Un abordaje para evaluar los procesos de gobernanza, riesgos y controles de una organización es por medio de un proceso de autoevaluación de los controles (CSA – Control Self-Assessment). Aunque existan muchas definiciones de CSA, el Instituto de Auditores Internos (IIA – The Institute of Internal Auditors) así la describe:
Un proceso por el cual el control interno es probado y evaluado con el objetivo de proveer una garantía razonable de que todos los objetivos operacionales serán alcanzados.
Un poco de historia
El CSA no es un concepto nuevo. En 1987, la primera aplicación de un CSA fue documentada por un departamento de auditoría interna canadiense que estaba insatisfecho con las técnicas de auditoría estándar utilizadas.
El IIA comenzó a patrocinar una conferencia anual de CSA en 1993 y también a ofrecer la Certificación en Autoevaluación de Control (CCSA) en 1999. Finalmente, la Ley Sarbanes-Oxley (SOX) de 2002 solidificó la exigencia de la evaluación de la administración sobre el sistema de controles internos de una empresa, inclusive en la identificación de los procesos y controles clave significativos de la organización.
¿Por qué usar Control Self-Assessment (CSAs)?
Hay una serie de beneficios intangibles obtenidos por empresas que realizan autoevaluaciones de control.
Los CSAs proveen una estructura para analizar el perfil de riesgo de una empresa. Es una metodología que les asegura a los stakeholders que el sistema de controles internos es confiable. Los CSAs crean una línea clara de responsabilidad, reducen el riesgo de fraude y fortalecen el perfil general de riesgo. Integran fundamentalmente los objetivos estratégicos de negocios a los procesos de riesgo y control.
No obstante, para que ellos traigan estos beneficios para la organización, precisan ser tomados algunos cuidados, y estas tres preguntas pueden ayudar:
¿Los controles internos están operando conforme a lo que fueron proyectados?
Eso revela qué tan bien la propiedad y la responsabilidad están incorporadas en los procesos de riesgo y control.
¿Cómo la eficacia de los controles está siendo monitorizada?
Eso ayuda a identificar riesgos y oportunidades adicionales de mejora en las actividades de control.
¿Cómo las deficiencias de control son relatadas y remediadas?
Eso ayuda a entender y a resolver los problemas identificados.
5 factores críticos de un programa de CSA eficaz
Varios factores son críticos para el éxito de la implementación de un programa CSA eficaz. Estos son los principales:
1. Asegúrese de tener a las partes interesadas apropiadas involucradas para apoyar y ser el soporte de esa iniciativa
Los auditores, en sí, no pueden evaluar suficientemente esa perspectiva amplia de controles. Todas las partes interesadas precisan participar y contribuir. Comience con los dueños de los procesos de negocio y de los controles.
2. Cree una cultura de mejora continua
Su cultura está en constante evolución, por eso certifíquese de tener tiempo y recursos suficientes para conducir la evaluación completamente.
3. Involucre a profesionales altamente calificados y entrenados para facilitar el proceso
El término “control” en el CSA insinúa una estructura amplia que engloba a las innumerables variables que contribuyen para la capacidad de una empresa en alcanzar sus objetivos, siendo las personas el factor más significativo en una organización. Aproveche los equipos existentes, como el departamento de auditoría interna, por ejemplo.
4. Defina las técnicas que serán utilizadas para ejecución del CSA
Existen varios formatos y técnicas que los profesionales pueden escoger para implementar el Control Self-Assessment (CSA). Los modelos más comunes son workshops y cuestionarios. Es importante definir claramente cómo el CSA será implementado en la práctica.
5. Tenga tanto métricas cuantitativas como evaluaciones cualitativas
Lo último que una organización precisa es otro ejercicio de verificación. Aunque las métricas sean necesarias para evaluación, no son mutuamente exclusivas del juicio exigido como base final para evaluación.
¿Quiere conocer más sobre riesgos, controles internos y auditorías? Mire en estas publicaciones lo que ya escribimos sobre el asunto: