Controlar la autoevaluación

Técnica para evaluar la efectividad del proceso.

La autoevaluación de controles es una técnica desarrollada en 1987 que utilizan una variedad de organizaciones, incluidas corporaciones, organizaciones benéficas y departamentos gubernamentales, para evaluar la eficacia de sus procesos de control y gestión de riesgos.

Un "proceso de control" es una verificación o proceso realizado para reducir o eliminar el riesgo de error. Desde su introducción, la técnica ha sido ampliamente adoptada en los Estados Unidos, la Unión Europea y otros países. Hay varias formas de implementar una autoevaluación de control, pero su característica clave es que, a diferencia de una auditoría tradicional , las pruebas y controles los realiza personal cuyas responsabilidades diarias normales se encuentran dentro de la unidad de negocio que se está ejecutando. juzgado. ^[1] Una autoevaluación, al identificar los procesos de mayor riesgo dentro de la organización, permite a los auditores internos planificar su trabajo de manera más efectiva. ^[2] Varias organizaciones gubernamentales exigen el uso de una autoevaluación de control. En los Estados Unidos, es un requisito del FFIEC que se realicen autoevaluaciones de control de los sistemas de TI y los procesos operativos de forma regular. ^[3] Los beneficios reclamados para la autoevaluación de controles incluyen la creación de una línea clara de responsabilidad para los controles, la reducción del riesgo de fraude y la creación de una organización con un perfil de riesgo más bajo. ^{[4] [5]}

En determinadas circunstancias la autoevaluación de control no siempre es eficaz. Por ejemplo, puede resultar difícil de implementar en un entorno descentralizado, en organizaciones donde hay una alta rotación de empleados, donde la organización pasa por cambios frecuentes o donde la alta dirección de la organización no fomenta una cultura de comunicación abierta. ^[6]

Desarrollo y adopción mundial

La autoevaluación de control fue desarrollada por Gulf Canada en 1987 cuando el auditor general de la empresa , Bruce McCuaig, no estaba satisfecho con las técnicas de auditoría estándar utilizadas tras el impacto del asunto Watergate en la empresa matriz, Gulf Oil Corporation . La decisión de implementar plenamente la autoevaluación de control en el Golfo de Canadá fue impulsada por una serie de factores. Estos incluyeron la presencia de un decreto de consentimiento que exigía a la empresa informar sobre sus controles internos y las dificultades que enfrentaba para estimar sus reservas de petróleo y gas utilizando medidas de auditoría más tradicionales. ^[7]

Durante los siguientes diez años, Gulf Canada desarrolló un marco para apoyar el análisis y la evaluación de los procesos de control por parte del personal operativo. Esto incluyó una votación anónima para garantizar que no hubiera ningún impedimento para que el personal expresara sus opiniones. El enfoque se publicó por primera vez en Internal Auditor en diciembre de 1990. ^[8] Gulf Canada suspendió este enfoque de reuniones facilitadas en 1997, aunque continuó con la autoevaluación de control utilizando diferentes técnicas. ^[7]

Tras la introducción de la autoevaluación de control en el Golfo de Canadá, muchas organizaciones del sector privado implementaron técnicas similares. En Estados Unidos, varios estados hicieron obligatorias las revisiones basadas en prácticas de autoevaluación de control, al igual que la Corporación Federal de Seguros de Depósitos y la Corporación Canadiense de Seguros de Depósitos . ^[7]

Inicialmente, los auditores externos ignoraron los beneficios de la autoevaluación del control a pesar de que era eficaz para proporcionar evidencia de auditoría en torno a las áreas "blandas" (como la moral del personal) que son críticas para la eficacia de los sistemas de control interno. ^[9]

Después de una serie de escándalos financieros, en particular el colapso del imperio editorial de Robert Maxwell , el gobierno del Reino Unido encargó a Adrian Cadbury la presidencia de una investigación sobre la gestión empresarial. El comité publicó su informe Los aspectos financieros del gobierno corporativo en 1992. En la sección 4, Informes y controles, Cadbury hizo una serie de recomendaciones que llevaron a una mayor adopción de la autoevaluación de controles en el Reino Unido. En particular, la sección 4.5 del Código de práctica contenido en el informe exigía que los directores de una empresa informaran sobre la eficacia del sistema de control interno de la empresa en cada informe anual . ^[10]

