Demostración del aseguramiento sobre los controles internos

La función principal de auditoría es proporcionar aseguramiento sobre la eficacia de la gestión de los riesgos y la fuerza del entorno de control en una organización. Al centralizar y automatizar partes del programa de auditoría, la auditoría puede simplificar la gestión de controles internos y promover la colaboración en toda la organización. En este artículo, discutimos cómo probar controles utilizando la aplicación Proyectos.

Este artículo ilustra cómo probar los controles utilizando una plantilla de proyecto Marco de control interno contra el soborno y la corrupción, que es útil para equipos y funciones de auditoría de tamaño pequeño y mediano. El flujo de trabajo descrito en este artículo es apropiado para tipos de auditorías más complejas donde se definen narraciones, se realizan revisiones de confiabilidad para verificar el diseño del control y se realizan pruebas para verificar la efectividad operativa de los controles. Este es un enfoque pero puede lograr los mismos o similares objetivos utilizando otras plantillas de proyecto.

¿Qué significa probar los controles?

La prueba de controles es el proceso de:

  • determinar controles clave y no clave
  • identificar qué controles serán probados
  • evaluar cada control clave según su diseño y efectividad operativa

Si las pruebas indican que un control no está operando como se esperaba o se diseñó, Auditoría anota una excepción y trabaja con la empresa para administrar un plan de acciones correctivas.

¿Dónde pruebo los controles?

Puede probar los controles usando la aplicación Proyectos.

La visión general

  • Proyectos se utiliza para documentar objetivos, riesgos y controles, probar el diseño y la efectividad de los controles y capturar asuntos.
  • Evaluaciones se utilizan para documentar las evaluaciones del diseño y la efectividad operativa de los controles.

En última instancia, los resultados de las pruebas en un proyecto pueden reflejarse en la calificación de aseguramiento de su organización, que le proporciona una imagen en tiempo real de cuán bien está mitigando el riesgo su organización.

Pasos

¿Listo para una visita guiada?

Echemos un vistazo más de cerca a estas características en el contexto.

1. Configurar su proyecto

El primer paso es comprender cuál es el mejor método para configurar los datos en el sistema para que pueda reportar adecuadamente. Puede crear proyectos para definir objetivos, riesgos y controles, evaluar el diseño y la efectividad operativa de los controles y recopilar información para fines de reportes. Los proyectos se pueden crear desde cero, desde una plantilla o desde un proyecto existente.

Consejo

La aplicación Proyectos ofrece varias bibliotecas de controles y riesgos (plantillas de proyectos) que contienen contenido previamente completado para flujos de trabajo específicos. Hay una variedad de plantillas de proyectos que normalmente se utilizan para iniciar auditorías y crear plantillas reutilizables. Esto incluye lo siguiente:

  • Plantillas de auditoría interna (Operativa)
  • Plantillas de auditoría SOC/SSAE 16/ISAE 3402
  • Plantillas de auditoría interna (Control interno y financiero)
  • La plantilla de auditoría de Sarbanes-Oxley (SOX) (Marco COSO 2013)

Configurar un proyecto

Puede elegir entre dos tipos diferentes de flujos de trabajo de proyectos, dependiendo de si sus auditorías son operativas o más integrales, como revisiones de SOX o control interno sobre los reportes financieros (ICFR, por sus siglas en inglés). Después de configurar un proyecto, Proyectos impone un flujo de trabajo sencillo en la auditoría. Esto le ayuda a identificar procedimientos de auditoría relevantes y a manejar asuntos.

Consejo

Los marcos son útiles para reducir los esfuerzos manuales relacionados con la configuración de proyectos y se pueden utilizar para administrar centralmente la información en entornos normativos y comerciales en evolución.

Ejemplo

Escenario

Usted es un profesional del cumplimiento responsable por realizar una auditoría de control interno contra el soborno y la corrupción.

Proceso

Temas de ayuda

Como punto de partida para construir su proyecto, puede crear un proyecto utilizando la plantilla de proyecto Marco de control interno contra el soborno y la corrupción.

