Cómo Implementar Exitosamente la

Auto-Evaluación de Riesgo y Control

Nahun FRETT, MBA, CIA, CCSA, CFE, CPA
Director de Auditoría Interna
Central Romana Corporation, Ltd.
 PARA REFLEXIONAR

Hace más de 100 años, en 1887, Cooper Procter, uno

de los dos fundadores de Procter and Gamble, dijo:

“El principal problema de las grandes empresas

de hoy en día reside en elaborar políticas que
hagan sentir a cada empleado que él es un
elemento esencial de la empresa. Es necesario
que cada empleado se sienta personalmente
responsable del éxito de la empresa y que se le
ofrezca la posibilidad de recibir una parte del
resultado de ese éxito”.

...y pensar que todavía existen dirigentes y líderes

empresariales, que desconocen esta gran realidad.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 1
 INDICE

I - INTRODUCCIÓN
II - DEFINICIÓN DE AUTO-EVALUACIÓN DE CONTROL
III - ¿QUÉ ES AUTO-EVALUACIÓN DE CONTROL?
IV - 10 BENEFICIOS DE LA AUTO-EVALUACIÓN DE CONTROL
V - 10 PREOCUPACIONES DE LA AUTO-EVALUACIÓN DE CONTROL
VI - FORMATOS DE AUTO-EVALUACIÓN DE CONTROL
ENFOQUE DE TALLER
ENFOQUE DE ENCUESTA
ANÁLISIS PRODUCCIÓN GERENCIAL
OTROS ENFOQUES
VII - PROCESO DE AUTO-EVALUACIÓN DE CONTROL
VIII - USO DE MARCOS DE CONTROL
USO DEL COSO
USO DEL COCO
CARDMENU
MODELOS RELACIONADOS CON TECNOLOGÍA DE INFORMACIÓN
NIST
COBIT
IX - PREPARACIÓN PARA EL TALLER DE AUTO-EVALUACIÓN DE CONTROL
X - CINCO GRANDES ERRORES EN LA IMPLEMENTACIÓN DE
AUTOEVALUACIÓN DE CONTROL
XI - ¿CUÁNDO LA AUTO-EVALUACIÓN DE CONTROL NO ES APROPIADA?
XII - DISTRIBUCIÓN DE LOS RESULTADOS DEL TRABAJO
XIII - CONCLUSIONES - EL PODER DEL TRABAJO EN EQUIPO
XIV - INFORMACIÓN ACERCA DEL AUTOR

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 2
I - INTRODUCCIÓN
¿PORQUÉ EN MUCHAS OCASIONES PLANES, PROGRAMAS,
ESTRATEGIAS, POLÍTICAS Y NORMAS ADECUADAMENTE
PREPARADAS Y COMUNICADAS AL PERSONAL DE LA EMPRESA,
NO SON EXITOSAMENTE IMPLEMENTADAS?
Durante muchos años he visto cómo auditores internos, contralores, gerentes
financieros y contadores trabajan afanosamente y de forma unilateral en la
creación de un sistema de control interno adecuado, a través de la preparación
de políticas, procedimientos, formularios, etc., notamos cómo el control interno
es visto por el personal de la empresa como algo exclusivo del área financiera,
los cuales fijan reglas y controles que limitan el adecuado desempeño de sus
funciones y no promueven la creatividad e innovación del personal. Si
hablamos con miembros del departamento de ventas, mercadeo, producción,
transportación o informática observaremos que el control interno es percibido
como una barrera u obstáculo, que no permiten que el personal realice el
trabajo, de forma que los objetivos deseados sean alcanzados.
La tradición y raíces de nuestras organizaciones deben ser nuestras guías, pero
no deben atarnos al pasado, no debemos permitir que nuestra forma de hacer
el trabajo esté anclada, suspendida, estática en el pasado. La auto-evaluación
cambia la forma en que trabajamos en el desarrollo del control interno, esto se
logra a través de realizar evaluaciones de los procesos de negocio de nuestras
empresas, de forma participativa, junto con el personal que está envuelto
diariamente en el proceso.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 3
La auto-evaluación entiende que el control interno es asunto de todos. Esto
significa que todo el personal de la compañía debe trabajar juntos hacia una
responsabilidad mutua, que es la de mejorar el ambiente de control. Si un
control, proceso, procedimiento o tarea crítica para el éxito de la organización
no está funcionando adecuadamente, todos trabajamos juntos para lograr
perfeccionarlo.

II - DEFINICIÓN DE AUTO-EVALUACIÓN DE CONTROL

La primera definición formal, desarrollada en 1995 por Glenda Jordan en una

de las primeras publicaciones acerca CSA del IIA establece que:

LA ORGANIZACIÓN QUE USA LA AUTO-EVALUACIÓN DE

CONTROL POSEE UN PROCESO FORMAL DOCUMENTADO, EN
EL CUAL LA GERENCIA Y/O EQUIPO DE TRABAJO ENVUELTO
EN LA FUNCIÓN DE NEGOCIO: JUZGAN LA
EFECTIVIDAD DEL PROCESO LLEVADO A CABO Y DECIDEN SI
LA PROBABILIDAD DE ALCANZAR ALGÚN O TODOS LOS
OBJETIVOS DE NEGOCIO SON RAZONABLEMENTE SEGURAS.

Otra definición publicada por el IIA en 1998 es que:

CSA ES UN PROCESO, A TRAVÉS DEL CUAL LA EFECTIVIDAD

DEL CONTROL INTERNO ES EXAMINADA Y EVALUADA. LA
FINALIDAD ES PROVEER SEGURIDAD RAZONABLE DE QUE
LOS OBJETIVOS DE NEGOCIO SERÁN ALCANZADOS.

Las ideas más brillantes surgen de gente ordinaria,

trabajando junta en forma extraordinaria, la auto-
evaluación es una alternativa efectiva que nos
permite mejorar la calidad del trabajo, reducir costos e
incrementar la eficiencia.

La auto-evaluación de control (CSA) es una vía para ayudar a la organización

a incrementar su habilidad para alcanzar los objetivos de negocio. La mayor
parte del tiempo, esto se hace a través de una serie de talleres o reuniones
facilitadas por el departamento de auditoría interna.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 4
Estos talleres pueden ser aplicados a
proyectos, procesos, unidades de
negocio, funciones, o básicamente
cualquier nivel, cuyos objetivos puedan
ser claramente definidos. Estos talleres
envuelven al personal directamente
responsable del logro de objetivo
organizacional, diseñados para examinar,
evaluar y reportar la probabilidad de que
los objetivos sean alcanzados.

Aunque los auditores internos fue el

grupo que introdujo el CSA en la
organización, en realidad es una
herramienta para toda la empresa. La
empresa ciertamente se beneficia por el
amplio uso de esta técnica. Además,
otras divisiones profesionales, tales
como, recursos humanos o desarrollo
organizacional, las cuales actualmente
realizan reuniones, pueden ver el CSA
como una herramienta aceptable en su
trabajo.

En algunas ocasiones una encuesta o cuestionario escrito es usado en vez

de un taller. Sin embargo, la meta es la misma sin importar qué medio de
evaluación se use. La finalidad es ayudar a la organización a evaluar la
posibilidad de alcanzar sus objetivos usando el conocimiento de su
personal, quiénes son los responsables del cumplimiento de los objetivos.
CSA es un proceso proactivo que fomenta el trabajo en equipo, evaluando
y recomendando mejoras para incrementar la posibilidad de alcanzar los
objetivos.

UN TRABAJO EN EQUIPO ES SIMPLEMENTE UN GRUPO DE

EMPLEADOS TRABAJANDO EN CONJUNTO HACIA UN
OBJETIVO O META COMÚN.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 5
IV - 10 BENEFICIOS DE LA AUTO-EVALUACIÓN DE CONTROL

De acuerdo al libro Control Self-Assessment: Making the Choice de Glenda

S. Jordan, CIA, CPA, CFE, los principales beneficios del CSA son:

1. Ayuda a los empleados de línea de todos los niveles a entender y asumir

su responsabilidad y cumplimiento del efectivo control y riesgo gerencial.
CSA incluye un elemento educativo importante que ayuda al personal de
línea a entender mejor el riesgo y asuntos de control.
2. Las acciones correctivas pueden ser más efectivas, debido a que los
participantes “son dueños” de los resultados.
3. El CSA provee una cobertura amplia de asuntos importantes, debido a
que los expertos, el equipo de trabajo, pueden rápidamente enfocar los
riesgos y controles claves.
4. El CSA mejora la comunicación en todos los niveles, debido a que
lostalleres pueden incluir múltiples lugares, departamentos, funciones y
niveles de personal.
5. El CSA enseña a los participantes cómo analizar y reportar sobre control
interno, así ayuda a incrementar la conciencia de control en la
organización entera.
6. Incrementa la preocupación de los objetivos organizacionales y el rol del
personal en el logro de las metas y objetivos.
7. Motiva al personal para el diseño e implementación cuidadosa de
procesos de control y mejoramiento continuo de los controles operativos.
8. El CSA puede ayudar a la auditoría a focalizar solamente los puntos de
alto riesgo y concentrar los esfuerzos de auditoría en éstos.
9. Los talleres de CSA pueden proveer evaluación sobre controles suaves o
colaborativos que son difíciles de evaluar por la auditoría tradicional.
10. Incrementa la participación de la gerencia en las tareas de mejorar el
ambiente de control interno.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 6
V - 10 PREOCUPACIONES DE LA AUTO-EVALUACIÓN DE
CONTROL

Junto con los beneficios, también vienen con algunas preocupaciones u

obstáculos a ser superados:

1. Las personas generalmente resisten al cambio y el CSA representa un

cambio, tanto para los que apliquen la herramienta, como para personal
operativo. Algunas organizaciones podrían ser lentas en adoptar las nuevas
metodologías.
2. La gerencia puede creer que los empleados de línea no deben ser
responsables del manejo efectivo del control y riesgo. Estos pueden ver
que el CSA es simplemente un giro del trabajo – una forma de Auditoría
Interna o Contraloría conseguir que los empleados de línea realicen su
trabajo.
3. Discusiones puede exponer a la compañía a riesgos innecesarios si las
conversaciones revelan violaciones a políticas éticas u otros asuntos.
4. Los resultados del CSA pueden no ser correctos, debido a que los
participantes no son conocedores, abiertos o francos, o el facilitador no
pudo llegar a la raíz causante del asunto.
5. Muchas culturas no son abiertas o francas y las discusiones en talleres
abiertos no logran resultados honestos.
6. Los conocimientos de administración de riesgo y controles envuelve
entrenamiento adicional, así como incrementa el tiempo de compromise
para mantener los procedimientos de CSA funcionando efectivamente.
7. La empresa no cuenta con facilitadores o entrenadores diestros.
8. Los movimientos de calidad, desarrollo organizacional y recursos
humanos, que usan los talleres de facilitación en su trabajo, pueden ver el
CSA como una amenaza, debido a que emplea muchas de las mismas
herramientas.
9. ¿Quién es el dueño del proceso de CSA?
10. ¿Cómo mercadear o integrar el CSA dentro de la organización a nivel
gerencial como operativo?

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 7
VI - FORMATOS DE AUTO-EVALUACIÓN DE CONTROL

En el panfleto Una Perspectiva sobre Auto-evaluación de Control se

identifican tres enfoque principales para el CSA: reuniones del equipo
facilitador (talleres), cuestionarios (encuestas) y análisis de producción
gerencial. A continuación presentamos los principales enfoques usados para
implementar un proceso de auto-evaluación de control en una empresa:

ENFOQUE DE TALLER

El taller es el enfoque más popular de CSA. Un taller es una reunión facilitada

por un auditor interno y diseñada para evaluar los riesgos y controles de un
proceso u objetivo dado. Como regla básica, el taller envuelve 6 ó 15
participantes y dos auditores (uno como facilitador y el otro como escribiente o
registrador) y dura de dos a cuatro horas.

ENFOQUE DE ENCUESTA

El enfoque de CSA de cuestionarios emplea la forma de encuesta, la cual

ofrece la oportunidad de una simple respuesta de “Si/No” o “Tiene/No tiene”.
Los dueños del proceso emplean los resultados para evaluar su propia
estructura. Los auditores han usado los cuestionarios por muchos años y el uso
de éstos en el CSA no es muy diferente. Una diferencia de los cuestionarios de
auditoría es que los cuestionarios de CSA deben ser escrito en el lenguaje de
receptor, no en el del auditor. Nadie estará disponible para interpretar o aclarar
la pregunta, por lo que éstos la contestarán en la forma que la entiendan, o la
saltarán sino la comprenden.

Los cuestionarios son frecuentemente usados, cuando la cultura de la

organización no acepta efectivamente las respuestas directas de los
participantes en los talleres (cuando los participantes no discuten los asuntos,
honesta y abiertamente). Esto puede ser por temor a represarías por parte de la
gerencia, miedo de perder el apoyo del grupo u otros factores.

ANÁLISIS PRODUCCIÓN GERENCIAL

Este incluye cualquier documento que los grupos puedan producir información
acerca de controles para gerencia. Este método está incluido en el folleto Una
Perspectiva sobre Auto-evaluación de Control.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 8
 OTROS ENFOQUES

En “Control an Risk Self Assessment” David McNamee detalla seis

metodologías de CSA:
1. ICQ Auto-Auditorías
2. Cuestionarios modificados
3. Guías de control
4. Técnicas de entrevistas
5. Talleres de control
6. Talleres interactivos.
Algunos nombres dados al CSA son los siguientes:
1. Control y auto-evaluación de riesgo.
2. Auto-evaluación dinámica.
3. Auto-evaluación facilitada.
4. Proceso de manejo de evaluación.
5. Manejo de auto-evaluación.
6. Evaluación de control y programa de monitoreo.
7. Programa de monitoreo de control.
8. Evaluación participativa de riesgo y control.
9. Auto-evaluación de negocio.
10. Auto-evaluación de riesgo de negocio.
11. Evaluación dinámica de riesgo
Con todos estos nombres diferentes
no causaría sorpresa el que cada
organización use CSA un poco
diferente.
Pero ¿Cuándo el CSA no es
realmente CSA?
Lo que hace la CSA único es el
hecho de que los trabajadores
de línea, no los auditores,
evalúen el riesgo y los controles.
Esto es lo que hace al CSA CSA

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 9
 VII - PROCESO DE AUTO-EVALUACIÓN DE CONTROL
1. INDENTIFICAR
PROCESOS Y

7. SEGUIMENTO IMPLEMENTACIÓN PLAN DE ACCIÓN

6. DESARROLLO INFORME / PLAN DE ACCIÓN OBJETIVOS

2. INDENTIFICAR
Y EVALUAR
RIESGOS

3. INDENTIFICAR
Y EVALUAR
CONTROLES

4. DESARROLLAR
TALLER O
CUESTIONARIO

5. RECOLECTAR
Y ANALIZAR
INFORMACIÓN

VIII - USO DE MARCOS DE CONTROL

Un marco de control (o modelo de control) es una definición y estructura que
describe el control interno. Cuando se usa el formato de taller de CSA, las
respuestas espontáneas de los participantes frecuentemente causan un flujo
diferente del taller al planificado por el facilitador. Un marco de control
permite que la información espontánea fluya y brinda al facilitador (y la alta
gerencia) la seguridad que el taller está dirigido hacia asuntos significativos.
No todos usan un marco de control en el CSA. Aproximadamente la mitad
de los talleres no lo usan. Ellos alcanzan entonces en la experiencia del
facilitador y los participantes para identificar un conjunto completo de
controles internos. Cuando un marco es usado, existen varios beneficios:
1. El marco de control puede actuar como un control de plenitud, para
asegurarse que todos los puntos han sido cubiertos en la discusión.
2. Puede ser usado como una herramienta agregada para permitir
acumular los resultados de una serie de talleres diferentes usando la
misma terminología.
3. Un marco puede usarse en forma de preguntas. Esto provee una
estructura y terminología común en el taller.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 10
USO DEL COSO

Este enfoque es basado en la identificación de riesgos relacionados con cada

uno de los procesos de negocio. Para la efectiva realización del proceso es
necesario establecer controles, COSO provee aseguramiento de los talleres de
CSA, está cubriendo todos los controles importantes en la organización o han
considerado estos cuidadosamente cuando evalúan asuntos de negocio. De
acuerdo a este marco el control interno está compuesto por cinco componentes
interrelacionados: Ambiente de Control, Evaluación de Riesgo, Control de
Actividades, Información y Comunicación y Monitoreo.

