gestión de matrices de riesgo para la dirección de ...159.90.80.55/tesis/000135404.pdf · en...

+

UNIVERSIDAD SIMÓN BOLÍVAR

DECANATO DE ESTUDIOS DE POSTGRADO

COORDINACIÓN DE POSTGRADOS EN GERENCIA

ESPECIALIZACION EN GERENCIA DE EMPRESAS

GESTION DE MATRICES DE RIESGO

EN LA DIRECCION DE AUDITORIA DE BANCARIBE

MARÍA DEL CARMEN ALLONES ALONSO

Caracas, Junio 2007

2



COORDINACIÓN DE POSTGRADOS EN GERENCIA




Informe final del diseño, ejecución y evaluación de un sistema de administración

de matrices de riesgo para optimizar el proceso de planificaciòn anual de

auditorias, presentado a la Universidad Simón Bolívar

por Maria del Carmen Allones Alonso

como requisito parcial para optar al título de Especialista en Gerencia de

Empresas, realizado con la tutoría del ingeniero Freddy Márquez

Caracas, Junio del 2007

3

+






Este trabajo especial de grado ha sido aprobado en nombre de la Universidad Simón Bolívar por el siguiente jurado examinador:

___________________

Jurado

___________________

Tutor Freddy Márquez

Caracas, Junio de 2007

4

DEDICATORIA Y AGRADECIMIENTOS

Dedico este trabajo a mi esposo e hijos quienes han sido el apoyo en todos los

pasos de mi vida en los últimos años, y el cual no sería sencillo lograr todas las

metas y objetivos que siempre estoy tentada de lograr. Gracias por su

comprensión y entender que durante algunos momentos no pude estar con

ustedes por estar logrando mis objetivos.

Gracias a BANCARIBE, especialmente a todo el personal de la Dirección de

Auditoría, que me brindó la oportunidad de desarrollar este proyecto y me

dieron toda su colaboración y confianza.

Agradezco también a mi tutor académico y amigo Ing. Freddy Márquez, porque

siempre está seguro que puedo lograr todo lo que me propongo y por su

constante apoyo y motivación.

Quiero también agradecer al profesorado de la Universidad Simón Bolívar y a

mis compañeros de estudio por compartir conmigo sus conocimientos y

experiencias, las cuales han sido muy enriquecedoras y fuente constante de

inspiración.

Por último, gracias a mis familiares y amigos que siempre estuvieron

convencidos de que podía lograrlo.

A todos gracias.

5

RESUMEN

El propósito del presente trabajo fue desarrollar un sistema de gestión de matrices de riesgo para apoyar a la Dirección de Auditoría de Bancaribe que permitiera optimizar las herramientas de riesgo utilizadas en sus procesos de planificación. Para ello se realizaron levantamientos de información con todo el personal de la Dirección de Auditoría y se analizaron los resultados de dichos levantamientos, los cuales permitieron identificar las debilidades y fallas existentes en los procesos existes, y determinar las oportunidades de mejora que podían ser implantadas para optimizar los procesos definidos para elaborar el plan anual de auditoría, y así garantizar que sean evaluados los principales riesgos que pudieran afectar negativamente la operación de la empresa y permitir así el monitoreo y seguimiento constante de los aspectos medulares y críticos del negocio. Este proceso implicó diseñar los requerimientos detallados de los usuarios y el diseño de un sistema que permite administrar de manera eficiente las matrices de riesgo, para lo cual se definieron las especificaciones y requisitos de la Dirección de Auditoría y el diseño de los procedimientos requeridos para la inclusión y administración de información en el sistema. Adicionalmente, fueron consideradas las normas y políticas existentes en la Organización que regulan el desarrollo de sistemas y aplicaciones y las relacionadas con Seguridad de la información. Palabras claves: auditoría, matrices de riesgo, plan anual, oportunidades de mejora, sistema.

Fecha de Inicio:

Fecha de culminación:

Estudiante:

Tutor:

6

INDICE

Hoja de Aprobación ii

Dedicatorias y agradecimientos iii

Resumen iv

Indice v

Introducción vii

FASE DE PLANIFICACION

1

Capítulo I: El proyecto de trabajo especial de grado

I. Justificación II. Objetivos de estudio III. Metodología IV. Cronograma de ejecución

2 2 4 5 7

FASE DE EJECUCION

9

Capítulo II: Marco Conceptual Referencial. 2.1. Fundamentos Conceptuales 2.2. Análisis de riesgo en el proceso de planificación 2.3. La función de Control Interno

10 10 14 16

Capítulo III: Marco Organizacional 3.1. La Organización BANCARIBE 3.2. La Dirección de Auditoría 3.3. Situación

23 23 27 28

Capítulo IV: El examen de la situación 4.1. Propósitos del proceso

31 31

7

Capítulo V: Diseño de la propuesta 5.1. Justificación de la propuesta 5.2. Objetivos de la propuesta 5.3. Resultados de los levantamientos de informacilón 5.4. Oportunidades de mejora 5.5. Diseño del formato de matrices propuesto 5.6. Diseño del sistema propuesto

36 36 37 37 39 40 43

Capítulo VI: El proceso de aplicación de la metodología 6.1. Aplicación de la metodología 6.2. Presentación de la propuesta 6.3. Diseño del proceso de gestión de cambio

64 64 70 70

FASE DE EVALUACION

72

Capítulo VII: Evaluación del proyecto 7.1. Resultados relevantes 7.2. Comparación entre lo planificado y lo ejecutado 7.3. Revisión sobre el cronograma 7.4. Logro de los objetivos planteados en la propuesta del estudio

73 73 75 75 77

Capítulo VIII: Conclusiones y Recomendaciones 8.1. Conclusiones 8.2. Recomendaciones

79 79 80

Referencias

82

8

INTRODUCCIÓN

Los sistemas de información son un conjunto de programas interrelacionados, que

forman un conjunto de actividades para alcanzar un objetivo y facilitar la ejecución

de las operaciones y funciones dentro de una unidad u organización.

Por otra parte los sistemas de información también reducen los tiempos de

ejecución, mejora los métodos de acceso a la información y proporciona un control

eficiente de los datos.

De esta forma el sistema de información diseñado para administrar las matrices de

riesgo de la Dirección de Auditoría BANCARIBE, tiene como propósito mejorar

los procesos de creación y mantenimiento de las matrices, para así apoyar de

manera adecuada durante la planificación de anual de la Dirección.

Adicionalmente, este sistema pretende que los usuarios obtengan acceso rápido a

toda la información manejada y evitar inconsistencias en los datos, esto redunda en

la mejora de los procesos y en que los recursos sean destinados efectivamente a

aquellos elementos de riesgo relevante para la Organización.

Este informe contiene una serie ordenada de elementos teóricos y metodológicos

que fueron ejecutados para elaborar el diseño del sistema de gestión de matrices de

riesgo.

9

__________________________________________________________________

FASE DE PLANIFICACIÓN

_________________________________________________________________

CAPITULO I: EL PROYECTO DE TRABAJO ESPECIAL DE GRADO

10

CAPITULO I

EL PROYECTO DE TRABAJO ESPECIAL DE GRADO

En las páginas siguientes se expone el Proyecto de trabajo Especial de Grado

presentado a las instancias correspondientes. Se expone la Justificación, los

objetivos, la metodología establecida y el cronograma de ejecución planificado.

I. JUSTIFICACION.

Las normas internacionales de Auditoria definen a la auditoria interna como “una

actividad independiente y objetiva de aseguramiento y consulta, concebida para

agregar valor y mejorar las operaciones de la organización”

(http://www.jps.go.cr/licitaciones/metodología de desarrollo de sistemas.doc,

consultado el 19/09/2006).

El desarrollo de la Auditoria interna fue fomentado por el creciente tamaño y

descentralización de las organizaciones, la gran complejidad y sofisticación

tecnológica de sus operaciones y la necesidad de contar con medios

independientes y objetivos que apoyen al negocio en el cumplimiento de sus

objetivos del negocio, aportando un enfoque sistemático y disciplinado para

evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y

gobierno

El área de Auditoria del Bancaribe realiza una actividad de evaluación de forma

independiente y objetiva, a fin de revisar los controles y operaciones como

servicio a la alta administración, es decir, “sirve de apoyo a la Junta Directiva

11

en sus funciones de vigilancia, seguimiento y control” (Reglamento de Régimen

Interno de la Junta Directiva Bancaribe.”, marzo 2006, pág 13).

Para lograr sus objetivos, la Unidad de Auditoria aplica una metodología de

planificación basada en la administración integral de riesgos, que consiste en

identificar los objetivos del negocio, los procesos del mismo y los riesgos

potenciales a los que podría estar expuesto (Metodología de planificación basada

en riesgo de la Dirección de Auditoria Bancaribe).

Para realizar ésta planificación, la Unidad debe contar las matrices de riesgo que

les permitirá identificar los posibles riesgos a ser evaluados, a partir de esta

herramienta los auditores podrán identificar los procesos, actividades, sistemas o

áreas a ser auditadas, y con ello elaborar un efectivo plan de trabajo que permita

un monitoreo continuo del entorno del negocio.

La Dirección de Auditoria, a través de las diferentes gerencias que la integran

deben realizar cada año la planificación de las auditorias que serán desarrolladas

en cada semestre, para esto debe contar con una matriz que le permita identificar

los posibles riesgos a ser evaluados, de acuerdo a lo establecido por la Alta

Administración y los organismos reguladores. Basado en el análisis de riesgo, el

plan anual ayuda a desarrollar evaluaciones que permiten identificar los riesgos

potenciales a los que pudieran estar expuestas las distintas unidades de negocios

(Manual de normas y procedimientos de la Dirección de Auditoria Bancaribe)

Actualmente las matrices de Riesgo se construyen y manipulan de forma

individual y aislada por cada una de las gerencias que componen el área de

Auditoria, y se gestionan y administran a través de hojas de trabajo elaboradas

en Excel, herramienta que no permite centralizar la información en una sola base

de datos, incluir nuevos datos que faciliten al auditor elaborar el plan de trabajo

y manejar mayor volumen de información de la mencionada matriz.

12

Adicionalmente, la herramienta no permite un control preciso de las matrices y

no se dispone de un estándar para su elaboración.

Por lo expuesto anteriormente, aparentemente, urge el diseño de una herramienta

tecnológica para automatizar la elaboración y administración de las matrices de

riesgo que permita incluir, modificar, consultar y eliminar datos, así como

también administrar la actualización de las matrices de manera centralizada para

hacer más eficiente y eficaz el proceso de planificación.

En ese contexto, con el presente Trabajo Especial de Grado se espera diseñar

un sistema de Información para Administrar las Matrices de Riesgo que

permitirá tener normas y datos concretos de todo el proceso y así elaborar un

efectivo plan anual de Auditoria y obtener los procesos, sistemas y áreas a los

que deben enfocarse los esfuerzos del área.

II. OBJETIVOS DEL ESTUDIO.

Durante la ejecución del proyecto de trabajo especial de grado se plantearon los

siguientes objetivos:

a) General: Diseñar un sistema de gestión para administrar las matrices de

riesgo para la Dirección de Auditoria del Bancaribe.

b) Específicos:

• Efectuar un diagnóstico de la situación actual del proceso de elaboración y

mantenimiento de las matrices de riesgo de la Dirección de Auditoria;

13

determinando las oportunidades de mejora en el proceso de elaboración del

plan de auditoria.

• Elaborar una propuesta de sistema de gestión de matrices de riesgo;

definiendo los procedimientos requeridos para la inclusión y actualización

de las matrices de riesgo en el sistema.

• Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad

de su implantación.

III. METODOLOGÍA.

Para el logro de los objetivos propuestos se establecieron los siguientes pasos:

3.1. Elaborar el Marco Conceptual Referencial: Tomando como base

bibliografía especializada en el área de Auditoría, contenida en la página web

del Instituto de Auditores Internos (www.theiia.org), en la cual se revisó la

documentación relacionada con las normas internacionales de auditoría y

mejores prácticas en materia de administración y gestión de riesgos, entre las

que se encuentran el Convenio de Basilea, el marco de control interno (Coso y

Coco) y el modelo de evaluación de riesgos. Esta revisión permitió comprender

el alcance y los objetivos de control que se persiguen con las evaluaciones

basadas en riesgo, de acuerdo a su impacto en la organización y la probabilidad

de ocurrencia.

3.2. Elaborar el Marco organizacional: Con base a la información contenida

en la página web de la empresa “www.bancaribe.com.ve” y al manual de normas

y procedimientos de la Dirección de Auditoría Bancaribe se determinó presentar

14

una reseña histórica de la empresa, su misión, visión, valores y objetivos, así

como también la estructura organizativa de la institución y de la Dirección de

Auditoría.

3.3. Elaborar el diagnóstico de la situación actual: Para realizar el examen de

la situación se dispuso cumplir con las siguientes tres etapas:

a) Determinar el procedimiento a ser utilizado para recopilar y analizar la

información relacionada con los procesos y metodologías actuales aplicadas en

Auditoría. Para esto se efectuaron entrevistas y levantamientos de información

con todos los involucrados en estos procesos y se definieron los mecanismos que

se utilizarán para presentar los resultados del análisis.

b) Identificar las oportunidades de mejora de los procesos de acuerdo a la

evaluación de los resultados del diagnóstico de la situación actual con la

finalidad de determinar los aspectos que pueden ser mejorados, y la manera en

que los mismos serán incluidos en la definición de requerimientos detallados.

c) Definir los requerimientos detallados, en función a las necesidades de los

usuarios y las funciones especiales que debe realizar el sistema, así como

también la interrelación entre las actividades de los diferentes niveles del área de

Auditoría. Adicionalmente se deben propuso incluir los requerimientos

relacionados con el flujo de los datos en el sistema, o sea cuáles son las entradas,

salidas, esquemas de almacenamiento y procedimientos funcionales para el uso

del sistema.

15

3.4. Elaborar la propuesta para el sistema de gestión de matrices: La

elaboración de la propuesta implicó el desarrollo de las siguientes dos fases:

a) La primera cuyo objeto propuesto fue elaborar el diseño del sistema de

información que satisfaga los requerimientos, restricciones y atributos

establecidos por los usuarios en la fase anterior. Partiendo, para ello, de un

prototipo, es decir un modelo lógico que muestra claramente la interacción entre

los usuarios y el sistema y se definen qué procesos son manuales y cuáles

automáticos, lo cual permite aumentar la comprensión del problema y en qué

medida es solventado por el sistema.

b) En la segunda se estableció definir el proceso de gestión de cambio, el cual se

propuso que contemplaría el diseño de una propuesta para la redefinición de los

procesos que deben ser implantados para el adecuado uso del sistema.

Asimismo, la definición de los adiestramientos que deben ser impartidos para

vencer la resistencia al cambio y lograr una adaptación fácil y ágil a los nuevos

esquemas.

3.5. Evaluar la propuesta: La propuesta o prototipo del sistema se presentaría a

los responsables de la Dirección de Auditoría para su revisión y aprobación. En

esta presentación se permitiría determinar la viabilidad de la propuesta de

acuerdo a las expectativas de los usuarios y de los recursos de los que se

dispone, así como también el análisis del impacto de la instalación del sistema.

IV. CRONOGRAMA DE EJECUCION.

Para el cumplimiento de los pasos definidos en la metodología se estableció

cumplir el siguiente cronograma:

16

Actividad Tiempo

Estimado

Fecha Probable

Elaborar el Marco Conceptual

Referencial

3 día 01/12/2006

Elaborar el Marco organizacional 3 día 06/12/2006

Elaborar el diagnóstico de la

situación actual

5 días 11/12/2006

Identificar las oportunidades de

mejora de los procesos

5 días 18/12/2006

Definir requerimientos detallados 5 días 26/12/2006

Elaborar la propuesta para el

sistema de gestión de matrices

10 días 03/01/2007

Evaluación de la propuesta 1 día 09/01/2007

Diseñar el proceso de gestión de

cambio

5 días 17/01/2007

Evaluación del Proceso 1 día 23/01/2007

Elaboración del informe final de

grado

10 días 24/01/2007

17

__________________________________________________________________

FASE DE EJECUCIÓN

__________________________________________________________________

CAPITULO II: MARCO CONCEPTUAL REFERENCIAL

CAPITULO III: MARCO ORGANIZACIONAL

CAPITULO IV: EXAMEN DE LA SITUACIÓN

CAPITULO V: DISEÑO DE LA PROPUESTA

CAPITULO VI: EL PROCESO DE APLICACIÓN DE LA METODOOGÍA

18

CAPITULO II

MARCO CONCEPTUAL REFERENCIAL

Como Marco Conceptual del trabajo se presentan los fundamentos conceptuales

relativos a la gestión de la Auditoría Interna, el análisis de riesgos en el proceso de

planificación y la función de control interno, concluyendo con el marco de control

establecido por el modelo COSO.

2.1. FUNDAMENTOS CONCEPTUALES

2.1.1. Misión de la Auditoría Interna:

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y

consulta, concebida para agregar valor y mejorar las operaciones de una

organización. Ayuda a una organización a cumplir sus objetivos aportando un

enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos

de gestión de riesgos, control y gobierno. Asimismo, la función de auditoría está

regida por las normas internacionales para el ejercicio de la práctica, las cuales son

promulgadas por el Instituto de Auditores Internos (The Institute of Internal

Auditors), el cual se encarga, además, de emitir pronunciamientos para impartir el

entendimiento de los roles, responsabilidades de la auditoría interna, de su

constitución e inclusive de las guías para la medición de su desempeño.

2.1.2. Concepto de matrices de riesgo:

“Una matriz de riesgo es una herramienta de control y de gestión normalmente

utilizada para identificar las actividades (procesos y productos) más importantes de

una institución financiera, el tipo y nivel de riesgos inherentes a estas actividades y

19

los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo).

Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada

gestión y administración de los riesgos financieros, operativos y estratégicos que

impactan la misión de la organización”.

(http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248, consultado

el 15/03/2007).

2.1.3. Alcance de la Auditoría Interna:

El alcance del trabajo de Auditoría Interna es determinar si la administración de

riesgos, control y el proceso de gobierno está diseñado y representado por la

Administración, así como también que sea adecuado y que permita asegurar que:

• Los riesgos son identificados y administrados.

• La información financiera es exacta, confiable y oportuna

• Exista apego a las políticas y procedimientos

• Los programas, planes y objetivos son llevados a cabo.

2.1.4. Responsabilidad de la Auditoría Interna:

El Director de auditoría interna en el ejercicio de su función tiene las siguientes

responsabilidades:

• Desarrollar un plan de auditoría flexible, usando una metodología apropiada y

basada en riesgo, que permita evaluar la efectividad de los procesos de la

Organización, incluyendo las preocupaciones de los auditados. Este plan debe

ser aprobado por el Comité de Auditoría.

• Implementar el plan antes mencionado.

• Reportar los asuntos identificados durante los trabajos, incluyendo sugerencias

de mejoramiento a los mismos.

20

• Mantener un equipo de auditores con suficientes conocimientos, experiencia

para cumplir con las necesidades del departamento (en función del plan y los

estatutos)

2.1.5. Independencia y Objetividad de Auditoría Interna:

La objetividad y la independencia son las bases esenciales de la función de Auditoría

Interna.

La independencia de un departamento o gerencia describe su nivel de reporte y la

libertad de interferencia de sus funciones, esto en cierta forma define también la

objetividad y sus revelaciones cuando la independencia y objetividad se ven

obstruidas.

La actividad de auditoría interna debe ser independiente de las funciones

administrativas, financieras, operativas y de otra índole, dentro de la organización, así

como también debe estar libre de inherencias al determinar el alcance de sus

evaluaciones, al desempeñar su trabajo y al comunicar sus resultados. No sólo se

requiere ser independiente sino parecerlo.

Para dar independencia a la Unidad de Auditoría, ésta debe tener una línea de reporte

al Comité de Auditoría.

Los auditores internos deben tener una actitud imparcial y neutral, y evitar conflictos

de intereses, por lo que cualquier impedimento de hecho o en apariencia que afecte la

Independencia u Objetividad se debe dar a conocer a las partes correspondientes.

2.1.6. Autoridad de la Auditoría Interna:

La Auditoría Interna debe estar autorizada por la empresa para:

21

• Tener acceso sin restricciones a todas las funciones, registros, propiedades o

personal de la organización.

• Tener libre acceso al Comité de Auditoría.

• Obtener asistencia del personal de las diferentes unidades donde realizan

auditorías.

2.1.7. El Comité de Auditoría, características y responsabilidades:

Actualmente el papel de un Comité de Auditoría en el fortalecimiento de la posición

de Auditoría se reconoce ampliamente. Un Comité de Auditoría formado por

directores no gerenciales promueve la independencia tanto de los auditores internos

como externos, especialmente cuando selecciona la firma de Auditoría Externa y el

director de Auditoría Interna. Así, un Comité de Auditoría sólido protege a los

auditores de influencias que pudieran comprometer su independencia y objetividad.

Las siguientes son algunas de sus características y responsabilidades:

• Debe estar conformado por Directores no gerenciales.

• La Junta Directiva de cada compañía debe crear y aprobar un estatuto escrito

que describa las obligaciones y responsabilidades del Comité de Auditoría.

• El Comité de Auditoría debe:

o Revisar la independencia de la Auditoría Interna.

o Monitorear el cumplimiento de los códigos de conducta.

o Tener disponibilidad suficiente de recursos.

o Supervisar el proceso de emisión de informes trimestrales.

o Servir de mediador de disputas entre los auditores y la gerencia.

o Seleccionar al auditor externo, revisar sus honorarios y los términos de la

contratación.

o Revisar el plan de trabajo de la auditoría del auditor externo.

o Revisar los resultados de las auditoría internas y externas.

22

o Reunirse regularmente con el Director de Auditoría Interna.

o Revisar las evaluaciones de control interno.

o Revisar los controles operativos, financieros y contables de la empresa.

o Revisar políticas sobre procedimientos no éticos e ilegales.

o Revisar los estados financieros para las Agencias Reguladoras.

( http://www.theiia.org/guidance/standards-and-practices, consultado el 15/03/2007).

2.2. ANÁLISIS DE RIESGOS EN EL PROCESO DE PLANIFICACIÓN

2.2.1. Concepto de riesgo:

Riesgo es la probabilidad de que se materialice cualquier situación negativa que

eventualmente al concretarse pudiera evitar o dificultar que alguno o varios de los

objetivos se logren en la forma y con la oportunidad con que fueron planeados por la

empresa, pudiendo afectar las finanzas de la empresa.

2.2.2. Importancia de la evaluación y administración de riesgos:

Es un axioma común el aceptar que se deben tomar ciertos riesgos para tener éxito en

los negocios y aún para permanecer en el medio. En este sentido, la administración es

la responsable de identificar los riesgos e implantar los controles apropiados que

permitan su adecuado manejo.

Un aspecto fundamental en la evaluación de los riesgos estriba en que no solo es

importante conocerlos sino administrarlos de manera eficiente, esto significa,

determinar cuales eliminar, cuales transferir o reducir y cuales aceptar. Siempre hay

que tener presente la relación de costo beneficio, ya que resulta incosteable tratar de

obtener una seguridad total o absoluta, es decir cero riesgos.

23

Las personas que procesan las operaciones y tienen la responsabilidad de cumplir las

metas y objetivos, son las que mejor conocen los riesgos que pudieran dificultar el

cumplimiento del objetivo correspondiente, por lo que también son los más

capacitados para definir sus causas. Adicionalmente, son quienes pueden precisar las

mejores acciones para administrar dichos riesgos, puesto que también conocen las

condiciones del entorno, los recursos que se podrían asignar al efecto y desde luego,

la oportunidad con que se deben aplicar las respectivas acciones de mejora.

Existen riesgos que pueden ser comunes a varios tipos de organizaciones, sin

embargo el Auditor Interno contribuye con su experiencia y conocimiento a la

definición específica de los riesgos en la organización a la que sirve.

2.2.3. Beneficios de la administración de riesgos:

La administración de riesgos dentro de una empresa permite:

• Identificar aquellos acontecimientos que puedan impactar en la organización

impidiéndole alcanzar sus objetivos.

• Realizar una valoración de los riesgos de la compañía y gestionar su tratamiento

en función del riesgo aceptado en la misma.

• Integrar la gestión de riesgos en los procesos de planificación estratégica de la

compañía, en el control interno y en la operativa diaria de la misma.

• Disponer del portafolio de riesgos a nivel global de la compañía y para cada una

de sus divisiones y/o funciones.

http://www.capgemini.es/sectores/finanzas/riesgos.htm consultado el

20/04/2007

24

http://dmi.uib.es/~bbuades/riesgos/sld003.htm consultado el 20/04/2007

2.3. LA FUNCIÓN DE CONTROL INTERNO

2.3.1. Definición de Control Interno:

En general puede definirse el concepto de control, como una serie de normas,

técnicas, y procedimientos a través de las cuales se mide y corrige el desempeño

de una actividad para asegurar la consecución de los resultados esperados.

El control interno comprende el plan de organización y todos los métodos y

procedimientos que en forma coordinada, se adoptan en una entidad para

proteger los activos, asegurar la confiabilidad de la información, promover la

eficiencia operacional y estimular la adherencia del personal a las políticas pre-

establecidas por la dirección.

2.3.2. Fases del proceso de Control:

El proceso de control contempla la ejecución de cuatro fases, las cuales se

mencionan a continuación:

25

2.3.3. Clasificación de los Controles:

Los controles se clasifican según:

• Su Cobertura: generales y específicos.

• Su Naturaleza: manuales y automáticos.

• Su propósito: disuasivos, preventivos, detectivos, correctivos y recuperativos.

• Su estado: implantados, por implantar y descartados.

2.3.4. Estructura de la gestión de control:

La gestión de control contempla tres tipos bien definidos que deben estar bien

diferenciados en las instituciones, y son los siguientes:

26

• Control Estratégico: que debe estar a cargo de la Alta Dirección (Junta

Directiva y Gerencia General).

• Control Táctico: a cargo de la Administración Media (Gerencia Media).

• Control Operativo: a cargo de la Administración Baja (Supervisores).

2.3.5. Componentes del control interno:

Para que exista un adecuado ambiente de control dentro de las instituciones éste

debe contemplar los siguientes aspectos:

� Objetivos definidos.

� Estructura de organización sólida.

� Procedimientos efectivos y documentados.

� Personal competente.

� Sistema de información confiable y oportuna.

� Sistema de seguridad.

� Sistema de Auditoría efectivo.

2.3.6. Enfoques de control - Modelo Coso:

En la evolución de la teoría del control interno se definió en principio a los

controles como mecanismos o prácticas para identificar actividades no

autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan; la

corriente actual define al control como cualquier esfuerzo que se realice para

aumentar las posibilidades de que se logren los objetivos de la organización.

El modelo COSO trata al control interno como un proceso, efectuado por el

Consejo de Administración, la dirección y demás personal de una entidad,

27

concebido para proporcionar aseguramiento razonable respecto del

cumplimiento de los objetivos relacionados con:

� Confiabilidad de la información financiera: Se relaciona con la preparación

de estados financieros confiables

� Eficacia y eficiencia de las operaciones: Relacionado con los objetivos del

negocio incluyendo el desempeño y metas de rentabilidad

� Cumplimiento de leyes y regulaciones: Se relaciona con el cumplimiento de

las leyes y las regulaciones a las cuales está sujeta la entidad

Para este modelo, el control interno es:

� El corazón de una organización.

� La cultura, las normas sociales y ambientales que la gobiernan.

� Los procesos del negocio (los mecanismos por medio de los cuales una

organización produce bienes y/o servicios de valor agregado).

� La infraestructura, la tecnología de la información, las actividades, las

políticas y los procedimientos.

2.3.7. Componentes de control del Modelo Coso:

En la evolución de la teoría del control interno se definió

28

• Ambiente de control: Se refiere a la “conciencia” de control de la

organización y sus principales factores son:

o Integridad y valores éticos.

o Compromiso y competencia profesional.

o Filosofía de la Dirección y estilo de gestión.

o Estructura de la Organización.

o Asignación de autoridad y responsabilidad.

o Políticas y prácticas del recurso humano.

• Establecimiento de objetivos: Los objetivos deben existir antes de que la

administración pueda identificar potenciales eventos que afecten su

consecución.

29

• Identificación de eventos: Los acontecimientos externos o internos que

pudieran afectar a los objetivos de la institución deben ser identificados,

diferenciando entre riesgos y oportunidades.

• Respuesta al riesgo: La administración selecciona las posibles respuestas al

riesgo (evitar, aceptar, reducir o compartir), desarrollando una serie de acciones

para alinearlas con el riesgo aceptado y las tolerancias al riesgo de la

institución.

• Evaluación de riesgos: Es la identificación y análisis de los riesgos que se

relacionan con el logro de los objetivos, la administración debe cuantificar su

magnitud, proyectar su probabilidad y sus posibles consecuencias. Se debe

prestar especial atención a:

o Los avances tecnológicos.

o Los cambios en los ambientes operativos.

o Las nuevas líneas de negocio.

o La reestructuración corporativa.

o La expansión o adquisiciones.

o El personal de nuevo ingreso.

o El rápido crecimiento.

• Actividades de control: Ocurren a lo largo de la organización, en todos los

niveles y todas las funciones, incluyendo los procesos de aprobación,

autorización, conciliaciones, etc. Estas actividades deben ser apropiadas para

minimizar los riesgos y deben incluir los siguientes aspectos:

o Las revisiones de desempeño.

o Análisis de indicadores.

30

o El análisis de indicadores de desempeño.

o El procesamiento de información.

o Los controles físicos.

o La separación de funciones.

• Información y Comunicaciones: Se debe generar información relevante y

comunicarla oportunamente, de tal manera que permita a las personas

entenderla y cumplir con sus responsabilidades. Las comunicaciones pueden

ser:

o Formales o informales.

o Vertical u horizontal.

• Monitoreo: Los controles internos deben ser monitoreados constantemente para

asegurarse que el proceso se encuentra operando como se planeó y comprobar

que son efectivos ante los cambios de las situaciones que les dieron origen. El

alcance y la frecuencia del monitoreo depende de los riesgos que se deseen

cubrir.

http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007

http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el

19/03/2007

31

CAPITULO III

MARCO ORGANIZACIONAL

Como Marco organizacional del presente trabajo, se desarrollará la descripción de la

Organización para la cual se realizó la propuesta de mejora, el detalle de la

composición y estructura organizativa de la Dirección de Auditoría y una breve

reseña de la situación que presenta esta Unidad.

3.1. LA ORGANIZACIÓN BANCARIBE

EL BANCO DEL CARIBE, C. A, Banco Universal, (BANCARIBE) fue fundado el

día 12 de febrero de 1954 e inició sus operaciones el día 3 de noviembre del mismo

año en la ciudad de Puerto Cabello, Estado Carabobo. Su domicilio social fue

cambiado a la ciudad de Caracas, Distrito Federal, en agosto de 1.963.

Actualmente opera en todo el país, a través de 119 agencias distribuidas

estratégicamente, de las cuales 70% están ubicadas fuera de la capital de la

República. Por mandato legal, el Banco del Caribe actúa bajo la supervisión de la

Superintendencia de Bancos y Otras Instituciones Financieras y de la Comisión

Nacional de Valores, pues sus acciones están inscritas en el Registro Nacional de

Valores de Venezuela.

En septiembre de 1.997, BANCARIBE absorbió, mediante el procedimiento de

fusión, al Banco de Inversión del Caribe, C .A., y al Fondo de Activos Líquidos del

Caribe, C. A., para convertirse en Banco Universal.

32

En diciembre de 1.997, la Asamblea de Accionistas de BANCARIBE autorizó el

ingreso de un nuevo socio: Scotia International Limited, una empresa poseída en un

cien por cien, por The Bank of Nova Scotia (Scotiabank), uno de los bancos más

importantes del mundo, quien suscribió en su totalidad un aumento del capital del

Banco del Caribe, equivalente al 25% del nuevo capital social.

Durante el primer semestre de 2000 culminó el proceso de instalación de la nueva

plataforma tecnológica en todas las oficinas en el país, con lo cual se automatizaron

los procesos y se estableció una relación con la clientela a través de nuevas y

modernas formas de comunicación.

En el año 2001, BANCARIBE adoptó los Principios de Wolfsberg1, como normas

internas para el combate contra la legitimación de capitales provenientes, no sólo del

tráfico de sustancias psicotrópicas y estupefacientes, lo cual ya había sido regulado

por leyes y por la normativa prudencial dictada por la Superintendencia de Bancos y

Otras Instituciones Financieras, sino de cualquier delito, incluidos el terrorismo y la

corrupción.

En septiembre de 2003, BANCARIBE adaptó su Estatuto a las mejores prácticas de

gobernabilidad; no sólo a las prácticas de gobierno corporativo recomendadas por

organismos internacionales como la Organización para la Cooperación y Desarrollo

Económico (OECD), sino especialmente a las recomendaciones del Comité de

Basilea para la Gobernabilidad de las Instituciones Financieras, dirigidas

específicamente a los bancos y otras empresas financieras en todo el mundo y a sus

supervisores y reguladores. De acuerdo a estas prácticas, la junta directiva del Banco

está formada por 14 directores de los cuales 8 son directores independientes, se

encarga de supervisar, controlar y hacer seguimiento a los aspectos más importantes

de la administración de la institución y apoya su actividad en cuatro comités: un

33

Comité de Auditoría, Control y Cumplimiento; un Comité de Riesgo, un Comité de

Nombramientos y Remuneraciones y un Comité de Crédito.

El 7 de septiembre de 2006 se hizo pública la nueva imagen corporativa del Banco

que incorpora el término BANCARIBE como el signo distintivo del Banco y del

GRUPO FINANCIERO BANCARIBE. BANCARIBE es el resultado de un largo

proceso evolutivo que abre una nueva e importante etapa en la vida de nuestra

institución, que nos identifica como un banco ágil, flexible e innovador, dedicado con

pasión a conocer y satisfacer las necesidades de la clientela, eficientes en la

prestación de servicios financieros integrales, dedicado a construir con la clientela,

nuestro personal, nuestros relacionados y con el país, una relación de confianza

mutua y duradera, porque tenemos un profundo compromiso con el país, porque

creemos en Venezuela.

BANCARIBE, es un banco con cultura de Riesgo, ha sido uno de las primeras

instituciones financieras del país en desarrollar y aplicar una metodología para

atender el concepto de Riesgo Integral, con el fin de adaptarse a los nuevos Principios

de Basilea y, posteriormente, para atender las disposiciones de la Norma Prudencial

establecida por la Superintendencia y Otras Instituciones Financieras.

A continuación presentamos la misión y la visión de la empresa, los cuales resumen

los objetivos del negocio y la forma en que los empleados están comprometidos con

ellos, para determinar el éxito no sólo de la Institución, sino también el de sus

miembros.

Misión: "Somos socios en la prosperidad de nuestros clientes. Brindamos soluciones

financieras integrales, generadas por la suma del compromiso individual de toda

nuestra gente, creando valor para el país, para el accionista y para nosotros mismos"

Visión: "Hacemos Gente Próspera"

34

Entre los valores que la Institución inculca a todos sus miembros, tanto empleados

como accionistas y asociados, se encuentran los siguientes:

Somos conservadores: Hoy igual que ayer, hay una forma de hacer las cosas bien.

Por eso, conservamos el tradicional estilo de hacer dinero, con trabajo. Conservamos

una atención personal y respetuosa. Y lo más importante, conservamos nuestros

clientes.

Somos tradicionales: Los tiempos han cambiado, pero el servicio y el respeto hacia

nuestros clientes ha sido el ideal que nos ha acompañado desde hace mucho. La

forma en que concebimos nuestro trabajo es un acto honesto y transparente. Por eso,

por mucho que cambiemos seguiremos con una posición responsable.

Somos prudentes: No asumimos inversiones arriesgadas, aunque supongan

ganancias jugosas. Preferimos cuidar el capital e invertirlo en negocios seguros, por

eso estudiamos detalladamente cada inversión que realizamos, solo así, podemos

mantener la confianza en nuestros clientes.

Buscamos su prosperidad: La felicidad de compartir cada día con su familia. La paz

de responder cuando se necesita. La satisfacción de construir un mañana mejor. Es la

prosperidad que buscamos para nuestros clientes, amigos y empleados.

No hacemos dinero fácil: Nosotros hacemos dinero igual que usted, trabajando. Por

eso sabemos el esfuerzo que requiere ganar cada bolívar. No jugamos con su dinero,

ni lo despilfarramos, para nosotros es más importante un negocio seguro que uno

fácil.

Somos su aliado: Porque nunca lo dejamos solo, porque sabemos que trabajar en

equipo con usted es la única forma de alcanzar las metas. Por eso, confiamos en

35

nuestros clientes, como ellos confían en nosotros. Esta es la alianza que nos ha

convertido en un equipo ganador.

Creemos en Venezuela: Lo hemos dicho antes y lo volvemos a decir ahora, somos lo

que somos gracias a nuestros clientes, quienes en cada rincón de Venezuela nos han

dado su respaldo y confianza. No estamos de paso. Por eso, tenemos un compromiso

con Venezuela, un compromiso profundo con su destino y con el destino de su gente.

Vamos a la vanguardia: Estamos mejorando para darle la mejor a nuestros clientes.

Por eso, estamos especializando a nuestra gente sustentados en tecnología de

avanzada, que nos pondrá a la vanguardia de la banca venezolana durante todo el

siglo XXI.

Tenemos un compromiso con el futuro: Ese es nuestro compromiso, por eso

trabajamos junto a los hombres y mujeres que quieren un mañana mejor. El futuro

hay que hacerlo todos los días con optimismo y ganas de trabajar.

3.2. LA DIRECCIÓN DE AUDITORÍA

La Dirección de Auditoría es un área de staff que sirve de apoyo a la Junta Directiva

y reporta al Comité de Auditoría, control y cumplimiento. Esta área cuenta en su

estructura organizativa con: El Director de Auditoría, una secretaria, la Gerencia de

Medición de Gestión y Auditoria de Riesgos Integrales y la Dirección Asociada

Auditoría de Sistemas y Procesos, que a su vez está compuesta por las Gerencias

Auditoría Operativa, Auditoría Financiera Auditoría de Sistemas y Auditoría de

Procesos; a cada una de estas Gerencias están adscritos los cargos de Auditor Señor,

Semi-senior y Junior. A continuación se muestra la estructura organizativa de la

Dirección de Auditoría.

36

La misión de la Dirección de Auditoría es: “Desarrollar una actividad de apoyo que

contribuya a mejorar el control interno en la Organización, con el fin de propiciar la

mitigación de aquellos riesgos que puedan afectar los intereses de la institución.”

Y su visión es: “Consolidarse como unidad asesora de la organización en el proceso

de riesgos y en fortalecimiento del control interno.”

3.3. SITUACIÓN

La Dirección de Auditoría, a través de las diferentes gerencias que la integran deben

realizar cada año la planificación de las evaluaciones que serán desarrolladas en cada

semestre, para esto debe contar con diferentes matrices que les permitan identificar

los principales riesgos a los que se encuentran expuestos los procesos del negocio,

Junta Directiva

Comité de Auditoría, Control y Cumplimiento

Dirección de Auditoría

Gerencia Auditoría Operativa

Gerencia Auditoría Financiera

Secretaría

Dirección Asociada Auditoría Sistemas y Proceso

Auditores Senior, Semi

Senior y Junior

Gerencia de Medición de Gestión y Auditoria de

Riesgos Integrales

Gerencia Auditoría Sistemas

Gerencia Auditoría Procesos

Auditores Senior, Semi

Senior y Junior

Auditores Senior, Semi Senior y

Junior

Auditores Senior, Semi Senior y

Junior

37

para así enfocar las revisiones en los riesgos que podrían impactar de manera

negativa a la Institución, afectando sus balances financieros y los objetivos

organizacionales que se han establecido.

Basado en el análisis de riesgo, se logra identificar los riesgos potenciales a los que

pudieran estar expuestas las distintas unidades de negocios y, así, establecer el plan

anual donde se definen las auditorías que permitirán evaluar la efectividad de los

mecanismos de control existentes para minimizar el impacto inherente de dichos

riesgos.

Como herramienta base y principal insumo para efectuar el análisis de riesgo,

actualmente la Dirección de Auditoría elabora unas matrices de Riesgo donde se

identifican los principales riesgos a los que se encuentra expuesta la organización, así

como también la probabilidad de que el riesgo se materialice y el impacto que el

mismo puede ocasionar. Con estos datos se le da una calificación de riesgo a cada

evento y el enfoque de las evaluaciones va dirigido a los riesgos altos y medios, ya

que son aquellos que deben ser controlados de manera efectiva.

Las matrices se construyen de forma individual por cada gerencia, a través de la

herramienta Excel. Sin embargo, esta herramienta no permite consolidar toda la

información en una sola base de datos, dificulta incluir nuevos datos que faciliten al

auditor elaborar el plan de trabajo y manejar altos volúmenes de información, por lo

que no se puede determinar, en un momento dado, si la cobertura de las evaluaciones

contempla todos los riesgos importantes o si se están duplicando esfuerzos evaluando

el mismo riesgo a través de las diferentes Gerencias de Auditoría.

Por ello, se requiere automatizar el modo de elaboración de las matrices de riesgo

por medio de un sistema de información que permita incluir, modificar y eliminar

datos de manera dinámica y oportuna, así como también administrar y efectuar

38

consultas de todas las matrices de riesgo, de manera eficaz por cada una de las

Gerencias de Auditoria.

39

CAPITULO IV

EL EXAMEN DE LA SITUACIÓN

4.1. PROPÓSITOS DEL PROCESO

Con la finalidad de apegarse a las mejores prácticas de la industria y a las normas

internacionales definidas para la práctica de la auditoría, desde el año 2003 la

Dirección de Auditoría, desarrolló una metodología denominada “Metodología de

planificación basada en riesgo”, la cual sirve de base para elaborar la planificación

anual de la Unidad, desde la perspectiva de un análisis de riesgo detallado de todos

los procesos, áreas y sistemas de la empresa, para así identificar aquellos que tienen

un mayor impacto y mayor probabilidad de ocurrencia para la Organización, lo cual

podría impactar negativamente el logro de sus objetivos y los resultados financieros

de la misma.

La metodología establece que cada una de las áreas de la Dirección de Auditoría debe

determinar los eventos de riesgo asociados a cada proceso, área y/o aplicación

tecnológica. Una vez identificados los eventos de riesgo se debe valorar, para cada

uno de ellos, el impacto que podría tener para la Empresa en caso de que se

materialice o se concrete el evento, así como también se debe valorar la probabilidad

de que el evento ocurra, la cual viene dada por la calidad de los controles implantados

en la Organización, cuanto más débiles sean los controles mayor la probabilidad de

ocurrencia.

El valor del impacto y la probabilidad es definido por la metodología en números que

van desde el 1 hasta el 9. Una vez que se disponga de los valores correspondientes al

impacto y la probabilidad la metodología indica que se debe calcular la valoración de

riesgo para cada uno de ellos, la cual se obtiene a través de la siguiente fórmula:

40

Riesgo = (Impacto x 0.60) + (Probabilidad x 0.40)

2

El valor obtenido indica el nivel de riesgo al que se encuentra expuesta la

empresa, en caso de que el evento se materialice, y el cual se mide a través de las

siguientes escalas:

• Del 1 al 3 el riesgo es Bajo.

• Del 4 al 6 el riesgo es Medio.

• Del 7 al 39el riesgo es Alto.

Cada una de las Gerencias de Auditoría realiza una identificación de los eventos

de riesgo y procede a valorar la exposición a la que se encuentra la empresa para

cada uno de ellos. Una vez obtenidos los eventos se procede a construir las

matrices de riesgo, las cuales son el elemento básico para establecer la

planificación y definir los programas de trabajo que serán realizados durante el

proceso de ejecución de auditorías.

La planificación de las auditorías se realiza seleccionando los riesgos altos y

medios de las matrices y tienen por finalidad evaluar la efectividad y adecuación

de los controles establecidos para proteger a la Organización en caso de que se

concreten dichos riesgos. Una vez definidas las auditorías se procede a

determinar las horas requeridas para ejecutar las mismas y a asignar los recursos

tanto humanos como materiales que serán requeridos por las mismas. A

continuación se presenta un diagrama del proceso de planificación definido en la

Direcci{on de Auditoría:

41

Sin embargo, y a pesar de que todas las Gerencias de Auditoría utilizan la misma

metodología para efectuar el proceso de planificación anual, la misma no es

específica en cuanto a la forma como deben plasmarse los resultados de la

identificación de riesgos y no establece estándares ni lineamientos para la

elaboración de las matrices. Debido a esto, cada Gerencia ha desarrollado su

propio esquema de elaboración, los cuales difieren entre sí, en cuanto a la

información manejada y a la presentación de la misma. A continuación, se

presenta una muestra de los diferentes formatos manejados por las áreas:

��

��

42

Impacto Probabilidad Procesos AsociadosRiesgo Riesgo

��

��

Por otra parte, cada Gerencia de Auditoría no dispone de acceso a la información

de las matrices elaboradas por las demás unidades, por lo que, existen eventos y

matrices duplicadas, y en algunos casos se han detectado duplicidad de esfuerzos

en la revisión de los mismos riesgos por parte de las diferentes Unidades del área.

Adicionalmente, no se tiene certeza de que los recursos son utilizados de manera

efectiva y no se puede garantizar que se están evaluando todos los riesgos altos y

medios que han sido identificados y que el alcance establecido para las

evaluaciones sea adecuado para proporcionar a la empresa un análisis razonable

del estado de su control interno.

Debido a todas las debilidades del proceso, se decidió elaborar una propuesta para

automatizar las matrices de riesgos, lo cual permitiría estandarizar la información

manejada por las diferentes Unidades, así como también actualizar y consultar

toda la información disponible, lo cual permitirá optimizar la utilización de los

recursos y garantizar que no se están duplicando esfuerzos en la ejecución de las

auditorías.

En este sentido se efectuaron una serie de levantamientos de información con los

responsables de las diferentes Gerencias, con la finalidad de conocer las

actividades actuales que son ejecutadas para elaborar las matrices de riesgos y la

planificación anual.

Los resultados del levantamiento de información fueron analizados y se presentó

al Director de la Unidad y a los Gerentes la identificación de las debilidades y las

43

oportunidades de mejora que podían ser aplicadas para optimizar el proceso, así

como también los requerimientos detallados que debían ser considerados para el

diseño del sistema.

44

CAPITULO V

DISEÑO DE LA PROPUESTA

A continuación se presenta la justificación de la propuesta de desarrollo del

sistema, los objetivos de la misma, las oportunidades de mejora identificados

para el proceso, el diseño propuesto para el sistema, diseño del proceso de

elaboración y carga de las matrices en el sistema y el diseño del proceso de

gestión de cambio para la implantación del sistema y de los nuevos procesos.

5.1. JUSTIFICACIÓN DE LA PROPUESTA

Las actividades de planificación de la Dirección de Auditoría se ven dificultadas

por el hecho de de que la información requerida para ejecutar este proceso, las

matrices de riesgo, se elaboran y manipulan de manera manual. Adicionalmente,

la información es generada y utilizada de manera aislada por cada una de las

Gerencias que componen la Dirección, lo cual, no garantiza que las evaluaciones

planificadas sean las más adecuadas para cubrir razonablemente los principales

riesgos a los que se enfrenta la Organización.

Por otra parte, no se dispone de un estándar para la elaboración de las matrices ni

para la valoración de los riesgos, lo que trae como consecuencia, que cada Unidad

tenga su diseño propio y manejen información diferente, por lo que no existe un

control preciso de la información manejada.

Además, no es fácil determinar efectivamente si se está invirtiendo una cantidad

excesiva de horas hombre de las diferentes Gerencias para revisar los mismos

riesgos, y si se están dejando de evaluar otros riesgos que son necesarios controlar

45

y que pudieran significar un impacto negativo en la Empresa, en caso de que se

materialicen.

Por todas estas razones, se requiere diseñar un sistema de información para

Administrar las Matrices de Riesgo, el cual permitirá unificar la información

manejada por las diferentes Gerencias e identificar de manera eficiente los riesgos

que deben ser evaluados, asimismo, optimizará el control de las actividades de los

recursos con los que cuenta la Dirección y se podrán definir adecuadamente los

procesos, sistemas y áreas en los que deben enfocarse sus esfuerzos.

5.2. OBJETIVOS DE LA PROPUESTA

Los objetivos que se persiguen con esta propuesta son los siguientes:

• Diseñar un sistema de gestión para administrar las matrices de riesgo para la

Dirección de Auditoria de Bancaribe.

• Establecer un estándar para la elaboración de las matrices y la valoración de los

eventos de riesgo.

• Definir los responsables para la administración del sistema.

• Establecer los procedimientos para el ingreso y actualización de la información

en el sistema.

• Diseñar el proceso de gestión de cambio.

5.3. RESULTADOS DE LOS LEVANTAMIENTOS DE INFORMACIÓN:

Se efectuaron reuniones con todos los Gerentes de la Dirección de Auditoría para

levantar el proceso ejecutado para elaborar la planificación anual y así identificar

las debilidades existentes en el proceso y el impacto de las mismas, y determinar

las oportunidades de mejora que se van a incluir en el proceso con la implantación

46

del sistema propuesto. A continuación se muestran los resultados obtenidos en los

levantamientos de información:

No se realiza análisis del entornointerno / externo

X

No se consideren algunos aspectos relativos a plande negocio, políticas, cambios en los procesos,cambios en los sistemas, regulaciones y/o mejoresprácticas, en el plan anual de auditoría / Ejecuciónde auditoría no alinedas al logro de los objetivosestrategias del negocio

No existe un check list para validarlos insumos necesarios para realizarel plan anual de auditoría

X XNo se valida efectivamente los insumos necesariospara elaborar el plan anual

No se realizan reuniones con losdueños de los procesos paralevantaar la información referente alas leyes y/o normativas, requeridapara elaborar el plan.

X No se consideren aspectos regulatorios en laplanificación.

Información inoportuna de losproyectos aprobados por el ComitéEjecutivo.

X La cobertura de la participación en los proyectos no es adecuada

Inexistencia el mapa de proceso delBanco.

X X Desconocimiento de la totalidad de los procesos del banco / Limita la planificación por procesos.

No existe un control de horasinvertidas en la planificación

XCualquier actividad imprevista (reposo, trabajo especial, otros) puede afectar el cumplimiento de la planificación

No se consideran las horasimproductivas en la planificaciónanual.

XCualquier actividad imprevista (reposo, permisos, otros) puede afectar el cumplimiento de la planificación

Horas hombre no disponible pararevisar los riesgos medios

X Sin evaluar una cantidad importante de riesgos medios identificados.

No se consideran las horas dediseño de la revisión, inducción,redacción y discusión de informesentre otros

X Retraso en la ejecución de la planificación.

No se consideran las horasadministrativas en la planificaciónanual.

XTiempo invertido en la revisión de papeles de trabajo, viaticos, elaboración del presupuesto anual, trabajos especiales, entre otros.

No se consideran las horas hombrepara el diseño o rediseño depruebas

X Tiempo invertido no planificado ni medido

Entrega inoportuna de la planificación a la Dirección

Permanencia frecuente de los auditores en las áreas / No se atacan actividades comunes

No existe interacción entre lasdistintas gerencias al momento derealizar y/o revisar la planificaciónanual

X X X X Entrega inoportuna de la planificación a la Dirección

Inexistencia de un formularioestandar para elaborar el plan anual

X X Informalidad en la presentación del plan anual

Inexistencia de herramientastecnológicas que faciliten laelaboración del plan anual

X X X X Reprocesos en la elaboración y entrega inoportuna del plan anual

No se considera la existencia denuevas estrategias de negocio

X XNo está alineado el plan anual de auditoría con las estrategias de negocio del banco

Retrabajo

Fuente de

Error

��

��

No Agrega Valor

Cuello de Botella Redundancia

��

X X X X

No existe interacción entre lasdistintas gerencias al momento derealizar y/o revisar la planificaciónanual

47

5.4. OPORTUNIDADES DE MEJORA

A partir de las debilidades ya identificadas se efectuó un análisis para identificar

las oportunidades de mejora que pudieran ser aplicadas para la solución de dichas

debilidades. Los resultados de este análisis son presentados a continuación:

• Definir un mecanismo que permita analizar el entorno externo / interno.

• Elaborar un check list que permita validar los insumos necesarios en la

planificación anual.

• Realizar mesas de trabajo con los dueños de los procesos, previa a la

planificación para conocer los procesos a ser auditados.

• Realizar reuniones previas con los dueños de los procesos a fin de conocer los

cambios.

• Solicitar a los líderes de los proyectos el listado de proyectos aprobados con

sus respectivos cronogramas.

• Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de

la institución y/o elaborar un mapa de procesos desde la visión de la Dirección

de Auditoría.

• Iniciar la planificación a partir del entorno interno y externo, en el cual se

identifican los aspectos claves.

• Considerar en la planificación anual horas para actividades extraordinarias.

• Considerar en la planificación anual horas improductivas.

• Analizar la valoración de los riesgos medios para determinar las prioridades de

revisión.

• Asignar las horas reales para la ejecución de las revisiones.

• Considerar en la planificación anual horas para actividades administrativas.

• Considerar en la planificación anual horas para el diseño y/o rediseño de

pruebas.

• Realizar mesas de trabajo previa revisión de la dirección con el fin de integrar

los conceptos y contenido de plan anual.

48

��

• Coordinar las revisiones comunes en las distintas áreas del banco con la

finalidad de formar equipos de auditoría integrales.



• Establecer un formato estándar para la elaboración de las matrices de riesgo.

• Implantar un Sistema Integrado donde se puedan incluir todas las matrices de

riesgo manejadas por la Dirección de Auditoría.

• Documentar el proceso de planificación anual

5.5. DISEÑO DEL FORMATO DE MATRICES PROPUESTO

Del levantamiento de información realizado entre las diversas áreas de la

Dirección de Auditoría, y en base a las necesidades de información que son

requeridas para el proceso de planificación, se propuso el siguiente formato, para

la construcción de las matrices de riesgo. Este formato recoge todas las

necesidades de las Gerencias y serán parte de los requerimientos funcionales del

sistema propuesto.

�� !��

��

��

� ��

��

"��

��

#��

$� ��

��

��

%��

��

��

��

��&'( ��)'(

*��+��

��

Adicionalmente, se desarrollaron una serie de instrucciones para proporcionar guía a

los usuarios sobre la información requerida en cada uno de los campos definidos.

1. Código del Riesgo. Crear el código del riesgo, de acuerdo a la siguiente nomenclatura: “XXX-YYY-ZZZ-W-000”, donde: XXX = Número secuencial del Proceso (Se necesita el mapa de Procesos)

49

�� *��+�� *��+��

��

��

&'(

��

��

&'(

��

��

��

��

YYY = Número secuencial del Sub-Proceso (Se necesita el mapa de Procesos) ZZZ = Nombre según el Tipo de Riesgo (Determinado por la resolución 136.03) W = Código de Área de Auditoría (Codificar las cinco áreas) 000 = Secuencial Numérico Ejemplo: 001- 011- 001- 1- 001 Proceso 001 = Gestionar Créditos Sub-Proceso 011 = Analizar Créditos Tipo de Riesgo 001 = Riesgo Operacional Área de Auditoría 1 = Gerencia de Procesos Secuencial 001 = Evento de Riesgo número 1 2. Evento de Riesgo. Indicar el evento de riesgo correspondiente al proceso y/o subproceso a evaluar, de acuerdo al análisis de las leyes, políticas, normas y circulares existentes; así como a la experiencia de auditorías anteriores. 3. Proceso / Subproceso. Indicar el nombre del Procesos y/o Subprocesos a evaluar, de acuerdo al Mapa de Procesos, Diagrama o alguna documentación suministrada por la Dirección Asociada de Procesos y Unidades del Banco del Caribe. 4. Impacto. De acuerdo al evento de riesgo, estimar el Impacto del riesgo, considerando los siguientes criterios:

50

��

��

)'(

��

��

)'(

!��

��

��

� ��

��

"��

��

!��

��

��

� ��

��

"��

��

Alto: Disminución de la capacidad para alcanzar los objetivos del negocio. Medio: Alteración en la operación normal con efecto limitado en la realización de los objetivos y estrategias del negocio. Bajo:No impacta la realización de los objetivos y estrategias del negocio. El impacto resultante del análisis del evento de riesgo, tendrá una ponderación del sesenta por ciento (60%). 5. Probabilidad. De acuerdo al evento de riesgo, estimar la Probabilidad de ocurrencia del riesgo, considerando los siguientes criterios: Alto: Por encima del sesenta y seis por ciento (66%) de ocurrencia. Media: Por encima del treinta y tres por ciento (33%) de ocurrencia. Bajo: Uno por ciento (1%) mínimo de probabilidad de ocurrencia. La Probabilidad resultante del análisis del evento de riesgo, tendrá una ponderación del cuarenta por ciento (40%). 6. Valoración y Justificación de la Valoración Se debe calcular la Valoración del riesgo, de acuerdo al resultado obtenido del impacto y la probabilidad de ocurrencia del evento de riesgo. La Documentación de la Valoración, consiste en justificar o realizar una descripción del evento del riesgo. 7. Clasificación de Riesgo. Se debe indicar el tipo riesgo asociado al evento: Operacional, Reputacional, Mercado (Tasa de interés, cambio y precio), Liquidez, Crédito, Legal 8. Revisión de Auditoría.

#��

$� ��

��

��

��

��

51

%��

Se debe indicar el Tipo de Revisión para evaluar el evento de riesgo: A distancia, en Sitio, mixta, alerta Temprana Indicar la Prueba mediante la cual se evaluará el evento de riesgo. Indicar la Frecuencia de revisión del evento de riesgo: Diaria, Semanal, Quincenal, Mensual, Bimensual, Trimestral, Semestral, Anual. 9. Normativa Formal. Aquí se debe detallar la fuente de información (leyes, normas, circulares, manuales, entre otras) que permite documentar el evento de riesgo.

5.6. DISEÑO DEL SISTEMA PROPUESTO

5.6.1. Información que debe ser manejada por el sistema:

1. Código del evento de riesgo.

2. Evento de riesgo.

3. Proceso asociado

4. Sub proceso asociado

5. Impacto

6. Probabilidad

7. Valoración

8. Justificación de la valoración

9. Clasificación de riesgo

10. Tipo de revisión de auditoría

11. Pruebas asociadas a la revisión

12. Frecuencia de la revisión

13. Normativa que rige el evento de riesgo.

52

5.6.2. Requisitos de entrada del sistema:

1. Los usuarios podrán acceder al sistema según su perfil, el cual limitará sus

funciones dentro del mismo

2. Los usuarios deben poseer una clave única para el acceso al sistema.

3. Las claves no serán conocidas por ninguna persona.

4. Todo el personal Adscrito a la Dirección de Auditoría podrá consultar datos de

la Matriz de Riesgo.

5. Se restringe el incluir, modificar y eliminar datos a usuarios que cumplan con

un perfil determinado.

5.6.3. Requisitos de salida del sistema:

1. El ingreso de la información deberá realizarse de manera fácil y con la menor

cantidad de pantallas posible.

2. Presentar los datos de forma amigable y sencilla, con información confiable.

3. Generar Reportes y/o consultas estandarizados, sencillos y prácticos.

4. Poder exportar la Información a cualquier otro programa (Word, Excel,

Powerpoint, etc.) para poder ser manipulada y presentada a diferentes niveles.

5. Hacer consultas dinámicas que permitan escoger entre diversos campos y

diversas combinaciones.

5.6.4. Requisitos de almacenamiento:

1. Se debe disponer de una base de datos única para todas las Gerencias de la


2. El acceso a la actualización de la base de datos debe estar restringida para el

administrador de la misma.

5.6.5. Requisitos funcionales:

53

1. El diseño del sistema debe estar sujeto a los estándares de la empresa, en lo

relacionado a lenguajes de programación y estructuración de las bases de datos.

2. El sistema debe validar las claves de acceso correspondientes a cada usuario.

3. Se debe poder actualizar los datos cada vez que se requiera.

4. Se deben definir consultas que faciliten la toma de decisiones y que puedan ser

accedidas por todo el personal.

5. Que cada usuario pueda seleccionar el tipo de información que requiere.

6. Los eventos de riesgos deben ser codificados a través de un formato ya

establecido, que lo enlace a ciertos datos que facilitaran su consulta.

7. El sistema debe efectuar los cálculos pertinentes de Valoración de Riesgos.

5.6.6. Requerimientos operacionales:

En esta actividad se identificaron los equipos necesarios para operar el sistema, asì

como también algunas actividades claves que deben ser consideradas:

1. Revisión de los estándares operativos

2. Horarios / ciclos de negocio

3. Recuperación de datos y de operación

4. Medios de almacenamiento

5. Distribución de salidas

6. Equipos necesarios: unidades de cintas, computadores, modem, terminales, etc.

5.6.7. Arquitectura del sistema:

Los requisitos de arquitectura tecnológica definidos fueron los siguientes:

1. Control de acceso: Esta fase definió los requerimientos de seguridad para

controlar el acceso físico y lógico del sistema, de acuerdo a lo establecido en

las políticas de seguridad de la información de la Organización. Se

consideraron los siguientes aspectos:

54

a. Niveles de seguridad

b. Custodia compartida

c. Contraseñas y claves

d. Archivos de seguridad

e. Encriptación

f. Dispositivos de seguridad

2. Descomposición del diseño: Se descompuso el complejo diseño del negocio en

un proceso manejable de componentes tal como se describe a continuación:

a. Descomponer sistemas en programas

b. Descomponer programas en módulos

c. Dependencias de programas y módulos

d. Consideraciones de solapamiento

3. Interfaces: En esta actividad se definió la información que debe intercambiarse

con otros sistemas de la Organización, y los formatos en que se debe ejecutar

dicho intercambio. Aquí se definieron los siguientes elementos:

a. Programas

b. Procesos

c. Otros sistemas

4. Integridad de la data: El propósito de esta actividad es identificar el proceso

requerido para prevenir o detectar datos inválidos. Se deben considerar los

siguientes aspectos:

a. Razonabilidad de la información

b. Cuadre y balanceo

c. Auditabilidad

d. Chequeos de validación

e. Cantidad de registros en archivos y tablas

55

f. Totales

g. Puntos de control y chequeo

h. Procesos

5. Identificación de procesos comunes: Aquí se identificaron las entidades

reutilizables que existen actualmente, o que deben ser creadas y pueden ser

requeridas en aplicaciones futuras. Se identificaron las siguientes entidades.

a. Archivos

b. Códigos de programas

c. Estándares de la industria externa

d. Software preestablecido

5.6.8. Ambiente Técnico:

El propósito de esta actividad es definir la plataforma óptima y la red que satisfaga

los requerimientos de procesamiento del negocio:

1. Plataforma: Es la combinación de hardware, software y modos de

procesamiento requeridos para soportar la operación del sistema. Se

contemplaron los siguientes elementos:

a. Consideraciones de solapamiento

b. Centralización – descentralización

c. Distribución

d. Cantidad de usuarios (únicos o múltiples)

e. Idiomas de operación

f. Captura de datos en línea

g. Procesamiento de lotes (batch)

2. Red: Son los medios de comunicación necesarios para soportar la transferencia

de información entre las diferentes entidades de la plataforma tecnológica.

56

5.6.9. Opciones que debe contemplar el sistema:

1. Administrar la seguridad del sistema:

a. Registrar usuarios.

b. Modificar datos de usuarios.

c. Consultar usuarios.

d. Actualizar cargos

2. Administrar las matrices de riesgo

a. Incluir matrices de riesgo.

b. Modificar matrices de riesgo.

c. Consultar matrices de riesgo.

d. Eliminar matrices de riesgo.

e. Incluir, actualizar y eliminar eventos de riesgo.

3. Administrar mapa de procesos.

a. Incluir procesos.

b. Modificar procesos.

c. Consultar mapa de procesos.

d. Eliminar procesos.

4. Actualizar Gerencias de auditorìa.

5. Actualizar tipos de auditorías.

6. Actualizar frecuencia de auditorìas.

5.6.10. Diagramas de caso de uso:

57

Los requisitos funcionales del sistema se determinaron mediante la elaboración de los

casos de usos mostrados a continuación:

5.6.11. Diagramas de secuencia del sistema:

Los diagramas de secuencia mostrados a continuación muestran las interacciones

entre los objetos organizados en una secuencia temporal, estos incluyen secuencias

temporales pero no incluyen relaciones entre objetos.

58

1. Diagrama de secuencia – controlar seguridad: Este diagrama muestra la

interacción de los usuarios con el Sistema, se muestra de manera cronológica,

los diferentes pasos requeridos para la validación de un usuario.

2. Diagrama de secuencia – creación de usuarios: Este diagrama muestra como

interactúan el usuario, el administrador y el Sistema, así como también los

pasos requeridos para incluir un usuario al sistema.

59

3. Diagrama de secuencia – inclusión de matrices: aquí se indica cómo debe ser

construidas las matrices por cada Gerencia e incluidas en el sistema siguiendo

los pasos mostrados en la mencionada figura, aquí interactúan el administrador

del sistema. y/o los usuarios con el sistema.

60

4. Diagrama de secuencia – modificación de matrices: aquí se describe la

secuencia de eventos que se deben ejecutar para modificar las matrices, es de

notar que solo puede ser modificada o actualizada por el administrador de las

matrices de Riesgo, para esto debe ser aprobado previamente por el gerente de

cada área.

61

5.6.12. Atributos:

A continuación se muestran las estructuras que deben poseer las bases de datos para

gestionar en el sistema los diferentes procesos establecidos.

Usuarios: Permite registrar los datos de los diferentes Usuarios del sistema.

62

Campo Tipo Null Clave Descripción

U_cod_usuario String No PK Clave personal que el banco establece a

cada empleado (BC)

U_nombre String No Nombre y Apellido del Usuario

U_administrador bolean Si o no es Administrador de la base de

Datos

U_perfil String No Se refiere al perfil del usuario que puede

ser Todos los accesos y derechos, de

carga el cual se le permite incluir

matrices, mantenimiento, seguridad, para

administrar tablas.

Cargo: Registra los cargos adscrito a la Dirección de Auditoría.


C_cod_cargo String*

3

No PK Código de los cargos adscritos a la

Dirección de Auditoría (DA)

C_cargo String No Nombre del cargo adscrito a la DA

Matriz de Riesgo: Permite registrar la descripción de las matrices de riesgos de cada

gerencia de Auditoría con los datos Código gerencia, código proceso, código

subproceso, código Riesgo, secuencial, Fecha, Evento de Riesgo, impacto,

probabilidad, valoración, causa del valor, afecta a prevención, el tipo de revisión, la

prueba asociada, la frecuencia y la norma.

63


M_cod_Matriz String*3 No PK Secuencial Numérico para cada

matriz

M_fecha Date No Fecha en que se realiza la

actualización de la matriz

M_evento String No Descripción del evento de

Riesgo correspondiente al

proceso y subproceso a avaluar.

M_impacto Entero No Impacto del riesgo

M_probabilidad Entero No Probabilidad de ocurrencia del

riesgo.

M_valoración Singel No Relacionado con el valor del

riesgo, de acuerdo al resultado

obtenido del impacto y la

probabilidad de ocurrencia del

evento.

M_justificación String No Causa de la valoración del

evento de riesgo.

M_afecta_Prevenci

ón

Bolean Identifica si el evento de riesgo

afecta prevención.

R_cod_Revisión String No Tipo de revisión para evaluar el

riesgo.

M_Prueba String Prueba asociada al riesgo

F_cod_frecuencia String No Frecuencia de revisión del

evento de riesgo

M_Normativa String Fuente de información que

documenta el evento de Riesgo.

64

Área de auditoría: Se registran las diferentes gerencias de Auditoría existentes en el

área como son: centralizada, sistemas, procesos, operativa y riesgos.


A_cod Gerencia String*

3

No PK Código de las gerencia adscritos a la

Dirección de Auditoría (DA)

A_Gerencia String No Nombre de las Gerencias de la DA

Riesgos: Se registran los tipos de riesgos aprobados por la alta Administración y los

Organismos Reguladores, a saber, Operacional, reputacional, financiero, Crédito y

legal.


R_cod_riesgo String*

3

No PK Código de los tipos de riesgos.

C_riesgo String No Nombre del tipo de riesgo.

Macro Procesos: Se registran los macro procesos a los cuales se asocia el riesgo.


Mp_cod_ Macro String*2 No PK Código del Macro proceso

Mp_Macro _ proceso String No Nombre del Macro proceso

Proceso: Se registran los procesos asociados a los Macro procesos.


P_cod _proceso String*3 No PK Código del proceso

P_Proceso String No Nombre del Proceso

65

Subproceso: Se registran los subprocesos asociados a los procesos.


S_cod_Subproceso String*3 No PK Código del subproceso

S_subproceso String No Nombre del subproceso

Tipo de Revisión: Se registran los tipos de revisión para evaluar el evento de riesgo:

a distancia, en sitio, Mixta o alerta temprana.


R_Cod_ Revisión String No PK Código del tipo de Revisión

R_Tipo_Revisión String No Nombre del tipo de Revisión.

Frecuencia: Se registran la frecuencia de revisión del evento de riesgo: Diaria,

semanal, quincenal, mensual, bimensual, trimestral, semestral o Anual.


F_Cod_Frecuencia String No PK Código de la frecuencia .

F_frecuencia String No Frecuencia de revisión.

Perfil: Se registran en esta tabla el código y descripción de los perfiles de acceso al

sistema.


P_Cod_Perfil String*

1

No PK Código del perfil

P_descripción String No Descripción del perfil

Acceso: Se registran en esta tabla el código del perfil el código del modulo

66

relacionado con cada perfil y las acciones permitidas


A_Cod Perfil String*

1

No Código del perfil

A_Cod_Modulo String*

1

No Código del modulo

A_Acceso Bolean Indica si tiene acceso al modulo

A_Crear Bolean Muestra si puede crear campos

A_Modificar Bolean Muestra si puede modificar campos

A_Eliminar Bolean Muestra si el usuario puede eliminar.

Modulo: Se registran en esta tabla el código y descripción de los perfiles de acceso al

sistema.


M_Cod modulo String*

1

No PK Código del modulo

M_Modulo String No Descripción del modulo

5.6.13. Diagrama de clases de diseño:

A continuación se presenta el diagrama de clases de diseño del sistema.

67

5.6.14. Esquema de bases de datos:

El diagrama entidad relación muestra las relaciones de la base de datos y el contenido

de sus tablas.

68

5.6.15. Funcionalidad del sistema:

Se elaboró un prototipo del sistema en el cual se contempló que el mismo consiste en

cuatro (4) módulos, que son los siguientes: matriz de riesgos, consultas,

administración y seguridad. Cada módulo presentará varias opciones de acuerdo a

los requerimientos establecidos. A continuación se detalla brevemente la

funcionalidad de cada uno de los módulos y se presentan las pantallas definidas.

Pantalla principal del sistema: Es la pantalla de presentación del sistema y que es

mostrada en cuanto el usuario accede a la aplicación.

69

Módulo matriz de riesgo: permite incluir y actualizar en el sistema todas las

matrices de riesgo de las diferentes Gerencias de la Unidad.

Módulo de consultas: permite consultar información de las matrices de riesgo, así

como también los mapas de procesos y subprocesos definidos en el sistema.

70

Adicionalmente, este módulo permite exportar reportes a otras herramientas

tecnológicas, como excel, con la finalidad de que los usuarios lo utilicen como

papeles de trabajo para la documentación de la auditoría y para cualquier

presentación que sea requerida.

Módulo de administración: permite ingresar y actualizar información relacionada

con los parámetros de campos definidos en el sistema, y los cuales son requeridos

para ingresar la información relacionada con las matrices de riesgo. Entre los

parámetros establecidos se encuentran: Tipos de riesgo, gerencias de la Dirección de

Auditoría, procesos, tipos de revisión, frecuencia de las revisiones y cargos.

71

Módulo de seguridad: en este módulo se podrá administrar y actualizar la

permisología de los usuarios que van a acceder al sistema, y definir sus perfiles de

operación.

72

CAPITULO VI

EL PROCESO DE APLICACIÓN DE LA METODOOGÍA

6.1. Aplicación de la metodología.

A continuación se presenta la metodología utilizada para elaborar el diseño del

sistema de gestión de matrices de riesgos propuesto para la Dirección de Auditoría de

Bancaribe.

Este proyecto siguió la metodología de desarrollo de sistemas orientada a objetos con

UML explicado por Juan de Dios Bátiz, el cual sigue el proceso de desarrollo

orientado a objetos propuesto por Craig Larman, este proceso es muy apropiado

porque aplica los últimos avances de la ingeniería de Software. Diferentes autores

dividen el desarrollo de un proyecto de sistema de información en fases, este proceso

por su parte no fija una metodología estricta, sino define una serie de actividades que

pueden realizarse en cada fase, las cuales deben adaptarse según las condiciones del

proyecto que se estén llevando a cabo.

La notación que se usa para los distintos modelos, es la proporcionada por UML, que

permite integrar con mayor facilidad en el equipo de desarrollo a nuevos miembros y

compartir con otros equipos la documentación. El proceso esta formado por una serie

de actividades y subactividades, cuya realización se va repitiendo en el tiempo,

aplicadas a distintos elementos. Cabe destacar que para la realización de este trabajo

de grado la metodología fue ejecutada hasta la fase de Construcción y hasta la sub

fase de diseño de bajo nivel.

Las tres fases al nivel más alto son las siguientes:

73

1. Planificación y Especificación de Requisitos: aquí se definen tanto la

planificación del proyecto como la definición de requisitos detallados, entre otros.

2. Construcción: Implica la construcción del sistema y dentro de esta etapa se

encuentran las siguientes sub fases.

a) Diseño de alto nivel: Se analiza el problema a resolver desde la perspectiva de

los usuarios y de las entidades externas que van a solicitar servicios al

sistema.

b) Diseño de Bajo Nivel: El sistema se especifica en detalle, describiendo como

va a funcionar internamente para satisfacer lo especificado en el diseño de

alto nivel.

c) Implementación: Se lleva lo especificado en el diseño de bajo nivel a un

lenguaje de programación.

d) Pruebas: Se llevan a cabo una serie de pruebas para corroborar que el software

funciona correctamente y que satisface lo especificado en la etapa de

Planificación y Especificación de Requisitos.

3. Instalación: La puesta en marcha del sistema en el entorno previsto de uso.

6.1.1. Fase de planificación y especificación de requisitos:

Esta fase corresponde con la especificación de requisitos ampliada con un borrador

de modelo conceptual y con una definición de casos de uso de alto nivel. Se recaba

toda la información para alimentar la base teórica del proyecto mediante guías,

manuales y textos bibliográficos.

Las actividades que se muestran a continuación son las que se desarrollaron durante

esta fase, pero lo normal es que estas actividades se solapen en el tiempo, esto sucede

también en las actividades de diseño, que se mostrarán más adelante.

74

• Definir el Plan-Borrador: Se recopilaron y analizaron aquellos elementos que

indican la necesidad de un nuevo sistema, se realizaron reuniones preliminares

con el personal de las unidades involucradas para definir la necesidad de un

cambio; luego de discutir, se determinaron las necesidades preliminares que

pueden o no justificar el desarrollo del sistema nuevo, así como los objetivos

del sistema de información, su alcance y las actividades para desarrollarlo.

• Crear el informe de investigación preliminar: Para esta actividad se obtuvo

la línea base de la arquitectura del sistema, se entrevistó a los usuarios de

diferentes niveles, se capturó la mayoría de los requisitos y se estableció la

arquitectura del ciclo de vida, calculando los tiempos, fechas de planificación y

finalización de la fase de construcción

• Definir los requisitos: se definieron los Requisitos de entrada (datos que

alimentan al Sistema para su posterior uso), Requisitos de salida (información

que el usuario desea obtener como resultado), Requisitos de almacenamiento

(información esencial que el usuario desea en la base de datos) y Requisitos

funcionales (Procesos y puntos específicos establecidos por el usuario, para que

el sistema realice).

• Identificar los requerimientos detallados: En esta fase debe describirse

detalladamente los requerimientos de los usuarios en cuanto al funcionamiento

del sistema para cada módulo de programas, de tal manera que sirvan de base

para la programación del mismo.

• Definir el ambiente operacional: Esta fase permitió definir los requerimientos

de operatividad e identificar el impacto en el ambiente actual de la plataforma

tecnológica de la Organización, para así lograr el desempeño requerido y

especificado por los usuarios.

75

• Implementar un Prototipo: Se definieron los diferentes módulos que

conformarían el sistema, así como también las pantallas iniciales y el flujo de

navegación en el sistema.

• Definir los casos de Uso (de alto nivel y esenciales): Un Caso de uso es un

documento narrativo que describe a los actores utilizando un sistema para

satisfacer un objetivo. No son requisitos ni especificaciones funcionales. Para

este trabajo se ejecutaron las siguientes actividades: Identificación de los

actores y los procesos en los que participan, identificación de los eventos

externos a los que el sistema debe responder y definición de los límites del

sistema (tanto internos como externos).

• Definir el Modelo Conceptual: El Modelo Conceptual permite tener una

representación de conceptos del mundo real, no de componentes software. El

objetivo de la creación de un modelo conceptual es aumentar la comprensión

del problema. Para la construcción del modelo se identificaron los conceptos y

los atributos mínimos requeridos.

• Definir la Arquitectura y ambiente del Sistema: En esta actividad se

determinó la arquitectura en la cual se instalará el sistema y los requisitos

mínimos necesarios para su operación, así como también de qué manera se

conectará el sistema con el resto de las aplicaciones utilizadas por los usuarios.

6.1.2. Fase de Construcción (diseño de alto nivel):

Esta fase buscó definir un modelo lógico a partir de lo encontrado durante la fase

anterior, con el fin de establecer los planes del proyecto sin entrar en detalles de

implementación. Las Actividades de la fase de diseño de alto nivel fueron las

siguientes:

76

• Elaboración de diagramas de secuencia del sistema: Una parte de la

descripción del comportamiento del Sistema se realiza mediante los diagramas

de secuencia del sistema. En cada caso de Uso se muestra a una interacción de

actores con el sistema. En esta interacción los actores generan eventos,

solicitando al sistema operaciones. Los casos de uso representan una interacción

genérica. Una instancia de un caso de uso se denomina escenario, y muestra una

ejecución real del caso de uso, con las posibles bifurcaciones alternativas

resueltas de forma particular.

• Elaboración del modelo Conceptual: en esta fase se identificaron los

conceptos que conforman el dominio del problema. Para representar estos

conceptos se usó un diagrama de estructura estática de UML, al que se llama

Modelo Conceptual. En este Modelo Conceptual se tiene una representación de

conceptos del mundo real, no de componentes software. El objetivo de la

creación de un modelo conceptual es aumentar la comprensión del problema.

Por tanto, a la hora de incluir conceptos en el modelo, es mejor crear un modelo

con muchos conceptos que olvidar algún concepto importante.

• Definición de Contratos de Operación: estos contratos describen el

comportamiento esperado del sistema en cada operación y los cambios en el

estado del sistema cuando una operación es invocada. Los pasos a seguir para

construir un contrato son los siguientes.

• Elaboración de los diagramas de Estados: Sirven para modelar el

comportamiento del sistema. La utilidad de un Diagrama de Estados en el

Diseño de Alto Nivel reside en mostrar la secuencia permitida de eventos

externos que pueden ser reconocidos y tratados por el sistema. Para los casos de

uso complejos se puede construir un Diagrama de Estados. El Diagrama de

Estados del sistema es una combinación de los diagramas de todos los casos de

uso.

77

6.1.3. Fase de Construcción (diseño de bajo nivel):

En esta fase se creó una solución a nivel lógico para satisfacer los requisitos,

basándose en lo diseñado en la fase anterior. Las actividades realizadas durante esta

fase fueron las siguientes:

• Definición de casos de uso reales: Estos describen el diseño real del caso de

uso según una tecnología concreta de entrada y de salida y su implementación.

El caso de uso implicó además, la definición de una interfaz de usuario, los

bocetos de las ventanas y detalles de la interacción a bajo nivel. En esta

actividad sólo se elaboraron los bocetos a nivel de diseño y se especificaron los

detalles para la fase de implementación.

• Elaboración de los diagramas de Interacción: Estos diagramas muestran el

intercambio de mensajes entre instancias del modelo de clases para cumplir las

post-condiciones establecidas en los contratos. Estos permiten tomar

decisiones clave acerca del funcionamiento del futuro sistema.

• Elaboración de diagramas de clases de diseño: Estos diagramas muestran la

especificación para las clases software de una aplicación e incluyen la siguiente

información: clases, asociaciones y atributos, Interfaces, Métodos,

Navegabilidad y Dependencias.

• Definición del ambiente técnico: En esta fase se definió la plataforma

requerida para la implantación del sistema y la red en la que debe ejecutarse

para satisfacer los requerimientos de procesamiento del negocio.

• Definición de la arquitectura de los datos: El propósito de esta fase fue

definir la estructura óptima de los datos y de las estructura de archivo, así como

también, la forma en que los archivos se van a interrelacionar unos con otros.

78

6.2. Presentación de la propuesta

Una vez elaborado el prototipo y el diseño detallado del sistema, se presentaron los

resultados a los niveles gerenciales de la Dirección de Auditoría, con la finalidad de

facilitará al usuario la comprensión y operación de cada una de las opciones

disponibles en el sistema y obtener retroalimentación sobre la propuesta.

En la presentación se brindó información sobre los siguientes aspectos:

• Objetivos y alcance del sistema y estructura del sistema.

• Funcionalidad e interfaces con los usuarios y otras aplicaciones.

• Definición de responsables y perfiles de usuario.

• Seguridad de operación del sistema.

Durante la presentación se recogieron sugerencias de mejora, las cuales fueron

incluidas en el diseño presentado y que fundamentalmente, estaban orientadas al flujo

de trabajo y de los datos dentro del sistema.

6.3. Diseño del proceso de gestión de cambio

Con la finalidad de apoyar a la Dirección de Auditoría en el proceso de gestión de

cambio se diseñó una estrategia general para ser aplicada en todos los niveles de

cargo y así transmitir a todo el personal de la Dirección la información relacionada

con el desarrollo y con la futura operación del sistema. Este proceso incluyó las

siguientes actividades:

6.3.1. Elaboración de una presentación para el personal: En esta presentación se

incluyeron los siguientes aspectos:

• Mostrar los resultados de los levantamientos de información con todas las

Gerencias de Auditoría y las oportunidades de mejora detectadas.

• Los objetivos, alcance y estructura del sistema.

79

• Facilidades de operación del sistema, tales como botones, teclas de función y

procedimiento de acceso.

• Proceso para realizar la carga y mantenimiento de las matrices de riesgo.

• Forma de efectuar consultas generales.

• Generación de reportes.

• Procedimientos de operación correspondientes a la carga de parámetros y

actualización de las tablas

• Seguridad del sistema, donde se delimita el acceso a la información manejada

por la aplicación, a través de la creación de perfiles y usuarios.

6.3.2. Elaboración del manual de usuario del sistema: Se elaboró el manual de

usuario del sistema, el cual constituye la documentación oficial que facilitará la

comprensión y operación de cada uno de los módulos que conforman el sistema.

6.3.3. Definición de plan de adiestramiento: Se diseñó el contenido y cantidad de

horas que se requieren para dictar el adiestramiento relacionado con el uso y

mantenimiento del sistema. Adicionalmente, se elaboró el cronograma de ejecución

del entrenamiento, de acuerdo a los niveles de cargo y a las funciones que

desempeñarán los usuarios en el sistema. Por otra parte, también se diseñó la

logística para dictar los talleres, lo cual incluyó la selección de salones, solicitud de

refrigerios y diseño de los certificados para los participantes.

80

__________________________________________________________________

FASE DE EVALUACIÓN

__________________________________________________________________

CAPITULO VII: EVALUACIÓN DEL PROYECTO

CAPITULO VIII: CONCLUSIONES Y RECOMENDACIONES

81

CAPITULO VII

EVALUACIÓN DEL PROYECTO

Tal y como se señaló en el Proyecto del Trabajo Especial de Grado,

específicamente en el apartado de Metodología, se desarrollará la Evaluación del

Proyecto, en este sentido se expone la evaluación realizada.

7.1. Resultados relevantes.

Después de efectuar levantamientos de información con personal de todos los

niveles de la Dirección de Auditorías, efectivamente se determinó que existían

debilidades en el proceso y se identificaron varias oportunidades de mejora para

hacer más eficiente la elaboración y administración de las matrices de riesgos, las

cuales son el principal insumo para definir la planificación anual de la Unidad.

Las debilidades detectadas y que generaban mayor impacto en el proceso son las

siguientes:

• Inexistencia de interacción entre las diferentes Gerencias al momento de

realizar las matrices de riesgo y diseñar el plan anual.

• Inexistencia de herramientas tecnológicas para administrar las matrices de

riesgo y efectuar seguimiento al plan anual.

• Inexistencia del mapa de procesos de banco.

Las oportunidades de mejora detectadas y que tienen una mayor relevancia para

las mejoras en el proceso son enumeradas a continuación:

82

• Realizar mesas de trabajo con los dueños de los procesos, previa a la

planificación para conocer los procesos a ser auditados.

• Realizar reuniones previas con los dueños de los procesos a fin de conocer los

cambios.

• Solicitar a la unidad de procesos del banco el mapa o diagrama de procesos de

la institución y/o elaborar un mapa de procesos desde la visión de la Dirección

de Auditoría.

• Analizar la valoración de los riesgos medios para determinar las prioridades de

revisión.



• Coordinar las revisiones comunes en las distintas áreas del banco con la

finalidad de formar equipos de auditoría integrales.

• Establecer un formato estándar para la elaboración de las matrices de riesgo.

• Implantar un Sistema Integrado donde se puedan incluir todas las matrices de

riesgo manejadas por la Dirección de Auditoría.

• Documentar el proceso de planificación anual

Adicionalmente, una vez identificadas las necesidades de todos los usuarios se

estableció un formato único para la construcción de las matrices de riesgo y se

desarrollaron una serie de instrucciones para proporcionar guía a los usuarios

sobre la información requerida en cada uno de los campos definidos. Este formato

sirvió como base para la definición de los requerimientos detallados del sistema

Finalmente, se logró elaborar los requerimientos detallados del sistema y un

diseño detallado de bajo nivel en cuanto a su funcionalidad y operación se refiere,

siendo esto el principal insumo para ejecutar su desarrollo y su posterior

implantación.

83

7.2. Comparación entre lo planificado y lo ejecutado

La principal diferencia entre lo planificado y lo ejecutado está relacionada con el

cumplimiento de las fechas del cronograma, lo cual conllevó a un retraso en la

entrega del trabajo final de aproximadamente tres (3) meses. Esto será detallado en el

punto siguiente.

Otra diferencia importante, es que en el inicio el trabajo se había considerado que los

levantamientos de información se realizarían únicamente en los niveles de Director y

de Gerentes de la Unidad, sin embargo, una vez realizados se determinó que era

necesario incluir en los levantamientos al resto del personal, ya que es en éstos en los

que se concentra la información detallada de la elaboración y administración de las

matrices. De hecho, al incluir a los demás niveles de empleados, se detectaron

muchas deficiencias y oportunidades de mejora que no se habían evidenciado en las

entrevistas sostenidas con Directores y Gerentes, lo cual enriqueció el proceso y los

requerimientos de funcionamiento del sistema.

Finalmente, a pesar de que la brecha entre lo planificado y lo ejecutado fue

significativa en cuanto a tiempo, la misma se justifica ampliamente en virtud de los

resultados obtenidos.

7.3. Revisión sobre el cronograma

En la ejecución del cronograma se presentó un retraso de aproximadamente tres

83) meses. La principal razón para el retraso en la entrega del informe se debió a

que no se pudo iniciar el trabajo en la fecha estipulada (01/12/2006), debido a

que el personal de la Dirección de Auditoría no disponían del tiempo requerido

para participar en los levantamientos de información y en la definición de

requerimientos detallados, por lo que el proyecto pudo dar inicio a partir del

01/02/2007. Adicionalmente, se estimaron dos (2) meses para la elaboración de

84

todas las actividades inherentes al proyecto, sin embargo, las mismas tomaron un

(1) mes adicional, ya que fue necesario conocer a fondo la arquitectura

tecnológica de la Organización para poder presentar una propuesta acorde con lo

que establecen los estándares, normas y políticas de “desarrollo de aplicaciones y

sistemas” y “seguridad de la información”, establecidos en la Organización. A

continuación se describe el cumplimiento del cronograma fase por fase, de

acuerdo a lo establecido:

• Elaboración del Marco Conceptual Referencial: En el cronograma se

estableció iniciar el 01/12/2006, sin embargo, la fecha real de inicio fue el

01/02/2007.

• Elaboración del Marco Organizacional: Se planificó iniciar en la segunda

semana de diciembre 2006 y se llevó a cabo durante la segunda semana de

febrero 2007.

• Elaboración del diagnóstico de la situación actual: Se estimaron 5 días para

ejecutar esta actividad pero en realidad se realizó en 10 días. Adicionalmente,

se inició la actividad el 09/02/2007 cuando estaba prevista para el 11/12/2007.

• Identificación de las oportunidades de mejora de los procesos: Esta actividad

se ejecutó durante la última semana de febrero 2007, en lugar de mediados de

diciembre 2006 y, además, implicó 15 días para la culminación de las

actividades, en lugar de los 5 días estimados en la planificación. Esta

actividad fue la que implicó una mayor brecha entre la cantidad de días

planificados y la cantidad de ejecutados.

• Definición de los requerimientos detallados: Se inició a mediados del mes de

marzo 2007 y tomó 10 días su ejecución en lugar de los 5 días planificados.

• Elaboración de la propuesta para el sistema de gestión de matrices: Esta fase

se comenzó durante la primera semana del mes de abril 2007 en lugar de la

primera semana de enero 2007.

85

• Evaluación de la propuesta: Se realizó a mediados de abril 2007, una vez

culminada la definición de la propuesta.

• Diseño del proceso de gestión de cambio: Se realizó a mediados de abril

2007.

• Evaluación del Proceso: Esta actividad se realizó a partir del 21/04/2007 e

implicó una cantidad de 5 días en lugar de 1 día planificado, ya que la

evaluación se realizó conjuntamente con los directores y gerentes de la


• Elaboración del informe final de grado: Debido al atraso general en la

ejecución del proyecto esta actividad se inició en la tercera semana del mes de

abril 2007 y no en la fecha establecida.

7.4 Logro de los objetivos planteados en la propuesta del estudio

Los objetivos planteas en la propuesta fueron ampliamente alcanzados y contribuyen

de manera efectiva a los procesos ejecutados por la Dirección de Auditoría de

Bancaribe.

Objetivo general: Diseñar un sistema de gestión para administrar las matrices de

riesgo para la Dirección de Auditoria del Bancaribe.

Este objetivo fue cubierto con la definición detallada de los requerimientos y

funcionalidad del sistema, los cuales son resultados de los levantamientos de

información realizados con los usuarios y basados en las expectativas que los mismos

tenían.

Objetivos específicos:

1. Efectuar un diagnóstico de la situación actual del proceso de elaboración y

mantenimiento de las matrices de riesgo de la Dirección de Auditoria;

86

determinando las oportunidades de mejora en el proceso de elaboración del plan

de auditoria: Se evidenciaron en los levantamiento de información diferentes

brechas y debilidades en el proceso de creación y administración de las matrices,

asimismo, se determinaron las posibilidades de mejora que podían ser aplicadas al

proceso.

2. Elaborar una propuesta de sistema de gestión de matrices de riesgo; definiendo los

procedimientos requeridos para la inclusión y actualización de las matrices de

riesgo en el sistema: Este objetivo se logró al proponer el diseño y estructura del

sistema que será utilizado para la carga y mantenimiento de las matrices del

sistema, así como también, la definición de los roles y perfiles para realizar estas

actividades.

3. Evaluar la propuesta elaborada para determinar la viabilidad y factibilidad de su

implantación: La propuesta fue evaluada conjuntamente con los directores y

gerentes responsables de la Dirección de Auditoría de Bancaribe.

87

CAPITULO VIII

CONCLUSIONES Y RECOMENDACIONES

8.1. Conclusiones.

Las matrices de riesgo deben ser una herramienta flexible que documente los

procesos y evalúe de manera global el riesgo de la institución. Una matriz debe ser

una herramienta sencilla que permita realizar un diagnóstico objetivo de la situación

global de riesgo y una participación más activa de las unidades de negocios,

operativas y funcionales en la definición de la estrategia institucional de riesgo de la

empresa.

Una Matriz de Riesgo adecuadamente diseñada y efectivamente implementada se

convierte en soporte conceptual y funcional de un efectivo Sistema Integral de

Gestión de Riesgo y permite hacer comparaciones objetivas entre proyectos, áreas,

productos, procesos o actividades.

Los sistemas de información tienen sus propias características y particularidades, y

juegan un rol fundamental para satisfacer las necesidades de información y facilitar la

ejecución de los procesos operativos de las organizaciones.

Cada sistema debe ser tratado con la metodología que mejor se adapte a los objetivos

del análisis para obtener un producto final de calidad. A través de la ejecución de las

actividades de la metodología utilizada, se logró obtener los requisitos detallados del

sistema de una manera eficiente. La metodología también permitió efectuar un

modelo adecuado de sistema haciendo que el mismo sea amigable y fácil de usar para

los usuarios y permitiendo manejar eficientemente la información disponible y

88

facilitando la adecuada toma de decisiones, para obtener resultados de una alta

calidad.

�

A partir de este momento la Dirección de Auditoría contará con una herramienta

automatizada que permite registrar datos y hacer consultas dinámicas que

contribuyan con el análisis de los riesgos potenciales a los que pudieran estar

expuesta la organización, y así ejecutar la planificación anual basada en los riesgos

importantes que deben ser evaluados.

La herramienta diseñada cubre con sus cuatro (4) módulos todas las necesidades de

los usuarios, planteadas en el proyecto y mejora los procesos operacionales del

personal de la Dirección de Auditoría.

8.2. Recomendaciones.

A la Dirección de Auditoría se le efectúan las siguientes recomendaciones:

• Culminar el desarrollo de la aplicación, de acuerdo a las especificaciones y

diseño planteado y de acuerdo con los estándares, normas y políticas existentes

en la empresa en lo que a desarrollo de sistemas y aplicaciones se refiere.

• Efectuar una fase de pruebas con la finalidad de corroborar que el software

funciona correctamente y que satisface lo especificado en la etapa de

Planificación y Especificación de Requisitos.

• Dictar los entrenamientos planificados para informar a los usuarios sobre la

operación del sistema y distribuir los manuales de usuario para que sirvan de

apoyo durante los entrenamientos y la ejecución.

89

• Implantar la herramienta en su ambiente real e iniciar las actividades rutinarias

y ajustar los procesos existentes para el uso de la misma.

• Realizar una evaluación post implantación para garantizar que los resultados

obtenidos son los esperados y ejecutar las acciones requeridas en caso de

observarse alguna desviación.

90

REFERENCIAS

• Montilva, J. (1990). Desarrollo de sistemas de Información Consejo de

publicaciones de la U.L.A.

• Pinilla Forero, J. (1997). Auditoría informática un enfoque operacional.

Bogotá.

• Pinilla Forero, J. (1999). Auditoría informática aplicaciones en

producción. Bogotá.

• http://www.jps.go.cr/licitaciones/metodología de desarrollo de sistemas.doc,

consultado el 19/01/2007.

• http://www.theiia.org/guidance/standards-and-practices, consultado el

15/03/2007.

• http://www.capgemini.es/sectores/finanzas/riesgos.htm, consultado el

20/04/2007.

• http://dmi.uib.es/~bbuades/riesgos/sld003.htm , consultado el 15/04/2007.

• http://www.cemla.org/pdf/aud-991109-mex.PDF, consultado el 19/03/2007.

• http://www.clubgestionriesgos.org/show_annex.html?id=29576, consultado el

19/03/2007.

• http://www.bancaribe.com.ve/, consultado el 01/02/2007.

• http://www.buniak.com/negocio.php?id_seccion=8&id_documento=248,

consultado el 15/03/2007)

gestión de matrices de riesgo para la dirección de ...159.90.80.55/tesis/000135404.pdf · en...

Documents