En marzo de 2000, la Comisión Europea aprobó un libro blanco sobre reformas que condujo a un cambio importante en la forma en que se gestionaba la Comisión. Estos cambios incluyeron recomendaciones para que cada departamento establezca un sistema de control interno eficaz. Para apoyar la implementación de los controles internos, la Dirección General de Presupuesto del Servicio Financiero Central desarrolló un proceso de autoevaluación de controles. Esta primera autoevaluación del control identificó varias áreas de mejora del control interno en toda la Comisión, en particular la necesidad de implementar un enfoque más sistemático para la gestión de riesgos. El resultado de esta primera autoevaluación fue la implementación del requisito de que cada Dirección General realice una autoevaluación de control y riesgos anualmente. ^[11]

En 2007 Estados Unidos implementó la Ley Sarbanes-Oxley . Para cumplir con el artículo 404 de la Ley, la empresa tuvo que realizar una evaluación de riesgos de arriba hacia abajo que requería la producción de un "informe de control interno" que afirmaba "la responsabilidad de la dirección de establecer y mantener una estructura y procedimientos de control interno adecuados para informes financieros." 15 USC  § 7262(a) . Este informe debe incluir una evaluación de la eficacia de los controles y procedimientos internos relacionados con la información financiera. Para cumplir con este requisito, las organizaciones comenzaron cada vez más a realizar una autoevaluación de control utilizando una metodología estándar reconocida. Los auditores externos de la organización, a quienes se les exige aprobar el informe de control interno, generalmente se involucraron más profundamente en el proceso de autoevaluación del control, ya que facilitó su revisión posterior del informe de control interno. ^[12]

En el Reino Unido, en 2011, la Autoridad de Servicios Financieros reconoció en sus recomendaciones para la mejora de la gestión del riesgo operativo que la evaluación de riesgos a través de una autoevaluación de control puede ser un medio importante para identificar riesgos. También señaló que para que la evaluación fuera plenamente efectiva tenía que integrarse plenamente en el proceso de gestión de riesgos de la organización financiera. ^[13]

Realización de la autoevaluación de control

Sección 1 del formulario de autoevaluación de control utilizado por la Administración Federal de Tránsito

El primer paso en la autoevaluación de controles es documentar los procesos de control de la organización con el objetivo de identificar formas adecuadas de medir o probar cada control. La prueba real de los controles la realiza personal cuyo rol diario se encuentra dentro del área de la organización que se está examinando, ya que tiene el mayor conocimiento de cómo operan los procesos. ^{[1] [4]} Las dos técnicas comunes para realizar las evaluaciones son:

• Talleres, que pueden ser facilitados de forma independiente, pero no necesariamente, en los que participa parte o todo el personal de la unidad de negocio que se está probando;
• Encuestas o cuestionarios cumplimentados de forma independiente por el personal.

Ambos enfoques son lo opuesto a las auditorías formales donde los auditores , no el personal de la unidad de negocios, realizarán la evaluación. ^[1]

Al finalizar la evaluación, cada control puede calificarse en función de las respuestas recibidas para determinar la probabilidad de su falla y el impacto si ocurriera una falla. Estas calificaciones se pueden mapear para producir un mapa de calor que muestre áreas potenciales de vulnerabilidad.

Metodologías

Un mapa de calor elaborado a partir de la información capturada en una autoevaluación de control. El conjunto de problemas en las secciones roja y ámbar del mapa de calor indican que se trata de un área de alto riesgo y que probablemente necesite procesos de control nuevos o modificados.

