Control Interno y ERM: Tipos, Evaluaciones y Herramientas ISO

Control Interno y Gestión de Riesgos: Tipos, Evaluaciones y Herramientas ISO

Tipos de Control

Tipos de Evaluaciones (Monitoreo)

Tipos de Evaluaciones (monitoreo): Auditoría interna; Otras evaluaciones internas; Cruzadas entre funciones; Con otras organizaciones – benchmarking; Autoevaluaciones.

Control Interno vs. COSO ERM

Control interno vs. COSO ERM: La metodología de control interno es compatible con la administración integral de riesgo (ERM). Ambos frameworks están basados en los mismos fundamentos. El control interno es una parte integrante de ERM. ERM comprende el control interno, formando una conceptualización más robusta y herramientas para la administración. Control interno intenta reducir el riesgo, ERM intenta gestionarlo. ERM considera objetivos estratégicos. ERM tiene 8 componentes, desarrollando y fortaleciendo la identificación, análisis y decisiones de respuesta al riesgo. ERM incorpora los conceptos de apetito de riesgo y tolerancia: cuánto riesgo una organización está preparada para aceptar. Un buen control interno es una forma de gestionar riesgos. ERM es un nivel siguiente al CI.

Objetivos de ERM

Objetivos de ERM:

• Estratégico: Relacionado con las metas de alto nivel, alineado y soportando la misión y visión de la compañía.
• Operaciones: Relacionado a la efectividad y eficiencia de las operaciones de la compañía, incluyendo metas de rendimiento y utilidades. Estas variarán basados en las opciones de la administración acerca de la estructura y rendimiento.
• Reporting: Relacionado con la efectividad de los informes de la compañía. Esto incluye informes de carácter interno y externo y puede involucrar información financiera y no financiera.
• Cumplimiento: Relacionado con el cumplimiento y aplicabilidad de las leyes y regulaciones de la compañía.

Herramientas y Técnicas ISO

HERRAMIENTAS, TECNICAS METODO ISO:

• Lluvia de Ideas:
  • Definición: Conversación libre entre personas con conocimientos que permiten identificar los riesgos, controles, posibles fallas, criterios de decisión y opciones de tratamiento.
  • Uso: Su principal uso es el levantamiento de riesgos o controles asociados a un proceso o una empresa.
• Técnica Delphi:
  • Definición: Levantamiento de riesgos o controles realizado por medio de formularios completados por expertos, sin existir interacción ni debate de lo expuesto por ellos.
  • Uso: Su principal uso es el levantamiento de riesgos o controles asociados a un proceso o una empresa.
• Análisis BowTie:
  • Definición: Es un simple diagrama que permite que se analicen las causas y consecuencias de un riesgo, permitiendo integrar los controles destinados a las causas y los controles destinados a las consecuencias.
  • Uso: Analizar los riesgos desde su causa hasta sus consecuencias, incluyendo los controles preventivos y los mitigantes.
• ¿Qué pasa sí?:
  • Definición: Método por el cual se logra determinar causas de eventos y sus consecuencias, pudiendo profundizar lo que se considere necesario.
  • Uso: Se logra utilizar para la identificación, análisis y evaluación de un riesgo y los controles asociados a éste.
• HAZOP (Estudio de peligros y operabilidad):
  • Definición: Un proceso general de identificación de riesgos para la definición de posibles desviaciones existentes en un sistema, procesos, software u otros.
  • Uso: Determinar las desviaciones posibles en los procesos, sistemas, software u otros.
• Indicadores de Riesgo:
  • Definición: Indicadores semi cuantitativos que permiten entender las variaciones y aumento de incidentes o materializaciones del riesgo analizado.
  • Uso: Principal herramienta que permite el monitoreo del apetito al riesgo de una compañía, al igual que generar historia para una mejor gestión.

Componentes Informe COSO

Componentes Informe COSO: Entorno de Control; Evaluación de Riesgos; Actividades de control/mitigación; Información y Comunicación; Actividades de monitoreo