Definición de riesgos y procedimientos

Documente y asegúrese que los riesgos operacionales sean mitigados por los procedimientos. Puede definir los riesgos primero y después los procedimientos, o viceversa.

Nota

Puede definir riesgos y procedimientos en un flujo de trabajo del Plan de trabajo, que consiste en un conjunto de pasos o procedimientos que ejecutará el equipo de aseguramiento y la documentación del resultado de cada paso.

Si necesita realizar tipos más complejos de proyectos, puede definir riesgos y controles en un flujo de trabajo de Control interno.

¿Qué son los riesgos y los procedimientos?

Un riesgo es un efecto de incertidumbre de un objetivo, con el efecto de generar una desviación positiva o negativa de lo que se espera.

Un procedimiento es un conjunto de medidas o acciones tomadas para gestionar el riesgo y aumentar la probabilidad de que se logren los objetivos establecidos.

Los términos para "riesgo" o "procedimiento" pueden variar, dependiendo de las configuraciones de su organización. Por ejemplo, un riesgo puede llamarse requisito y un procedimiento puede llamarse control.

Antes de comenzar

Antes de poder definir riesgos y procedimientos, debe:

  1. Crear un proyecto o un marco.
  2. Definir objetivos.
Nota

Dependiendo de la configuración del proyecto o marco de su organización, los objetivos también pueden denominarse secciones, procesos, ciclos, áreas funcionales, sistemas de aplicaciones u otro término personalizado.

Cómo funciona

Cuando se asocia un riesgo con un procedimiento, se especifican las medidas o cursos de acción para la forma en que se mitigará el riesgo. La combinación de los riesgos identificados y los procedimientos correspondientes se denomina Plan del proyecto.

Un riesgo puede estar asociado a muchos procedimientos y un procedimiento puede estar asociado con muchos riesgos. Para cada procedimiento que defina, se crea automáticamente una prueba.

Definición de relaciones complejas entre procedimientos y pruebas

El plan del proyecto crea una relación de uno a uno entre cada procedimiento y la prueba asociada. Si necesita definir relaciones más complejas entre los procedimientos y las pruebas, tiene dos opciones:

Relación Descripción ¿Cómo puedo lograr esto?
Uno a muchos

Una relación entre una prueba y muchos resultados de pruebas

Aplique la prueba a varios elementos (por ejemplo, sistemas de aplicaciones empresariales) y registre los resultados de las pruebas de todos los elementos en la misma prueba.
Muchos a uno

Una relación entre el resultado de una sola prueba y varias pruebas

Ejecute y registre el resultado de la prueba en la primera prueba y enlace con el resultado de las pruebas de otras pruebas.

Nota

Puede copiar la URL de la barra de dirección del navegador y pegarla en el campo Resultados de los procedimientos para el resto de las pruebas a las que se aplican los resultados.

Limitaciones

Cada objetivo puede contener un máximo de 1000 riesgos y 1000 procedimientos.

Ejemplo

Definición de riesgos y procedimientos

Escenario

Usted es un ejecutivo que posee un proyecto completo de Investigación de Cumplimiento de la FCPA. Uno de los faltantes identificados en el procedimiento está relacionado con gastos corporativos inadecuados y es propiedad de Recursos Humanos. La Junta de directorio desea saber quién es el propietario de las acciones correctivas.

Proceso

La siguiente tabla ilustra los riesgos y procedimientos que definió como parte del plan del proyecto de su organización. Para dar seguimiento al faltante del procedimiento (Viajes y entretenimiento, T&E-01, por sus siglas en inglés), se asigna al miembro del equipo de Recursos Humanos apropiado como propietario del procedimiento.

Riesgo Procedimiento(s) asociado(s)
T&E-A: Los gastos corporativos inadecuados se ocultan mediante el uso de personal subordinado. T&E-01: Obtenga una lista de empleados con tarjetas de crédito corporativas, que incluya el cargo del empleado. Escanear la lista para identificar a los empleados a quienes normalmente no se les extendería una tarjeta corporativa. Por ejemplo, personal de oficina o administrativo.
T&E-B: Los empleados pagan a los funcionarios extranjeros y ocultan los gastos en sus solicitudes de reembolso de viajes.
  • T&E-02: Determinar las organizaciones objetivos que incluyen a los empleados que interactúan con el gobierno o agentes de terceros. Además, determinar quiénes son las personas de ventas responsables por la cuenta del gobierno.
  • T&E-03: Obtener una lista de todos los reportes de empleados por Viajes y entretenimientos, incluidos los importes, y la cuenta del mayor general codificada que se procesó para la investigación y a la cual se le ejecutó una búsqueda por palabra clave sobre anticorrupción en Analytics.
  • T&E-04: Todos los nombres que figuran en el reporte de gastos como asistentes u otros deben ser ejecutados a través de una lista restringida mediante Analytics. Todas las excepciones deben ser investigadas.
  • T&E-05: Ejecutar todos los reportes de gastos a través de umbrales de los tipos de gastos. Seleccione la muestra para probar su razonabilidad.

Resultado

  • El miembro del personal de Recursos Humanos recibe una notificación por correo electrónico y puede ayudar con la actualización de la definición del procedimiento.
  • Usted puede entonces reportar a la junta quién es el dueño de las acciones correctivas de T&E-01.

Permisos

Los gerentes profesionales y los usuarios profesionales pueden definir y asociar riesgos y procedimientos.

Definición de riesgos y procedimientos

Notas

  • Los términos de la interfaz son personalizables y los campos y fichas son configurables. En su instancia de Diligent One, algunos términos, campos y fichas pueden ser diferentes.
  • Si un campo obligatorio queda en blanco, se mostrará una advertencia: Este campo es obligatorio. Algunos campos personalizados pueden tener valores predeterminados.
  1. Realice una de las siguientes acciones:
    • Para definir riesgos y procedimientos en un proyecto:

      1. Abra la aplicación Proyectos.

      2. Abra un proyecto y haga clic en la ficha Trabajo de campo.
    • Para definir riesgos y procedimientos en un marco:
      1. Abra Marcos.
      2. Abra un marco y haga clic en la ficha Secciones.
  2. Localice el objetivo adecuado, haga clic en Ir a y seleccione Plan del proyecto.
  3. Realice una de las siguientes acciones:
    • Para definir un riesgo, haga clic en Agregar riesgo, introduzca la información necesaria y haga clic en Guardar.
    • Para definir un procedimiento, haga clic en Procedimiento junto a la etiqueta Ver por, haga clic en Agregar procedimiento, ingrese la información necesaria y haga clic en Guardar.
  4. Para asociar riesgos y procedimientos, haga lo siguiente:
    1. Asegúrese de haber creado al menos un riesgo y un procedimiento.
    2. Junto al riesgo o procedimiento, haga clic en Asociar riesgo o Asociar procedimiento, defina las asociaciones apropiadas y haga clic en Guardar.

Campos de riesgo

Nota

Los campos de texto enriquecido no pueden superar los 524.288 caracteres.

Consejo

Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:

  • Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
  • Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
Campo Descripción

Título

opcional

un título significativo para el riesgo

La longitud máxima es de 255 caracteres.
Descripción

una aseveración acerca del riesgo

Identificador del riesgo

opcional

el número de identificación del riesgo

La longitud máxima es de 255 caracteres.

Impacto

opcional

 una calificación de las consecuencias de la ocurrencia del riesgo

Probabilidad

opcional

 una calificación de la probabilidad de que ocurra el riesgo

Factores de calificación de riesgo personalizados

opcional

especifica los factores de calificación de riesgo personalizados asociados con el riesgo

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos.

Consejo

Puede automatizar las evaluaciones de riesgos para el impacto, la probabilidad y los factores de calificación de riesgo personalizados. Si desea obtener más información, consulte Automatización de las evaluaciones del riesgo operativo.

Atributos

opcional

especifica los atributos asociados con el riesgo

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los riesgos en Administrar tipos de proyectos.