Dentro del proyecto, usted habilita la configuración de Aseguramiento para asegurar que los resultados de las pruebas se agreguen automáticamente para propósitos de reportes y establecer la cantidad de rondas de pruebas en Uno.

Resultado

El proyecto se completa con una serie de objetivos, cada uno de los cuales contiene riesgos y controles.

Documentar objetivos

Los objetivos conforman la base de un proyecto y también son los contenedores que organizan el trabajo realizado en un proyecto. Cada objetivo establece la cuestión objeto de examen y cómo se evaluará el rendimiento. El objetivo se puede definir para que el trabajo de campo se pueda dividir en tareas manejables para que los miembros del equipo de auditoría las completen.

Ejemplo

Escenario

Parte de los esfuerzos contra el soborno de su organización incluyen políticas de viajes y entretenimiento (TNE) que deberán probarse como parte de la auditoría. Debe agregar un objetivo de TNE al proyecto para definir el área bajo examen.

Proceso

Tema de ayuda Definición de objetivos

Usted define el objetivo de la siguiente manera:

  • Título Viajes y entretenimiento
  • Descripción Asegúrese de que existan controles preventivos y de detección apropiados contra el riesgo de corrupción y soborno en el proceso de gastos de viaje y entretenimiento (incluida la tarjeta de compra).
  • Referencia TNE
  • División/Departamento Finanzas
  • Usuario asignado suNombre

Resultado

Se define el objetivo.

Documentar narraciones

Las narraciones proporcionan una forma de comprender cómo se ajustan los controles internos de su organización en un proceso de negocios. Muchas organizaciones confían en los diagramas de flujo como método principal para visualizar y mostrar el flujo de trabajo detallado dentro de un área determinada. Se puede adjuntar cualquier contenido de audio o visual a la documentación narrativa de soporte y puede asociar controles para fines de referencia.

Ejemplo

Escenario

Necesita construir una narración que se relacione con el objetivo de TNE.

En la narración, usted planifica definir el proceso de negocios y adjuntar un resumen de los riesgos y controles claves asociados con el proceso. A medida que reúne más información, tiene la intención de actualizar la narración, como corresponda.

Proceso

Tema de ayuda Definición de las narraciones

Usted navega a la ficha Narraciones en el proyecto y agrega una nueva narración denominada Narración del proceso de TNE.

Comienza a definir la narración de la siguiente manera:

Panorama del proceso: Las políticas de viajes y entretenimiento incluyen los gastos de viaje en que se incurre al viajar lejos del hogar por asuntos oficiales e incluyen transporte, alojamiento, comidas y otros gastos varios. Estos gastos deben ser razonables y necesarios para la conducción de los negocios y directamente atribuibles a este.

Finalmente, usted adjunta un documento de Word que contiene un resumen de los riesgos y los controles claves asociados con el proceso de TNE.

Resultado

Se redacta la primera parte de la narración y el documento de Word se agrega como un archivo adjunto de apoyo.

Documentar riesgos y controles

Documentar resultados de riesgos y controles da como resultado la producción de una matriz de control de riesgos (RCM). Una matriz de control de riesgos es una combinación de riesgos identificados y los controles correspondientes (las medidas o cursos de acción sobre cómo se mitigará el riesgo).

Nota

Dependiendo de la organización y del tamaño de la función de auditoría, la evaluación del riesgo inherente y residual puede ser responsabilidad de diferentes equipos. Las organizaciones más grandes generalmente aprovechan las evaluaciones de riesgos operacionales o de cumplimiento para apoyar el trabajo de auditoría.

Consejo

Una vez documentados los riesgos y controles, los propietarios de procesos pueden configurar un programa en Proyectos para asegurar que las actividades de control se realicen de manera consistente.

Ejemplo

Escenario

Su organización tiene un proceso maduro y refinado de evaluación de riesgos y evalúa el riesgo en dos dimensiones (Impacto y Probabilidad) en una escala de 3 puntos.

Usted debe evaluar la calificación del riesgo inherente para determinar el riesgo bruto al que se enfrenta la organización si no se han implementado controles u otros factores de mitigación. También desea asignar a sus controles claves una calificación de efectividad, de modo que durante las pruebas posteriores, cualquier control fallido proporcione una calificación de riesgo residual.

Proceso

Temas de ayuda

En primer lugar, usted carga los riesgos y controles en forma masiva, y asigna a cada riesgo una calificación basada en la probabilidad y el impacto.

Luego, asocia los riesgos y controles y asigna a cada control una calificación de efectividad para reflejar la importancia del control cuando llega el momento de reportar el aseguramiento.

Resultado

Se completa la evaluación del riesgo inherente y se documentan los riesgos y controles:

2. Evaluar el diseño y la eficacia de los controles

Muchas funciones de auditoría consideran que la empresa asume algunas de las responsabilidades respecto de la evaluación del diseño y la eficacia de los controles. Las tareas simples, como la actualización de una revisión de confiabilidad del control y la documentación de los pasos de las pruebas de efectividad del control, son accesibles por los propios propietarios. Esto permite que la evaluación de esos controles sea realmente propiedad de la empresa.

Evaluar el diseño del control

La Auditoría puede trabajar con propietarios de controles para evaluar el diseño de un control a través de la certificación y/o la evidencia que se agrega, definir planes de acción para implementar los controles faltantes o explicar por qué no es necesario un control.

Consejo

Los operadores de primera línea de una organización pueden usar la aplicación Control de la misión para administrar los controles a los que tienen acceso, fuera de la aplicación Proyectos. Control de la misión es una aplicación que presenta información de control desde Proyectos en una vista simplificada y centralizada.

Ejemplo

Escenario

Ahora que ha evaluado el riesgo inherente, debe realizar una revisión de confiabilidad para evaluar el diseño de cada control.

Proceso

Tema de ayuda Ejecución de procedimientos y pruebas de controles

Usted navega a la revisión de confiabilidad asociada con cada control y evalúa el diseño del control de TNE contra el proceso descrito en la narración.

Usted determina que todos los controles han sido diseñados apropiadamente. Una vez que haya terminado de evaluar el diseño de los controles, usted aprueba y define a su gerente como el siguiente revisor para que apruebe su trabajo.

Resultado

Se captura la evaluación de la revisión de confiabilidad para cada control:

Definir un plan de pruebas

Los planes de prueba identifican cómo usted probará el control. Puede definir planes de prueba para especificar el método de prueba, el tamaño total de la muestra (dividida entre rondas de prueba) y los pasos de prueba que deben realizarse para probar el control.

Consejo

Inspiraciones, un catálogo de escenarios de riesgos y pruebas recopilados de las iniciativas de Diligent en todo el mundo, ofrece una serie de ideas de pruebas analíticas por proceso. Si desea obtener más información, consulte Herramientas y plantillas.

Ejemplo

Escenario

Ahora que realizó las revisiones de confiabilidad, tiene una mejor comprensión de cómo está diseñado cada control para mitigar el riesgo. Antes de comenzar a probar la efectividad del control, debe preparar un plan de pruebas que identifique cómo va a probar cada control.

Proceso

Tema de ayuda Ejecución de procedimientos y pruebas de controles

Usted comienza por definir un plan de pruebas para el siguiente control:

TNE-04 - Umbral de la tarjeta de compra: Las tarjetas de compra tienen límites mensuales e individuales. Las compras que exceden estos límites deben ser rechazadas. La gerencia debería revisar y corregir las excepciones de manera oportuna.

