Actividades en el año 2011

auditoria-2011

La FEPCMAC, durante los cuatro últimos años, ha orientado sus servicios de auditoría y consultoría a fortalecer y consolidar la Gestión Integral de Riesgo (GIR) en el sistema de CMAC.

Con tal propósito, en el año 2011 se contrató los servicios de Ernst & Young Asesores (E&Y) para que, a través de visitas de trabajo en las CMAC, realice una evaluación de la gestión del riesgo operacional, incluyendo el seguimiento a los Planes de Acción formulados por la consultora Deloitte & Touche en el 2009 referidos a la gestión de continuidad del negocio (GCN) y gestión de seguridad de la información (GSI).

Dada la necesidad de contar con un mayor patrimonio efectivo para cubrir los requerimiento del regulador, el servicio de E&Y estuvo orientado principalmente a evaluar cuanto han avanzado las CMAC en cumplir con los requisitos para postular al Método Estándar Alternativo (ASA), identificando las brechas y la criticidad de las mismas; y a su vez, formulen las acciones a seguir para cada una de las Oportunidades de Mejora (OM) que sugieran.

Los informes finales emitidos por E&Y para cada CMAC contienen principalmente lo siguiente:

  • Un Resumen ejecutivo  que incluye: el nivel de cumplimiento en la implementación de la normativa y las buenas prácticas para la    implementación de la gestión del riesgo operacional; un Benchmark, comparando a la CMAC con el promedio del grupo de CMAC a     la cual pertenece; el Valor Agregado de E&Y; un resumen de las OM y del Plan de Acción; y,  Comentarios y Conclusiones.
  • La descripción del trabajo realizado, que incluye: análisis e identificación de las brechas, nivel de cumplimiento de los planes de acción sobre la GCN y GSI.
  • Los Planes de Acción CMAC, conteniendo las OM separadas en aquellas que son de cumplimento regulatorio y  las que corresponden a buenas prácticas. Para el caso de las OM correspondientes a las buenas prácticas, E&Y señala en su informe que, la decisión para su desarrollo e implementación compete única y exclusivamente a los responsables de las CMAC, conforme a sus planes, objetivos estratégicos y presupuestos.

En conclusión, la labor realizada por la FEPMAC a través de E&Y contribuyó en forma positiva y generó valor, al haber realizado un diagnóstico y establecido un nivel de cumplimiento, así como formulado sugerencias u OM orientadas a continuar o culminar con la implementación de las normas emitidas por la SBS, para la gestión del riesgo operacional en cada CMAC. También, permitió que las CMAC sean evaluados y tengan la opinión de una empresa especializada como E&Y sobre la gestión del riesgo operacional y cuanto han avanzado en la implementación de la respectiva normativa establecida por la SBS; principalmente, sobre los requerimientos para postular al ASA. Es importante resaltar que E&Y, adicional a los servicios contratados y como un valor agregado, realizó charlas y reuniones de capacitación a funcionarios en todas las CMAC, incluyendo en algunos casos a Directores. Finalmente, E&Y  presentó ante el Comité Directivo de la FEPCMAC el informe ejecutivo sobre la evaluación realizada a las doce CMAC, cuyas principales sugerencias a las CMAC se incluyen líneas abajo.

A LAS CMAC MAYORES
  • Definir y desplegar una metodología de evaluación de procesos que permita identificar los procesos críticos de las CMAC’s a fin de realizar la evaluación, desde el enfoque de procesos, de los riesgos operacionales asociados a dichos procesos.
  • Realizar el monitoreo, evaluación y presentación de resultados de los Indicadores claves de riesgos (KRI´s).
  • Definir y desplegar un sistema de incentivos que involucre a cada una de las áreas de la CMAC.
  • Fortalecer el procedimiento de conciliación de eventos de pérdida sobre la base de las cuentas definidas en la normativa.
  • Definir y desplegar un Plan de Capacitación con la finalidad de fortalecer la Gestión de Riesgo Operacional.
  • Identificar, evaluar y monitorear los de riesgos operacionales desde el enfoque basado en procesos.
  • Definir y desplegar la metodología para la ejecución de las pruebas de efectividad.
  • Definir y desplegar la metodología de evaluación de riesgos sobre cambios significativos y nuevos productos.
  • Definir y desplegar la metodología de evaluación de riesgos sobre cambios subcontratación significativa.
A LAS CMAC MEDIANAS
  • Definir un sistema de incentivos que incluya tanto los aspectos monetarios como no monetarios, involucre a cada una de las áreas de las CMAC, y vincule los resultados de las evaluaciones del sistema de desempeño.
  • Definir Políticas y Procedimientos para la presentación de informes al Directorio y Gerencia sobre la Gestión de Riesgo Operacional.
  • Definir y desplegar la metodología de evaluación de riesgos para los cambios significativos, nuevos productos, y pruebas de efectividad de controles.
  • Definir un inventario de procesos en cada una de las CMAC´s y una metodología de priorización de procesos que permita identificar de manera objetiva los procesos críticos.
  • Definir la metodología para la gestión de Indicadores Claves de Riesgo (KRI’s), a nivel de identificación, registro y monitoreo.
  • Definir el procedimiento para la identificación, registro y mantenimiento de la Base de eventos de pérdida.
  • Completar las actividades realacionadas al cumplimiento de los planes de acción definidos para el cumplimiento de la Circular G-139 y G-140.
A LAS CMAC MENORES
  • Definir un Plan de Capacitación, a nivel de frecuencia y contenido, tanto para el personal de la unidad especializada en riesgo operacional, así como para cada una de las áreas de las CMAC´s.
  • Realizar periódicamente el monitoreo del Plan de Capacitación a fin de validar el cumplimiento del mismo. Asimismo, involucrar a la Unidad de Riesgo Operacional en la participación del diseño del Plan de Capacitación de los cursos a impartir por el personal.
  • Definir y asignar las responsabilidades a cada uno de los entes participantes en la Gestión de Riesgo Operacional en la CMAC, documentar las funciones y responsabilidades en el MOF y en el Manual de Riesgo Operacional.
  • Evidenciar la participación activa del Directorio, a través de la documentación de las Actas de Directorio y tomar decisiones con respecto al Plan de Acción establecido en dichas sesiones.
  • Definir los límites a partir de los cuales los riesgos operacionales serán gestionados.
  • Definir la metodología y alcance para la evaluación de riesgos operacionales por cambios significativos, nuevos productos y subcontratación significativa.