El proceso de emisión de los Informes sobre los Exámenes de Auditoría

1. Objetivos

Comunicar:

• El proceso de emisión de los Informes sobre los Exámenes de Auditoría y de la correspondiente respuesta por parte de las unidades auditadas.
• Los calificativos que se asignarán como resultado de los exámenes de evaluación efectuados por la Gerencia de División Auditoría.
• Que los calificativos emitidos por la Gerencia de División Auditoría, serán tomados en consideración para las evaluaciones de los responsables de las Gerencias de División, Gerencias de Área, Gerencias, Subgerencias o Unidades examinadas.
• Que las Unidades de Auditoría Interna o UAI (conforme es definida por la Resolución SBS 11699-2008 y otras normas aplicables) de Credicorp y sus subsidiarias y afiliadas, reconocen la naturaleza obligatoria de la Definición de Auditoría Interna, el Código de Ética y las Normas del Marco Internacional para la Práctica Profesional (“MIPP”) de la Auditoría Interna del Instituto de Auditores Internos Global (“IIA” por sus siglas en inglés), y también tendrán en cuenta sus  Guías de Implementación / Consejos para la Práctica, así como los documentos de Posicionamiento y Guías Prácticas regularmente publicadas por el IIA. Asimismo, el BCP ha incorporado el cumplimiento del “Marco Global de Competencias de Auditoría Interna 2014” definido por el IIA.

2. Alcance

Corporación Credicorp Limited y subsidiarias y afiliadas.

3. De los Exámenes de Auditoría

1. De la Reunión Preliminar

La Jefatura de la Gerencia de División y/o las Jefaturas de las Gerencias que integran la Gerencia de División, presentarán a la unidad auditada y/o dueño/ owner / responsable del proceso auditado (en adelante indistintamente “unidad auditada”), el equipo de trabajo designado para desarrollar el Examen de Auditoría, un resumen del objetivo principal y los objetivos secundarios, el alcance de trabajo, los principales aspectos metodológicos, los recursos necesarios y el tiempo estimado para realizar el trabajo.

La unidad auditada prestará su colaboración para el desarrollo de las funciones encargadas al equipo de trabajo.

1. De la Reunión Final

Al finalizar la visita de Auditoría, se convocará a una reunión de trabajo con los responsables de la unidad auditada, para exponer los resultados de la misma.

Concluida la reunión de trabajo, la Jefatura de la unidad auditada, podrá solicitar una copia de las principales observaciones del resultado de la visita.

La unidad auditada, si lo considerara pertinente, podrá alcanzar a la Gerencia de División Auditoría en un plazo no mayor de 5 días útiles posteriores a la reunión de trabajo, sus comentarios a las observaciones para ser incluidas en el Informe.

4. De la Emisión de los Informes de Auditoría

Antes de la emisión del Informe sobre el resultado del Examen de Auditoría, se remitirá a la unidad auditada el Borrador del Informe, para que, en un plazo no mayor de 3 días útiles, alcance su conformidad o sus comentarios finales. Transcurrido los 3 días útiles y de no haber recibido la conformidad o los comentarios finales, se asumirá la conformidad respectiva.

La Gerencia de División Auditoría emitirá el Informe sobre el resultado del Examen de Auditoría en un plazo no mayor a 30 días desde la entrega del Borrador de Informe por parte del Jefe de Equipo al Supervisor.

El Informe incluirá en forma detallada los objetivos y alcance del trabajo así como el resultado del examen, todas las observaciones y deficiencias administrativas, financieras y operacionales detectadas durante el Examen de Auditoría, así como las recomendaciones y aspectos de mejora encontrados durante el trabajo de campo, y los planes de acción para superarlas; en concordancia con la Norma 2410 del IIA.

El contenido general de los Informes de Auditoría será el siguiente:

• Objetivo del examen
• Información relevante
• Resultado del examen
• Resultados de los principales controles evaluados
• Gerencias responsables
• Alcance del trabajo realizado y procedimientos aplicados
• Riesgos y controles evaluados en la presente auditoria, se detallan en el Anexo A.
• Aspectos del Control Interno conforme a la metodología  COSO (Committee Of Sponsoring Organizations of the Treadway Commission) o COBIT (Control Objectives for Information and related Technology) según corresponda, se detallan en el Anexo B.
• Seguimiento de observaciones y oportunidades de mejora de años anteriores, se detallan en Anexo C.
• Observaciones y sus recomendaciones
• Oportunidades de mejora

Asimismo, si durante el trabajo de auditoría se encuentra una deficiencia, falta de control o error de diseño que pone en riesgo inminente y sustancial el resultado de las actividades de la unidad y/o proceso auditado, el auditor responsable deberá informar de este hecho inmediatamente al Gerente de la División de Auditoría para tomar las acciones correctivas necesarias. Entre estas acciones se encuentran, sin carácter limitativo, informar al jefe de la unidad o proceso auditado y/o a su línea de reporte directo, informar a la Gerencia General, informar al Presidente del Comité de Auditoría.

