stringtranslate.com

Autoevaluación de control

La autoevaluación de control es una técnica desarrollada en 1987 que utilizan una variedad de organizaciones, incluidas corporaciones, organizaciones benéficas y departamentos gubernamentales, para evaluar la eficacia de sus procesos de control y gestión de riesgos.

Un "proceso de control" es un control o proceso realizado para reducir o eliminar el riesgo de error. Desde su introducción, la técnica ha sido ampliamente adoptada en los Estados Unidos, la Unión Europea y otros países. Hay varias formas de implementar una autoevaluación de control, pero su característica principal es que, a diferencia de una auditoría tradicional , las pruebas y los controles los realiza el personal cuyas responsabilidades diarias normales están dentro de la unidad de negocios que se está evaluando. [1] Una autoevaluación, al identificar los procesos de mayor riesgo dentro de la organización, permite a los auditores internos planificar su trabajo de manera más efectiva. [2] Varias organizaciones gubernamentales requieren el uso de la autoevaluación de control. En los Estados Unidos, es un requisito de la FFIEC que se realicen autoevaluaciones de control en los sistemas de TI y los procesos operativos de forma regular. [3] Los beneficios que se atribuyen a la autoevaluación de control incluyen la creación de una línea clara de responsabilidad para los controles, la reducción del riesgo de fraude y la creación de una organización con un perfil de riesgo más bajo. [4] [5]

En determinadas circunstancias, la autoevaluación del control no siempre es eficaz. Por ejemplo, puede resultar difícil de implementar en un entorno descentralizado, en organizaciones donde hay una alta rotación de personal, donde la organización sufre cambios frecuentes o donde la alta dirección de la organización no fomenta una cultura de comunicación abierta. [6]

Desarrollo y adopción mundial

La autoevaluación de control fue desarrollada por Gulf Canada en 1987 cuando el Auditor General de la compañía , Bruce McCuaig, no estaba satisfecho con las técnicas de auditoría estándar que se utilizaban tras el impacto del caso Watergate en la empresa matriz, Gulf Oil Corporation . La decisión de implementar plenamente la autoevaluación de control en Gulf Canada fue impulsada por una serie de factores, entre ellos, la presencia de un decreto de consentimiento que exigía a la compañía informar sobre sus controles internos y las dificultades que enfrentaba para estimar sus reservas de petróleo y gas utilizando medidas de auditoría más tradicionales. [7]

Durante los diez años siguientes, Gulf Canada desarrolló un marco para apoyar el análisis y la evaluación de los procesos de control por parte del personal operativo. Esto incluía la votación anónima para garantizar que no hubiera impedimentos para que el personal expresara sus opiniones. El enfoque se publicó por primera vez en Internal Auditor en diciembre de 1990. [8] Gulf Canada suspendió este enfoque de reuniones facilitadas en 1997, aunque continuó con la autoevaluación del control utilizando técnicas diferentes. [7]

Tras la introducción de la autoevaluación de control en la región del Golfo de Canadá, muchas organizaciones del sector privado implementaron técnicas similares. En los Estados Unidos, varios estados hicieron obligatorias las revisiones basadas en prácticas de autoevaluación de control, al igual que la Corporación Federal de Seguro de Depósitos y la Corporación Canadiense de Seguro de Depósitos . [7]

Inicialmente, los auditores externos ignoraron los beneficios de la autoevaluación del control, aun cuando era eficaz para proporcionar evidencia de auditoría sobre las áreas "blandas" (como la moral del personal) que son críticas para la eficacia de los sistemas de control interno. [9]

Tras una serie de escándalos financieros, en particular el colapso del imperio editorial de Robert Maxwell , el gobierno del Reino Unido encargó a Adrian Cadbury que dirigiera una investigación sobre el gobierno corporativo. El comité publicó su informe The Financial Aspects of Corporate Governance en 1992. En la sección 4, Informes y controles, Cadbury formuló una serie de recomendaciones que llevaron a una mayor adopción de la autoevaluación de control en el Reino Unido. En particular, la sección 4.5 del Código de Prácticas contenido en el informe exigía que los directores de una empresa informaran sobre la eficacia del sistema de control interno de la empresa en cada informe anual . [10]