Frecuentemente un esfuerzo de CSA basado en COSO se realiza a través de

una encuesta a lo amplia de la entidad anual o cuestionario diseñado para
evaluar el ambiente de control de la organización. Claro, esto también puede
realizarse en el taller de facilitación posiblemente usando tecnología de
votaciones anónimas o a través de entrevistas estructuradas. El componente de
herramientas de evaluación presentado en el segundo volumen de COSO es un
punto de inicio para cuestionarios, talleres o entrevistas. Muchas empresas
además incluyen otros componentes de COSO tales como información y
comunicación y monitoreo en esta auto-evaluación amplia de la entidad, de
nuevo ajustando sus preguntas después del componente de herramientas de
evaluación.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 11
USO DEL COCO
Muchos practicantes de CSA encuentran que CoCo tiene un enfoque gerencial
orientado al control interno y fácil de explicar en un taller. CoCo es una forma
de más alto nivel que COSO – esto es, porque no hay mucho enfoque en
evaluaciones individuales de riesgo y actividades de control por las funciones
de negocio en CoCo. Puede usarse en base individual objetivo por objetivo,
pero también es fácil de usar en base departamental. CoCo ajusta
particularmente con el enfoque departamental o situacional de taller de CSA.
El marco (o guía usada por CoCo) divide los componentes del control en
cuatro grupos:
1. Propósito – grupo de criterios que proveen un sentido a la dirección de la
organización (Qué hacer).
2. Compromiso – grupos de criterios que proveen un sentido a la identidad y
valores de la organización (Queriendo hacerlo).
3. Capacidad – grupo de criterios que proveen un sentido de competencia a la
organización (Herramientas para hacerlo).
4. Monitoreo y aprendizaje – grupos de criterios que proveen a una
organización un sentido de evolución (¿Lo estamos haciendo?)
CARDMENU
Existe otro marco además del COSO y CoCo que puede ser usado al
establecer un taller de CSA. Por su diseño lógico y conciso, el marco
CARDmenu desarrollado por CARDdecisions, Inc. es altamente efectivo en
talleres de CSA. Este modelo divide los controles en ocho categorías, cada
una con ejemplos específicos de controles. Este detalle puede ser útil para el
facilitador, marcar y trabajar con los miembros del equipo. En este enfoque
algunas categorías son consideradas más importantes que el resto, estas son:
1. Propósito, definición & comunicación
2. Compromiso
3. Indicador/medida son áreas claves de control que deben siempre estar
presente en el diseño de un portafolio de control interno para alcanzar un
objetivo en particular. Las ocho categorías son importantes, pero estas tres
son esenciales para lograr los objetivos.
Este modelo es muy efectivo en la conducción de talleres basados en objetivo
y riesgo. El taller primero puede centrarse en las tres áreas claves de control,
entonces moverse en las otras áreas y obtener una imagen completa de los
controles internos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 12
 MODELOS RELACIONADOS CON TECNOLOGÍA DE INFORMACIÓN
NIST
El US National Institute of Standard and Technology desarrolló en
septiembre del 2001 un cuestionario de CSA, el cual puede ser usado
por cualquier tipo de organización.
El NIST ha identificado tres controles básicos para los procesos de TI:
Controles Gerenciales:
1. Administración de riesgo.
2. Revisión de controles de seguridad.
3. Mantenimiento del ciclo de vida.
4. Automatización de procesos.
5. Plan de sistema de seguridad.
Controles Operacionales:
6. Seguridad personal.
7. Seguridad física.
8. Producción y controles de entrada y salida.
9. Planes de contingencias.
10. Hardware y programas.
11. Integridad de datos.
12. Documentación.
13. Advertencias de seguridad, entrenamiento y educación.
14. Capacidad de a respuestas a incidentes.
Controles Técnicos:
15. Identificación.
16. Controles de acceso lógico.
17. Rastros de auditoría.
Las preguntas de los cuestionarios fueron preparadas de forma genérica
y el marco cubre la evaluación del nivel de todos los controles. El método
de respuesta del cuestionario consiste, primordialmente, en el examen de
documentación relevante, un riguroso examen y realización de pruebas
de control . La revisión se realiza a través de pruebas de control, las cuales
son efectuadas por los auditores internos.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 13
COBIT
Esta herramienta nació en base a la necesidad de tener un manejo y control
adecuado de la información y su tecnología correspondiente. Es un sistema
que ayuda a la organización a entender y manejar los riesgos asociados con
la información y TI. Cobit consiste en los siguientes elementos:
1. Resumen ejecutivo.
2. Marco.
3. Guías gerenciales.
4. Objetivos de Control.
5. Guías de auditoría.
6. Juego de herramientas de implementación.
En su sección Board Briefing on IT Governance, en la 2da. edición,
presenta una lista de chequeo para la alta gerencia. Esta lista es una
herramienta excelente para iniciar el proceso de CSA.
El marco de control establece 34 altos niveles de procesos de TI con sus
objetivos, los cuales están divididos en 4 grupos:
1. Planificar y organizar.
2. Adquirir e implementar.
3. Soporte.
4. Monitorear y evaluar.
Este marco de control:
1. Ayuda a la gerencia a asegurarse que las decisiones de control sobre
TI balancean adecuadamente los riesgos y controles.
2. Permite a los usuarios asegurarse de la seguridad y control de los
productos y servicios que estos reciben.
3. Provee una herramienta a los auditores para evaluar el sistema de
control interno existente, presenta formas de opinión sobre control
interno e identifica los niveles de control necesarios para las
organizaciones.
Es importante recordar que Cobit es un marco de control y que no prove
una guía para el desarrollo del CSA, sin embargo, su aplicación en los
procesos de auto-evaluación permite identificar más efectivamente las
tareas, procesos y objetivos.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 14
 La preparación para el taller de CSA
puede tomar semanas antes de la sección.
La planificación tomará diferente
cantidad de tiempo dependiendo del
formato y propósito
del taller. Algunos de los pasos incluyen:
1. Reuniones con la gerencia del grupo
que estará en el taller (equipo de
trabajo) para entender sus negocios,
objetivos y explicar el proceso.
2. Entendimiento de la cultura del
equipo de trabajo o departamento.
¿Qué tan libremente los participantes
interactuarán en el taller? Existen
asuntos mayores a tener en cuenta y
su disposición para participar?
3. Selección de los objetivos de negocio o procesos a usarse en el taller de CSA.
Esto ayudará a determinar quienes deben asistir. Usted necesitará la
participación en el taller de todos aquellos envueltos en el logro de los
objetivos. En muchas ocasiones incluirá personal de otros departamentos y
puede incluir además clientes o suplidores.
4. Aprender más acerca del negocio a través de papeles de auditorías anteriores,
material de referencia y otras fuentes. El facilitador y el escribiente necesitan
conocer la terminología y palabras usadas por el grupo y nombres de sistemas
computarizados y procesos importantes.
5. Entrevistar la mayor parte de los participantes del taller como sea possible
para entender sus trabajos y qué tal es su conocimiento para los objetivos del
taller. Algunos facilitadores frecuentemente realizan las siguientes preguntas:
¿Está usted de acuerdo con los objetivos usados en el taller?, ¿Cómo se siente
acerca de su participación?, ¿Está de acuerdo con los participantes propuestos
(los cuales podrían incluir su supervisor o gerente)? Si no está de acuerdo,
¿Cuáles son sus preocupaciones?
6. Arreglar y verificar la logística de la reunión y asegurarse que los
participantes han sido avisados acerca del taller con tiempo.
7. Enviar información de prelectura acerca del taller. Esta puede incluir los
objetivos seleccionados para usarse en el taller, que es CSA y porqué la
organización está haciendo CSA y una explicación de la relación entre
controles internos, riesgos y objetivos, que usted puede querer incluir la
agenda para la sección.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 15
 X - CINCO GRANDES ERRORES EN LA IMPLEMENTACIÓN DE AUTO-
EVALUACIÓN DE CONTROL
Así que, tu departamento de auditoría
está planificando implementar la
auto-evaluación de control en tu
organización. Entonces hablemos de
cinco errores que yo he visto que los
auditores consistentemente realizan
cuando chocan con la implementación
de CSA. Claro, los auditores no son
los únicos que cometen estos errores.
A cualquiera que planifique implementar
el formato de taller de CSA puede usar
esto como una lista de errores potenciales.

Error No. 1 - Descansar en la alta gerencia la venta de CSA

El apoyo de la gerencia es importante para todos los auditores, pero no
descanse sobre la gerencia el tomar el rol de liderazgo en el mercadeo y
venta del CSA en la organización. Este es un trabajo de los implementadores
– los cuales en la mayoría de los casos son los auditores internos.
Cuando termine la presentación de la introducción del CSA, no espere de
todos la idea del taller de CSA que esté de acuerdo. La gerencia y la
organización necesitarán comunicación constante y actualización regular
acerca de porqué el CSA es una herramienta importante.
Algunos grupos de auditores incrementan su destreza de mercadeo y venta a
través de seminarios y otros tipos de entrenamiento. Es una apuesta segura
que un consultor externo mejore su destreza de mercadeo para ayudar a
vender sus servicios en la organización. Además, la alta gerencia puede abrir
las puertas, depende de usted el establecer las necesidades y beneficios y
luego explicar el rol del CSA en el logro de las metas organizacionales.
Error No. 2 - Fallar en explicar “Porqué” CSA
Otro aspecto crucial de la venta de CSA depende de qué tan efectivamente
usted responda la pregunta “¿Porqué estamos haciendo CSA en esta
compañía?”. Si la respuesta es, ¡porque el Director de Auditoría dijo que
hiciéramos CSA!, es posible que usted esté en problemas. Aún cuando ésta
sea la razón real, obviamente usted necesita una respuesta más convincente.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 16
Una respuesta más persuasiva podría ser: “CSA es una nueva herramienta
que el departamento de auditoría está usando para ayudar a lograr los
objetivos organizacionales y queremos descubrir si puede ser beneficioso
aquí.” Otra respuesta convincente es: “las reuniones de CSA facilitan el
proceso de auditoría, pensamos que un grupo de reuniones pilotos nos
ayudarán a aprender si el CSA puede ser una mejor forma de revisar los
controles”.

Usted puede también explicar que el CSA ayuda a la gerencia a aprender de

las personas que están en las trincheras, por lo que ese gerente podrá tomar
decisiones más informado y beneficiarse de la retroalimentación que esto
brinda subsecuentemente.
Error No. 3 - Realizar la prueba piloto en una área problemática
Frecuentemente, las pruebas pilotos son realizadas en áreas difíciles de la
organización. Realizar el taller inicialmente en las áreas de mayores
problemas potenciales no es la forma más sabia de introducir el CSA en su
organización. Tampoco hacer esto, construirá la confianza de los miembros
del departamento.
Los talleres de CSA ciertamente pueden usarse para atacar problemas
difíciles, pero varios elementos deben considerarse para ayudar a garantizar
el éxito:

1. La persona que realice el taller necesita tener conocimientos extensos de

la organización y destrezas avanzada de facilitación.
2. La gerencia y los participantes necesitan asegurarse que se hará algo con
los resultados del CSA.
3. Se necesita dejar que los participantes lleguen a sus propias
conclusiones.
Una atención cercana debe darse a estos elementos esenciales para el éxito
durante las tediosas etapas iniciales de la implementación del CSA –
especialmente si se implementa en un área con problemas. En vez de
seleccionar un área riesgosa, tildada de problemática, seleccione una
donde la gerencia es amiga de las auditorías, áreas donde los objetivos son
claros y los controles son considerados. Tomar pasos conservadores y
graduales, será más beneficioso para la introducción del CSA.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 17
Mientras es cierto que algunos talleres de CSA resultan en mejoras
significativas, tales como; reducciones de costo, ahorros de tiempo u otros
beneficios, muchos de éstos no producen resultados tan dramáticos. La
mayoría de los talleres simplemente documenta que buen control ha sido
implementado para lograr un objetivo dado, además de un grupo de
partidas de acción pueden identificarse. Luego el CSA se mueve de una
zona cómoda al siguiente objetivo. Esta es la clase de taller que a mí me
gusta realizar primero.
Error No. 4 - Seleccionar los objetivos equivocados
Póngase usted en los zapatos del gerente del departamento y pondere esto:
los auditores quieren una reunión facilitación para probar una nueva
herramienta llamada CSA. Mi superior me solicitó que fuera un voluntario
para esta prueba piloto. Ahora, como jefe departamental, ¿está usted más
interesado en el centro de discusión del taller sobre sus objetivos de
negocio o sobre los objetivos de auditoría? Los objetivos de su
departamento seguramente tendrán mayor prioridad.
En el futuro, no habrá diferencia entre auditoría y objetivos del negocio.
Ahora, muchas organizaciones perciben que los controles están
relacionados con los objetivos de auditoría y opuestos a los objetivos de
negocio. Los talleres de CSA se venden más fácilmente si la discusión está
claramente enfocada en el grupo y sus intereses; esto es, los objetivos del
grupo. Un taller sobre “cómo mantener los camiones funcionando” podría
obviamente ser más interesante para el departamen to de transporte que un
taller para “asegurarse que el presupuesto de mantenimiento de vehículos
sea cumplido”.
Un último pensamiento es que los objetivos deben ser apropiados; sin im-
porter qué objetivos sean usados en el taller, recomiendo limitar los
objetivos a asuntos simples, por ejemplo, en vez de un objetivo de taller
sobre “asegurarse que las compras sean por razones de negocio valederas,
son pagadas oportuna y exactamente y con la aprobación apropiada”,
podría distribuirse en tres o cuatro sub-objetivos – uno para aprobaciones
de compras, un taller enfocado al pago oportuno y correcto y otro sobre la
validez de las compras.
El romper las areas en secciones más pequeñas, en talleres mejor dirigidos
a una meta es un punto importante que debe mantenerse en mente durante
el período de introducción del CSA.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 18
Error No. 5 - Sobre analizar la situación

Otro gran error que cometen los grupos de auditoría, es esperar que todo esté
en orden antes de intentar usar la herramienta de CSA por primera vez. Ellos
se preocupan por la objetividad de auditoría interna, acerca si el CSA es una
auditoría, respecto a qué marco de control a usarse y cuál herramienta de
votación es más eficiente.

Estas son todas áreas válidas a considerar. Sin embargo, posponer la decisión
final en algunas de estas preocupaciones podría ser una idea sabia. Muchas
organizaciones aprenden mucho en los primeros años de CSA que cualquier
decisión que realizaron anteriormente es revisada de cualquier forma.

No se paralice dentro de la falta de acción. Conozco departamentos de

auditoría que están en su tercer año de consideración de realizar talleres de
CSA, pero ya han realizado talleres de CSA en sus organizaciones.
Obviamente, estos están sobre analizando la situación.

Algunas veces las implementaciones exitosas el CSA se aplica como

entrevista de grupo al inicio de una auditoría – sólo para ver cómo funciona.
En algunas ocasiones, los auditores internos contratan un consultor para que
los ayude con los primeros talleres; a veces no usan un marco de control, no
llaman el CSA como una auditoría, no lo llaman CSA en absoluto.

Sin importar, ellos encuentran una forma de realizar un taller o dos para ver si
el enfoque de facilitación para la evaluación de control es correcto para la
organización. Entonces, deciden exactamente cómo proceder con la
implementación. En mi experiencia, la mayoría de las organizaciones sólo
usan el CSA para cierto procedimiento de sus proyectos de auditoría; el resto
del tiempo es destinado a auditorías tradicionales. Sobre analizar la situación
puede resultar una pérdida de tiempo y energía innecesaria.

Mantener la vista en estos cinco errores no le garantiza el éxito en la

implementación del CSA en su organización. Los errores son inevitables en el
manejo de una meta tan variablemente rica como la implementación de CSA.
Aprendiendo de tus propios errores y evitando estos errores comunes, sin
embargo, dar al equipo de auditoría una visión clara de qué es necesario para
introducir efectivamente el CSA en la organización.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 19
XI - ¿CUÁNDO LA AUTO-EVALUACIÓN DE CONTROL NO ES APROPIADA?

El proceso de CSA trata a los

participantes del taller o encuesta
como expertos del trabajo que
están realizando o de la situación
examinada. Si esta afirmación no
es real, entonces el CSA no es
apropiado. Esto podría pasar si
todos son nuevos en el área,
debido a la alta rotación o
crecimiento extremo. Cuando
se les cuestione sobre los
procedimientos implementados
para alcanzar los objetivos, ellos
realmente podrían no saber.

Este grupo podría beneficiarse

de una discusión facilitadora de
sus objetivos, procedimientos,
metas, etc., pero éstos no podrían
realizar una evaluación adecuada
del riesgo y control, debido a que
ellos no lo conocen. Si tal taller
o discusión es facilitada por
auditoría interna, la gerencia
realmente debe participar en el
taller, en orden de ayudar al
equipo a alinear sus objetivos
con los objetivos globales de la
organización.

A CONTINUACIÓN PRESENTAMOS ALGUNOS EJEMPLOS DE

SITUACIONES EN LAS CUALES LA IMPLEMENTACIÓN DE LA
AUTO-EVALUACIÓN DE RIESGO Y CONTROL PODRÍA NO
SER LA MEJOR OPCIÓN

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 20
 El CSA puede no ser apropiado o puede necesitarse una consideración
especial, en las situaciones abajo presentadas:

1. Los empleados no son expertos en un área en particular como se

describió anteriormente.
2. Se sospecha de un fraude. Podría ser muy difícil determinar
exactamente quién hizo qué, en un taller.
3. Existe un cambio corporativo, tales como adquisiciones y fusiones,
reestructuraciones, despidos y crisis, y por lo tanto, los empleados no
tienen claros sus objetivos o sus propios empleos a largo plazo.
4. La cultura no soporta o valora la comunicación y apertura.
5. El apoyo tangible de la gerencia en el envolvimiento de los empleados
en la identificación de riesgos y controles internos no está disponible.
6. El trabajo de auditoría es restringido al cumplimiento y/o auditorías
regulatorias y esto es solamente lo que la gerencia espera.
7. Cuando no se tiene suficientes recursos o destrezas del personal que
realizará el CSA, se puede decidir esperar hasta que la destreza sea
mejorada o implementada.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 21
XII - DISTRIBUCIÓN DE LOS RESULTADOS DEL TRABAJO
Los resultados del CSA son impresos en un informe que es preparado para la
gerencia que requirió la auto-evaluación o análisis de control. El formato del
informe y su distribución depende del propósito del análisis.

La distribución de los reportes de CSA varían, así como los formatos de

reportes en sí mismo. En el formato de taller de facilitación, el equipo de
trabajo siempre obtiene una copia del informe. En muchas ocasiones ésta es un
borrador para ayudar a asegurarse de la exactitud antes de la distribución final
al equipo de trabajo. El nivel gerencial encima del equipo de trabajo del
proceso evaluado generalmente recibe un informe de CSA. Si el CSA es
considerado una auditoría, entonces el reporte de CSA debe ser emitido con la
misma distribución de un reporte de auditoría. Después del taller y que los
resultados son emitidos en un reporte, cualquier acción descrita en el mismo
debe ser implementada.

No todos los esfuerzos de CSA resultan en un plan de acción. Si el objetivo

de negocio o proceso discutido en el taller está actualmente siendo logrado
y ningún asunto mejora la eficiencia o efectividad de los controles ha sido

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 22
 PREPARACION INFORME Por otra parte, el equipo en el taller
puede identificar pasos (acciones)
que mejoren la eficiencia o
efectividad de los controles; y los
receptores del reporte del taller
necesitarán asegurarse que las
acciones sean realizadas. Estas
necesitan la aprobación de la
gerencia y el soporte de las
iniciativas.
Muchos facilitadores reglan la
participación de la gerencia en el
taller completo (o en su parte final)
de tal forma que pueda de forma
directa e inmediata apoyar las
acciones. Si la gerencia no participa
en el taller, entonces el reporte de
CSA es el vehículo principal para
aprender sobre las partidas de acción.
Algunos facilitadores también
planifican reuniones varias semanas
después del taller, donde la gerencia
se reúne con el equipo de trabajo y
discute sus reacciones, soporte o
preocupaciones sobre los resultados
del CSA. El facilitador puede asistir
o no a esta reunión.
En el formato de CSA de taller, el
reporte es preparado generalmente
durante el taller por un escribiente o
registrador que trabaja con el
facilitador. El consenso del grupo
sobre controles, riesgos, planes de
acción, etc. es registrado y
proyectado al grupo completo para
revisión en base interactiva.
El reporte debe incluir además el
resultado de las votaciones anónimas.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 23
 XIII - CONCLUSIONES - EL PODER DEL TRABAJO EN EQUIPO

La reorganización es una condición permanente de las organizaciones

saludables.

