Comunicación “A” 8168: Normas Mínimas sobre Controles Internos para Entidades Financieras

A través de la Comunicación “A” 8168, el Banco Central de la República Argentina da a conocer el nuevo texto ordenado de las Normas Mínimas sobre Controles Internos para Entidades Financieras, se realizaron adecuaciones en los Anexos I a VI. 

Esta es la actualización normativa más esperada por los equipos de auditoría, a partir de la publicación de la presente norma se actualizan cuestiones clave relacionadas con las responsabilidades del Comité de Auditoría, asegurando que la auditoría interna cuente con recursos suficientes y adecuados para cumplir sus funciones, que los equipos reciban la capacitación suficiente para evaluar temas regulatorios;  adicionalmente se incorporan los aspectos de cumplimiento relacionados a las Comunicaciones A 7724 y A 7783, incorporando al Ciclo Tecnología informática y  temas relacionados con Seguridad de la información. 

Entre los temas más relevante para el Comité de Auditoría no solo menciona los conocimientos que un integrante del mismo reviste la calidad de experto contable; sino también que los miembros del comité deben contar con un programa de capacitación.  

Modificaciones Principales

Evaluación de riesgo

Se deberá efectuar procedimientos dirigidos a identificar y evaluar los controles internos establecidos a fin de prevenir y detectar indicios de fraude incluyendo el riesgo de cohecho trasnacional. 

Roles y responsabilidades del personal de las entidades financieras 

Auditoría Interna 

Es necesario que los auditores internos tengan la capacitación y experiencia necesarias para la evaluación de temas relacionados con los aspectos regulatorios que deben cumplir las entidades financieras. En particular, las pruebas de estrés, los planes de contingencia implementados, las metodologías de medición de los riesgos y cualquier otro modelo relevante utilizado. 

Comité de Auditoria 

  • A los efectos de considerar que un integrante reviste la calidad de experto contable se requiere que acredite poseer, entendimiento y aplicación de Normas Contables Profesionales vigentes y las normas del Banco Central de la República Argentina.   

  • Deberá implementar programas de capacitación para sus miembros que les permita adquirir los conocimientos necesarios para cumplir adecuadamente con sus funciones. 

  • Debe contar con un reglamento que regule su funcionamiento  

  • El libro especial de control interno podrá documentarse en formato electrónico,  

Metodología para la evaluación del Control Interno  

Procedimientos de auditoria continua 

Los procedimientos de auditoría continua deben ser documentado y considerado en la calificación de los ciclos correspondientes. Los medios tecnológicos mencionados pueden incluir el uso de técnicas avanzadas de análisis de datos masivos (big data), automatización de tareas repetitivas (bots) y el uso de análisis predictivos, entre otros. 

Otros Procedimientos

  • Revisión de los procedimientos de control interno implementados para la estimación de las Perdidas Crediticias Esperadas (PCE).  

  • Verificación del cumplimiento de las medidas mínimas de seguridad en Entidades Financieras establecidas por el B.C.R.A.  

Informes de Auditoría Interna 

Deberá emitirse un informe final por cada ciclo relevante evaluado, que considere los resultados de los informes emitidos como consecuencia de las tareas de control vinculadas al mismo 

Ciclo tecnología y seguridad de la información 

Sin perjuicio de que la labor de auditoría interna deberá realizarse conforme la normativa vigente en la materia al momento de la respectiva auditoría, se destacan, a título enunciativo, los siguientes nuevos aspectos a considerar en la citada evaluación, incluidos en las normativas actualmente vigentes:  

Servicios financieros digitales: 

  • Gestión de riesgos de los servicios financieros provistos por medios digitales. 

  • Protección de los servicios financieros provistos por medios digitales. 

  • Detección y monitoreo. 

Sistemas de información y aplicativos. 

  • Se evaluará el diseño del control (primera revisión o cuando tuviera cambios) y el funcionamiento de este, cuando sea aplicable. 

  • aplicación de un enfoque basado en riesgos que considere la criticidad y relevancia de los requisitos normativos no incluidos en el ítem anterior. Se deberá considerar el resultado de la evaluación de riesgos de tecnología y seguridad de la información, y la efectividad de los controles internos relacionados. 
     

Procedimientos mínimos de auditoría a aplicar en oportunidad de la revisión del ciclo para cada ejercicio: 

  • Gobierno de tecnología y seguridad de la información  

  • Evaluar el marco de gobierno de tecnología y seguridad de la información establecido por la entidad.  

  • Verificar que el mismo considere los objetivos previstos en el requisito normativo. Verificar la asignación formal de roles y responsabilidades para el Directorio, la Alta gerencia, las Áreas de tecnología y seguridad de la información y, el Comité de gobierno de tecnología y seguridad de la información.  

  • Evaluar los controles relacionados con la Segregación de funciones. 

Servicios Financieros digitales: 

  • Verificar los análisis de riesgo vinculados con la provisión de servicios por medios digitales y que los mismos se encuentren en concordancia con lo establecido en el TO sobre Requisitos Mínimos para la Gestión y Control de los Riesgos de la Tecnología y Seguridad de la Información. – 

  • Protección de los servicios financieros provistos por medios digitales. 

  • Verificar que este marco de controles considere como mínimo los siguientes criterios:
      
    - El cliente deberá estar identificado y autenticado para efectuar cualquier tipo de transacción 
    - Implementar técnicas de autenticación multifactor acordes a los niveles de riesgo, al resultado del monitor 

  • En cuanto a los controles sobre dispositivos y aplicaciones provistos por la organización, evaluar la implementación de los controles relacionados con los aspectos: 

    - Aplicaciones provistas por la organización
    - Dispositivos provistos por la organización 

  • Con respecto al control de accesos, evaluar los requisitos establecidos para los factores de autenticación. Verificar la implementación de los controles relacionados con los aspectos: 

    - Secreto memorizado.  
    - Autenticación fuera de banda.  
    - Claves de un solo uso (OTP).  
    - Tarjetas de pago (débito, crédito o prepago) y elementos físicos de autenticación. 
     

Estas modificaciones deberán tenerse en cuenta para la presentación del planeamiento anual de las auditorías internas correspondiente al año 2025. 

Cómo podemos ayudarte desde BDO 

  • Auditoria Continua 

  • Auditoría de Servicios Financieros Digitales

  • Auditoria de Tecnología Informatica y Seguridad de la Información 

  • Capacitación a los Directores Integrantes del Comité de Auditoria 

  • Diagnóstico de la Auditoría Interna y grado de maduración para alinearse a lo requerido por la normativa 

  • Procedimientos específicos y revisiones especiales (Pérdida Esperada, P.U.S.F., Comercio Exterio, Sucursales) 

 

Contactanos