Se han definido seis metodologías básicas para la autoevaluación del control: ^[14]

• Autoauditoría del Cuestionario de Control Interno (ICQ)
• Cuestionarios personalizados
• Guías de control
• Técnicas de entrevista
• Talleres de modelos de control.
• Talleres interactivos

La metodología de autoevaluación del control del Instituto Nacional de Normas y Tecnología se basa en cuestionarios personalizados. Es una metodología centrada en TI adecuada para evaluar controles basados ​​en sistemas. Proporciona una técnica rentable para determinar el estado de los controles de seguridad de la información, identificar cualquier debilidad y, cuando sea necesario, definir un plan de mejora. ^[15] La metodología utiliza un cuestionario que contiene objetivos de control específicos y técnicas contra un sistema o grupo de sistemas que pueden ser probados y medidos. La metodología fue diseñada para agencias federales de los Estados Unidos, pero también puede ser valiosa para organizaciones del sector privado. ^[15]

La metodología COBIT se puede utilizar para la autoevaluación del control; Al igual que la metodología NIST, fue diseñada para evaluaciones centradas en TI. El componente de Descripción de Procesos de COBIT proporciona un modelo de referencia de los procesos de una organización y su propiedad. Su componente de Objetivos de Control proporciona un conjunto de requisitos que se consideran necesarios para un control efectivo de cada proceso de TI con la organización. La valoración y evaluación de estos componentes utilizando el componente Directrices de Gestión proporciona un mecanismo de evaluación que genera un modelo de madurez que indica si la organización está cumpliendo con sus objetivos de control. ^[14]

El Instituto de Auditores Internos basó su metodología de autoevaluación de control en los enfoques de Gestión de Calidad Total de la década de 1990, así como en el marco del COSO . La metodología pasó a formar parte de las Normas Internacionales para la Práctica Profesional de la Auditoría Interna y fue adoptada por un gran número de organizaciones importantes. ^[dieciséis]

Se han publicado otras metodologías para estandarizar la autoevaluación del control. ^{[17] [18]} El Instituto de Auditores Internos ofrece una certificación en la práctica de autoevaluación de control. ^[19]

Herramientas de software

Hay varios paquetes de software disponibles para respaldar el proceso de autoevaluación del control. Por lo general, se trata de versiones modificadas de software desarrollado originalmente para uso interno por firmas de auditoría y contabilidad como Deloitte o por proveedores especializados en herramientas de gestión empresarial o financiera.

Beneficios

La autoevaluación de controles crea una línea clara de responsabilidad para los controles, reduce el riesgo de fraude (al examinar datos que pueden señalar patrones inusuales de transacciones) y da como resultado una organización con un perfil de riesgo más bajo. ^{[4] [5]}

Se han reclamado otros beneficios blandos para las organizaciones que realizan autoevaluaciones de control. Estos incluyen una mejor comprensión de las operaciones comerciales (tanto por parte del personal directivo como operativo); mayor conciencia sobre las prácticas de riesgo; un régimen de gobierno corporativo reforzado y mejoras en la eficiencia de la auditoría interna. ^{[4] [20]}

Crítica

Algunos investigadores han criticado la autoevaluación del control como un enfoque defectuoso, ya que la forma en que se define y mide el riesgo no es sofisticada. En particular, la autoevaluación del control puede subestimar el riesgo al no identificar riesgos extremos a la baja. Un riesgo extremo a la baja es un evento altamente improbable que tendría consecuencias catastróficas si ocurriera. Estos riesgos deben tener una puntuación de riesgo general alta (generalmente calculada como el producto de la probabilidad de que ocurra un riesgo y el impacto si ocurre en una escala de 1 a 5). En consecuencia, las personas que realizan la autoevaluación de control no pueden diferenciar significativamente entre los riesgos que conducen a riesgos de probabilidad extremadamente baja, ya sea excluidos del análisis o agrupados junto con otros riesgos más probables (pero aún improbables) que tienen un impacto menos severo. ^[21]

También se ha criticado la constante atención a la eliminación de riesgos, a la que puede conducir una autoevaluación de control. El proceso de evaluación continua de los riesgos y la elaboración de planes para mitigarlos y eliminarlos puede conducir a una cultura corporativa desequilibrada en la que los riesgos se eliminan ignorando la relación riesgo-retorno de las diferentes opciones comerciales. ^[21]

Ver también

• Auditoría interna
• Control interno

enlaces externos

• Herramienta de autoevaluación de control utilizada por la Administración Federal de Tránsito

