluacin de forma independiente y objetiva, a fin de revisar los controles y operaciones como servicio a la alta administracin, es decir, sirve de apoyo a la Junta Directiva 11 en sus funciones de vigilancia, seguimiento y control (Reglamento de Rgimen Interno de la Junta Directiva Bancaribe., marzo 2006, pg 13). Para lograr sus objetivos, la Unidad de Auditoria aplica una metodologa de planificacin basada en la administracin integral de riesgos, que consiste en identificar los objetivos del negocio, los procesos del mismo y los riesgos potenciales a los que podra estar expuesto (Metodologa de planificacin basada en riesgo de la Direccin de Auditoria Bancaribe).
Para realizar sta planificacin, la Unidad debe contar las matrices de riesgo que les permitir identificar los posibles riesgos a ser evaluados, a partir de esta herramienta los auditores podrn identificar los procesos, actividades, sistemas o reas a ser auditadas, y con ello elaborar un efectivo plan de trabajo que permita un monitoreo continuo del entorno del negocio.
La Direccin de Auditoria, a travs de las diferentes gerencias que la integran deben realizar cada ao la planificacin de las auditorias que sern desarrolladas en cada semestre, para esto debe contar con una matriz que le permita identificar los posibles riesgos a ser evaluados, de acuerdo a lo establecido por la Alta Administracin y los organismos reguladores. Basado en el anlisis de riesgo, el plan anual ayuda a desarrollar evaluaciones que permiten identificar los riesgos potenciales a los que pudieran estar expuestas las distintas unidades de negocios (Manual de normas y procedimientos de la Direccin de Auditoria Bancaribe)
Actualmente las matrices de Riesgo se construyen y manipulan de forma individual y aislada por cada una de las gerencias que componen el rea de Auditoria, y se gestionan y administran a travs de hojas de trabajo elaboradas en Excel, herramienta que no permite centralizar la informacin en una sola base de datos, incluir nuevos datos que faciliten al auditor elaborar el plan de trabajo y manejar mayor volumen de informacin de la mencionada matriz. 12
Adicionalmente, la herramienta no permite un control preciso de las matrices y no se dispone de un estndar para su elaboracin.
Por lo expuesto anteriormente, aparentemente, urge el diseo de una herramienta tecnolgica para automatizar la elaboracin y administracin de las matrices de riesgo que permita incluir, modificar, consultar y eliminar datos, as como tambin administrar la actualizacin de las matrices de manera centralizada para hacer ms eficiente y eficaz el proceso de planificacin.
En ese contexto, con el presente Trabajo Especial de Grado se espera disear un sistema de Informacin para Administrar las Matrices de Riesgo que permitir tener normas y datos concretos de todo el proceso y as elaborar un efectivo plan anual de Auditoria y obtener los procesos, sistemas y reas a los que deben enfocarse los esfuerzos del rea.
II. OBJETIVOS DEL ESTUDIO. Durante la ejecucin del proyecto de trabajo especial de grado se plantearon los siguientes objetivos:
a) General: Disear un sistema de gestin para administrar las matrices de riesgo para la Direccin de Auditoria del Bancaribe.
b) Especficos:
Efectuar un diagnstico de la situacin actual del proceso de elaboracin y mantenimiento de las matrices de riesgo de la Direccin de Auditoria; 13 determinando las oportunidades de mejora en el proceso de elaboracin del plan de auditoria. Elaborar una propuesta de sistema de gestin de matrices de riesgo; definiendo los procedimientos requeridos para la inclusin y actualizacin de las matrices de riesgo en el sistema.
Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad de su implantacin.
III. METODOLOGA. Para el logro de los objetivos propuestos se establecieron los siguientes pasos:
3.1. Elaborar el Marco Conceptual Referencial: Tomando como base bibliografa especializada en el rea de Auditora, contenida en la pgina web del Instituto de Auditores Internos (www.theiia.org), en la cual se revis la documentacin relacionada con las normas internacionales de auditora y mejores prcticas en materia de administracin y gestin de riesgos, entre las que se encuentran el Convenio de Basilea, el marco de control interno (Coso y Coco) y el modelo de evaluacin de riesgos. Esta revisin permiti comprender el alcance y los objetivos de control que se persiguen con las evaluaciones basadas en riesgo, de acuerdo a su impacto en la organizacin y la probabilidad de ocurrencia.
3.2. Elaborar el Marco organizacional: Con base a la informacin contenida en la pgina web de la empresa www.bancaribe.com.ve y al manual de normas y procedimientos de la Direccin de Auditora Bancaribe se determin presentar 14 una resea histrica de la empresa, su misin, visin, valores y objetivos, as como tambin la estructura organizativa de la institucin y de la Direccin de Auditora.
3.3. Elaborar el diagnstico de la situacin actual: Para realizar el examen de la situacin se dispuso cumplir con las siguientes tres etapas:
a) Determinar el procedimiento a ser utilizado para recopilar y analizar la informacin relacionada con los procesos y metodologas actuales aplicadas en Auditora. Para esto se efectuaron entrevistas y levantamientos de informacin con todos los involucrados en estos procesos y se definieron los mecanismos que se utilizarn para presentar los resultados del anlisis.
b) Identificar las oportunidades de mejora de los procesos de acuerdo a la evaluacin de los resultados del diagnstico de la situacin actual con la finalidad de determinar los aspectos que pueden ser mejorados, y la manera en que los mismos sern incluidos en la definicin de requerimientos detallados.
c) Definir los requerimientos detallados, en funcin a las necesidades de los usuarios y las funciones especiales que debe realizar el sistema, as como tambin la interrelacin entre las actividades de los diferentes niveles del rea de Auditora. Adicionalmente se deben propuso incluir los requerimientos relacionados con el flujo de los datos en el sistema, o sea cules son las entradas, salidas, esquemas de almacenamiento y procedimientos funcionales para el uso del sistema.
15 3.4. Elaborar la propuesta para el sistema de gestin de matrices: La elaboracin de la propuesta implic el desarrollo de las siguientes dos fases:
a) La primera cuyo objeto propuesto fue elaborar el diseo del sistema de informacin que satisfaga los requerimientos, restricciones y atributos establecidos por los usuarios en la fase anterior. Partiendo, para ello, de un prototipo, es decir un modelo lgico que muestra claramente la interaccin entre los usuarios y el sistema y se definen qu procesos son manuales y cules automticos, lo cual permite aumentar la comprensin del problema y en qu medida es solventado por el sistema.
b) En la segunda se estableci definir el proceso de gestin de cambio, el cual se propuso que contemplara el diseo de una propuesta para la redefinicin de los procesos que deben ser implantados para el adecuado uso del sistema. Asimismo, la definicin de los adiestramientos que deben ser impartidos para vencer la resistencia al cambio y lograr una adaptacin fcil y gil a los nuevos esquemas.
3.5. Evaluar la propuesta: La propuesta o prototipo del sistema se presentara a los responsables de la Direccin de Auditora para su revisin y aprobacin. En esta presentacin se permitira determinar la viabilidad de la propuesta de acuerdo a las expectativas de los usuarios y de los recursos de los que se dispone, as como tambin el anlisis del impacto de la instalacin del sistema.
IV. CRONOGRAMA DE EJECUCION.
Para el cumplimiento de los pasos definidos en la metodologa se estableci cumplir el siguiente cronograma: 16 Actividad Tiempo Estimado Fecha Probable Elaborar el Marco Conceptual Referencial 3 da 01/12/2006 Elaborar el Marco organizacional 3 da 06/12/2006 Elaborar el diagnstico de la situacin actual 5 das 11/12/2006 Identificar las oportunidades de mejora de los procesos 5 das 18/12/2006 Definir requerimientos detallados 5 das 26/12/2006 Elaborar la propuesta para el sistema de gestin de matrices 10 das 03/01/2007 Evaluacin de la propuesta 1 da 09/01/2007 Disear el proceso de gestin de cambio 5 das 17/01/2007 Evaluacin del Proceso 1 da 23/01/2007 Elaboracin del informe final de grado 10 das 24/01/2007
17
__________________________________________________________________ FASE DE EJECUCIN __________________________________________________________________ CAPITULO II: MARCO CONCEPTUAL REFERENCIAL CAPITULO III: MARCO ORGANIZACIONAL CAPITULO IV: EXAMEN DE LA SITUACIN CAPITULO V: DISEO DE LA PROPUESTA CAPITULO VI: EL PROCESO DE APLICACIN DE LA METODOOGA
18
CAPITULO II MARCO CONCEPTUAL REFERENCIAL
Como Marco Conceptual del trabajo se presentan los fundamentos conceptuales relativos a la gestin de la Auditora Interna, el anlisis de riesgos en el proceso de planificacin y la funcin de control interno, concluyendo con el marco de control establecido por el modelo COSO.
2.1. FUNDAMENTOS CONCEPTUALES
2.1.1. Misin de la Auditora Interna: La Auditora Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno. Asimismo, la funcin de auditora est regida por las normas internacionales para el ejercicio de la prctica, las cuales son promulgadas por el Instituto de Auditores Internos (The Institute of Internal Auditors), el cual se encarga, adems, de emitir pronunciamientos para impartir el entendimiento de los roles, responsabilidades de la auditora interna, de su constitucin e inclusive de las guas para la medicin de su desempeo.
2.1.2. Concepto de matrices de riesgo: Una matriz de riesgo es una herramienta de control y de gestin normalmente utilizada para identificar las actividades (procesos y productos) ms importantes de una institucin financiera, el tipo y nivel de riesgos inherentes a estas actividades y 19 los factores exgenos y endgenos que engendran estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos financieros, operativos y estratgicos que impactan la misin de la organizacin. (http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248, consultado el 15/03/2007).
2.1.3. Alcance de la Auditora Interna: El alcance del trabajo de Auditora Interna es determinar si la administracin de riesgos, control y el proceso de gobierno est diseado y representado por la Administracin, as como tambin que sea adecuado y que permita asegurar que: Los riesgos son identificados y administrados. La informacin financiera es exacta, confiable y oportuna Exista apego a las polticas y procedimientos Los programas, planes y objetivos son llevados a cabo.
2.1.4. Responsabilidad de la Auditora Interna: El Director de auditora interna en el ejercicio de su funcin tiene las siguientes responsabilidades:
Desarrollar un plan de auditora flexible, usando una metodologa apropiada y basada en riesgo, que permita evaluar la efectividad de los procesos de la Organizacin, incluyendo las preocupaciones de los auditados. Este plan debe ser aprobado por el Comit de Auditora. Implementar el plan antes mencionado. Reportar los asuntos identificados durante los trabajos, incluyendo sugerencias de mejoramiento a los mismos. 20 Mantener un equipo de auditores con suficientes conocimientos, experiencia para cumplir con las necesidades del departamento (en funcin del plan y los estatutos)
2.1.5. Independencia y Objetividad de Auditora Interna: La objetividad y la independencia son las bases esenciales de la funcin de Auditora Interna.
La independencia de un departamento o gerencia describe su nivel de reporte y la libertad de interferencia de sus funciones, esto en cierta forma define tambin la objetividad y sus revelaciones cuando la independencia y objetividad se ven obstruidas.