1. Valoraciones dadas a los hallazgos/ observaciones

Las deficiencias u observaciones pueden ser de riesgo residual crítico, alto, relevante, moderado o bajo y ellas se identifican como tal en la relación de las observaciones del informe. El riesgo residual es una combinación del impacto, la frecuencia y la efectividad de los controles.

Impacto: extensión de la pérdida ocasionada, del desgaste de la imagen de la Compañía, de la reducción de sus negocios, de su rentabilidad y liquidez y de su valor patrimonial o de mercado, provocado por un evento determinado, no siempre sensible de medición financiera, y está subdividido en las siguientes categorías:

[pic 1]

[pic 2]

Frecuencia: dice respecto a la probabilidad de ocurrencia de cierto evento de riesgo, considerando la frecuencia de ejecución de la actividad en la cual está insertada, en un determinado espacio de tiempo (hora, día, semana, mes y año), y está subdividida en las siguientes categorías:

[pic 3]

El Riesgo Inherente es el resultado del producto del impacto y la frecuencia a las que el riesgo está asociado, independientemente de los aspectos a los cuáles el Banco tiene implementados para su mitigación como son: procesos, ambiente de control, estructura organizacional, tecnología, entre otros.

A continuación presentamos la Matriz de Riesgo Inherente, cuyos valores de Impacto y Frecuencia han sido homologados con la Gerencia de Área Administración de Riesgos de Operación y Gestión de Seguros y aprobados por el Comité de Riesgos:

[pic 4]

El Riesgo Residual es el resultado de aplicar un factor de reducción (control y frecuencia) a la Matriz de Riesgo Inherente (impacto y frecuencia), después de haber efectuado la evaluación de los controles internos. Para este efecto, se ha adoptado el supuesto que el funcionamiento adecuado de los controles sólo mitiga la frecuencia del riesgo para el cálculo matemático del modelo.

Por lo tanto, de la aplicación del factor de reducción a las matrices de impacto y probabilidad, mediante fórmulas definidas en el Manual de Metodología de Auditoría Interna, da como resultado la clasificación del riesgo residual:

Clasificación del Riesgo Residual

[pic 5]

1. Interpretación de las observaciones

En base al apetito de riesgo aceptado por la alta dirección, al nivel de los riesgos residuales  y a los resultados de las pruebas realizadas sobre la efectividad de controles, las observaciones se clasifican conforme a la metodología expuestas líneas arriba. Sin embargo, la Unidad de Auditoría Interna considerará también aspectos cualitativos fundamentales al momento de la evaluación, primando el juicio profesional y la experiencia del equipo de auditoría en su conjunto. En consecuencia, las observaciones pueden catalogarse cualitativamente de la siguiente manera:

Riesgo Crítico

1. Tienen el potencial de generar graves pérdidas financieras y por tanto poner en riesgo significativo  la fortaleza financiera de la organización.
2. Representan graves casos de incumplimiento de leyes y regulaciones.
3. Tienen el potencial de poner en grave riesgo la reputación del Banco.
4. Tienen el potencial de poner en grave riesgo la autorización de funcionamiento del Banco u originar una intervención.
5. Tienen el potencial de poner al Banco a Régimen de Vigilancia.

Riesgo Alto

1. Tienen el potencial de generar significativas pérdidas financieras, y poner en  riesgo alto la seguridad y fortaleza de la organización
2. Representan significativos casos de incumplimiento de leyes y regulaciones.
3. Tienen el potencial de poner en significativo riesgo la reputación del Banco.
4. Tiene el potencial riesgo de suspensión de directores o empleados del Banco por parte de los entes reguladores.
5. Tienen el potencial riesgo de suspensión de la colocación de una oferta pública o suspensión de la negociación de uno o más valores por parte de la Superintendencia del Mercado de Valores (SMV) o tienen el potencial riesgo de exclusión de un Valor del Registro Público del Mercado de Valores por parte de la SMV o de otros reguladores de mercados de valores.

Riesgo Relevante

1. Tienen el potencial de generar importantes pérdidas financieras.
2. Representan incumplimientos de normas internas del Banco.
3. Tienen el potencial de poner en moderado riesgo la reputación del Banco.
4. Tienen el potencial de generar multas por parte de la SBS u otras autoridades.
5. Representan incumplimientos de cláusulas contractuales que deriven en demandas y daños a la entidad.

Riesgo Moderado

1. Tienen el potencial de generar moderadas pérdidas financieras.
2. No aseguran un cumplimiento integral de normativas internas.
3. Tienen el potencial de poner en bajo riesgo la reputación del Banco.
4. Tienen el potencial de exponer a la organización a amonestaciones de los entes reguladores.
5. Representan incumplimientos de cláusulas contractuales que podrían derivar en pérdidas menores a la entidad.

Riesgo Bajo

1. Tienen el potencial de generar pérdidas menores  para el Banco.
2. Son considerados necesarios para impedir que en el mediano plazo la actuación o administración de las operaciones de la organización pierda su eficiencia.

Adicionalmente, una oportunidad de mejora es utilizada para mejorar los procesos, la gestión, los controles  y los resultados del proceso o unidad auditada conforme a las mejores prácticas tanto de otras unidades o procesos de la Corporación como de otras empresas y/o industrias y servicios. Su implementación es opcional.

5. De la Respuesta a los Informes de Auditoría y Seguimiento de Observaciones

1. La Gerencia de División de Auditoría efectuará el seguimiento de las observaciones efectuadas por los Organismos Reguladores, los Auditores Externos y la Gerencia de División Auditoría.  El estado de las observaciones emitidas por la (SBS) se reportan cuatrimestralmente (dentro de los 20 días posteriores al cierre de cada cuatrimestre) a través del aplicativo SIRAI. Asimismo, se presenta al Comité de Auditoría un informe conteniendo el estado de las observaciones emitidas por la SBS, Auditoría Externa y Auditoría Interna.
2. La División de Auditoría cuenta con una herramienta tecnológica llamada TeamMate en la cual se registra la totalidad de observaciones. Para realizar un eficiente seguimiento de observaciones se emplea uno de los módulos de la herramienta, llamado TeamCentral. En dicho módulo se cargan las observaciones y los sustentos de las unidades auditadas, para realizar esta labor se han definido los siguientes roles:
3. Observador (Gerente Central, División, Área): visualiza la totalidad de las observaciones asignadas a su unidad, por status (superada, en proceso o pendiente), nivel de riesgo, y antigüedad respecto a la fecha de implementación del plan de acción. Asimismo visualiza las respuestas de su Propietario y Colaboradores a la División de Auditoría.
5. Propietario (Gerente, Sub-Gerente o Sub-Gerente Adjunto): centraliza y comunica la respuesta final acerca de la situación de las observaciones de la unidad auditada a la División de Auditoría. Está definido que este rol sea ocupado por una persona a nivel de la unidad, para casos excepcionales que se requiera más de una persona, esta solicitud deberá ser evaluada y aprobada por la División de Auditoría. Este rol es el encargado de coordinar al interno de su unidad, el cumplimiento de los planes y fechas de implementación propuestas así como ser el nexo entre la unidad auditada y la Unidad de Seguimiento de Observaciones.
7. Colaborador: es el responsable de elaborar las respuestas acerca de la situación de las observaciones de la unidad auditada, y le comunica al Propietario cuando una observación es considerada como superada a fin de que éste realice el cambio de estado a Implementada por Verificar en el TeamCentral.
8. El estado de las observaciones se clasifica de la siguiente manera:
9. Pendiente: Observación por la cual aún no se ha iniciado acción alguna por parte de la unidad auditada.
10. En Proceso: Observación por la cual ya se cuenta con un plan de acción en desarrollo y una fecha estimada de implementación.
11. Cerrada: Observación ya implementada por la unidad auditada y verificada por la División de Auditoría.
12. A continuación se detallan los procedimientos empleados en la gestión de las observaciones emitidas por Auditoría Interna, SBS, y Auditoría Externa:

Auditoría Interna:

Observaciones emitidas por Auditoría Interna: En un plazo no mayor a 30 días calendarios de recibido el informe, la unidad auditada deberá dar respuesta a sus observaciones a través del Sistema TeamCentral. En dicha respuesta deberá sustentar las regularizaciones efectuadas con posterioridad a la auditoría y/o, exponer las medidas correctivas a adoptar (plan de acción) para superar las observaciones efectuadas.

...