Normas Internacionales de Auditoria Interna e Informe Coso II

Universidad Mariano Gálvez De Guatemala

Facultad De Ciencias Económicas

Maestría en Estándares Internacionales con Enfoque en Auditoria Interna

Normas Internacionales de Auditoria Interna e Informe Coso II

Ingeniero Carlos Guzmán

[pic 1]

Resumen y ejecución

Control Self Assessment (CSA)

Ludwing Smaylin Díaz Soto                        1937-10-8634

Guatemala, 01 de noviembre de 2019.

Introducción

El Control Self Assessment (CSA) es la autoevaluación del control de una entidad la cual es utilizada como una herramienta la cual sirve para medir los riesgos y controles que operan en los procesos del negocio basándose en que el personal tiene las capacidades y el conocimiento adecuado para implementar en materia de control interno proporcionando seguridad de que los objetivos de la entidad podrán ser alcanzados con la implementación de estos procesos.

Control Self Assessment (CSA)

Es una herramienta de gestión de riesgo tecnológico la cual examina y evalúa la efectividad del control interno con el objetivo de proporcionar confianza de que los objetivos de la empresa serán alcanzados.  La creciente dependencia en la información y los sistemas se han convertido en un elemento crítico para el éxito y supervivencia de las entidades y la mala gestión del riesgo en materia de tecnologías de información puede llevarlas a fraudes, fuga de información, pérdidas monetarias, afectación a terceros. Los riesgos de Tecnología de la Información se encuentran intrínsecamente asociados con la ausencia de las oportunidades para utilizar la tecnología, con el fin de mejorar la eficiencia o efectividad de los procesos de negocio o como un facilitador para nuevas iniciativas entidad, es decir, los riesgos de la prestación de servicios y de operaciones de Tecnología de la Información están asociados con todos los aspectos del desempeño de Tecnología de la Información y servicios del sistema, que puede ocasionar la destrucción o la reducción de valor para la entidad. Es por ello que resulta necesario como primer paso establecer una declaración en toda empresa en la que se establezca que los riesgos de Tecnología de la Información siempre existirán a pesar de que la empresa no los detecte ni reconozca

Sin embargo, en todos y cada uno de los controles antes mencionados se encuentran involucradas las Tecnologías de Información (TI) como base fundamental de toda la operación. Por ello resulta indispensable determinar cuáles son las responsabilidades en materia de control dentro de una entidad, con la finalidad de saber quién deberá atender los temas en materia de riesgo control de TI. Con base en las mejores prácticas en materia de control interno, la alta dirección es la encargada de la supervisión, establecimiento, administración y evaluación de los procesos de gestión de riesgos y controles

Es por ello que las regulaciones internacionales como la Ley Sarbanes Oxley Commission, e incluso nacionales como lo es la Circular Única de la Comisión Nacional Bancaria y de Valores, han determinado el riesgo tecnológico y la implementación de controles que lo mitiguen como uno de los puntos críticos de toda entidad. Y es en ese punto donde los entes revisores (auditoría y/o contraloría) proveen distintos grados de aseguramiento de efectividad en materia de gestión del riesgo y procesos de control dentro de la entidad. Así mismo, es donde la aplicación del CSA apoya los tres ámbitos del marco de riesgo tecnológico, ya que mediante la autoevaluación de procesos de TI se puede obtener información crítica y útil para el Gobierno de TI, así como para la identificación, evaluación, respuesta y administración del Riesgo.   En el proceso de auto-evaluación (CSA) todas estas actividades son conducidas por el personal de las unidades de negocio y la gerencia a cargo de cada una de ellas, basados en procesos, enfocadas al cliente, orientadas a la identificación de riesgos, efectividad del control y mejoramiento del proceso.

Las aplicaciones de mejores prácticas para la gestión de los riesgos de TI proporcionan beneficios tangibles al negocio, podemos mencionar las siguientes: Menor número de eventos inesperados y fracasos, aumento de la calidad de la información, mayor confianza de las partes interesadas, menores preocupaciones de carácter regulatorio, nuevas iniciativas para el negocio apoyadas por aplicativos innovadores.  A pesar de que los componentes de control son los mismos en estos marcos de referencia y normas, para la auto-evaluación (CSA) y para las técnicas tradicionales, la diferencia entre estas reside en la metodología implementada para identificar, revisar, evaluar y validar los controles ya que en las técnicas tradicionales es el auditor o consultor externo quien emite su opinión respecto al marco de control, realiza el análisis y evaluación de riesgos y controles basado en transacciones proporcionando los siguientes controles.

1. La infraestructura entera de la entidad en materia de objetivos-riesgos-controles se encuentra sujeta a una mayor supervisión y mejoramiento continuo.
2. El personal de las unidades de negocio adquiere entrenamiento y experiencia en la evaluación de riesgos y administración de estos a través de la implementación de controles, mejorando la oportunidad de alcanzar los objetivos de la entidad.
3. Facilita la obtención y comunicación de información que conduce a mejorar la gestión de riesgos y controles.
4. Las entidades supervisoras de las entidades hablemos de auditoría y contraloría mejoran su eficiencia en la obtención de información por parte de los equipos de trabajo de las unidades de negocio, lo cual les permite mayor investigación y ejecución de pruebas para la identificación de debilidades de control significativas y riesgos residuales altos.
5. Genera valor ya que motiva la cooperación entre las diferentes unidades de negocio, incrementa la implicación del diseño y mantenimiento del sistema de gestión de riesgos y controles, promoviendo cultura dentro de la entidad.
6. El personal se ve motivado al ser dueño del proceso de gestión de riesgos y controles en sus áreas de negocio, lo que promueve que las acciones correctivas implementadas por estos equipos de trabajo sean frecuentemente más efectivas y oportunas.

Las evaluaciones son aplicadas periódicamente, se ejecutan las evaluaciones se emite el informe de resultados donde cada gerencia recibe el reporte de evaluaciones, el cual constituye la base para el intercambio de ideas entre la gerencia, el personal que opera y la contraloría interna, que incluye los asuntos de interés para la definición de acciones de mejora que apoyen la gestión de riesgos institucionales. Los reportes comparan la evaluación de los controles de cada componente contra el nivel de madurez de toda la Institución y determinan el nivel de confianza de los resultados mediante la validación de evidencias que soportaron las respuestas de los participantes, obteniendo información valiosa respecto a controles potenciales, por la especialización que cada proceso. el personal de TI tendrá la propiedad de la estructura de control debido a que ellos están envueltos en el diseño y evaluación de ésta. Siendo de esta manera que se generará valor en la gestión de los riesgos tecnológicos y de negocio de la organización.

...