La actividad de auditora interna debe ser independiente de las funciones administrativas, financieras, operativas y de otra ndole, dentro de la organizacin, as como tambin debe estar libre de inherencias al determinar el alcance de sus evaluaciones, al desempear su trabajo y al comunicar sus resultados. No slo se requiere ser independiente sino parecerlo.
Para dar independencia a la Unidad de Auditora, sta debe tener una lnea de reporte al Comit de Auditora.
Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos de intereses, por lo que cualquier impedimento de hecho o en apariencia que afecte la Independencia u Objetividad se debe dar a conocer a las partes correspondientes.
2.1.6. Autoridad de la Auditora Interna: La Auditora Interna debe estar autorizada por la empresa para:
21 Tener acceso sin restricciones a todas las funciones, registros, propiedades o personal de la organizacin. Tener libre acceso al Comit de Auditora. Obtener asistencia del personal de las diferentes unidades donde realizan auditoras.
2.1.7. El Comit de Auditora, caractersticas y responsabilidades: Actualmente el papel de un Comit de Auditora en el fortalecimiento de la posicin de Auditora se reconoce ampliamente. Un Comit de Auditora formado por directores no gerenciales promueve la independencia tanto de los auditores internos como externos, especialmente cuando selecciona la firma de Auditora Externa y el director de Auditora Interna. As, un Comit de Auditora slido protege a los auditores de influencias que pudieran comprometer su independencia y objetividad.
Las siguientes son algunas de sus caractersticas y responsabilidades:
Debe estar conformado por Directores no gerenciales. La Junta Directiva de cada compaa debe crear y aprobar un estatuto escrito que describa las obligaciones y responsabilidades del Comit de Auditora. El Comit de Auditora debe: o Revisar la independencia de la Auditora Interna. o Monitorear el cumplimiento de los cdigos de conducta. o Tener disponibilidad suficiente de recursos. o Supervisar el proceso de emisin de informes trimestrales. o Servir de mediador de disputas entre los auditores y la gerencia. o Seleccionar al auditor externo, revisar sus honorarios y los trminos de la contratacin. o Revisar el plan de trabajo de la auditora del auditor externo. o Revisar los resultados de las auditora internas y externas. 22 o Reunirse regularmente con el Director de Auditora Interna. o Revisar las evaluaciones de control interno. o Revisar los controles operativos, financieros y contables de la empresa. o Revisar polticas sobre procedimientos no ticos e ilegales. o Revisar los estados financieros para las Agencias Reguladoras.
( http://www.theiia.org/guidance/standards-and-practices, consultado el 15/03/2007).
2.2. ANLISIS DE RIESGOS EN EL PROCESO DE PLANIFICACIN
2.2.1. Concepto de riesgo: Riesgo es la probabilidad de que se materialice cualquier situacin negativa que eventualmente al concretarse pudiera evitar o dificultar que alguno o varios de los objetivos se logren en la forma y con la oportunidad con que fueron planeados por la empresa, pudiendo afectar las finanzas de la empresa.
2.2.2. Importancia de la evaluacin y administracin de riesgos: Es un axioma comn el aceptar que se deben tomar ciertos riesgos para tener xito en los negocios y an para permanecer en el medio. En este sentido, la administracin es la responsable de identificar los riesgos e implantar los controles apropiados que permitan su adecuado manejo.
Un aspecto fundamental en la evaluacin de los riesgos estriba en que no solo es importante conocerlos sino administrarlos de manera eficiente, esto significa, determinar cuales eliminar, cuales transferir o reducir y cuales aceptar. Siempre hay que tener presente la relacin de costo beneficio, ya que resulta incosteable tratar de obtener una seguridad total o absoluta, es decir cero riesgos.
23 Las personas que procesan las operaciones y tienen la responsabilidad de cumplir las metas y objetivos, son las que mejor conocen los riesgos que pudieran dificultar el cumplimiento del objetivo correspondiente, por lo que tambin son los ms capacitados para definir sus causas. Adicionalmente, son quienes pueden precisar las mejores acciones para administrar dichos riesgos, puesto que tambin conocen las condiciones del entorno, los recursos que se podran asignar al efecto y desde luego, la oportunidad con que se deben aplicar las respectivas acciones de mejora. Existen riesgos que pueden ser comunes a varios tipos de organizaciones, sin embargo el Auditor Interno contribuye con su experiencia y conocimiento a la definicin especfica de los riesgos en la organizacin a la que sirve.
2.2.3. Beneficios de la administracin de riesgos: La administracin de riesgos dentro de una empresa permite:
Identificar aquellos acontecimientos que puedan impactar en la organizacin impidindole alcanzar sus objetivos.
Realizar una valoracin de los riesgos de la compaa y gestionar su tratamiento en funcin del riesgo aceptado en la misma.
Integrar la gestin de riesgos en los procesos de planificacin estratgica de la compaa, en el control interno y en la operativa diaria de la misma.
Disponer del portafolio de riesgos a nivel global de la compaa y para cada una de sus divisiones y/o funciones.
http://www.capgemini.es/sectores/finanzas/riesgos.htm consultado el 20/04/2007 24
http://dmi.uib.es/~bbuades/riesgos/sld003.htm consultado el 20/04/2007
2.3. LA FUNCIN DE CONTROL INTERNO
2.3.1. Definicin de Control Interno: En general puede definirse el concepto de control, como una serie de normas, tcnicas, y procedimientos a travs de las cuales se mide y corrige el desempeo de una actividad para asegurar la consecucin de los resultados esperados.
El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada, se adoptan en una entidad para proteger los activos, asegurar la confiabilidad de la informacin, promover la eficiencia operacional y estimular la adherencia del personal a las polticas pre- establecidas por la direccin.
2.3.2. Fases del proceso de Control: El proceso de control contempla la ejecucin de cuatro fases, las cuales se mencionan a continuacin: 25
2.3.3. Clasificacin de los Controles: Los controles se clasifican segn:
Su Cobertura: generales y especficos. Su Naturaleza: manuales y automticos. Su propsito: disuasivos, preventivos, detectivos, correctivos y recuperativos. Su estado: implantados, por implantar y descartados.
2.3.4. Estructura de la gestin de control: La gestin de control contempla tres tipos bien definidos que deben estar bien diferenciados en las instituciones, y son los siguientes:
26 Control Estratgico: que debe estar a cargo de la Alta Direccin (Junta Directiva y Gerencia General). Control Tctico: a cargo de la Administracin Media (Gerencia Media). Control Operativo: a cargo de la Administracin Baja (Supervisores).
2.3.5. Componentes del control interno: Para que exista un adecuado ambiente de control dentro de las instituciones ste debe contemplar los siguientes aspectos:
Objetivos definidos. Estructura de organizacin slida. Procedimientos efectivos y documentados. Personal competente. Sistema de informacin confiable y oportuna. Sistema de seguridad. Sistema de Auditora efectivo.
2.3.6. Enfoques de control - Modelo Coso: En la evolucin de la teora del control interno se defini en principio a los controles como mecanismos o prcticas para identificar actividades no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organizacin.
El modelo COSO trata al control interno como un proceso, efectuado por el Consejo de Administracin, la direccin y dems personal de una entidad, 27 concebido para proporcionar aseguramiento razonable respecto del cumplimiento de los objetivos relacionados con:
Confiabilidad de la informacin financiera: Se relaciona con la preparacin de estados financieros confiables Eficacia y eficiencia de las operaciones: Relacionado con los objetivos del negocio incluyendo el desempeo y metas de rentabilidad Cumplimiento de leyes y regulaciones: Se relaciona con el cumplimiento de las leyes y las regulaciones a las cuales est sujeta la entidad
Para este modelo, el control interno es:
El corazn de una organizacin. La cultura, las normas sociales y ambientales que la gobiernan. Los procesos del negocio (los mecanismos por medio de los cuales una organizacin produce bienes y/o servicios de valor agregado). La infraestructura, la tecnologa de la informacin, las actividades, las polticas y los procedimientos.
2.3.7. Componentes de control del Modelo Coso: En la evolucin de la teora del control interno se defini
28
Ambiente de control: Se refiere a la conciencia de control de la organizacin y sus principales factores son:
o Integridad y valores ticos. o Compromiso y competencia profesional. o Filosofa de la Direccin y estilo de gestin. o Estructura de la Organizacin. o Asignacin de autoridad y responsabilidad. o Polticas y prcticas del recurso humano.
Establecimiento de objetivos: Los objetivos deben existir antes de que la administracin pueda identificar potenciales eventos que afecten su consecucin.
29 Identificacin de eventos: Los acontecimientos externos o internos que pudieran afectar a los objetivos de la institucin deben ser identificados, diferenciando entre riesgos y oportunidades.
Respuesta al riesgo: La administracin selecciona las posibles respuestas al riesgo (evitar, aceptar, reducir o compartir), desarrollando una serie de acciones para alinearlas con el riesgo aceptado y las tolerancias al riesgo de la institucin.
Evaluacin de riesgos: Es la identificacin y anlisis de los riesgos que se relacionan con el logro de los objetivos, la administracin debe cuantificar su magnitud, proyectar su probabilidad y sus posibles consecuencias. Se debe prestar especial atencin a:
o Los avances tecnolgicos. o Los cambios en los ambientes operativos. o Las nuevas lneas de negocio. o La reestructuracin corporativa. o La expansin o adquisiciones. o El personal de nuevo ingreso. o El rpido crecimiento.
Actividades de control: Ocurren a lo largo de la organizacin, en todos los niveles y todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Estas actividades deben ser apropiadas para minimizar los riesgos y deben incluir los siguientes aspectos:
o Las revisiones de desempeo. o Anlisis de indicadores. 30 o El anlisis de indicadores de desempeo. o El procesamiento de informacin. o Los controles fsicos. o La separacin de funciones.
Informacin y Comunicaciones: Se debe generar informacin relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades. Las comunicaciones pueden ser: o Formales o informales. o Vertical u horizontal.
Monitoreo: Los controles internos deben ser monitoreados constantemente para asegurarse que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. El alcance y la frecuencia del monitoreo depende de los riesgos que se deseen cubrir.
http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007 http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el 19/03/2007 31
CAPITULO III MARCO ORGANIZACIONAL
Como Marco organizacional del presente trabajo, se desarrollar la descripcin de la Organizacin para la cual se realiz la propuesta de mejora, el detalle de la composicin y estructura organizativa de la Direccin de Auditora y una breve resea de la situacin que presenta esta Unidad.
3.1. LA ORGANIZACIN BANCARIBE
EL BANCO DEL CARIBE, C. A, Banco Universal, (BANCARIBE) fue fundado el da 12 de febrero de 1954 e inici sus operaciones el da 3 de noviembre del mismo ao en la ciudad de Puerto Cabello, Estado Carabobo. Su domicilio social fue cambiado a la ciudad de Caracas, Distrito Federal, en agosto de 1.963.
