Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 1
INDICE
I - INTRODUCCIÓN
II - DEFINICIÓN DE AUTO-EVALUACIÓN DE CONTROL
III - ¿QUÉ ES AUTO-EVALUACIÓN DE CONTROL?
IV - 10 BENEFICIOS DE LA AUTO-EVALUACIÓN DE CONTROL
V - 10 PREOCUPACIONES DE LA AUTO-EVALUACIÓN DE CONTROL
VI - FORMATOS DE AUTO-EVALUACIÓN DE CONTROL
ENFOQUE DE TALLER
ENFOQUE DE ENCUESTA
ANÁLISIS PRODUCCIÓN GERENCIAL
OTROS ENFOQUES
VII - PROCESO DE AUTO-EVALUACIÓN DE CONTROL
VIII - USO DE MARCOS DE CONTROL
USO DEL COSO
USO DEL COCO
CARDMENU
MODELOS RELACIONADOS CON TECNOLOGÍA DE INFORMACIÓN
NIST
COBIT
IX - PREPARACIÓN PARA EL TALLER DE AUTO-EVALUACIÓN DE CONTROL
X - CINCO GRANDES ERRORES EN LA IMPLEMENTACIÓN DE
AUTOEVALUACIÓN DE CONTROL
XI - ¿CUÁNDO LA AUTO-EVALUACIÓN DE CONTROL NO ES APROPIADA?
XII - DISTRIBUCIÓN DE LOS RESULTADOS DEL TRABAJO
XIII - CONCLUSIONES - EL PODER DEL TRABAJO EN EQUIPO
XIV - INFORMACIÓN ACERCA DEL AUTOR
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 2
I - INTRODUCCIÓN
¿PORQUÉ EN MUCHAS OCASIONES PLANES, PROGRAMAS,
ESTRATEGIAS, POLÍTICAS Y NORMAS ADECUADAMENTE
PREPARADAS Y COMUNICADAS AL PERSONAL DE LA EMPRESA,
NO SON EXITOSAMENTE IMPLEMENTADAS?
Durante muchos años he visto cómo auditores internos, contralores, gerentes
financieros y contadores trabajan afanosamente y de forma unilateral en la
creación de un sistema de control interno adecuado, a través de la preparación
de políticas, procedimientos, formularios, etc., notamos cómo el control interno
es visto por el personal de la empresa como algo exclusivo del área financiera,
los cuales fijan reglas y controles que limitan el adecuado desempeño de sus
funciones y no promueven la creatividad e innovación del personal. Si
hablamos con miembros del departamento de ventas, mercadeo, producción,
transportación o informática observaremos que el control interno es percibido
como una barrera u obstáculo, que no permiten que el personal realice el
trabajo, de forma que los objetivos deseados sean alcanzados.
La tradición y raíces de nuestras organizaciones deben ser nuestras guías, pero
no deben atarnos al pasado, no debemos permitir que nuestra forma de hacer
el trabajo esté anclada, suspendida, estática en el pasado. La auto-evaluación
cambia la forma en que trabajamos en el desarrollo del control interno, esto se
logra a través de realizar evaluaciones de los procesos de negocio de nuestras
empresas, de forma participativa, junto con el personal que está envuelto
diariamente en el proceso.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 3
La auto-evaluación entiende que el control interno es asunto de todos. Esto
significa que todo el personal de la compañía debe trabajar juntos hacia una
responsabilidad mutua, que es la de mejorar el ambiente de control. Si un
control, proceso, procedimiento o tarea crítica para el éxito de la organización
no está funcionando adecuadamente, todos trabajamos juntos para lograr
perfeccionarlo.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 4
Estos talleres pueden ser aplicados a
proyectos, procesos, unidades de
negocio, funciones, o básicamente
cualquier nivel, cuyos objetivos puedan
ser claramente definidos. Estos talleres
envuelven al personal directamente
responsable del logro de objetivo
organizacional, diseñados para examinar,
evaluar y reportar la probabilidad de que
los objetivos sean alcanzados.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 5
IV - 10 BENEFICIOS DE LA AUTO-EVALUACIÓN DE CONTROL
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 6
V - 10 PREOCUPACIONES DE LA AUTO-EVALUACIÓN DE
CONTROL
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 7
VI - FORMATOS DE AUTO-EVALUACIÓN DE CONTROL
ENFOQUE DE TALLER
ENFOQUE DE ENCUESTA
Este incluye cualquier documento que los grupos puedan producir información
acerca de controles para gerencia. Este método está incluido en el folleto Una
Perspectiva sobre Auto-evaluación de Control.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 8
OTROS ENFOQUES
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 9
VII - PROCESO DE AUTO-EVALUACIÓN DE CONTROL
1. INDENTIFICAR
PROCESOS Y
2. INDENTIFICAR
Y EVALUAR
RIESGOS
3. INDENTIFICAR
Y EVALUAR
CONTROLES
4. DESARROLLAR
TALLER O
CUESTIONARIO
5. RECOLECTAR
Y ANALIZAR
INFORMACIÓN
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 11
USO DEL COCO
Muchos practicantes de CSA encuentran que CoCo tiene un enfoque gerencial
orientado al control interno y fácil de explicar en un taller. CoCo es una forma
de más alto nivel que COSO – esto es, porque no hay mucho enfoque en
evaluaciones individuales de riesgo y actividades de control por las funciones
de negocio en CoCo. Puede usarse en base individual objetivo por objetivo,
pero también es fácil de usar en base departamental. CoCo ajusta
particularmente con el enfoque departamental o situacional de taller de CSA.
