La autoevaluación de control es una técnica desarrollada en 1987 que es utilizada por una variedad de organizaciones, incluidas corporaciones, organizaciones benéficas y departamentos gubernamentales, para evaluar la eficacia de sus procesos de control y gestión de riesgos.
Un "proceso de control" es una verificación o proceso que se realiza para reducir o eliminar el riesgo de error. Desde su introducción, la técnica ha sido ampliamente adoptada en los Estados Unidos, la Unión Europea y otros países. Hay varias formas en que se puede implementar una autoevaluación de control, pero su característica clave es que, a diferencia de una auditoría tradicional , las pruebas y verificaciones son realizadas por personal cuyas responsabilidades diarias normales están dentro de la unidad de negocio que se está realizando. juzgado. [1] Una autoevaluación, al identificar los procesos de mayor riesgo dentro de la organización, permite a los auditores internos planificar su trabajo de manera más eficaz. [2]Varias organizaciones gubernamentales requieren el uso de la autoevaluación de control. En los Estados Unidos es un requisito de la FFIEC que las autoevaluaciones de control se realicen en los sistemas de TI y los procesos operativos de manera regular. [3] Los beneficios que se reclaman para la autoevaluación de controles incluyen la creación de una línea clara de responsabilidad para los controles, la reducción del riesgo de fraude y la creación de una organización con un perfil de riesgo más bajo. [4] [5]
En determinadas circunstancias, la autoevaluación del control no siempre es eficaz. Por ejemplo, puede ser difícil de implementar en un entorno descentralizado, en organizaciones donde hay una alta rotación de empleados, donde la organización pasa por cambios frecuentes o donde la alta dirección de la organización no fomenta una cultura de comunicación abierta. [6]
Desarrollo y adopción mundial
La autoevaluación de control fue desarrollada por Gulf Canada en 1987 cuando el Auditor General de la compañía , Bruce McCuaig, no estaba satisfecho con las técnicas de auditoría estándar en uso luego del impacto del asunto Watergate en la compañía matriz, Gulf Oil Corporation . La decisión de implementar completamente la autoevaluación del control en el Golfo de Canadá fue impulsada por una serie de factores. Estos incluyeron la presencia de un decreto de consentimiento que requería que la empresa informara sobre sus controles internos y las dificultades que enfrentaba para estimar sus reservas de petróleo y gas utilizando medidas de auditoría más tradicionales. [7]
Durante los siguientes diez años, Gulf Canada desarrolló un marco para respaldar el análisis y la evaluación de los procesos de control por parte del personal operativo. Esto incluyó la votación anónima para garantizar que no hubiera ningún impedimento para que el personal expresara sus puntos de vista. El enfoque se publicó por primera vez en Internal Auditor en diciembre de 1990. [8] Gulf Canada suspendió este enfoque de reuniones facilitadas en 1997, aunque continuó con la autoevaluación del control utilizando diferentes técnicas. [7]
Tras la introducción de la autoevaluación de control en el Golfo de Canadá, muchas organizaciones del sector privado implementaron técnicas similares. En los Estados Unidos, varios estados hicieron que las revisiones basadas en prácticas de autoevaluación de control fueran obligatorias, al igual que la Federal Deposit Insurance Corporation y la Canadian Deposit Insurance Corporation . [7]
Inicialmente, los auditores externos ignoraron los beneficios de la autoevaluación del control a pesar de que fue eficaz para proporcionar evidencia de auditoría en torno a las áreas "blandas" (como la moral del personal) que son críticas para la eficacia de los sistemas de control interno. [9]