Evidencia de apoyo

opcional

le permite enlazar los datos de Resultados a su documentación en Proyectos para consolidar la información, aprobar cuando las acciones correctivas se hayan completado e informar las evaluaciones.

Nota

Esta opción solo está disponible si su organización utiliza Resultados.

Procedimiento asociado al Riesgo

opcional

le permite asociar un procedimiento al riesgo

Cobertura de la entidad

opcional

le permite etiquetar el riesgo a una o más entidades para los fines de reportes

Nota

Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un procedimiento con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el procedimiento. Los cambios se guardan automáticamente.
Historial

Vea un historial completo de los cambios a nivel de campo que se han hecho al riesgo

Campos de procedimientos

Nota

Los campos de texto enriquecido no pueden superar los 524.288 caracteres.

Consejo

Para habilitar la revisión ortográfica en los campos de texto enriquecido, realice una de las siguientes acciones:

  • Chrome, Firefox o Safari CTRL + clic derecho dentro del campo en Windows o Comando + clic derecho en Mac
  • Internet Explorer o Microsoft Edge abra la configuración de su navegador y active el corrector ortográfico/resaltado de palabras mal escritas
Campo Descripción

Título

opcional

un título significativo para el procedimiento

La longitud máxima es de 255 caracteres.
Descripción

una aseveración acerca del procedimiento
Número de referencia del procedimiento

el número de identificación del procedimiento

La longitud máxima es de 255 caracteres.

Nota

Este número se anexa al final del prefijo del objetivo.

Propietario

opcional

le permite asignar un usuario con licencia o sin licencia como propietario del procedimiento para fines de seguimiento y reportes

A los usuarios a quienes se les asignó el rol de Probador colaborador o Usuario colaborador se les suele asignar como propietarios de un procedimiento.

Los Propietarios se pueden asignar según la región, la unidad de negocios o un marco relacionado con el proyecto. Una vez que una persona es asignada como propietario de un procedimiento, recibe una notificación por correo electrónico con un enlace al procedimiento, que le otorga acceso de escritura al procedimiento asignado y acceso de lectura a los objetivos y riesgos. Las notificaciones enviadas por correo electrónico desde Proyectos redirigen a los usuarios de Diligent One a la aplicación Evaluaciones. Cada ficha de Evaluaciones tiene un enlace que lleva a Proyectos. Los usuarios que no están registrados en Diligent One reciben una URL pública.

Nota

Si carga procedimientos en forma masiva y especifica una persona en el campo Propietario, su nombre se muestra en Proyectos, pero no se le asignará automáticamente el procedimiento ni se le notificará por correo electrónico.

Atributos del procedimiento personalizados

opcional

especifica los atributos asociados con el procedimiento

Los administradores de proyectos y los administradores de tipos de proyectos pueden definir los atributos personalizados para los procedimientos en Administrar tipos de proyectos.

Afirmaciones relevantes

opcional

le permite etiquetar el procedimiento a una o más Afirmaciones relevantes

Principios de COSO

opcional

le permite etiquetar el procedimiento con uno o más principios de COSO

Nota

La aplicación Proyectos admite el marco COSO 2013, que incluye 17 principios de COSO.

Riesgo asociado a este Procedimiento

opcional

le permite asociar un riesgo al procedimiento

Peso del procedimiento

opcional

expresa el porcentaje del riesgo que el procedimiento mitiga

La configuración predeterminada para el procedimiento es 100 %. Puede introducir un procedimiento entre 0 % y 100 %. La suma de los pesos del procedimiento puede ascender a cualquier número.

Si desea obtener más información, consulte Componentes del aseguramiento.

Cobertura de la entidad

opcional

le permite etiquetar el procedimiento a una o más entidades para los fines de reportes

Nota

Solo los Gerentes profesionales y los Usuarios profesionales pueden etiquetar un procedimiento con una entidad haciendo clic en Mostrar contenido y seleccionando cada entidad para asociarla con el procedimiento. Los cambios se guardan automáticamente.
Historial

Vea un historial completo de los cambios a nivel de campo que se han hecho al procedimiento