Actualmente opera en todo el pas, a travs de 119 agencias distribuidas estratgicamente, de las cuales 70% estn ubicadas fuera de la capital de la Repblica. Por mandato legal, el Banco del Caribe acta bajo la supervisin de la Superintendencia de Bancos y Otras Instituciones Financieras y de la Comisin Nacional de Valores, pues sus acciones estn inscritas en el Registro Nacional de Valores de Venezuela.
En septiembre de 1.997, BANCARIBE absorbi, mediante el procedimiento de fusin, al Banco de Inversin del Caribe, C .A., y al Fondo de Activos Lquidos del Caribe, C. A., para convertirse en Banco Universal.
32 En diciembre de 1.997, la Asamblea de Accionistas de BANCARIBE autoriz el ingreso de un nuevo socio: Scotia International Limited, una empresa poseda en un cien por cien, por The Bank of Nova Scotia (Scotiabank), uno de los bancos ms importantes del mundo, quien suscribi en su totalidad un aumento del capital del Banco del Caribe, equivalente al 25% del nuevo capital social.
Durante el primer semestre de 2000 culmin el proceso de instalacin de la nueva plataforma tecnolgica en todas las oficinas en el pas, con lo cual se automatizaron los procesos y se estableci una relacin con la clientela a travs de nuevas y modernas formas de comunicacin.
En el ao 2001, BANCARIBE adopt los Principios de Wolfsberg1, como normas internas para el combate contra la legitimacin de capitales provenientes, no slo del trfico de sustancias psicotrpicas y estupefacientes, lo cual ya haba sido regulado por leyes y por la normativa prudencial dictada por la Superintendencia de Bancos y Otras Instituciones Financieras, sino de cualquier delito, incluidos el terrorismo y la corrupcin.
En septiembre de 2003, BANCARIBE adapt su Estatuto a las mejores prcticas de gobernabilidad; no slo a las prcticas de gobierno corporativo recomendadas por organismos internacionales como la Organizacin para la Cooperacin y Desarrollo Econmico (OECD), sino especialmente a las recomendaciones del Comit de Basilea para la Gobernabilidad de las Instituciones Financieras, dirigidas especficamente a los bancos y otras empresas financieras en todo el mundo y a sus supervisores y reguladores. De acuerdo a estas prcticas, la junta directiva del Banco est formada por 14 directores de los cuales 8 son directores independientes, se encarga de supervisar, controlar y hacer seguimiento a los aspectos ms importantes de la administracin de la institucin y apoya su actividad en cuatro comits: un 33 Comit de Auditora, Control y Cumplimiento; un Comit de Riesgo, un Comit de Nombramientos y Remuneraciones y un Comit de Crdito.
El 7 de septiembre de 2006 se hizo pblica la nueva imagen corporativa del Banco que incorpora el trmino BANCARIBE como el signo distintivo del Banco y del GRUPO FINANCIERO BANCARIBE. BANCARIBE es el resultado de un largo proceso evolutivo que abre una nueva e importante etapa en la vida de nuestra institucin, que nos identifica como un banco gil, flexible e innovador, dedicado con pasin a conocer y satisfacer las necesidades de la clientela, eficientes en la prestacin de servicios financieros integrales, dedicado a construir con la clientela, nuestro personal, nuestros relacionados y con el pas, una relacin de confianza mutua y duradera, porque tenemos un profundo compromiso con el pas, porque creemos en Venezuela.
BANCARIBE, es un banco con cultura de Riesgo, ha sido uno de las primeras instituciones financieras del pas en desarrollar y aplicar una metodologa para atender el concepto de Riesgo Integral, con el fin de adaptarse a los nuevos Principios de Basilea y, posteriormente, para atender las disposiciones de la Norma Prudencial establecida por la Superintendencia y Otras Instituciones Financieras.
A continuacin presentamos la misin y la visin de la empresa, los cuales resumen los objetivos del negocio y la forma en que los empleados estn comprometidos con ellos, para determinar el xito no slo de la Institucin, sino tambin el de sus miembros. Misin: "Somos socios en la prosperidad de nuestros clientes. Brindamos soluciones financieras integrales, generadas por la suma del compromiso individual de toda nuestra gente, creando valor para el pas, para el accionista y para nosotros mismos" Visin: "Hacemos Gente Prspera" 34
Entre los valores que la Institucin inculca a todos sus miembros, tanto empleados como accionistas y asociados, se encuentran los siguientes: Somos conservadores: Hoy igual que ayer, hay una forma de hacer las cosas bien. Por eso, conservamos el tradicional estilo de hacer dinero, con trabajo. Conservamos una atencin personal y respetuosa. Y lo ms importante, conservamos nuestros clientes.
Somos tradicionales: Los tiempos han cambiado, pero el servicio y el respeto hacia nuestros clientes ha sido el ideal que nos ha acompaado desde hace mucho. La forma en que concebimos nuestro trabajo es un acto honesto y transparente. Por eso, por mucho que cambiemos seguiremos con una posicin responsable.
Somos prudentes: No asumimos inversiones arriesgadas, aunque supongan ganancias jugosas. Preferimos cuidar el capital e invertirlo en negocios seguros, por eso estudiamos detalladamente cada inversin que realizamos, solo as, podemos mantener la confianza en nuestros clientes.
Buscamos su prosperidad: La felicidad de compartir cada da con su familia. La paz de responder cuando se necesita. La satisfaccin de construir un maana mejor. Es la prosperidad que buscamos para nuestros clientes, amigos y empleados.
No hacemos dinero fcil: Nosotros hacemos dinero igual que usted, trabajando. Por eso sabemos el esfuerzo que requiere ganar cada bolvar. No jugamos con su dinero, ni lo despilfarramos, para nosotros es ms importante un negocio seguro que uno fcil.
Somos su aliado: Porque nunca lo dejamos solo, porque sabemos que trabajar en equipo con usted es la nica forma de alcanzar las metas. Por eso, confiamos en 35 nuestros clientes, como ellos confan en nosotros. Esta es la alianza que nos ha convertido en un equipo ganador.
Creemos en Venezuela: Lo hemos dicho antes y lo volvemos a decir ahora, somos lo que somos gracias a nuestros clientes, quienes en cada rincn de Venezuela nos han dado su respaldo y confianza. No estamos de paso. Por eso, tenemos un compromiso con Venezuela, un compromiso profundo con su destino y con el destino de su gente.
Vamos a la vanguardia: Estamos mejorando para darle la mejor a nuestros clientes. Por eso, estamos especializando a nuestra gente sustentados en tecnologa de avanzada, que nos pondr a la vanguardia de la banca venezolana durante todo el siglo XXI.
Tenemos un compromiso con el futuro: Ese es nuestro compromiso, por eso trabajamos junto a los hombres y mujeres que quieren un maana mejor. El futuro hay que hacerlo todos los das con optimismo y ganas de trabajar.
3.2. LA DIRECCIN DE AUDITORA
La Direccin de Auditora es un rea de staff que sirve de apoyo a la Junta Directiva y reporta al Comit de Auditora, control y cumplimiento. Esta rea cuenta en su estructura organizativa con: El Director de Auditora, una secretaria, la Gerencia de Medicin de Gestin y Auditoria de Riesgos Integrales y la Direccin Asociada Auditora de Sistemas y Procesos, que a su vez est compuesta por las Gerencias Auditora Operativa, Auditora Financiera Auditora de Sistemas y Auditora de Procesos; a cada una de estas Gerencias estn adscritos los cargos de Auditor Seor, Semi-senior y Junior. A continuacin se muestra la estructura organizativa de la Direccin de Auditora.
36
La misin de la Direccin de Auditora es: Desarrollar una actividad de apoyo que contribuya a mejorar el control interno en la Organizacin, con el fin de propiciar la mitigacin de aquellos riesgos que puedan afectar los intereses de la institucin.
Y su visin es: Consolidarse como unidad asesora de la organizacin en el proceso de riesgos y en fortalecimiento del control interno.
3.3. SITUACIN
La Direccin de Auditora, a travs de las diferentes gerencias que la integran deben realizar cada ao la planificacin de las evaluaciones que sern desarrolladas en cada semestre, para esto debe contar con diferentes matrices que les permitan identificar los principales riesgos a los que se encuentran expuestos los procesos del negocio, Junta Directiva Comit de Auditora, Control y Cumplimiento Direccin de Auditora Gerencia Auditora Operativa Gerencia Auditora Financiera Secretara Direccin Asociada Auditora Sistemas y Proceso Auditores Senior, Semi Senior y Junior Gerencia de Medicin de Gestin y Auditoria de Riesgos Integrales Gerencia Auditora Sistemas Gerencia Auditora Procesos Auditores Senior, Semi Senior y Junior Auditores Senior, Semi Senior y Junior Auditores Senior, Semi Senior y Junior 37 para as enfocar las revisiones en los riesgos que podran impactar de manera negativa a la Institucin, afectando sus balances financieros y los objetivos organizacionales que se han establecido.
Basado en el anlisis de riesgo, se logra identificar los riesgos potenciales a los que pudieran estar expuestas las distintas unidades de negocios y, as, establecer el plan anual donde se definen las auditoras que permitirn evaluar la efectividad de los mecanismos de control existentes para minimizar el impacto inherente de dichos riesgos.
Como herramienta base y principal insumo para efectuar el anlisis de riesgo, actualmente la Direccin de Auditora elabora unas matrices de Riesgo donde se identifican los principales riesgos a los que se encuentra expuesta la organizacin, as como tambin la probabilidad de que el riesgo se materialice y el impacto que el mismo puede ocasionar. Con estos datos se le da una calificacin de riesgo a cada evento y el enfoque de las evaluaciones va dirigido a los riesgos altos y medios, ya que son aquellos que deben ser controlados de manera efectiva.
Las matrices se construyen de forma individual por cada gerencia, a travs de la herramienta Excel. Sin embargo, esta herramienta no permite consolidar toda la informacin en una sola base de datos, dificulta incluir nuevos datos que faciliten al auditor elaborar el plan de trabajo y manejar altos volmenes de informacin, por lo que no se puede determinar, en un momento dado, si la cobertura de las evaluaciones contempla todos los riesgos importantes o si se estn duplicando esfuerzos evaluando el mismo riesgo a travs de las diferentes Gerencias de Auditora.
Por ello, se requiere automatizar el modo de elaboracin de las matrices de riesgo por medio de un sistema de informacin que permita incluir, modificar y eliminar datos de manera dinmica y oportuna, as como tambin administrar y efectuar 38 consultas de todas las matrices de riesgo, de manera eficaz por cada una de las Gerencias de Auditoria.
39
CAPITULO IV EL EXAMEN DE LA SITUACIN
4.1. PROPSITOS DEL PROCESO Con la finalidad de apegarse a las mejores prcticas de la industria y a las normas internacionales definidas para la prctica de la auditora, desde el ao 2003 la Direccin de Auditora, desarroll una metodologa denominada Metodologa de planificacin basada en riesgo, la cual sirve de base para elaborar la planificacin anual de la Unidad, desde la perspectiva de un anlisis de riesgo detallado de todos los procesos, reas y sistemas de la empresa, para as identificar aquellos que tienen un mayor impacto y mayor probabilidad de ocurrencia para la Organizacin, lo cual podra impactar negativamente el logro de sus objetivos y los resultados financieros de la misma.
La metodologa establece que cada una de las reas de la Direccin de Auditora debe determinar los eventos de riesgo asociados a cada proceso, rea y/o aplicacin tecnolgica. Una vez identificados los eventos de riesgo se debe valorar, para cada uno de ellos, el impacto que podra tener para la Empresa en caso de que se materialice o se concrete el evento, as como tambin se debe valorar la probabilidad de que el evento ocurra, la cual viene dada por la calidad de los controles implantados en la Organizacin, cuanto ms dbiles sean los controles mayor la probabilidad de ocurrencia.
El valor del impacto y la probabilidad es definido por la metodologa en nmeros que van desde el 1 hasta el 9. Una vez que se disponga de los valores correspondientes al impacto y la probabilidad la metodologa indica que se debe calcular la valoracin de riesgo para cada uno de ellos, la cual se obtiene a travs de la siguiente frmula: 40 Riesgo = (Impacto x 0.60) + (Probabilidad x 0.40) 2
El valor obtenido indica el nivel de riesgo al que se encuentra expuesta la empresa, en caso de que el evento se materialice, y el cual se mide a travs de las siguientes escalas:
Del 1 al 3 el riesgo es Bajo. Del 4 al 6 el riesgo es Medio. Del 7 al 39el riesgo es Alto.
Cada una de las Gerencias de Auditora realiza una identificacin de los eventos de riesgo y procede a valorar la exposicin a la que se encuentra la empresa para cada uno de ellos. Una vez obtenidos los eventos se procede a construir las matrices de riesgo, las cuales son el elemento bsico para establecer la planificacin y definir los programas de trabajo que sern realizados durante el proceso de ejecucin de auditoras.
La planificacin de las auditoras se realiza seleccionando los riesgos altos y medios de las matrices y tienen por finalidad evaluar la efectividad y adecuacin de los controles establecidos para proteger a la Organizacin en caso de que se concreten dichos riesgos. Una vez definidas las auditoras se procede a determinar las horas requeridas para ejecutar las mismas y a asignar los recursos tanto humanos como materiales que sern requeridos por las mismas. A continuacin se presenta un diagrama del proceso de planificacin definido en la Direcci{on de Auditora: 41
Sin embargo, y a pesar de que todas las Gerencias de Auditora utilizan la misma metodologa para efectuar el proceso de planificacin anual, la misma no es especfica en cuanto a la forma como deben plasmarse los resultados de la identificacin de riesgos y no establece estndares ni lineamientos para la elaboracin de las matrices. Debido a esto, cada Gerencia ha desarrollado su propio esquema de elaboracin, los cuales difieren entre s, en cuanto a la informacin manejada y a la presentacin de la misma. A continuacin, se presenta una muestra de los diferentes formatos manejados por las reas:
Riesgo Proceso Sub-Proceso Alto Medio Bajo Alta Media Baja Valoracin Iinal Impacto Probabilidad
Calificacin deRiesgo Auditor encargado Area Afectada Impacto Probabilidad Evento de Riesgo
Por otra parte, cada Gerencia de Auditora no dispone de acceso a la informacin de las matrices elaboradas por las dems unidades, por lo que, existen eventos y matrices duplicadas, y en algunos casos se han detectado duplicidad de esfuerzos en la revisin de los mismos riesgos por parte de las diferentes Unidades del rea. Adicionalmente, no se tiene certeza de que los recursos son utilizados de manera efectiva y no se puede garantizar que se estn evaluando todos los riesgos altos y medios que han sido identificados y que el alcance establecido para las evaluaciones sea adecuado para proporcionar a la empresa un anlisis razonable del estado de su control interno.
Debido a todas las debilidades del proceso, se decidi elaborar una propuesta para automatizar las matrices de riesgos, lo cual permitira estandarizar la informacin manejada por las diferentes Unidades, as como tambin actualizar y consultar toda la informacin disponible, lo cual permitir optimizar la utilizacin de los recursos y garantizar que no se estn duplicando esfuerzos en la ejecucin de las auditoras.
En este sentido se efectuaron una serie de levantamientos de informacin con los responsables de las diferentes Gerencias, con la finalidad de conocer las actividades actuales que son ejecutadas para elaborar las matrices de riesgos y la planificacin anual.
Los resultados del levantamiento de informacin fueron analizados y se present al Director de la Unidad y a los Gerentes la identificacin de las debilidades y las 43 oportunidades de mejora que podan ser aplicadas para optimizar el proceso, as como tambin los requerimientos detallados que deban ser considerados para el diseo del sistema.
44
CAPITULO V DISEO DE LA PROPUESTA
A continuacin se presenta la justificacin de la propuesta de desarrollo del sistema, los objetivos de la misma, las oportunidades de mejora identificados para el proceso, el diseo propuesto para el sistema, diseo del proceso de elaboracin y carga de las matrices en el sistema y el diseo del proceso de gestin de cambio para la implantacin del sistema y de los nuevos procesos.
5.1. JUSTIFICACIN DE LA PROPUESTA Las actividades de planificacin de la Direccin de Auditora se ven dificultadas por el hecho de de que la informacin requerida para ejecutar este proceso, las matrices de riesgo, se elaboran y manipulan de manera manual. Adicionalmente, la informacin es generada y utilizada de manera aislada por cada una de las Gerencias que componen la Direccin, lo cual, no garantiza que las evaluaciones planificadas sean las ms adecuadas para cubrir razonablemente los principales riesgos a los que se enfrenta la Organizacin.
Por otra parte, no se dispone de un estndar para la elaboracin de las matrices ni para la valoracin de los riesgos, lo que trae como consecuencia, que cada Unidad tenga su diseo propio y manejen informacin diferente, por lo que no existe un control preciso de la informacin manejada.
Adems, no es fcil determinar efectivamente si se est invirtiendo una cantidad excesiva de horas hombre de las diferentes Gerencias para revisar los mismos riesgos, y si se estn dejando de evaluar otros riesgos que son necesarios controlar 45 y que pudieran significar un impacto negativo en la Empresa, en caso de que se materialicen.
Por todas estas razones, se requiere disear un sistema de informacin para Administrar las Matrices de Riesgo, el cual permitir unificar la informacin manejada por las diferentes Gerencias e identificar de manera eficiente los riesgos que deben ser evaluados, asimismo, optimizar el control de las actividades de los recursos con los que cuenta la Direccin y se podrn definir adecuadamente los procesos, sistemas y reas en los que deben enfocarse sus esfuerzos.
5.2. OBJETIVOS DE LA PROPUESTA Los objetivos que se persiguen con esta propuesta son los siguientes:
Disear un sistema de gestin para administrar las matrices de riesgo para la Direccin de Auditoria de Bancaribe. Establecer un estndar para la elaboracin de las matrices y la valoracin de los eventos de riesgo. Definir los responsables para la administracin del sistema. Establecer los procedimientos para el ingreso y actualizacin de la informacin en el sistema. Disear el proceso de gestin de cambio.
5.3. RESULTADOS DE LOS LEVANTAMIENTOS DE INFORMACIN: Se efectuaron reuniones con todos los Gerentes de la Direccin de Auditora para levantar el proceso ejecutado para elaborar la planificacin anual y as identificar las debilidades existentes en el proceso y el impacto de las mismas, y determinar las oportunidades de mejora que se van a incluir en el proceso con la implantacin 46 del sistema propuesto. A continuacin se muestran los resultados obtenidos en los levantamientos de informacin:
No se realiza anlisis del entorno interno / externo X No se consideren algunos aspectos relativos a plan de negocio, polticas, cambios en los procesos, cambios en los sistemas, regulaciones y/o mejores prcticas, en el plan anual de auditora / Ejecucin de auditora no alinedas al logro de los objetivos estrategias del negocio No existe un check list para validar los insumos necesarios para realizar el plan anual de auditora X X No se valida efectivamente los insumos necesarios para elaborar el plan anual No se realizan reuniones con los dueos de los procesos para levantaar la informacin referente a las leyes y/o normativas, requerida para elaborar el plan. X No se consideren aspectos regulatorios en la planificacin. Informacin inoportuna de los proyectos aprobados por el Comit Ejecutivo. X La cobertura de la participacin en los proyectos no es adecuada Inexistencia el mapa de proceso del Banco. X X Desconocimiento de la totalidad de los procesos del banco / Limita la planificacin por procesos. No existe un control de horas invertidas en la planificacin X Cualquier actividad imprevista (reposo, trabajo especial, otros) puede afectar el cumplimiento de la planificacin No se consideran las horas improductivas en la planificacin anual. X Cualquier actividad imprevista (reposo, permisos, otros) puede afectar el cumplimiento de la planificacin Horas hombre no disponible para revisar los riesgos medios X Sin evaluar una cantidad importante de riesgos medios identificados. No se consideran las horas de diseo de la revisin, induccin, redaccin y discusin de informes entre otros X Retraso en la ejecucin de la planificacin. No se consideran las horas administrativas en la planificacin anual. X Tiempo invertido en la revisin de papeles de trabajo, viaticos, elaboracin del presupuesto anual, trabajos especiales, entre otros. No se consideran las horas hombre para el diseo o rediseo de pruebas X Tiempo invertido no planificado ni medido Entrega inoportuna de la planificacin a la Direccin Permanencia frecuente de los auditores en las reas / No se atacan actividades comunes No existe interaccin entre las distintas gerencias al momento de realizar y/o revisar la planificacin anual X X X X Entrega inoportuna de la planificacin a la Direccin Inexistencia de un formulario estandar para elaborar el plan anual X X Informalidad en la presentacin del plan anual Inexistencia de herramientas tecnolgicas que faciliten la elaboracin del plan anual X X X X Reprocesos en la elaboracin y entrega inoportuna del plan anual No se considera la existencia de nuevas estrategias de negocio X X No est alineado el plan anual de auditora con las estrategias de negocio del banco Retrabajo Fuente de Error Impacto / Consecuencia Categoras de Debilidades No Agrega Valor Cuello de Botella Redundancia Debilidades X X X X No existe interaccin entre las distintas gerencias al momento de realizar y/o revisar la planificacin anual
47 5.4. OPORTUNIDADES DE MEJORA A partir de las debilidades ya identificadas se efectu un anlisis para identificar las oportunidades de mejora que pudieran ser aplicadas para la solucin de dichas debilidades. Los resultados de este anlisis son presentados a continuacin:
Definir un mecanismo que permita analizar el entorno externo / interno. Elaborar un check list que permita validar los insumos necesarios en la planificacin anual. Realizar mesas de trabajo con los dueos de los procesos, previa a la planificacin para conocer los procesos a ser auditados. Realizar reuniones previas con los dueos de los procesos a fin de conocer los cambios. Solicitar a los lderes de los proyectos el listado de proyectos aprobados con sus respectivos cronogramas. Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de la institucin y/o elaborar un mapa de procesos desde la visin de la Direccin de Auditora. Iniciar la planificacin a partir del entorno interno y externo, en el cual se identifican los aspectos claves. Considerar en la planificacin anual horas para actividades extraordinarias. Considerar en la planificacin anual horas improductivas. Analizar la valoracin de los riesgos medios para determinar las prioridades de revisin. Asignar las horas reales para la ejecucin de las revisiones. Considerar en la planificacin anual horas para actividades administrativas. Considerar en la planificacin anual horas para el diseo y/o rediseo de pruebas. Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar los conceptos y contenido de plan anual. 48 Cdigo Cdigo Coordinar las revisiones comunes en las distintas reas del banco con la finalidad de formar equipos de auditora integrales. Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar los conceptos y contenido de plan anual. Establecer un formato estndar para la elaboracin de las matrices de riesgo. Implantar un Sistema Integrado donde se puedan incluir todas las matrices de riesgo manejadas por la Direccin de Auditora. Documentar el proceso de planificacin anual
5.5. DISEO DEL FORMATO DE MATRICES PROPUESTO Del levantamiento de informacin realizado entre las diversas reas de la Direccin de Auditora, y en base a las necesidades de informacin que son requeridas para el proceso de planificacin, se propuso el siguiente formato, para la construccin de las matrices de riesgo. Este formato recoge todas las necesidades de las Gerencias y sern parte de los requerimientos funcionales del sistema propuesto.
Bajo Medio Alto Baja Media Alta Tipo de Revisin Prueba asociada al riesgo Frecuencia Revision de auditora Valoracin Justificacin de la valoracin Normativa formal Clasificacin de Riesgo Cdigo Proceso Impacto 60% Probabilidad 40% Sub-Proceso Evento de Riesgo
Adicionalmente, se desarrollaron una serie de instrucciones para proporcionar gua a los usuarios sobre la informacin requerida en cada uno de los campos definidos.
1. Cdigo del Riesgo.
Crear el cdigo del riesgo, de acuerdo a la siguiente nomenclatura:
XXX-YYY-ZZZ-W-000, donde: XXX = Nmero secuencial del Proceso (Se necesita el mapa de Procesos) 49 Proceso Sub-Proceso Proceso Sub-Proceso Alto Medio Bajo Impacto 60% Alto Medio Bajo Impacto 60% Evento de Riesgo Evento de Riesgo YYY = Nmero secuencial del Sub-Proceso (Se necesita el mapa de Procesos) ZZZ = Nombre segn el Tipo de Riesgo (Determinado por la resolucin 136.03) W = Cdigo de rea de Auditora (Codificar las cinco reas) 000 = Secuencial Numrico
Ejemplo:
001- 011- 001- 1- 001
Proceso 001 = Gestionar Crditos Sub-Proceso 011 = Analizar Crditos Tipo de Riesgo 001 = Riesgo Operacional rea de Auditora 1 = Gerencia de Procesos Secuencial 001 = Evento de Riesgo nmero 1
2. Evento de Riesgo.
Indicar el evento de riesgo correspondiente al proceso y/o subproceso a evaluar, de acuerdo al anlisis de las leyes, polticas, normas y circulares existentes; as como a la experiencia de auditoras anteriores.
3. Proceso / Subproceso.
Indicar el nombre del Procesos y/o Subprocesos a evaluar, de acuerdo al Mapa de Procesos, Diagrama o alguna documentacin suministrada por la Direccin Asociada de Procesos y Unidades del Banco del Caribe.
4. Impacto.
De acuerdo al evento de riesgo, estimar el Impacto del riesgo, considerando los siguientes criterios:
50 Alta Media Baja Probabilidad 40% Alta Media Baja Probabilidad 40% Tipo de Revisin Prueba asociada al riesgo Frecuencia Revision de auditora Tipo de Revisin Prueba asociada al riesgo Frecuencia Revision de auditora Alto: Disminucin de la capacidad para alcanzar los objetivos del negocio. Medio: Alteracin en la operacin normal con efecto limitado en la realizacin de los objetivos y estrategias del negocio. Bajo:No impacta la realizacin de los objetivos y estrategias del negocio.
El impacto resultante del anlisis del evento de riesgo, tendr una ponderacin del sesenta por ciento (60%).
5. Probabilidad.
De acuerdo al evento de riesgo, estimar la Probabilidad de ocurrencia del riesgo, considerando los siguientes criterios:
Alto: Por encima del sesenta y seis por ciento (66%) de ocurrencia. Media: Por encima del treinta y tres por ciento (33%) de ocurrencia. Bajo: Uno por ciento (1%) mnimo de probabilidad de ocurrencia.
La Probabilidad resultante del anlisis del evento de riesgo, tendr una ponderacin del cuarenta por ciento (40%).
6. Valoracin y Justificacin de la Valoracin
Se debe calcular la Valoracin del riesgo, de acuerdo al resultado obtenido del impacto y la probabilidad de ocurrencia del evento de riesgo.
La Documentacin de la Valoracin, consiste en justificar o realizar una descripcin del evento del riesgo.
7. Clasificacin de Riesgo.
Se debe indicar el tipo riesgo asociado al evento: Operacional, Reputacional, Mercado (Tasa de inters, cambio y precio), Liquidez, Crdito, Legal 8. Revisin de Auditora.
Valoracin Justificacin de la valoracin Clasificacin de Riesgo 51 Normativa formal
Se debe indicar el Tipo de Revisin para evaluar el evento de riesgo: A distancia, en Sitio, mixta, alerta Temprana
Indicar la Prueba mediante la cual se evaluar el evento de riesgo.
Indicar la Frecuencia de revisin del evento de riesgo: Diaria, Semanal, Quincenal, Mensual, Bimensual, Trimestral, Semestral, Anual.
9. Normativa Formal.
Aqu se debe detallar la fuente de informacin (leyes, normas, circulares, manuales, entre otras) que permite documentar el evento de riesgo.
5.6. DISEO DEL SISTEMA PROPUESTO
5.6.1. Informacin que debe ser manejada por el sistema: 1. Cdigo del evento de riesgo. 2. Evento de riesgo. 3. Proceso asociado 4. Sub proceso asociado 5. Impacto 6. Probabilidad 7. Valoracin 8. Justificacin de la valoracin 9. Clasificacin de riesgo 10. Tipo de revisin de auditora 11. Pruebas asociadas a la revisin 12. Frecuencia de la revisin 13. Normativa que rige el evento de riesgo. 52
5.6.2. Requisitos de entrada del sistema: 1. Los usuarios podrn acceder al sistema segn su perfil, el cual limitar sus funciones dentro del mismo 2. Los usuarios deben poseer una clave nica para el acceso al sistema. 3. Las claves no sern conocidas por ninguna persona. 4. Todo el personal Adscrito a la Direccin de Auditora podr consultar datos de la Matriz de Riesgo. 5. Se restringe el incluir, modificar y eliminar datos a usuarios que cumplan con un perfil determinado.
5.6.3. Requisitos de salida del sistema: 1. El ingreso de la informacin deber realizarse de manera fcil y con la menor cantidad de pantallas posible. 2. Presentar los datos de forma amigable y sencilla, con informacin confiable. 3. Generar Reportes y/o consultas estandarizados, sencillos y prcticos. 4. Poder exportar la Informacin a cualquier otro programa (Word, Excel, Powerpoint, etc.) para poder ser manipulada y presentada a diferentes niveles. 5. Hacer consultas dinmicas que permitan escoger entre diversos campos y diversas combinaciones.
5.6.4. Requisitos de almacenamiento: 1. Se debe disponer de una base de datos nica para todas las Gerencias de la Direccin de Auditora. 2. El acceso a la actualizacin de la base de datos debe estar restringida para el administrador de la misma.
5.6.5. Requisitos funcionales: 53 1. El diseo del sistema debe estar sujeto a los estndares de la empresa, en lo relacionado a lenguajes de programacin y estructuracin de las bases de datos. 2. El sistema debe validar las claves de acceso correspondientes a cada usuario. 3. Se debe poder actualizar los datos cada vez que se requiera. 4. Se deben definir consultas que faciliten la toma de decisiones y que puedan ser accedidas por todo el personal. 5. Que cada usuario pueda seleccionar el tipo de informacin que requiere. 6. Los eventos de riesgos deben ser codificados a travs de un formato ya establecido, que lo enlace a ciertos datos que facilitaran su consulta. 7. El sistema debe efectuar los clculos pertinentes de Valoracin de Riesgos.
5.6.6. Requerimientos operacionales: En esta actividad se identificaron los equipos necesarios para operar el sistema, as como tambin algunas actividades claves que deben ser consideradas:
1. Revisin de los estndares operativos 2. Horarios / ciclos de negocio 3. Recuperacin de datos y de operacin 4. Medios de almacenamiento 5. Distribucin de salidas 6. Equipos necesarios: unidades de cintas, computadores, modem, terminales, etc.
5.6.7. Arquitectura del sistema: Los requisitos de arquitectura tecnolgica definidos fueron los siguientes:
1. Control de acceso: Esta fase defini los requerimientos de seguridad para controlar el acceso fsico y lgico del sistema, de acuerdo a lo establecido en las polticas de seguridad de la informacin de la Organizacin. Se consideraron los siguientes aspectos: 54 a. Niveles de seguridad b. Custodia compartida c. Contraseas y claves d. Archivos de seguridad e. Encriptacin f. Dispositivos de seguridad
2. Descomposicin del diseo: Se descompuso el complejo diseo del negocio en un proceso manejable de componentes tal como se describe a continuacin: a. Descomponer sistemas en programas b. Descomponer programas en mdulos c. Dependencias de programas y mdulos d. Consideraciones de solapamiento
3. Interfaces: En esta actividad se defini la informacin que debe intercambiarse con otros sistemas de la Organizacin, y los formatos en que se debe ejecutar dicho intercambio. Aqu se definieron los siguientes elementos: a. Programas b. Procesos c. Otros sistemas
4. Integridad de la data: El propsito de esta actividad es identificar el proceso requerido para prevenir o detectar datos invlidos. Se deben considerar los siguientes aspectos: a. Razonabilidad de la informacin b. Cuadre y balanceo c. Auditabilidad d. Chequeos de validacin e. Cantidad de registros en archivos y tablas 55 f. Totales g. Puntos de control y chequeo h. Procesos
5. Identificacin de procesos comunes: Aqu se identificaron las entidades reutilizables que existen actualmente, o que deben ser creadas y pueden ser requeridas en aplicaciones futuras. Se identificaron las siguientes entidades. a. Archivos b. Cdigos de programas c. Estndares de la industria externa d. Software preestablecido
5.6.8. Ambiente Tcnico: El propsito de esta actividad es definir la plataforma ptima y la red que satisfaga los requerimientos de procesamiento del negocio:
1. Plataforma: Es la combinacin de hardware, software y modos de procesamiento requeridos para soportar la operacin del sistema. Se contemplaron los siguientes elementos: a. Consideraciones de solapamiento b. Centralizacin descentralizacin c. Distribucin d. Cantidad de usuarios (nicos o mltiples) e. Idiomas de operacin f. Captura de datos en lnea g. Procesamiento de lotes (batch)
2. Red: Son los medios de comunicacin necesarios para soportar la transferencia de informacin entre las diferentes entidades de la plataforma tecnolgica. 56
5.6.9. Opciones que debe contemplar el sistema: 1. Administrar la seguridad del sistema: a. Registrar usuarios. b. Modificar datos de usuarios. c. Consultar usuarios. d. Actualizar cargos
2. Administrar las matrices de riesgo a. Incluir matrices de riesgo. b. Modificar matrices de riesgo. c. Consultar matrices de riesgo. d. Eliminar matrices de riesgo. e. Incluir, actualizar y eliminar eventos de riesgo.
3. Administrar mapa de procesos. a. Incluir procesos. b. Modificar procesos. c. Consultar mapa de procesos. d. Eliminar procesos.
4. Actualizar Gerencias de auditora.
5. Actualizar tipos de auditoras.
6. Actualizar frecuencia de auditoras.
5.6.10. Diagramas de caso de uso: 57 Los requisitos funcionales del sistema se determinaron mediante la elaboracin de los casos de usos mostrados a continuacin:
5.6.11. Diagramas de secuencia del sistema: Los diagramas de secuencia mostrados a continuacin muestran las interacciones entre los objetos organizados en una secuencia temporal, estos incluyen secuencias temporales pero no incluyen relaciones entre objetos. 58 1. Diagrama de secuencia controlar seguridad: Este diagrama muestra la interaccin de los usuarios con el Sistema, se muestra de manera cronolgica, los diferentes pasos requeridos para la validacin de un usuario.
2. Diagrama de secuencia creacin de usuarios: Este diagrama muestra como interactan el usuario, el administrador y el Sistema, as como tambin los pasos requeridos para incluir un usuario al sistema.
59
3. Diagrama de secuencia inclusin de matrices: aqu se indica cmo debe ser construidas las matrices por cada Gerencia e incluidas en el sistema siguiendo los pasos mostrados en la mencionada figura, aqu interactan el administrador del sistema. y/o los usuarios con el sistema. 60
4. Diagrama de secuencia modificacin de matrices: aqu se describe la secuencia de eventos que se deben ejecutar para modificar las matrices, es de notar que solo puede ser modificada o actualizada por el administrador de las matrices de Riesgo, para esto debe ser aprobado previamente por el gerente de cada rea. 61
5.6.12. Atributos: A continuacin se muestran las estructuras que deben poseer las bases de datos para gestionar en el sistema los diferentes procesos establecidos.
Usuarios: Permite registrar los datos de los diferentes Usuarios del sistema. 62 Campo Tipo Null Clave Descripcin U_cod_usuario String No PK Clave personal que el banco establece a cada empleado (BC) U_nombre String No Nombre y Apellido del Usuario U_administrador bolean Si o no es Administrador de la base de Datos U_perfil String No Se refiere al perfil del usuario que puede ser Todos los accesos y derechos, de carga el cual se le permite incluir matrices, mantenimiento, seguridad, para administrar tablas.
Cargo: Registra los cargos adscrito a la Direccin de Auditora.
Campo Tipo Null Clave Descripcin C_cod_cargo String* 3 No PK Cdigo de los cargos adscritos a la Direccin de Auditora (DA) C_cargo String No Nombre del cargo adscrito a la DA
Matriz de Riesgo: Permite registrar la descripcin de las matrices de riesgos de cada gerencia de Auditora con los datos Cdigo gerencia, cdigo proceso, cdigo subproceso, cdigo Riesgo, secuencial, Fecha, Evento de Riesgo, impacto, probabilidad, valoracin, causa del valor, afecta a prevencin, el tipo de revisin, la prueba asociada, la frecuencia y la norma.
63 Campo Tipo Null Clave Descripcin M_cod_Matriz String*3 No PK Secuencial Numrico para cada matriz M_fecha Date No Fecha en que se realiza la actualizacin de la matriz M_evento String No Descripcin del evento de Riesgo correspondiente al proceso y subproceso a avaluar. M_impacto Entero No Impacto del riesgo M_probabilidad Entero No Probabilidad de ocurrencia del riesgo. M_valoracin Singel No Relacionado con el valor del riesgo, de acuerdo al resultado obtenido del impacto y la probabilidad de ocurrencia del evento. M_justificacin String No Causa de la valoracin del evento de riesgo. M_afecta_Prevenci n Bolean Identifica si el evento de riesgo afecta prevencin. R_cod_Revisin String No Tipo de revisin para evaluar el riesgo. M_Prueba String Prueba asociada al riesgo F_cod_frecuencia String No Frecuencia de revisin del evento de riesgo M_Normativa String Fuente de informacin que documenta el evento de Riesgo.
64 rea de auditora: Se registran las diferentes gerencias de Auditora existentes en el rea como son: centralizada, sistemas, procesos, operativa y riesgos.
Campo Tipo Null Clave Descripcin A_cod Gerencia String* 3 No PK Cdigo de las gerencia adscritos a la Direccin de Auditora (DA) A_Gerencia String No Nombre de las Gerencias de la DA
Riesgos: Se registran los tipos de riesgos aprobados por la alta Administracin y los Organismos Reguladores, a saber, Operacional, reputacional, financiero, Crdito y legal.
Campo Tipo Null Clave Descripcin R_cod_riesgo String* 3 No PK Cdigo de los tipos de riesgos. C_riesgo String No Nombre del tipo de riesgo.
Macro Procesos: Se registran los macro procesos a los cuales se asocia el riesgo.
Campo Tipo Null Clave Descripcin Mp_cod_ Macro String*2 No PK Cdigo del Macro proceso Mp_Macro _ proceso String No Nombre del Macro proceso
Proceso: Se registran los procesos asociados a los Macro procesos.
Campo Tipo Null Clave Descripcin P_cod _proceso String*3 No PK Cdigo del proceso P_Proceso String No Nombre del Proceso
65
Subproceso: Se registran los subprocesos asociados a los procesos.
Campo Tipo Null Clave Descripcin S_cod_Subproceso String*3 No PK Cdigo del subproceso S_subproceso String No Nombre del subproceso
Tipo de Revisin: Se registran los tipos de revisin para evaluar el evento de riesgo: a distancia, en sitio, Mixta o alerta temprana.
Campo Tipo Null Clave Descripcin R_Cod_ Revisin String No PK Cdigo del tipo de Revisin R_Tipo_Revisin String No Nombre del tipo de Revisin.
Frecuencia: Se registran la frecuencia de revisin del evento de riesgo: Diaria, semanal, quincenal, mensual, bimensual, trimestral, semestral o Anual. Campo Tipo Null Clave Descripcin F_Cod_Frecuencia String No PK Cdigo de la frecuencia . F_frecuencia String No Frecuencia de revisin.
Perfil: Se registran en esta tabla el cdigo y descripcin de los perfiles de acceso al sistema.
Campo Tipo Null Clave Descripcin P_Cod_Perfil String* 1 No PK Cdigo del perfil P_descripcin String No Descripcin del perfil
Acceso: Se registran en esta tabla el cdigo del perfil el cdigo del modulo 66 relacionado con cada perfil y las acciones permitidas
Campo Tipo Null Clave Descripcin A_Cod Perfil String* 1 No Cdigo del perfil A_Cod_Modulo String* 1 No Cdigo del modulo A_Acceso Bolean Indica si tiene acceso al modulo A_Crear Bolean Muestra si puede crear campos A_Modificar Bolean Muestra si puede modificar campos A_Eliminar Bolean Muestra si el usuario puede eliminar.
Modulo: Se registran en esta tabla el cdigo y descripcin de los perfiles de acceso al sistema.
Campo Tipo Null Clave Descripcin M_Cod modulo String* 1 No PK Cdigo del modulo M_Modulo String No Descripcin del modulo
5.6.13. Diagrama de clases de diseo: A continuacin se presenta el diagrama de clases de diseo del sistema.
67
5.6.14. Esquema de bases de datos: El diagrama entidad relacin muestra las relaciones de la base de datos y el contenido de sus tablas. 68
5.6.15. Funcionalidad del sistema: Se elabor un prototipo del sistema en el cual se contempl que el mismo consiste en cuatro (4) mdulos, que son los siguientes: matriz de riesgos, consultas, administracin y seguridad. Cada mdulo presentar varias opciones de acuerdo a los requerimientos establecidos. A continuacin se detalla brevemente la funcionalidad de cada uno de los mdulos y se presentan las pantallas definidas.
Pantalla principal del sistema: Es la pantalla de presentacin del sistema y que es mostrada en cuanto el usuario accede a la aplicacin. 69
Mdulo matriz de riesgo: permite incluir y actualizar en el sistema todas las matrices de riesgo de las diferentes Gerencias de la Unidad.
Mdulo de consultas: permite consultar informacin de las matrices de riesgo, as como tambin los mapas de procesos y subprocesos definidos en el sistema. 70 Adicionalmente, este mdulo permite exportar reportes a otras herramientas tecnolgicas, como excel, con la finalidad de que los usuarios lo utilicen como papeles de trabajo para la documentacin de la auditora y para cualquier presentacin que sea requerida.
Mdulo de administracin: permite ingresar y actualizar informacin relacionada con los parmetros de campos definidos en el sistema, y los cuales son requeridos para ingresar la informacin relacionada con las matrices de riesgo. Entre los parmetros establecidos se encuentran: Tipos de riesgo, gerencias de la Direccin de Auditora, procesos, tipos de revisin, frecuencia de las revisiones y cargos. 71
Mdulo de seguridad: en este mdulo se podr administrar y actualizar la permisologa de los usuarios que van a acceder al sistema, y definir sus perfiles de operacin.
72
CAPITULO VI EL PROCESO DE APLICACIN DE LA METODOOGA
6.1. Aplicacin de la metodologa. A continuacin se presenta la metodologa utilizada para elaborar el diseo del sistema de gestin de matrices de riesgos propuesto para la Direccin de Auditora de Bancaribe.
Este proyecto sigui la metodologa de desarrollo de sistemas orientada a objetos con UML explicado por Juan de Dios Btiz, el cual sigue el proceso de desarrollo orientado a objetos propuesto por Craig Larman, este proceso es muy apropiado porque aplica los ltimos avances de la ingeniera de Software. Diferentes autores dividen el desarrollo de un proyecto de sistema de informacin en fases, este proceso por su parte no fija una metodologa estricta, sino define una serie de actividades que pueden realizarse en cada fase, las cuales deben adaptarse segn las condiciones del proyecto que se estn llevando a cabo.
La notacin que se usa para los distintos modelos, es la proporcionada por UML, que permite integrar con mayor facilidad en el equipo de desarrollo a nuevos miembros y compartir con otros equipos la documentacin. El proceso esta formado por una serie de actividades y subactividades, cuya realizacin se va repitiendo en el tiempo, aplicadas a distintos elementos. Cabe destacar que para la realizacin de este trabajo de grado la metodologa fue ejecutada hasta la fase de Construccin y hasta la sub fase de diseo de bajo nivel.
Las tres fases al nivel ms alto son las siguientes:
73 1. Planificacin y Especificacin de Requisitos: aqu se definen tanto la planificacin del proyecto como la definicin de requisitos detallados, entre otros.
2. Construccin: Implica la construccin del sistema y dentro de esta etapa se encuentran las siguientes sub fases. a) Diseo de alto nivel: Se analiza el problema a resolver desde la perspectiva de los usuarios y de las entidades externas que van a solicitar servicios al sistema. b) Diseo de Bajo Nivel: El sistema se especifica en detalle, describiendo como va a funcionar internamente para satisfacer lo especificado en el diseo de alto nivel. c) Implementacin: Se lleva lo especificado en el diseo de bajo nivel a un lenguaje de programacin. d) Pruebas: Se llevan a cabo una serie de pruebas para corroborar que el software funciona correctamente y que satisface lo especificado en la etapa de Planificacin y Especificacin de Requisitos.
3. Instalacin: La puesta en marcha del sistema en el entorno previsto de uso.
6.1.1. Fase de planificacin y especificacin de requisitos: Esta fase corresponde con la especificacin de requisitos ampliada con un borrador de modelo conceptual y con una definicin de casos de uso de alto nivel. Se recaba toda la informacin para alimentar la base terica del proyecto mediante guas, manuales y textos bibliogrficos.
Las actividades que se muestran a continuacin son las que se desarrollaron durante esta fase, pero lo normal es que estas actividades se solapen en el tiempo, esto sucede tambin en las actividades de diseo, que se mostrarn ms adelante.
74 Definir el Plan-Borrador: Se recopilaron y analizaron aquellos elementos que indican la necesidad de un nuevo sistema, se realizaron reuniones preliminares con el personal de las unidades involucradas para definir la necesidad de un cambio; luego de discutir, se determinaron las necesidades preliminares que pueden o no justificar el desarrollo del sistema nuevo, as como los objetivos del sistema de informacin, su alcance y las actividades para desarrollarlo.
Crear el informe de investigacin preliminar: Para esta actividad se obtuvo la lnea base de la arquitectura del sistema, se entrevist a los usuarios de diferentes niveles, se captur la mayora de los requisitos y se estableci la arquitectura del ciclo de vida, calculando los tiempos, fechas de planificacin y finalizacin de la fase de construccin
Definir los requisitos: se definieron los Requisitos de entrada (datos que alimentan al Sistema para su posterior uso), Requisitos de salida (informacin que el usuario desea obtener como resultado), Requisitos de almacenamiento (informacin esencial que el usuario desea en la base de datos) y Requisitos funcionales (Procesos y puntos especficos establecidos por el usuario, para que el sistema realice).
Identificar los requerimientos detallados: En esta fase debe describirse detalladamente los requerimientos de los usuarios en cuanto al funcionamiento del sistema para cada mdulo de programas, de tal manera que sirvan de base para la programacin del mismo.
Definir el ambiente operacional: Esta fase permiti definir los requerimientos de operatividad e identificar el impacto en el ambiente actual de la plataforma tecnolgica de la Organizacin, para as lograr el desempeo requerido y especificado por los usuarios. 75 Implementar un Prototipo: Se definieron los diferentes mdulos que conformaran el sistema, as como tambin las pantallas iniciales y el flujo de navegacin en el sistema.
Definir los casos de Uso (de alto nivel y esenciales): Un Caso de uso es un documento narrativo que describe a los actores utilizando un sistema para satisfacer un objetivo. No son requisitos ni especificaciones funcionales. Para este trabajo se ejecutaron las siguientes actividades: Identificacin de los actores y los procesos en los que participan, identificacin de los eventos externos a los que el sistema debe responder y definicin de los lmites del sistema (tanto internos como externos).
Definir el Modelo Conceptual: El Modelo Conceptual permite tener una representacin de conceptos del mundo real, no de componentes software. El objetivo de la creacin de un modelo conceptual es aumentar la comprensin del problema. Para la construccin del modelo se identificaron los conceptos y los atributos mnimos requeridos.
Definir la Arquitectura y ambiente del Sistema: En esta actividad se determin la arquitectura en la cual se instalar el sistema y los requisitos mnimos necesarios para su operacin, as como tambin de qu manera se conectar el sistema con el resto de las aplicaciones utilizadas por los usuarios.
6.1.2. Fase de Construccin (diseo de alto nivel): Esta fase busc definir un modelo lgico a partir de lo encontrado durante la fase anterior, con el fin de establecer los planes del proyecto sin entrar en detalles de implementacin. Las Actividades de la fase de diseo de alto nivel fueron las siguientes: 76 Elaboracin de diagramas de secuencia del sistema: Una parte de la descripcin del comportamiento del Sistema se realiza mediante los diagramas de secuencia del sistema. En cada caso de Uso se muestra a una interaccin de actores con el sistema. En esta interaccin los actores generan eventos, solicitando al sistema operaciones. Los casos de uso representan una interaccin genrica. Una instancia de un caso de uso se denomina escenario, y muestra una ejecucin real del caso de uso, con las posibles bifurcaciones alternativas resueltas de forma particular. Elaboracin del modelo Conceptual: en esta fase se identificaron los conceptos que conforman el dominio del problema. Para representar estos conceptos se us un diagrama de estructura esttica de UML, al que se llama Modelo Conceptual. En este Modelo Conceptual se tiene una representacin de conceptos del mundo real, no de componentes software. El objetivo de la creacin de un modelo conceptual es aumentar la comprensin del problema. Por tanto, a la hora de incluir conceptos en el modelo, es mejor crear un modelo con muchos conceptos que olvidar algn concepto importante.
Definicin de Contratos de Operacin: estos contratos describen el comportamiento esperado del sistema en cada operacin y los cambios en el estado del sistema cuando una operacin es invocada. Los pasos a seguir para construir un contrato son los siguientes.
Elaboracin de los diagramas de Estados: Sirven para modelar el comportamiento del sistema. La utilidad de un Diagrama de Estados en el Diseo de Alto Nivel reside en mostrar la secuencia permitida de eventos externos que pueden ser reconocidos y tratados por el sistema. Para los casos de uso complejos se puede construir un Diagrama de Estados. El Diagrama de Estados del sistema es una combinacin de los diagramas de todos los casos de uso. 77 6.1.3. Fase de Construccin (diseo de bajo nivel): En esta fase se cre una solucin a nivel lgico para satisfacer los requisitos, basndose en lo diseado en la fase anterior. Las actividades realizadas durante esta fase fueron las siguientes:
Definicin de casos de uso reales: Estos describen el diseo real del caso de uso segn una tecnologa concreta de entrada y de salida y su implementacin. El caso de uso implic adems, la definicin de una interfaz de usuario, los bocetos de las ventanas y detalles de la interaccin a bajo nivel. En esta actividad slo se elaboraron los bocetos a nivel de diseo y se especificaron los detalles para la fase de implementacin.
Elaboracin de los diagramas de Interaccin: Estos diagramas muestran el intercambio de mensajes entre instancias del modelo de clases para cumplir las post-condiciones establecidas en los contratos. Estos permiten tomar decisiones clave acerca del funcionamiento del futuro sistema.
Elaboracin de diagramas de clases de diseo: Estos diagramas muestran la especificacin para las clases software de una aplicacin e incluyen la siguiente informacin: clases, asociaciones y atributos, Interfaces, Mtodos, Navegabilidad y Dependencias.
Definicin del ambiente tcnico: En esta fase se defini la plataforma requerida para la implantacin del sistema y la red en la que debe ejecutarse para satisfacer los requerimientos de procesamiento del negocio. Definicin de la arquitectura de los datos: El propsito de esta fase fue definir la estructura ptima de los datos y de las estructura de archivo, as como tambin, la forma en que los archivos se van a interrelacionar unos con otros.
78 6.2. Presentacin de la propuesta Una vez elaborado el prototipo y el diseo detallado del sistema, se presentaron los resultados a los niveles gerenciales de la Direccin de Auditora, con la finalidad de facilitar al usuario la comprensin y operacin de cada una de las opciones disponibles en el sistema y obtener retroalimentacin sobre la propuesta.
En la presentacin se brind informacin sobre los siguientes aspectos: Objetivos y alcance del sistema y estructura del sistema. Funcionalidad e interfaces con los usuarios y otras aplicaciones. Definicin de responsables y perfiles de usuario. Seguridad de operacin del sistema. Durante la presentacin se recogieron sugerencias de mejora, las cuales fueron incluidas en el diseo presentado y que fundamentalmente, estaban orientadas al flujo de trabajo y de los datos dentro del sistema.
6.3. Diseo del proceso de gestin de cambio Con la finalidad de apoyar a la Direccin de Auditora en el proceso de gestin de cambio se dise una estrategia general para ser aplicada en todos los niveles de cargo y as transmitir a todo el personal de la Direccin la informacin relacionada con el desarrollo y con la futura operacin del sistema. Este proceso incluy las siguientes actividades:
6.3.1. Elaboracin de una presentacin para el personal: En esta presentacin se incluyeron los siguientes aspectos: Mostrar los resultados de los levantamientos de informacin con todas las Gerencias de Auditora y las oportunidades de mejora detectadas. Los objetivos, alcance y estructura del sistema. 79 Facilidades de operacin del sistema, tales como botones, teclas de funcin y procedimiento de acceso. Proceso para realizar la carga y mantenimiento de las matrices de riesgo. Forma de efectuar consultas generales. Generacin de reportes. Procedimientos de operacin correspondientes a la carga de parmetros y actualizacin de las tablas Seguridad del sistema, donde se delimita el acceso a la informacin manejada por la aplicacin, a travs de la creacin de perfiles y usuarios.
6.3.2. Elaboracin del manual de usuario del sistema: Se elabor el manual de usuario del sistema, el cual constituye la documentacin oficial que facilitar la comprensin y operacin de cada uno de los mdulos que conforman el sistema.
6.3.3. Definicin de plan de adiestramiento: Se dise el contenido y cantidad de horas que se requieren para dictar el adiestramiento relacionado con el uso y mantenimiento del sistema. Adicionalmente, se elabor el cronograma de ejecucin del entrenamiento, de acuerdo a los niveles de cargo y a las funciones que desempearn los usuarios en el sistema. Por otra parte, tambin se dise la logstica para dictar los talleres, lo cual incluy la seleccin de salones, solicitud de refrigerios y diseo de los certificados para los participantes. 80
__________________________________________________________________ FASE DE EVALUACIN __________________________________________________________________ CAPITULO VII: EVALUACIN DEL PROYECTO CAPITULO VIII: CONCLUSIONES Y RECOMENDACIONES 81
CAPITULO VII EVALUACIN DEL PROYECTO
Tal y como se seal en el Proyecto del Trabajo Especial de Grado, especficamente en el apartado de Metodologa, se desarrollar la Evaluacin del Proyecto, en este sentido se expone la evaluacin realizada.
7.1. Resultados relevantes. Despus de efectuar levantamientos de informacin con personal de todos los niveles de la Direccin de Auditoras, efectivamente se determin que existan debilidades en el proceso y se identificaron varias oportunidades de mejora para hacer ms eficiente la elaboracin y administracin de las matrices de riesgos, las cuales son el principal insumo para definir la planificacin anual de la Unidad.