Después de una serie de escándalos financieros, en particular el colapso del imperio editorial de Robert Maxwell , el gobierno del Reino Unido encargó a Adrian Cadbury que presidiera una investigación sobre el gobierno corporativo. El comité publicó su informe Los aspectos financieros del gobierno corporativo en 1992. En la sección 4, Informes y controles, Cadbury hizo una serie de recomendaciones que llevaron a una mayor adopción de la autoevaluación de controles en el Reino Unido. En particular, la sección 4.5 del Código de buenas prácticas contenido en el informe exigía que los directores de una empresa informaran sobre la eficacia del sistema de control interno de la empresa en cada informe anual . [10]
En marzo de 2000, la Comisión Europea aprobó un libro blanco sobre la reforma que supuso un cambio importante en la forma en que se gestionaba la Comisión. Estos cambios incluyeron recomendaciones para que cada departamento estableciera un sistema de control interno efectivo. Para apoyar la implementación de los controles internos, la Dirección General de Presupuesto del Servicio Financiero Central desarrolló un proceso de autoevaluación de los controles. Esta primera autoevaluación de control identificó varias áreas de mejora en el control interno en toda la Comisión, entre las que destaca la necesidad de implementar un enfoque más sistemático de la gestión de riesgos. El resultado de esta primera autoevaluación fue la implementación del requisito de que cada Dirección General realice una autoevaluación de control y riesgo anualmente. [11]
En 2007, Estados Unidos implementó la Ley Sarbanes-Oxley . Para cumplir con la sección 404 de la Ley, la empresa tuvo que realizar una evaluación de riesgos de arriba hacia abajo que requirió la producción de un "informe de control interno" que afirmaba "la responsabilidad de la administración de establecer y mantener una estructura y procedimientos de control interno adecuados para informes financieros." . Este informe debe incluir una evaluación de la eficacia de los controles y procedimientos internos relacionados con la información financiera. Para cumplir con este requisito, las organizaciones comenzaron cada vez más a realizar una autoevaluación de control utilizando una metodología estándar reconocida. Los auditores externos de la organización, que deben aprobar el informe de control interno, por lo general se involucraron más profundamente en el proceso de autoevaluación del control, ya que facilitó su revisión posterior del informe de control interno. [12]
En el Reino Unido, en 2011, la Financial Services Authority reconoció en sus recomendaciones para la mejora de la gestión del riesgo operativo que la evaluación de los riesgos mediante una autoevaluación de los controles puede ser un medio importante para identificar los riesgos. También señaló que para que la evaluación fuera completamente efectiva tenía que estar completamente integrada en el proceso de gestión de riesgos de la organización financiera. [13]
Realización de la autoevaluación del control
El primer paso en la autoevaluación del control es documentar los procesos de control de la organización con el objetivo de identificar formas adecuadas de medir o probar cada control. La prueba real de los controles la realiza el personal cuyo rol diario está dentro del área de la organización que se está examinando, ya que tiene el mayor conocimiento de cómo operan los procesos. [1] [4] Las dos técnicas comunes para realizar las evaluaciones son:
- Talleres, que pueden ser, pero no necesariamente, facilitados de manera independiente, en los que participan parte o todo el personal de la unidad de negocios que se está probando;
- Encuestas o cuestionarios completados de forma independiente por el personal.
Ambos enfoques son opuestos a las auditorías formales en las que los auditores , no el personal de la unidad de negocio, realizarán la evaluación. [1]
Una vez finalizada la evaluación, cada control puede clasificarse en función de las respuestas recibidas para determinar la probabilidad de que falle y el impacto en caso de que se produzca. Estas calificaciones se pueden mapear para producir un mapa de calor que muestre áreas potenciales de vulnerabilidad.
Metodologías
Se han definido seis metodologías básicas para la autoevaluación del control: [14]
- Autoauditoría del Cuestionario de Control Interno (ICQ)
- Cuestionarios personalizados
- Guías de control
- Técnicas de entrevista
- Talleres de modelos de control
- Talleres interactivos
La metodología de autoevaluación de control del Instituto Nacional de Estándares y Tecnología se basa en cuestionarios personalizados. Es una metodología enfocada en TI adecuada para evaluar controles basados en sistemas. Proporciona una técnica rentable para determinar el estado de los controles de seguridad de la información, identificar cualquier debilidad y, cuando sea necesario, definir un plan de mejora. [15] La metodología utiliza un cuestionario que contiene objetivos de control específicos y se pueden probar y medir técnicas contra un sistema o grupo de sistemas. La metodología fue diseñada para agencias federales de los Estados Unidos, pero también puede ser valiosa para organizaciones del sector privado. [15]
La metodología COBIT se puede utilizar para la autoevaluación del control; al igual que la metodología NIST, se diseñó para evaluaciones centradas en TI. El componente Descripción de procesos de COBIT proporciona un modelo de referencia de los procesos de una organización y su propiedad. Su componente de Objetivos de Control proporciona un conjunto de requisitos que se consideran necesarios para el control efectivo de cada proceso de TI con la organización. La valoración y evaluación de estos componentes mediante el componente de Directrices de gestión proporciona un mecanismo de valoración que genera un modelo de madurez que indica si la organización está cumpliendo con sus objetivos de control. [14]
El Instituto de Auditores Internos basó su metodología de autoevaluación de control en los enfoques de Gestión de la Calidad Total de la década de 1990, así como en el marco de COSO . La metodología pasó a formar parte de las Normas Internacionales para el Ejercicio Profesional de Auditoría Interna y fue adoptada por un gran número de organizaciones importantes. [dieciséis]
Se han publicado varias otras metodologías para estandarizar la autoevaluación de control. [17] [18] El Instituto de Auditores Internos ofrece una certificación en la práctica de autoevaluación de control. [19]
Herramientas de software
Hay varios paquetes de software disponibles para respaldar el proceso de autoevaluación del control. Por lo general, se trata de versiones modificadas de software desarrolladas originalmente para uso interno por firmas de auditoría y contabilidad como Deloitte o por proveedores especializados en herramientas de gestión empresarial o financiera.
Beneficios
La autoevaluación del control crea una línea clara de responsabilidad para los controles, reduce el riesgo de fraude (al examinar los datos que pueden señalar patrones inusuales de transacciones) y da como resultado una organización con un perfil de riesgo más bajo. [4] [5]
Se han reclamado otros beneficios indirectos para las organizaciones que realizan autoevaluaciones de control. Estos incluyen una mejor comprensión de las operaciones comerciales (tanto por parte del personal administrativo como operativo); mayor conciencia de las prácticas de riesgo; un régimen de gobierno corporativo reforzado y mejoras en la eficiencia de la auditoría interna. [4] [20]
Crítica
Algunos investigadores han criticado la autoevaluación del control como un enfoque defectuoso, ya que la forma en que se define y mide el riesgo no es sofisticada. En particular, la autoevaluación del control puede subestimar el riesgo al no identificar el riesgo extremo a la baja. Un riesgo extremo a la baja es un evento altamente improbable que tendría consecuencias catastróficas si ocurriera. Estos riesgos deben tener una puntuación de riesgo general alta (generalmente calculada como un producto de la probabilidad de que ocurra un riesgo y el impacto si ocurre en una escala de 1 a 5). En consecuencia, las personas que realizan la autoevaluación del control no pueden diferenciar significativamente entre los riesgos que conducen a riesgos de probabilidad extremadamente baja, ya sea que se excluyan del análisis o se agrupen con otros riesgos más probables (pero aún poco probables) que tienen un impacto menos severo. [21]
También se ha criticado el enfoque continuo en la eliminación de riesgos al que puede conducir una autoevaluación de control. El proceso de evaluación continua de los riesgos y la elaboración de planes para mitigarlos y eliminarlos puede llevar a una cultura corporativa desequilibrada donde los riesgos se eliminan ignorando la relación riesgo-retorno de las diferentes opciones comerciales. [21]
Ver también
- Auditoría interna
- Control interno
enlaces externos
- Herramienta de autoevaluación de control utilizada por la Administración Federal de Tránsito
Referencias
- ^ a b c Gilbert W. Joseph; Terry J. Engle (diciembre de 2005). "El uso de la autoevaluación del control por auditores independientes" . The CPA Journal . Consultado el 10 de marzo de 2012 .