Recuerde que las personas tienden a resistir lo que se les impone, en cambio la
gente siempre apoyará lo que ellos han ayudado a crear. Experimentar la
satisfacción de un trabajo bien hecho, compartir y celebrar las victorias del
equipo de trabajo, haciendo lo mejor con nuestro tiempo y anticipando un
futuro más brillante, desarrollando en nuestros corazones y mentes el
conocimiento de que aún las tareas más simples que realizamos diariamente
en el trabajo contribuye significativamente alcanzar los objetivos y metas de
nuestras organizaciones. Esto hace una gran diferencia entre ocho horas de
cosas que "DEBO HACER" y ocho horas de cosas "QUE DESEO
HACER".

El trabajo en equipo tiene su propia matemática, al combinar dos o más

personas en el logro de una meta común, de repente 1 más 1 se convierten en
más que dos. Cuando usted nos involucra como parte de la solución, podemos
ayudarle a cumplir con sus metas y objetivos de diversas maneras.

Cuando le pregunten ¿Qué es el Control?, recuerde que es: Todo aquello que
apoya a las personas en sus esfuerzos para alcanzar los objetivos de la
organización: Habilidades, procesos, información, sistemas, políticas, trabajo
en equipo, liderazgo, recursos, estructura, comunicación y procedimientos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 24
La auto-evaluación de control es importante porque fomenta el trabajo en
equipo y nos permite preguntarnos: ¿Con mi trabajo aporto valor agregado al
logro de los objetivos de mi área... a los del Departamento? ¿Qué será
necesario
cambiar?

Finalmente, podemos hacer una pequeña reflexión, indicando que nuestras

empresas están en un proceso de transformación, tenemos la oportunidad de
ser protagonistas de este cambio, para dirigir, no necesariamente para dar
grandes discursos, sino ayudando a que nuestra organización aprenda y sea
capaz de aprender. Cualquiera que sea el lugar que ocupemos en la jerarquía,
cualquiera que sea el tipo de trabajo, cualquiera que sea nuestra aptitud
específica, tenemos la oportunidad de trabajar con otros para hacer la
"transición hacia lo nuevo".

No sólo tenemos la oportunidad, sino la responsabilidad para con nosotros

mismos, de forjar nuestro propio destino y crear una vida productiva y
satisfactoria. A medida que ingresemos en esta nueva, el futuro no sólo
sucederá. Será creado por las personas, con valores, aspiraciones y
expectativas de crecimiento. Será creado por aquellos que exigen que el
pequeño mundo más abierto en el que vivimos sea mejor.

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 25
 XIV. INFORMACIÓN ACERCA DEL AUTOR
Reconocido conferencista internacional
especializado en temas sobre auditoría
interna, gestión de riesgo, evaluación de
control interno, gobierno corporativo cambio
organizacional, liderazgo y auto-evaluación
de control. Ha desarrollado conferencias,
entrenamientos y talleres sobre mejores
prácticas de auditoría interna en Chile, Perú,
Uruguay, Panamá, Costa Rica, México,
Ecuador, Cuba, Nicaragua, Colombia,
Guatemala y República Dominicana.

Posee un Master en Administración de

Negocios (MBA) de la Université du Québec
á Montréal, Canadá, es Contador Público
Autorizado (CPA) egresado de la Universidad
Autónoma de Santo Domingo (UASD) y ha
realizado un Postgrado en Contabilidad
Impositiva en la Universidad Autónoma de
Santo Domingo y el Instituto de Capacitación
Tributaria de la Secretaría de Estado de
Finanzas de la República Dominicana.
Adicionalmente es Certified Internal Auditor (CIA) - Auditor Interno Certificado
por The Institute of Internal Auditors (IIA); Certification in Control Self-Assessment
(CCSA) Certificación en Auto-Evaluación de Control por The Institute of Internal Audi-
tors; y Certified Fraud Examiner (CFE) Examinador de Fraude Certificado por Association
of Certified Fraud Examiners.

Actualmente es Director de Auditoría Interna y Supervisor de la Sección de Sistemas y

Procedimientos del Central Romana Corporation, Ltd. El Central Romana es una empresa
agroindustrial, principalmente productora de azúcar y cuyo origen se remonta al año 1911,
para sus operaciones agrícolas, industriales, turísticas y otras, el Central Romana emplea
alrededor de 25,000 personas, siendo el mayor empleador privado en la República
Dominicana.

Catedrático universitario de la asignatura de auditoría interna en el Programa de Maestría

en Auditoría Integral y Control de Gestión de doble titulación entre la Universidad de
Valencia de España y UNAPEC de República. Dominicana.

Fue gerente de auditoría de la firma de contadores públicos autorizados Price Waterhouse

(actualmente PricewaterhouseCoopers), posee experiencia profesional en auditoría externa
con especialidad en empresas financieras, industriales y de servicios.

Comunicarse con el autor enviar un email a naunfret@centennialrd.net

XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 26