Las debilidades detectadas y que generaban mayor impacto en el proceso son las siguientes:
Inexistencia de interaccin entre las diferentes Gerencias al momento de realizar las matrices de riesgo y disear el plan anual. Inexistencia de herramientas tecnolgicas para administrar las matrices de riesgo y efectuar seguimiento al plan anual. Inexistencia del mapa de procesos de banco.
Las oportunidades de mejora detectadas y que tienen una mayor relevancia para las mejoras en el proceso son enumeradas a continuacin:
82 Realizar mesas de trabajo con los dueos de los procesos, previa a la planificacin para conocer los procesos a ser auditados. Realizar reuniones previas con los dueos de los procesos a fin de conocer los cambios. Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de la institucin y/o elaborar un mapa de procesos desde la visin de la Direccin de Auditora. Analizar la valoracin de los riesgos medios para determinar las prioridades de revisin. Realizar mesas de trabajo previa revisin de la direccin con el fin de integrar los conceptos y contenido de plan anual. Coordinar las revisiones comunes en las distintas reas del banco con la finalidad de formar equipos de auditora integrales. Establecer un formato estndar para la elaboracin de las matrices de riesgo. Implantar un Sistema Integrado donde se puedan incluir todas las matrices de riesgo manejadas por la Direccin de Auditora. Documentar el proceso de planificacin anual
Adicionalmente, una vez identificadas las necesidades de todos los usuarios se estableci un formato nico para la construccin de las matrices de riesgo y se desarrollaron una serie de instrucciones para proporcionar gua a los usuarios sobre la informacin requerida en cada uno de los campos definidos. Este formato sirvi como base para la definicin de los requerimientos detallados del sistema
Finalmente, se logr elaborar los requerimientos detallados del sistema y un diseo detallado de bajo nivel en cuanto a su funcionalidad y operacin se refiere, siendo esto el principal insumo para ejecutar su desarrollo y su posterior implantacin.
83 7.2. Comparacin entre lo planificado y lo ejecutado La principal diferencia entre lo planificado y lo ejecutado est relacionada con el cumplimiento de las fechas del cronograma, lo cual conllev a un retraso en la entrega del trabajo final de aproximadamente tres (3) meses. Esto ser detallado en el punto siguiente.
Otra diferencia importante, es que en el inicio el trabajo se haba considerado que los levantamientos de informacin se realizaran nicamente en los niveles de Director y de Gerentes de la Unidad, sin embargo, una vez realizados se determin que era necesario incluir en los levantamientos al resto del personal, ya que es en stos en los que se concentra la informacin detallada de la elaboracin y administracin de las matrices. De hecho, al incluir a los dems niveles de empleados, se detectaron muchas deficiencias y oportunidades de mejora que no se haban evidenciado en las entrevistas sostenidas con Directores y Gerentes, lo cual enriqueci el proceso y los requerimientos de funcionamiento del sistema.
Finalmente, a pesar de que la brecha entre lo planificado y lo ejecutado fue significativa en cuanto a tiempo, la misma se justifica ampliamente en virtud de los resultados obtenidos.
7.3. Revisin sobre el cronograma En la ejecucin del cronograma se present un retraso de aproximadamente tres 83) meses. La principal razn para el retraso en la entrega del informe se debi a que no se pudo iniciar el trabajo en la fecha estipulada (01/12/2006), debido a que el personal de la Direccin de Auditora no disponan del tiempo requerido para participar en los levantamientos de informacin y en la definicin de requerimientos detallados, por lo que el proyecto pudo dar inicio a partir del 01/02/2007. Adicionalmente, se estimaron dos (2) meses para la elaboracin de 84 todas las actividades inherentes al proyecto, sin embargo, las mismas tomaron un (1) mes adicional, ya que fue necesario conocer a fondo la arquitectura tecnolgica de la Organizacin para poder presentar una propuesta acorde con lo que establecen los estndares, normas y polticas de desarrollo de aplicaciones y sistemas y seguridad de la informacin, establecidos en la Organizacin. A continuacin se describe el cumplimiento del cronograma fase por fase, de acuerdo a lo establecido:
Elaboracin del Marco Conceptual Referencial: En el cronograma se estableci iniciar el 01/12/2006, sin embargo, la fecha real de inicio fue el 01/02/2007. Elaboracin del Marco Organizacional: Se planific iniciar en la segunda semana de diciembre 2006 y se llev a cabo durante la segunda semana de febrero 2007. Elaboracin del diagnstico de la situacin actual: Se estimaron 5 das para ejecutar esta actividad pero en realidad se realiz en 10 das. Adicionalmente, se inici la actividad el 09/02/2007 cuando estaba prevista para el 11/12/2007. Identificacin de las oportunidades de mejora de los procesos: Esta actividad se ejecut durante la ltima semana de febrero 2007, en lugar de mediados de diciembre 2006 y, adems, implic 15 das para la culminacin de las actividades, en lugar de los 5 das estimados en la planificacin. Esta actividad fue la que implic una mayor brecha entre la cantidad de das planificados y la cantidad de ejecutados. Definicin de los requerimientos detallados: Se inici a mediados del mes de marzo 2007 y tom 10 das su ejecucin en lugar de los 5 das planificados. Elaboracin de la propuesta para el sistema de gestin de matrices: Esta fase se comenz durante la primera semana del mes de abril 2007 en lugar de la primera semana de enero 2007. 85 Evaluacin de la propuesta: Se realiz a mediados de abril 2007, una vez culminada la definicin de la propuesta. Diseo del proceso de gestin de cambio: Se realiz a mediados de abril 2007. Evaluacin del Proceso: Esta actividad se realiz a partir del 21/04/2007 e implic una cantidad de 5 das en lugar de 1 da planificado, ya que la evaluacin se realiz conjuntamente con los directores y gerentes de la Direccin de Auditora. Elaboracin del informe final de grado: Debido al atraso general en la ejecucin del proyecto esta actividad se inici en la tercera semana del mes de abril 2007 y no en la fecha establecida.
7.4 Logro de los objetivos planteados en la propuesta del estudio Los objetivos planteas en la propuesta fueron ampliamente alcanzados y contribuyen de manera efectiva a los procesos ejecutados por la Direccin de Auditora de Bancaribe.
Objetivo general: Disear un sistema de gestin para administrar las matrices de riesgo para la Direccin de Auditoria del Bancaribe.
Este objetivo fue cubierto con la definicin detallada de los requerimientos y funcionalidad del sistema, los cuales son resultados de los levantamientos de informacin realizados con los usuarios y basados en las expectativas que los mismos tenan.
Objetivos especficos: 1. Efectuar un diagnstico de la situacin actual del proceso de elaboracin y mantenimiento de las matrices de riesgo de la Direccin de Auditoria; 86 determinando las oportunidades de mejora en el proceso de elaboracin del plan de auditoria: Se evidenciaron en los levantamiento de informacin diferentes brechas y debilidades en el proceso de creacin y administracin de las matrices, asimismo, se determinaron las posibilidades de mejora que podan ser aplicadas al proceso.
2. Elaborar una propuesta de sistema de gestin de matrices de riesgo; definiendo los procedimientos requeridos para la inclusin y actualizacin de las matrices de riesgo en el sistema: Este objetivo se logr al proponer el diseo y estructura del sistema que ser utilizado para la carga y mantenimiento de las matrices del sistema, as como tambin, la definicin de los roles y perfiles para realizar estas actividades.
3. Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad de su implantacin: La propuesta fue evaluada conjuntamente con los directores y gerentes responsables de la Direccin de Auditora de Bancaribe. 87
CAPITULO VIII CONCLUSIONES Y RECOMENDACIONES
8.1. Conclusiones. Las matrices de riesgo deben ser una herramienta flexible que documente los procesos y evale de manera global el riesgo de la institucin. Una matriz debe ser una herramienta sencilla que permita realizar un diagnstico objetivo de la situacin global de riesgo y una participacin ms activa de las unidades de negocios, operativas y funcionales en la definicin de la estrategia institucional de riesgo de la empresa.
Una Matriz de Riesgo adecuadamente diseada y efectivamente implementada se convierte en soporte conceptual y funcional de un efectivo Sistema Integral de Gestin de Riesgo y permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o actividades.
Los sistemas de informacin tienen sus propias caractersticas y particularidades, y juegan un rol fundamental para satisfacer las necesidades de informacin y facilitar la ejecucin de los procesos operativos de las organizaciones.
Cada sistema debe ser tratado con la metodologa que mejor se adapte a los objetivos del anlisis para obtener un producto final de calidad. A travs de la ejecucin de las actividades de la metodologa utilizada, se logr obtener los requisitos detallados del sistema de una manera eficiente. La metodologa tambin permiti efectuar un modelo adecuado de sistema haciendo que el mismo sea amigable y fcil de usar para los usuarios y permitiendo manejar eficientemente la informacin disponible y 88 facilitando la adecuada toma de decisiones, para obtener resultados de una alta calidad.
A partir de este momento la Direccin de Auditora contar con una herramienta automatizada que permite registrar datos y hacer consultas dinmicas que contribuyan con el anlisis de los riesgos potenciales a los que pudieran estar expuesta la organizacin, y as ejecutar la planificacin anual basada en los riesgos importantes que deben ser evaluados.
La herramienta diseada cubre con sus cuatro (4) mdulos todas las necesidades de los usuarios, planteadas en el proyecto y mejora los procesos operacionales del personal de la Direccin de Auditora.
8.2. Recomendaciones. A la Direccin de Auditora se le efectan las siguientes recomendaciones:
Culminar el desarrollo de la aplicacin, de acuerdo a las especificaciones y diseo planteado y de acuerdo con los estndares, normas y polticas existentes en la empresa en lo que a desarrollo de sistemas y aplicaciones se refiere.
Efectuar una fase de pruebas con la finalidad de corroborar que el software funciona correctamente y que satisface lo especificado en la etapa de Planificacin y Especificacin de Requisitos.
Dictar los entrenamientos planificados para informar a los usuarios sobre la operacin del sistema y distribuir los manuales de usuario para que sirvan de apoyo durante los entrenamientos y la ejecucin.
89 Implantar la herramienta en su ambiente real e iniciar las actividades rutinarias y ajustar los procesos existentes para el uso de la misma.
Realizar una evaluacin post implantacin para garantizar que los resultados obtenidos son los esperados y ejecutar las acciones requeridas en caso de observarse alguna desviacin.
90
REFERENCIAS
Montilva, J. (1990). Desarrollo de sistemas de Informacin Consejo de publicaciones de la U.L.A. Pinilla Forero, J. (1997). Auditora informtica un enfoque operacional. Bogot. Pinilla Forero, J. (1999). Auditora informtica aplicaciones en produccin. Bogot. http://www.jps.go.cr/licitaciones/metodologa de desarrollo de sistemas.doc, consultado el 19/01/2007. http://www.theiia.org/guidance/standards-and-practices, consultado el 15/03/2007. http://www.capgemini.es/sectores/finanzas/riesgos.htm, consultado el 20/04/2007. http://dmi.uib.es/~bbuades/riesgos/sld003.htm , consultado el 15/04/2007. http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007. http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el 19/03/2007. http://www.bancaribe.com.ve/, consultado el 01/02/2007. http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248, consultado el 15/03/2007)