El marco (o guía usada por CoCo) divide los componentes del control en
cuatro grupos:
1. Propósito – grupo de criterios que proveen un sentido a la dirección de la
organización (Qué hacer).
2. Compromiso – grupos de criterios que proveen un sentido a la identidad y
valores de la organización (Queriendo hacerlo).
3. Capacidad – grupo de criterios que proveen un sentido de competencia a la
organización (Herramientas para hacerlo).
4. Monitoreo y aprendizaje – grupos de criterios que proveen a una
organización un sentido de evolución (¿Lo estamos haciendo?)
CARDMENU
Existe otro marco además del COSO y CoCo que puede ser usado al
establecer un taller de CSA. Por su diseño lógico y conciso, el marco
CARDmenu desarrollado por CARDdecisions, Inc. es altamente efectivo en
talleres de CSA. Este modelo divide los controles en ocho categorías, cada
una con ejemplos específicos de controles. Este detalle puede ser útil para el
facilitador, marcar y trabajar con los miembros del equipo. En este enfoque
algunas categorías son consideradas más importantes que el resto, estas son:
1. Propósito, definición & comunicación
2. Compromiso
3. Indicador/medida son áreas claves de control que deben siempre estar
presente en el diseño de un portafolio de control interno para alcanzar un
objetivo en particular. Las ocho categorías son importantes, pero estas tres
son esenciales para lograr los objetivos.
Este modelo es muy efectivo en la conducción de talleres basados en objetivo
y riesgo. El taller primero puede centrarse en las tres áreas claves de control,
entonces moverse en las otras áreas y obtener una imagen completa de los
controles internos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 12
MODELOS RELACIONADOS CON TECNOLOGÍA DE INFORMACIÓN
NIST
El US National Institute of Standard and Technology desarrolló en
septiembre del 2001 un cuestionario de CSA, el cual puede ser usado
por cualquier tipo de organización.
El NIST ha identificado tres controles básicos para los procesos de TI:
Controles Gerenciales:
1. Administración de riesgo.
2. Revisión de controles de seguridad.
3. Mantenimiento del ciclo de vida.
4. Automatización de procesos.
5. Plan de sistema de seguridad.
Controles Operacionales:
6. Seguridad personal.
7. Seguridad física.
8. Producción y controles de entrada y salida.
9. Planes de contingencias.
10. Hardware y programas.
11. Integridad de datos.
12. Documentación.
13. Advertencias de seguridad, entrenamiento y educación.
14. Capacidad de a respuestas a incidentes.
Controles Técnicos:
15. Identificación.
16. Controles de acceso lógico.
17. Rastros de auditoría.
Las preguntas de los cuestionarios fueron preparadas de forma genérica
y el marco cubre la evaluación del nivel de todos los controles. El método
de respuesta del cuestionario consiste, primordialmente, en el examen de
documentación relevante, un riguroso examen y realización de pruebas
de control . La revisión se realiza a través de pruebas de control, las cuales
son efectuadas por los auditores internos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 13
COBIT
Esta herramienta nació en base a la necesidad de tener un manejo y control
adecuado de la información y su tecnología correspondiente. Es un sistema
que ayuda a la organización a entender y manejar los riesgos asociados con
la información y TI. Cobit consiste en los siguientes elementos:
1. Resumen ejecutivo.
2. Marco.
3. Guías gerenciales.
4. Objetivos de Control.
5. Guías de auditoría.
6. Juego de herramientas de implementación.
En su sección Board Briefing on IT Governance, en la 2da. edición,
presenta una lista de chequeo para la alta gerencia. Esta lista es una
herramienta excelente para iniciar el proceso de CSA.
El marco de control establece 34 altos niveles de procesos de TI con sus
objetivos, los cuales están divididos en 4 grupos:
1. Planificar y organizar.
2. Adquirir e implementar.
3. Soporte.
4. Monitorear y evaluar.
Este marco de control:
1. Ayuda a la gerencia a asegurarse que las decisiones de control sobre
TI balancean adecuadamente los riesgos y controles.
2. Permite a los usuarios asegurarse de la seguridad y control de los
productos y servicios que estos reciben.
3. Provee una herramienta a los auditores para evaluar el sistema de
control interno existente, presenta formas de opinión sobre control
interno e identifica los niveles de control necesarios para las
organizaciones.
Es importante recordar que Cobit es un marco de control y que no prove
una guía para el desarrollo del CSA, sin embargo, su aplicación en los
procesos de auto-evaluación permite identificar más efectivamente las
tareas, procesos y objetivos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 14
La preparación para el taller de CSA
puede tomar semanas antes de la sección.
La planificación tomará diferente
cantidad de tiempo dependiendo del
formato y propósito
del taller. Algunos de los pasos incluyen:
1. Reuniones con la gerencia del grupo
que estará en el taller (equipo de
trabajo) para entender sus negocios,
objetivos y explicar el proceso.
2. Entendimiento de la cultura del
equipo de trabajo o departamento.
¿Qué tan libremente los participantes
interactuarán en el taller? Existen
asuntos mayores a tener en cuenta y
su disposición para participar?
3. Selección de los objetivos de negocio o procesos a usarse en el taller de CSA.
Esto ayudará a determinar quienes deben asistir. Usted necesitará la
participación en el taller de todos aquellos envueltos en el logro de los
objetivos. En muchas ocasiones incluirá personal de otros departamentos y
puede incluir además clientes o suplidores.
4. Aprender más acerca del negocio a través de papeles de auditorías anteriores,
material de referencia y otras fuentes. El facilitador y el escribiente necesitan
conocer la terminología y palabras usadas por el grupo y nombres de sistemas
computarizados y procesos importantes.
5. Entrevistar la mayor parte de los participantes del taller como sea possible
para entender sus trabajos y qué tal es su conocimiento para los objetivos del
taller. Algunos facilitadores frecuentemente realizan las siguientes preguntas:
¿Está usted de acuerdo con los objetivos usados en el taller?, ¿Cómo se siente
acerca de su participación?, ¿Está de acuerdo con los participantes propuestos
(los cuales podrían incluir su supervisor o gerente)? Si no está de acuerdo,
¿Cuáles son sus preocupaciones?
6. Arreglar y verificar la logística de la reunión y asegurarse que los
participantes han sido avisados acerca del taller con tiempo.
7. Enviar información de prelectura acerca del taller. Esta puede incluir los
objetivos seleccionados para usarse en el taller, que es CSA y porqué la
organización está haciendo CSA y una explicación de la relación entre
controles internos, riesgos y objetivos, que usted puede querer incluir la
agenda para la sección.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 15
X - CINCO GRANDES ERRORES EN LA IMPLEMENTACIÓN DE AUTO-
EVALUACIÓN DE CONTROL
Así que, tu departamento de auditoría
está planificando implementar la
auto-evaluación de control en tu
organización. Entonces hablemos de
cinco errores que yo he visto que los
auditores consistentemente realizan
cuando chocan con la implementación
de CSA. Claro, los auditores no son
los únicos que cometen estos errores.
A cualquiera que planifique implementar
el formato de taller de CSA puede usar
esto como una lista de errores potenciales.
Otro gran error que cometen los grupos de auditoría, es esperar que todo esté
en orden antes de intentar usar la herramienta de CSA por primera vez. Ellos
se preocupan por la objetividad de auditoría interna, acerca si el CSA es una
auditoría, respecto a qué marco de control a usarse y cuál herramienta de
votación es más eficiente.
