Por: CP Iván Rodríguez. Colaborador de Auditool.

En toda organización, la alta dirección es responsable de los diferentes programas y procesos que se ejecutan al interior, así como de los objetivos, riesgos y controles relacionados. Sin embargo, frente al tema de riesgos y controles, en ocasiones los gerentes no son conscientes de estas responsabilidades y como consecuencia las organizaciones que dirigen no cuentan con mecanismos apropiados de evaluación y gestión de riesgos y los controles existentes reciben poca atención. La alta dirección en estos casos deja que los auditores (internos y externos) se encarguen de ello. Frente a esta deficiencia se presentan las autoevaluaciones de control (Control Self-Assessment - CSA, por sus siglas en inglés) como una herramienta para corregir esta deficiencia.

La autoevaluación de control puede entenderse como un proceso utilizado en auditoría para evaluar la eficacia de los controles internos de una organización. Se pretende que los responsables de los procesos participen activamente en la evaluación de sus propios controles, en lugar de depender únicamente de los auditores. La idea que subyace en el CSA es que los responsables de los procesos son quienes mejor conocen las operaciones diarias, los riesgos a los que están expuestos y los controles que tienen implementados. A diferencia de una auditoría tradicional, donde el auditor es un observador independiente, el CSA permite que las personas que gestionan el control participen directamente en la evaluación.

Para el efecto, se emplean plantillas, cuestionarios y otros formularios, en los que se pide a los propietarios de procesos, gerentes y líderes empresariales, documentar los siguientes temas:

  • La naturaleza y características del proceso bajo su responsabilidad
  • Los parámetros clave de los programas y procesos, tales como los volúmenes, las entradas y salidas clave y los sistemas de los que dependen.
  • Personal clave que participa en la realización del trabajo relacionado y cuyo conocimiento y diligencia son clave para el éxito
  • Riesgos clave que amenazan o afectan el éxito del programa o proceso
  • Controles clave que protegen el programa o proceso
  • Mecanismos de seguimiento e informes de los que se depende
  • Indicadores clave que pueden alertar la existencia de anomalías

Los anteriores documentos suelen distribuirse al menos una vez al año, a los propietarios de los procesos para su diligenciamiento y se recopilan en el área de auditoría como evidencia documental para su revisión y discusión. La información allí contenida es muy valiosa durante la preparación de la evaluación de riesgos de la auditoría y al momento de preparar los programas de auditoría.

Ahora bien, aunque el tema de diligenciamiento de formatos es una parte esencial del proceso de autoevaluación de control, hay que considerar otros pasos o etapas que se siguen normalmente y que pueden resumirse así:

  • Definición de objetivos y riesgos

Lo primero es definir claramente los objetivos del negocio o del área que se va a auditar, que deben estar alineados con la estrategia organizacional o con metas específicas del departamento o área. Así mismo, es necesario identificar los riesgos que pueden amenazar el logro de esos objetivos y evaluarlos en términos de impacto y probabilidad.

  • Evaluación de controles existentes

Se debe adelantar un mapeo de controles mediante la documentación de los controles que ya están implementados para mitigar los riesgos. (pueden ser preventivos, detectivos o correctivos). Los responsables de los procesos deben evaluar si estos controles están diseñados adecuadamente y si están funcionando como se espera.

  • Aplicar la metodología de evaluación

Como ya se mencionó, se suelen emplear formatos y cuestionarios estructurados para que los responsables de cada área respondan sobre el estado de los controles. Estos cuestionarios pueden basarse en criterios tales como los de COSO o COBIT. También se pueden emplear sesiones grupales, talleres o reuniones en los cuales los responsables discuten en grupo sobre los controles, los riesgos y las áreas de mejora. Los resultados de la autoevaluación pueden ser validados posteriormente por el equipo de auditoría, para asegurarse de que las conclusiones son objetivas y confiables.

  • Identificación de deficiencias y acciones correctivas

Por medio de los resultados de la autoevaluación, es posible identificar aquellos controles que no son efectivos y las áreas que presentan deficiencias en la cantidad de controles apropiados. Sobre esta base, es necesario desarrollar planes de acción (con responsables, asignación de recursos y tiempos) para corregir las debilidades identificadas.

  • Monitoreo y seguimiento

Una vez implementadas las acciones correctivas, el equipo de auditoría y los responsables del área deben hacer seguimiento para verificar si se dieron las mejoras esperadas y que los controles son efectivos en el tiempo.

No obstante, sus bondades, una de las principales preocupaciones de las CSA es la posible falta de objetividad por parte de los preparadores de documentos. Puesto que poseen, supervisan o trabajan dentro del programa o proceso, no hay independencia y por tal razón podrían estar motivados para presentar una imagen más favorable de las condiciones existentes que aquellas que son reales. Así mismo, podrían tener falta de conocimiento, lo cual también podría comprometer la integridad y la calidad de estos documentos. Teniendo en cuenta lo anterior, los auditores deben aplicar su escepticismo profesional al revisar estos documentos; adicionalmente, pueden adelantar líneas de acción como las siguientes:

  • Apoyar a la alta administración proporcionando orientación y de requerirse, sesiones de capacitación sobre la importancia de los documentos y cómo completarlos adecuadamente.
  • Utilizar estos documentos durante el proceso de evaluación de riesgos, así como en la fase de planificación de auditoría, con el propósito de dar fundamento a la calificación de los riesgos relacionados.
  • Efectuar una revisión posterior de los documentos de CSA luego de ejecutar las auditorías para determinar si los contenidos fueron precisos y a su vez, proporcionar retroalimentación a la alta administración con el propósito de mejorar su calidad y confiabilidad futuras. (Lo ideal es que tanto el CSA como los resultados de la auditoría sean similares, caso en que se evidenciaría que hay una gran confiabilidad en el proceso)

Los auditores y la alta dirección deben tener presente la importancia de los beneficios que trae un CSA, entre los que se cuentan un mayor compromiso, puesto que los responsables de los procesos se involucran más en la mejora de sus propios controles y los equipos de trabajo tienen una mejor comprensión de los riesgos de su área, además de hacer un trabajo eficiente puesto que las personas que mejor conocen los procesos son las que realizan la evaluación. Por ello los auditores deben profundizar en su ejecución, para obtener los mejores resultados.


CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado