Condición
En la Matriz de Riesgos Potenciales observamos algunos eventos a los cuales no se han identificados controles y corresponden a procesos que intervienen directamente en el negocio como los que mencionamos a continuación: Captaciones, Créditos, Gestión de TI, Gestión Financiera, Gestión Estratégica, Gestión Legal como por ejemplo: Falta de control en la entrega de efectivo a asesores comerciales (ejecutivos), no aplicación de tasas de penalización en depósitos precancelados.
Algunos controles que constan en la matriz no han sido incluidos entre las responsabilidades y procesos de la normativa interna, lo que ocasiona desconocimiento por parte de los ejecutores de los procesos en la aplicación de los controles identificados y de los riesgos que conllevan una inadecuada o falta de aplicación. Ejemplos:
Evento identificado: “Robos de tarjetas con claves a asesores comerciales”, control establecido: “Establecer política de entrega de tarjeta y clave exclusivamente al socio”, no consta en el Manual de Tarjetas de Débito.
Evento identificado: “Sustracción o perdida de certificados prenumerados del área de inversiones” control establecido: “Diariamente el JEFE DE AGENCIA o su delegado deberá conciliar los documentos de emisión, renovación y cancelación de DPF con reporte del sistema FIT.”, no consta en el Manual de Captaciones a la plazo fijo.
Criterio
Una matriz de riesgo constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.
Causa
La matriz de eventos de riesgos potenciales, está siendo depurada, por lo que existen riesgos para los cuales aún no se han establecido los controles claves, por otra parte la normativa interna cuenta con un cronograma de actualización en el que se incluirá los controles identificados.
PTH 9/10
106
EfectoAl existir riesgos potenciales que no cuentan con el debido control, la Cooperativa se encuentra completamente expuesta a la materialización del riesgo, lo que podrían generar pérdidas a la institución.
Conclusión
En la Matriz de Riesgos Potenciales no se han identificados controles a procesos que intervienen directamente en el negocio, además existen controles que constan en la matriz y que no han sido incluidos entre las responsabilidades y procesos de la normativa interna, lo que ocasiona desconocimiento por parte de los ejecutores de los procesos en la aplicación de los controles quedando expuesta la Cooperativa a la materialización del riesgo.
Recomendación A la Gerencia de Riesgos Integrales
Depurar la matriz de eventos potenciales considerando las observaciones mencionadas, así mismo deberá determinar los controles claves que intervienen en los diferentes procesos registrándolos en la Matriz de Riesgos, los mismos que deberán ser incluidos en la normativa interna, lo que permitirá mantener un conocimiento de los controles que están asignados a los responsables, sensibilizando la importancia de los controles en toda la Institución, contribuyendo en la mitigación de riesgos potenciales identificados.
Fuente: Matriz de Riesgos Potenciales de la Cooperativa Jep Ltda., año 2012.
Realizado por: AGRC Fecha:01/10/2013
107
COOPERATIVA DE AHORRO Y CRÉDITO
“JUVENTUD ECUATORIANA PROGRESISTA LTDA.”.
AUDITORIA A LA UNIDAD DE RIESGOS INTEGRALES COMPONENTE: ADMINISTRACIÓN DE RIESGO DE CRÉDITO
HOJA DE HALLAZGOS
PERIODO ENERO-DICIEMBRE DEL 2012
Título Inadecuada Conformación del Comité de Administración Integral de Riesgos
Condición
En revisión efectuada a las actas correspondientes a las sesiones ejecutadas durante el periodo de enero a diciembre del 2012, se puede observar que se indica como integrante obligatorio del CAIR a personal del área de Comercialización y Operaciones. Es así que en las actas de la 116 a la 128 se registró la participación como miembros y no como invitados a la Directora Comercial y Operaciones, Gerente de Comercialización o Gerente de Operaciones
Criterio
El Título X De la Gestión y Administración de Riesgos Sección III, en su numeral 14 menciona “Los miembros del comité y unidad responsable de la administración integral de riesgos, serán independientes de las áreas de gestión comercial y operativa de la institución”.
Causa
Se considera como integrantes a las áreas de Comercialización y Operaciones para crear responsabilidad compartida en lo que respecta la administración de Riesgos.
Efecto
Esta situación además de generar la posibilidad de ser sujetos de observación por el Organismo de Control por el incumplimiento normativo, origina que pueda entenderse como falta de independencia entre la administración de los riesgos y la gestión comercial y operativa.
Conclusión
Al considerar como integrante obligatorio del CAIR a personal del área de Comercialización y Operaciones, la Cooperativa se expone a ser sujetos de observación por el Organismo de Control por el incumplimiento normativo, además origina que pueda entenderse como falta de independencia entre la administración de los riesgos y la gestión comercial y operativa.
Recomendación
Al Comité de Administración Integral de Riesgo
Convocar al área Comercial y de Operaciones en calidad de invitados, con el objetivo de demostrar imparcialidad, objetividad e independencia en la administración de riesgo crediticio, asegurando la disposición del Organismo de Control.
Fuente: Actas del Comité de Administración Integral de Riesgos año 2012 y Codificación de Resoluciones
de la SBS
Realizado por: AGRC Fecha:01/10/2013 PTH 10/10