  • Método de prueba Observación
  • Tamaño total de la muestra 1
  • Pasos de las pruebas / Atributos de las pruebas
    1. Obtenga los datos necesarios para realizar la prueba:
      • Datos de titular de la tarjeta de compra que incluyen límites mensuales y por transacción para cada tarjeta
      • Datos de transacciones de la tarjeta de compra para el período bajo revisión
    2. Compare los montos de las transacciones en los datos de las transacciones de la tarjeta de compra con los límites de transacción que figuran en los datos del titular de la tarjeta de compra.
    3. Calcule el subtotal de las transacciones por mes y tarjeta y compare con los límites mensuales que figuran en los datos del titular de la tarjeta de compra.

Resultado

Se captura el plan de pruebas para TNE-04.

Evaluar la eficacia del control

La evaluación de la efectividad del control implica documentar los resultados detallados de las pruebas y especificar si el control fue aprobado o no. Una vez que haya terminado de evaluar la efectividad del control, puede marcar porciones de texto y enlazarlas con la evidencia, como manuales de políticas o procedimientos, normas, acuerdos del nivel de servicio (SLA)/especificaciones del nivel de servicio (SLS) y contratos.

Consejo

Para evitar la calificación manual de la efectividad del control, puede usar controladores de evaluación para automatizar diferentes evaluaciones de control. Puede enlazar una medida creada en la aplicación Resultados a una evaluación del control en Proyectos para hacer reportes sobre la evaluación y completar automáticamente las calificaciones de riesgo inherentes de acuerdo con los rangos predefinidos de las medidas.

Ejemplo

Escenario

Ahora que ha evaluado el diseño del control y preparó un plan de pruebas que define cómo usted probará TNE-04, necesita evaluar la efectividad del control para determinar el riesgo residual o cuánto riesgo queda después de que se hayan implementado los controles.

Proceso

Tema de ayuda Ejecución de procedimientos y pruebas de controles

Navega hasta la ronda de pruebas asociada con cada control y prueba la efectividad de cada control.

Usted determina que todos los controles están funcionando efectivamente, excepto el control TNE-04. Si bien los límites de la transacción se respetan y rechazan en el punto de venta, los límites mensuales no lo son y muchas tarjetas exceden ampliamente su límite mensual.

Resultado

Se captura la evaluación de la prueba para cada control: En este punto, también puede crear un asunto para que pueda administrar un plan de acciones correctivas de los asuntos y asignar acciones a los responsables de la relación con la compañía de tarjetas de compras.

3. Demostrar aseguramiento

Los proyectos brindan la capacidad de agregar automáticamente evaluaciones de riesgos, los resultados de las pruebas y asuntos en todo el proyecto en una sola medida de aseguramiento (porcentaje) que se puede utilizar para fines de reportes. El aseguramiento aumenta a medida que las revisiones de confiabilidad y las pruebas se aprueban.

Consejo

Si ha adoptado un enfoque descendente y está administrando los riesgos estratégicos de su organización en la aplicación Estrategia, puede demostrar su aseguramiento mediante la inclusión de los resultados de las pruebas de los proyectos que se han implementado para mitigar o administrar los riesgos estratégicos.

Ejemplo

Escenario

Una vez que se completen las pruebas para el objetivo de TNE, usted desea comparar cómo está funcionando la organización en la mitigación del riesgo para que los recursos se puedan asignar de manera adecuada.

Proceso

Tema de ayuda Primeros pasos en el aseguramiento de los riesgos

Usted navega al área Progreso y visualiza las calificaciones de riesgo inherentes y residuales, y la calificación de aseguramiento para el objetivo Viajes y entretenimiento:

Luego navega al área Resultados y visualiza la calificación de aseguramiento integral para la auditoría:

Resultado

Puede reportar sobre la calificación de aseguramiento asociada con el objetivo Viajes y Entretenimiento y la calificación de aseguramiento integral asociada con la auditoría como un todo.

¿Qué sigue?

Monitorear el avance de los programas de SOX

Puede ver y monitorear el avance de sus programas de SOX a través de Storyboards. Solo lleva unos minutos instalar el Juego de herramientas de Storyboard de SOX y completar los storyboards con datos. Si desea obtener más información, consulte Juego de herramientas SOX Storyboard.