- ^ "Autoevaluación de control: una introducción" . El Instituto de Auditores Internos . Archivado desde el original el 23 de agosto de 2010 . Consultado el 10 de marzo de 2012 .
- ^ "Manual de examen de TI de FFIEC" . FFIEC. Archivado desde el original el 27 de febrero de 2012 . Consultado el 10 de marzo de 2012 .
- ^ a b c d McNally, J.Stephen (12 de noviembre de 2007). "Control de la autoevaluación: todo el mundo colabora con los controles internos" . Accountingweb.
- ^ a b Spencer Pickett, KH y Pickett, Jennifer M. (2010). El Manual de Auditoría Interna (3ª ed.). John Wiley & Sons Ltd. pág. 585.
- ^ "Autoevaluación de control: el futuro de las auditorías de tienda en tiendas minoristas" (PDF) . Protivit Incorporated. 2006 . Consultado el 30 de marzo de 2012 .
- ^ a b c Folleto de práctica profesional 98-2 Una perspectiva sobre la autoevaluación del control (PDF) . Florida : Instituto de Auditores Internos . 1998. ISBN 089413406X. Consultado el 31 de marzo de 2012 .
- ^ KH Spencer Pickett (2011). La Guía Esencial de Auditoría Interna (Segunda ed.). John Wiley & Sons Limited. pag. 81.
- ^ Joseph, Gilbert W (1 de agosto de 2001). "Uso de la autoevaluación de controles en auditorías" . The CPA Journal . Consultado el 12 de marzo de 2012 .
- ^ Aspectos financieros del gobierno corporativo (PDF) (Informe). 1 de diciembre de 1992. ISBN 0852589131. Consultado el 12 de marzo de 2012 .
- ^ Servicio Financiero Central, Comisión Europea (18 de marzo de 2002). "II Congreso de Calidad para la Administración Pública en la UE: Nota para el Archivo" . Archivado desde el original el 27 de septiembre de 2006 . Consultado el 12 de marzo de 2012 .
- ^ Engel, Terry J .; Joseph, Gilbert W. (2007). "Mejora de la coordinación de la auditoría interna y externa" . 11 (2). CSA Sentinel. El Instituto de Auditores Internos . Archivado desde el original el 20 de marzo de 2014 . Consultado el 2 de abril de 2012 . Cite journal requiere
|journal=
( ayuda ) - ^ "Mejora de los marcos en el enfoque estandarizado del riesgo operacional - Nota de orientación" (PDF) . Autoridad de Servicios Financieros . Enero de 2011 . Consultado el 11 de marzo de 2012 .
- ^ a b Sunil Bakshi (2004). "Autoevaluación de control para tecnologías de la información y afines" . Revista de la Asociación de Auditoría y Control de Sistemas de Información . 1 : 4.
- ^ a b Marianne Swanson. "Guía de autoevaluación de seguridad para sistemas de tecnología de la información" . Instituto Nacional de Estándares y Tecnología . Consultado el 4 de abril de 2012 .
- ^ Robert Moeller (2009). Auditoría interna moderna de Brink: un cuerpo común de conocimientos . John Wiley & Sons Inc., Canadá.
- ^ Álvarez, Gene (2004). Riesgo operacional: enfoques prácticos para la implementación .
- ^ Gene Álvarez; Phil Gledhill (24 de noviembre de 2010). "Una metodología integral de autoevaluación de riesgos y controles" . Risk.net . Consultado el 10 de marzo de 2012 .
- ^ "Certificación en Autoevaluación de Control (CCSA)" . Instituto de Auditores Internos . Archivado desde el original el 2 de abril de 2012 . Consultado el 3 de octubre de 2012 .
- ^ "Autoevaluación de control" . PriceWaterhouseCoopers . Consultado el 10 de marzo de 2012 .
- ^ a b Lee, Judy; Wee, Lieng-Seng (28 de septiembre de 2005). "Las empresas que utilizan la autoevaluación de control no conocen realmente su riesgo" (PDF) . Libélula . Consultado el 14 de marzo de 2012 .