09 abril 2013

Medición de controles para mitigar riesgos



Cuando aplicamos una auditoría basada en riesgos, al definir los componentes de las pruebas de los controles (que suelen comprender una combinación de la observación, indagación y examen de documentos), cabe recordar que en realidad requerimos validar la efectividad y funcionamiento de los controles, los que deben navegar y moverse en la franja delimitada entre el riesgo inherente y riesgo residual, limitado este último por el apetito al riesgo.
Para una efectiva medición es importante conocer el nivel de impacto de riesgos, la misma que resulta de la metodología utilizada por la administración para evaluar la gestión de riesgos. La valorización del riesgo inherente y residual suele efectuarse mediante apreciaciones subjetivas tomando como base la experiencia del personal, sus conocimientos, referencias o benchmark y finalmente plasmarlo según su intuición sobre el impacto y probabilidad que tendrían los riesgos identificados.

El riesgo inherente o primario es aquél que está expuesto ante la ausencia de los controles que la dirección ha establecido para modificar su probabilidad o impacto. El riesgo residual es aquél que permanece después que la dirección desarrolle y ponga en ejecución los controles como respuesta a los riesgos. Es el riesgo no cubierto o no gestionado que queda una vez que se han implantado de manera eficaz las acciones planificadas o controles definidos por la dirección para mitigar el riesgo inherente.

Los controles suelen estar definidos en políticas y procedimientos que se establece en límites, autorizaciones y otros protocolos, con la finalidad de revisar su desarrollo y medir el rendimiento. Además, pueden reducir la probabilidad de ocurrencia de un posible evento, su impacto o ambos conceptos a la vez.

Los controles revisados deben satisfacer los criterios y alcances para los cuales se han definido, en forma manual o automatizada, diaria, semanal o eventual. Estos pueden ser de carácter cualitativo (riesgo operacional) y cuantitativo (riesgo financiero).

El tipo de término de controles que se podría emplear para la revisión de las operaciones podría ser: Segregación de funciones, costo – beneficio, acceso a activos y archivos, verificación y conciliación, evaluación de desempeño, rendición de cuentas, documentación física y virtual (Procesos, actividades y tareas) y revisión (Procesos, actividades y tareas). En tecnologías de información los controles serían: Segregación de funciones, seguridad programas y datos, controles de accesos generales (Seguridad física y lógica de equipos centrales), continuidad de servicio, control en el desarrollo de aplicativos, control en el mantenimiento de aplicativos, control al área de desarrollo, control al área de producción, control al área de soporte técnico.

Cuando se cuenta con datos de la gestión de riesgos, es posible conocer el estimado en términos de valor del impacto o riesgo inherente. Si no se dispone de dicho indicador, los auditores pueden intentar valorizar el impacto del riesgo tomado datos contables o de ejecución presupuestal, para facilitar la medición y alcance de los controles vigentes. El objetivo es identificar si los controles actúan dentro de la banda entre el riesgo inherente y residual, si son suficientes, si no son redundantes o por último si carecen de controles apropiados para cubrir las necesidades de mitigación de los riesgos.

Una forma de plasmar los resultados de la medición de los controles por parte de los auditores podría ser utilizando una matriz que permita calificar el estado de los controles, con una puntuación de factores, tales como por ejemplo:

E1= Nivel de estandarización
E2= Estado de registro y documentación
E3= Monitoreo continuo
E4= Sensibilidad en impacto de riesgo
E5= Ocurrencia de debilidades

Artículo publicado en el Blog de Nahun Frett

No hay comentarios.: