lunes, 8 de abril de 2013

Medición de controles para mitigar riesgos

Juan Villanueva Chang

Cuando aplicamos una auditoría basada en riesgos, al definir los  componentes de las pruebas de los controles (que suelen comprender una combinación de la observación, indagación y examen de documentos), cabe recordar que en realidad requerimos validar la efectividad y funcionamiento de los controles, los que deben navegar y moverse en la franja delimitada entre el riesgo inherente y riesgo residual, limitado este último por el apetito al riesgo.
Para una efectiva medición es importante conocer el nivel de impacto de riesgos, la misma que resulta de la metodología utilizada por la administración para evaluar la  gestión de riesgos. La valorización del riesgo inherente y residual suele efectuarse mediante apreciaciones subjetivas tomando como base la experiencia del personal, sus conocimientos, referencias o benchmark y finalmente plasmarlo según su intuición sobre el impacto y probabilidad que tendrían los riesgos identificados.

El riesgo inherente o primario es aquél que está expuesto ante la ausencia de los controles que la dirección ha establecido para modificar su probabilidad o impacto. El riesgo residual es aquél que permanece después que la dirección desarrolle y ponga en ejecución los controles como respuesta a los riesgos. Es el riesgo no cubierto o no gestionado que queda una vez que se han implantado de manera eficaz las acciones planificadas o controles definidos por la dirección para mitigar el riesgo inherente.

Los controles suelen estar definidos en políticas y procedimientos que se establece en límites, autorizaciones y otros protocolos, con la finalidad de revisar su desarrollo y medir el rendimiento. Además, pueden reducir la probabilidad de ocurrencia de un posible evento, su impacto o ambos conceptos a la vez.

Los controles revisados deben satisfacer los criterios y alcances para los cuales se han definido, en forma manual o automatizada, diaria, semanal o eventual. Estos pueden ser de carácter cualitativo (riesgo operacional) y cuantitativo (riesgo financiero).

El tipo de término de controles que se podría emplear para la revisión de las operaciones podría ser: Segregación de funciones, costo – beneficio, acceso a activos y archivos, verificación y conciliación, evaluación de desempeño, rendición de cuentas, documentación física y virtual (Procesos, actividades y tareas) y revisión (Procesos, actividades y tareas). En tecnologías de información los controles serían: Segregación de funciones, seguridad programas y datos, controles de accesos generales (Seguridad física y lógica de equipos centrales), continuidad de servicio, control en el desarrollo de aplicativos, control en el mantenimiento de aplicativos, control al área de desarrollo, control al área de producción, control al área de soporte técnico.

Cuando se cuenta con datos de la gestión de riesgos, es posible conocer el estimado en términos de valor del impacto o riesgo inherente. Si no se dispone de dicho indicador, los auditores pueden intentar valorizar el impacto del riesgo tomado datos contables o de ejecución presupuestal, para facilitar la medición y alcance de los controles vigentes. El objetivo es identificar si los controles actúan dentro de la banda entre el riesgo inherente y residual, si son suficientes, si no son redundantes o por último si carecen de controles apropiados para cubrir las necesidades de mitigación de los riesgos.

Una forma de plasmar los resultados de la medición de los controles por parte de los auditores podría ser utilizando una matriz que permita calificar el estado de los controles, con una puntuación de factores, tales como por ejemplo:

E1= Nivel de estandarización
E2= Estado de registro y documentación
E3= Monitoreo continuo
E4= Sensibilidad en impacto de riesgo
E5= Ocurrencia de debilidades
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

11 comentarios:

  1. Excelente. Sería importante desarrollar más este tema, primordialmente la parte de métricas y otros que se requieren establecer para evaluar el diseño y aplicación de los controles, muchas gracias.

    ResponderEliminar
    Respuestas
    1. Excelente recomendación la tomaremos en cuenta para futuras publicaciones. Gracias por compartir sus inquietudes con nosotros.

      Eliminar
  2. Excelente artículo!!! Respecto a métricas y aplicación práctica que consulta el colega le recomiendo el documento del instituto de audtores internos de España de acceso gratuito llamado
    Caso práctico sobre Apetito
    de Riesgo Junio 2015

    ResponderEliminar
  3. Muy bueno, el tema es amplio, pero este resumen reúne de manera magistral los principales conceptos. Gracias!

    ResponderEliminar
  4. Muchas gracias por compartir tanta y tan buena información siempre útil para todos los auditores

    ResponderEliminar
  5. Buen artículo. Gracias por compartir.

    ResponderEliminar
  6. Excelente, gracias.
    El tema de controles es un tema amplio que amerita toda la profundidad posible. Pienso, desde la experiencia personal, que se debe diferenciar los controles operativos (validaciones/verificaciones), de los de monitoreo (revisiones - tipo conciliación) y los que afectan el impacto o probabilidad pero realmente no son controles, simplemente cambian el contexto del aspecto a evaluar (estrategia, procesos, proyectos, etc). Tal es el caso de la segregación de funciones, que es una medida que cambia el contexto de evaluación del riesgo, no es propiamente un control. Todo esto implica que se debe ser cuidadoso, a la hora de definir cuáles son las medidas que realmente aportan en la disminución del riesgo inherente, y así darle poder de control/mitigación a las medidas que realmente apoyen en ese aspecto.

    ResponderEliminar
  7. Excelente tema, muchas gracias por compartir sus conocimientos

    ResponderEliminar