Juan Villanueva Chang
Cuando
aplicamos una auditoría basada en riesgos, al definir los componentes de las pruebas de los controles (que
suelen comprender una combinación de la observación, indagación y examen de
documentos), cabe recordar que en realidad requerimos validar la efectividad y
funcionamiento de los controles, los que deben navegar y moverse en la franja
delimitada entre el riesgo inherente y riesgo residual, limitado este último por
el apetito al riesgo.
Para una
efectiva medición es importante conocer el nivel de impacto de riesgos, la
misma que resulta de la metodología utilizada por la administración para
evaluar la gestión de riesgos. La
valorización del riesgo inherente y residual suele efectuarse mediante
apreciaciones subjetivas tomando como base la experiencia del personal, sus
conocimientos, referencias o benchmark y finalmente plasmarlo según su intuición
sobre el impacto y probabilidad que tendrían los riesgos identificados.
El riesgo
inherente o primario es aquél que está expuesto ante la ausencia de los
controles que la dirección ha establecido para modificar su probabilidad o
impacto. El riesgo residual es aquél que permanece después que la dirección
desarrolle y ponga en ejecución los controles como respuesta a los riesgos. Es el
riesgo no cubierto o no gestionado que queda una vez que se han implantado de
manera eficaz las acciones planificadas o controles definidos por la dirección
para mitigar el riesgo inherente.
Los
controles suelen estar definidos en políticas y procedimientos que se establece
en límites, autorizaciones y otros protocolos, con la finalidad de revisar su
desarrollo y medir el rendimiento. Además, pueden reducir la probabilidad de
ocurrencia de un posible evento, su impacto o ambos conceptos a la vez.
Los
controles revisados deben satisfacer los criterios y alcances para los cuales
se han definido, en forma manual o automatizada, diaria, semanal o eventual.
Estos pueden ser de carácter cualitativo (riesgo operacional) y cuantitativo
(riesgo financiero).
El tipo de término
de controles que se podría emplear para la revisión de las operaciones podría
ser: Segregación de funciones, costo – beneficio, acceso a activos
y archivos, verificación y conciliación, evaluación de desempeño, rendición de
cuentas, documentación física y virtual (Procesos, actividades y tareas) y revisión
(Procesos, actividades y tareas). En tecnologías de información los controles serían:
Segregación de funciones, seguridad programas y datos, controles
de accesos generales (Seguridad física y lógica de equipos centrales), continuidad
de servicio, control en el desarrollo de aplicativos, control en el
mantenimiento de aplicativos, control al área de desarrollo, control al área de
producción, control al área de soporte técnico.
Cuando se
cuenta con datos de la gestión de riesgos, es posible conocer el estimado en
términos de valor del impacto o riesgo inherente. Si no se dispone de dicho
indicador, los auditores pueden intentar valorizar el impacto del riesgo tomado
datos contables o de ejecución presupuestal, para facilitar la medición y
alcance de los controles vigentes. El objetivo es identificar si los controles
actúan dentro de la banda entre el riesgo inherente y residual, si son
suficientes, si no son redundantes o por último si carecen de controles
apropiados para cubrir las necesidades de mitigación de los riesgos.
Una forma
de plasmar los resultados de la medición de los controles por parte de los
auditores podría ser utilizando una matriz que permita calificar el estado de
los controles, con una puntuación de factores, tales como por ejemplo:
E1= Nivel
de estandarización
E2= Estado
de registro y documentación
E3=
Monitoreo continuo
E4=
Sensibilidad en impacto de riesgo
E5=
Ocurrencia de debilidades
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
Excelente. Sería importante desarrollar más este tema, primordialmente la parte de métricas y otros que se requieren establecer para evaluar el diseño y aplicación de los controles, muchas gracias.
ResponderEliminarExcelente recomendación la tomaremos en cuenta para futuras publicaciones. Gracias por compartir sus inquietudes con nosotros.
EliminarExcelente artículo!!! Respecto a métricas y aplicación práctica que consulta el colega le recomiendo el documento del instituto de audtores internos de España de acceso gratuito llamado
ResponderEliminarCaso práctico sobre Apetito
de Riesgo Junio 2015
Muy interesante y práctico.
ResponderEliminarMuy bueno, el tema es amplio, pero este resumen reúne de manera magistral los principales conceptos. Gracias!
ResponderEliminarExcelente gracias por compartir!
ResponderEliminarMuchas gracias por compartir tanta y tan buena información siempre útil para todos los auditores
ResponderEliminarBuen artículo. Gracias por compartir.
ResponderEliminarExcelente, gracias.
ResponderEliminarEl tema de controles es un tema amplio que amerita toda la profundidad posible. Pienso, desde la experiencia personal, que se debe diferenciar los controles operativos (validaciones/verificaciones), de los de monitoreo (revisiones - tipo conciliación) y los que afectan el impacto o probabilidad pero realmente no son controles, simplemente cambian el contexto del aspecto a evaluar (estrategia, procesos, proyectos, etc). Tal es el caso de la segregación de funciones, que es una medida que cambia el contexto de evaluación del riesgo, no es propiamente un control. Todo esto implica que se debe ser cuidadoso, a la hora de definir cuáles son las medidas que realmente aportan en la disminución del riesgo inherente, y así darle poder de control/mitigación a las medidas que realmente apoyen en ese aspecto.
Siempre buena información
ResponderEliminarExcelente tema, muchas gracias por compartir sus conocimientos
ResponderEliminar