Estas son todas áreas válidas a considerar. Sin embargo, posponer la decisión
final en algunas de estas preocupaciones podría ser una idea sabia. Muchas
organizaciones aprenden mucho en los primeros años de CSA que cualquier
decisión que realizaron anteriormente es revisada de cualquier forma.
Sin importar, ellos encuentran una forma de realizar un taller o dos para ver si
el enfoque de facilitación para la evaluación de control es correcto para la
organización. Entonces, deciden exactamente cómo proceder con la
implementación. En mi experiencia, la mayoría de las organizaciones sólo
usan el CSA para cierto procedimiento de sus proyectos de auditoría; el resto
del tiempo es destinado a auditorías tradicionales. Sobre analizar la situación
puede resultar una pérdida de tiempo y energía innecesaria.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 19
XI - ¿CUÁNDO LA AUTO-EVALUACIÓN DE CONTROL NO ES APROPIADA?
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 20
El CSA puede no ser apropiado o puede necesitarse una consideración
especial, en las situaciones abajo presentadas:
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 21
XII - DISTRIBUCIÓN DE LOS RESULTADOS DEL TRABAJO
Los resultados del CSA son impresos en un informe que es preparado para la
gerencia que requirió la auto-evaluación o análisis de control. El formato del
informe y su distribución depende del propósito del análisis.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 22
PREPARACION INFORME Por otra parte, el equipo en el taller
puede identificar pasos (acciones)
que mejoren la eficiencia o
efectividad de los controles; y los
receptores del reporte del taller
necesitarán asegurarse que las
acciones sean realizadas. Estas
necesitan la aprobación de la
gerencia y el soporte de las
iniciativas.
Muchos facilitadores reglan la
participación de la gerencia en el
taller completo (o en su parte final)
de tal forma que pueda de forma
directa e inmediata apoyar las
acciones. Si la gerencia no participa
en el taller, entonces el reporte de
CSA es el vehículo principal para
aprender sobre las partidas de acción.
Algunos facilitadores también
planifican reuniones varias semanas
después del taller, donde la gerencia
se reúne con el equipo de trabajo y
discute sus reacciones, soporte o
preocupaciones sobre los resultados
del CSA. El facilitador puede asistir
o no a esta reunión.
En el formato de CSA de taller, el
reporte es preparado generalmente
durante el taller por un escribiente o
registrador que trabaja con el
facilitador. El consenso del grupo
sobre controles, riesgos, planes de
acción, etc. es registrado y
proyectado al grupo completo para
revisión en base interactiva.
El reporte debe incluir además el
resultado de las votaciones anónimas.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 23
XIII - CONCLUSIONES - EL PODER DEL TRABAJO EN EQUIPO
Recuerde que las personas tienden a resistir lo que se les impone, en cambio la
gente siempre apoyará lo que ellos han ayudado a crear. Experimentar la
satisfacción de un trabajo bien hecho, compartir y celebrar las victorias del
equipo de trabajo, haciendo lo mejor con nuestro tiempo y anticipando un
futuro más brillante, desarrollando en nuestros corazones y mentes el
conocimiento de que aún las tareas más simples que realizamos diariamente
en el trabajo contribuye significativamente alcanzar los objetivos y metas de
nuestras organizaciones. Esto hace una gran diferencia entre ocho horas de
cosas que "DEBO HACER" y ocho horas de cosas "QUE DESEO
HACER".
Cuando le pregunten ¿Qué es el Control?, recuerde que es: Todo aquello que
apoya a las personas en sus esfuerzos para alcanzar los objetivos de la
organización: Habilidades, procesos, información, sistemas, políticas, trabajo
en equipo, liderazgo, recursos, estructura, comunicación y procedimientos.
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 24
La auto-evaluación de control es importante porque fomenta el trabajo en
equipo y nos permite preguntarnos: ¿Con mi trabajo aporto valor agregado al
logro de los objetivos de mi área... a los del Departamento? ¿Qué será
necesario
cambiar?
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina. 25
XIV. INFORMACIÓN ACERCA DEL AUTOR
Reconocido conferencista internacional
especializado en temas sobre auditoría
interna, gestión de riesgo, evaluación de
control interno, gobierno corporativo cambio
organizacional, liderazgo y auto-evaluación
de control. Ha desarrollado conferencias,
entrenamientos y talleres sobre mejores
prácticas de auditoría interna en Chile, Perú,
Uruguay, Panamá, Costa Rica, México,
Ecuador, Cuba, Nicaragua, Colombia,
Guatemala y República Dominicana.