Referencias

1. Gilbert W. Joseph; Terry J. Engle (diciembre de 2005). "El uso de la autoevaluación de control por parte de auditores independientes". La revista CPA . Consultado el 10 de marzo de 2012 .
2. "Autoevaluación de control: introducción". El Instituto de Auditores Internos . Archivado desde el original el 23 de agosto de 2010 . Consultado el 10 de marzo de 2012 .
3. "Manual de examen de TI de la FFIEC". FFIEC. Archivado desde el original el 27 de febrero de 2012 . Consultado el 10 de marzo de 2012 .
4. McNally, J.Stephen (12 de noviembre de 2007). "Autoevaluación de control: todos colaborando con los controles internos". web contable.
5. Spencer Pickett, KH y Pickett, Jennifer M. (2010). El manual de auditoría interna (3ª ed.). John Wiley & Sons Ltd. pág. 585.
6. "Control de autoevaluación: el futuro de las auditorías de tiendas en las tiendas minoristas" (PDF) . Protivit incorporado. 2006 . Consultado el 30 de marzo de 2012 .
7. Folleto de práctica profesional de abc 98-2 Una perspectiva sobre la autoevaluación del control (PDF) . Florida : Instituto de Auditores Internos . 1998.ISBN​ 089413406X. Consultado el 31 de marzo de 2012 .
8. KH Spencer Pickett (2011). La guía esencial para la auditoría interna (Segunda ed.). John Wiley e hijos limitados. pag. 81.
9. Joseph, Gilbert W (1 de agosto de 2001). "Uso de la autoevaluación de control en auditorías". La revista CPA . Consultado el 12 de marzo de 2012 .
10. Aspectos financieros del gobierno corporativo (PDF) (Reporte). 1 de diciembre de 1992. ISBN 0852589131. Archivado desde el original (PDF) el 12 de mayo de 2012 . Consultado el 12 de marzo de 2012 .
11. Servicio Financiero Central, Comisión Europea (18 de marzo de 2002). "II Jornada de Calidad para la Administración Pública en la UE: Nota para el expediente". Archivado desde el original el 27 de septiembre de 2006 . Consultado el 12 de marzo de 2012 .
12. Engel, Terry J.; José, Gilbert W. (2007). "Mejora de la coordinación de la auditoría interna y externa". 11 (2). Centinela CSA. Archivado desde el original el 20 de marzo de 2014 . Consultado el 2 de abril de 2012 . {{cite journal}}: Citar diario requiere |journal=( ayuda ) ; Parámetro desconocido |agency=ignorado ( ayuda )
13. "Mejora de los marcos en el enfoque estandarizado del riesgo operativo - Nota orientativa" (PDF) . Autoridad de Servicios Financieros . Enero de 2011. Archivado desde el original (PDF) el 3 de octubre de 2018 . Consultado el 11 de marzo de 2012 .
14. Sunil Bakshi (2004). "Autoevaluación de Control de la Información y Tecnologías Afines". Revista de la Asociación de Control y Auditoría de Sistemas de Información . 1 : 4.
15. Marianne Swanson. “Guía de Autoevaluación de Seguridad en Sistemas de Tecnologías de la Información”. Instituto Nacional de Estándares y Tecnología . Consultado el 4 de abril de 2012 .
16. Robert Moeller (2009). Auditoría interna moderna de Brink: un cuerpo común de conocimientos . John Wiley & Sons Inc., Canadá.
17. Álvarez, Gene (2004). Riesgo operativo: enfoques prácticos para la implementación .
18. Gene Álvarez; Phil Gledhill (24 de noviembre de 2010). "Una metodología integral de autoevaluación de riesgos y controles". Riesgo.net . Consultado el 10 de marzo de 2012 .
19. "Certificación en Autoevaluación de Control (CCSA)". Instituto de Auditores Internos . Archivado desde el original el 2 de abril de 2012 . Consultado el 3 de octubre de 2012 .
20. "Control de autoevaluación". PriceWaterhouseCoopers . Consultado el 10 de marzo de 2012 .
21. Lee, Judy; Wee, Lieng-Seng (28 de septiembre de 2005). "Las empresas que utilizan la autoevaluación de control no conocen realmente su riesgo" (PDF) . Libélula . Consultado el 14 de marzo de 2012 .