En marzo de 2000, la Comisión Europea aprobó un libro blanco sobre la reforma que supuso un importante cambio en la forma de gestionar la Comisión. Entre estos cambios se incluían recomendaciones para que cada departamento estableciera un sistema de control interno eficaz. Para apoyar la aplicación de los controles internos, el Servicio Financiero Central de la Dirección General de Presupuesto desarrolló un proceso de autoevaluación de control. Esta primera autoevaluación de control identificó varias áreas de mejora en el control interno en toda la Comisión, en particular la necesidad de aplicar un enfoque más sistemático de la gestión de riesgos. El resultado de esta primera autoevaluación fue la aplicación del requisito de que cada Dirección General realice una autoevaluación de control y riesgo anualmente. [11]

En 2007, Estados Unidos implementó la Ley Sarbanes-Oxley . Para cumplir con la sección 404 de la Ley, la empresa tuvo que realizar una evaluación de riesgos de arriba hacia abajo que requirió la producción de un "informe de control interno" que afirmara "la responsabilidad de la administración de establecer y mantener una estructura y procedimientos de control interno adecuados para la presentación de informes financieros". 15 USC  § 7262(a) . Este informe tiene que incluir una evaluación de la efectividad de los controles y procedimientos internos relacionados con la presentación de informes financieros. Para cumplir con este requisito, las organizaciones comenzaron cada vez más a realizar una autoevaluación de control utilizando una metodología estándar reconocida. Los auditores externos de la organización, que deben aprobar el informe de control interno, generalmente se involucraron más profundamente en el proceso de autoevaluación de control, ya que facilitaba su revisión posterior del informe de control interno. [12]

En el Reino Unido, en 2011, la Autoridad de Servicios Financieros reconoció en sus recomendaciones para la mejora de la gestión del riesgo operacional que la evaluación de los riesgos mediante una autoevaluación de los controles puede ser un medio importante para identificar los riesgos. También señaló que, para que la evaluación fuera plenamente eficaz, tenía que estar plenamente integrada en el proceso de gestión de riesgos de la entidad financiera. [13]

Realización de la autoevaluación de control

Sección 1 del formulario de autoevaluación de control utilizado por la Administración Federal de Tránsito

El primer paso en la autoevaluación de los controles es documentar los procesos de control de la organización con el objetivo de identificar formas adecuadas de medir o probar cada control. La prueba real de los controles la lleva a cabo el personal cuyo rol diario se encuentra dentro del área de la organización que se está examinando, ya que son quienes tienen el mayor conocimiento de cómo funcionan los procesos. [1] [4] Las dos técnicas comunes para realizar las evaluaciones son:

Ambos enfoques son opuestos a las auditorías formales en las que los auditores , no el personal de la unidad de negocios, realizarán la evaluación. [1]

Al finalizar la evaluación, cada control puede calificarse en función de las respuestas recibidas para determinar la probabilidad de que falle y el impacto en caso de que ocurra. Estas calificaciones pueden representarse mediante mapas para generar un mapa de calor que muestre las posibles áreas de vulnerabilidad.

Metodologías

Mapa de calor elaborado a partir de la información recopilada en una autoevaluación de control. El conjunto de problemas en las secciones de color rojo y ámbar del mapa de calor indica que se trata de un área de alto riesgo y que probablemente se necesiten procesos de control nuevos o modificados.

Se han definido seis metodologías básicas para la autoevaluación del control: [14]

La metodología de autoevaluación de control del Instituto Nacional de Normas y Tecnología se basa en cuestionarios personalizados. Es una metodología centrada en TI adecuada para evaluar los controles basados ​​en sistemas. Proporciona una técnica rentable para determinar el estado de los controles de seguridad de la información, identificar las debilidades y, cuando sea necesario, definir un plan de mejora. [15] La metodología utiliza un cuestionario que contiene objetivos de control específicos y técnicas que se pueden probar y medir contra un sistema o grupo de sistemas. La metodología fue diseñada para agencias federales de los Estados Unidos, pero también puede ser valiosa para organizaciones del sector privado. [15]

La metodología COBIT puede utilizarse para la autoevaluación del control; al igual que la metodología NIST, fue diseñada para evaluaciones centradas en TI. El componente Descripción de procesos de COBIT proporciona un modelo de referencia de los procesos de una organización y su propiedad. Su componente Objetivos de control proporciona un conjunto de requisitos considerados necesarios para el control efectivo de cada proceso de TI con la organización. La evaluación de estos componentes mediante el componente Directrices de gestión proporciona un mecanismo de evaluación que genera un modelo de madurez que indica si la organización está cumpliendo con sus objetivos de control. [14]

El Instituto de Auditores Internos basó su metodología de autoevaluación de control en los enfoques de Gestión de Calidad Total de los años 1990, así como en el marco de COSO . La metodología pasó a formar parte de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna y fue adoptada por un gran número de organizaciones importantes. [16]

Se han publicado varias otras metodologías para estandarizar la autoevaluación del control. [17] [18] El Instituto de Auditores Internos ofrece una certificación en prácticas de autoevaluación del control. [19]

Herramientas de software

Existen varios paquetes de software disponibles para respaldar el proceso de autoevaluación de control. Por lo general, se trata de versiones modificadas de software desarrollado originalmente para uso interno por empresas de auditoría y contabilidad como Deloitte o por proveedores especializados en herramientas de gestión empresarial o financiera.

Beneficios

La autoevaluación de controles crea una línea clara de responsabilidad para los controles, reduce el riesgo de fraude (al examinar datos que pueden señalar patrones inusuales de transacciones) y da como resultado una organización con un perfil de riesgo más bajo. [4] [5]

Se han alegado otros beneficios indirectos para las organizaciones que realizan una autoevaluación de control, entre ellos, una mejor comprensión de las operaciones comerciales (tanto por parte de la gerencia como del personal operativo), un mayor conocimiento de las prácticas de riesgo, un régimen de gobernanza corporativa reforzado y mejoras en la eficiencia de la auditoría interna. [4] [20]

Crítica

Algunos investigadores han criticado la autoevaluación del control como un enfoque defectuoso, ya que la forma en que se define y mide el riesgo no es sofisticada. En particular, la autoevaluación del control puede subestimar el riesgo al no identificar el riesgo extremo a la baja. Un riesgo extremo a la baja es un evento altamente improbable que tendría consecuencias catastróficas si ocurriera. Estos riesgos deberían tener una puntuación de riesgo general alta (generalmente calculada como un producto de la probabilidad de que ocurra un riesgo y el impacto si ocurre en una escala de 1 a 5). En consecuencia, las personas que realizan la autoevaluación del control no pueden diferenciar significativamente entre los riesgos, lo que lleva a que los riesgos de probabilidad extremadamente baja se excluyan del análisis o se agrupen junto con otros riesgos más probables (pero aún improbables) que tienen un impacto menos grave. [21]

También se ha criticado el enfoque continuo en la eliminación de riesgos que puede generar una autoevaluación de control. El proceso de evaluación continua de los riesgos y la elaboración de planes para mitigarlos y eliminarlos puede conducir a una cultura corporativa desequilibrada en la que los riesgos se eliminan ignorando la relación riesgo-rendimiento de las diferentes opciones comerciales. [21]

Véase también

Enlaces externos

Referencias

  1. ^ abc Gilbert W. Joseph; Terry J. Engle (diciembre de 2005). "El uso de la autoevaluación de control por parte de los auditores independientes". The CPA Journal . Consultado el 10 de marzo de 2012 .
  2. ^ "Autoevaluación de control: una introducción". Instituto de Auditores Internos . Archivado desde el original el 23 de agosto de 2010. Consultado el 10 de marzo de 2012 .
  3. ^ "Manual de examen de TI de la FFIEC". FFIEC. Archivado desde el original el 27 de febrero de 2012. Consultado el 10 de marzo de 2012 .
  4. ^ abcd McNally, J. Stephen (12 de noviembre de 2007). "Autoevaluación de control: todos contribuyen con los controles internos". accountingweb.
  5. ^ ab Spencer Pickett, KH y Pickett, Jennifer M. (2010). Manual de auditoría interna (3.ª ed.). John Wiley & Sons Ltd., pág. 585.
  6. ^ "Autoevaluación de control: el futuro de las auditorías de tiendas en comercios minoristas" (PDF) . Protivit Incorporated. 2006 . Consultado el 30 de marzo de 2012 .
  7. ^ Folleto de práctica profesional 98-2 Una perspectiva sobre la autoevaluación del control (PDF) . Florida : The Institute of Internal Auditors . 1998. ISBN 089413406X. Consultado el 31 de marzo de 2012 .
  8. ^ KH Spencer Pickett (2011). La guía esencial para la auditoría interna (segunda edición). John Wiley & Sons Limited. pág. 81.
  9. ^ Joseph, Gilbert W (1 de agosto de 2001). "Uso de la autoevaluación de control en auditorías". The CPA Journal . Consultado el 12 de marzo de 2012 .
  10. ^ Aspectos financieros del gobierno corporativo (PDF) (Informe). 1 de diciembre de 1992. ISBN 0852589131Archivado desde el original (PDF) el 12 de mayo de 2012. Consultado el 12 de marzo de 2012 .
  11. ^ Central Financial Service, Comisión Europea (18 de marzo de 2002). «2nd Quality Conference for Public Administration in the EU: Note for the File». Archivado desde el original el 27 de septiembre de 2006. Consultado el 12 de marzo de 2012 .
  12. ^ Engel, Terry J.; Joseph, Gilbert W. (2007). "Mejorar la coordinación de auditoría interna y externa". CSA Sentinel . 11 (2). Archivado desde el original el 20 de marzo de 2014 . Consultado el 2 de abril de 2012 – a través de The Institute of Internal Auditors .
  13. ^ "Mejora de los marcos de referencia en el enfoque estandarizado del riesgo operacional – Nota orientativa" (PDF) . Autoridad de Servicios Financieros . Enero de 2011. Archivado desde el original (PDF) el 2018-10-03 . Consultado el 2012-03-11 .
  14. ^ ab Sunil Bakshi (2004). "Autoevaluación de control para la información y tecnologías relacionadas". Revista de la Asociación de Auditoría y Control de Sistemas de Información . 1 : 4.
  15. ^ de Marianne Swanson. "Guía de autoevaluación de seguridad para sistemas de tecnología de la información". Instituto Nacional de Normas y Tecnología . Consultado el 4 de abril de 2012 .
  16. ^ Robert Moeller (2009). Auditoría interna moderna de Brink: un cuerpo común de conocimientos . John Wiley & Sons Inc., Canadá.
  17. ^ Álvarez, Gene (2004). Riesgo operacional: enfoques prácticos para su implementación .
  18. ^ Gene Álvarez; Phil Gledhill (24 de noviembre de 2010). "Una metodología integral de autoevaluación de riesgos y control". Risk.net . Consultado el 10 de marzo de 2012 .
  19. ^ "Certificación en Autoevaluación de Control (CCSA)". Instituto de Auditores Internos . Archivado desde el original el 2012-04-02 . Consultado el 2012-10-03 .
  20. ^ "Autoevaluación del control". PriceWaterhouseCoopers . Consultado el 10 de marzo de 2012 .
  21. ^ ab Lee, Judy; Wee, Lieng-Seng (28 de septiembre de 2005). "Las empresas que utilizan la autoevaluación de control no conocen realmente sus riesgos" (PDF) . Dragonfly . Consultado el 14 de marzo de 2012 .