metodologia para medir efectividad sgsi

7/23/2019 metodologia para medir efectividad sgsi

1/73

METODOLOGA PARA EVALUAR LA EFECTIVIDAD DEL DISEO YOPERACIN DE LOS CONTROLES EN LA REALIZACIN DE AUDITORAS

BASADAS EN RIESGOS

JAIME ALEJANDRO ZAFRA GUTIRREZ

UNIVERSIDAD NACIONAL DE COLOMBIAFACULTAD DE MINAS

ESCUELA DE INGENIERA DE LA ORGANIZACINMEDELLN

2010


2/73

METODOLOGA PARA EVALUAR LA EFECTIVIDAD DEL DISEO YOPERACIN DE LOS CONTROLES EN LA REALIZACIN DE AUDITORAS

BASADAS EN RIESGOS


DIRECTOR

SANTIAGO MEDINA HURTADOPhD.

TESIS

Maestra en Ingeniera AdministrativaPerfil Profesional

UNIVERSIDAD NACIONAL DE COLOMBIAFACULTAD DE MINAS

ESCUELA DE INGENIERA DE LA ORGANIZACINMEDELLN

2010


3/73

AGRADECIMIENTOS

A Dios por permitirme crecer personal y profesionalmente.

A mi esposa por su apoyo incondicional.

Al Profesor Santiago Medina Hurtado por su acompaamiento y asesora duranteel desarrollo de este trabajo.

A mis jefes y compaeros que conforman el equipo humano de la Vicepresidenciade Auditora Interna del Grupo Bancolombia.

A los expertos en temas de auditora por sus aportes y en general a todas las

personas que contribuyeron directa o indirectamente en el diseo, construccin yrealizacin de este trabajo.



4/73

CONTENIDO

pg.

LISTA DE TABLAS. 8

LISTA DE GRFICOS. 10

RESUMEN. 12

ABSTRACT. 13

1. INTRODUCCIN. 14

2. ESTADO DEL ARTE. 16

2.1. HISTORIA DEL CONTROL Y MODELOS EXISTENTESPARA EVALUAR SU EFECTIVIDAD. 16

2.1.1. Prueba de la efectividad del diseo. 16

2.1.2. Prueba de la efectividad de la operacin. 17

2.2. METODOLOGAS PARA LA EVALUACIN DEL DISEOY EFECTIVIDAD DE LOS CONTROLES. 17

3. OBJETIVOS. 22

3.1. OBJETIVO GENERAL. 22

3.2. OBJETIVOS ESPECFICOS. 22

4. MARCO TERICO. 23

4.1. DEFINICIN DE EFECTIVIDAD DEL CONTROL. 23

4.1.1. Definicin de Control. 23

4.1.2. Definicin de Efectividad. 23

4.2. ESTNDARES INTERNACIONALES RELACIONADOS CONLA EFECTIVIDAD DEL CONTROL. 25


5/73

4.3. NORMATIVIDAD Y CONCEPTOS SOBRE MEJORES PRCTICASPARA EVALUAR LA EFECTIVIDAD DEL CONTROL. 26

4.3.1. Modelo COSO. 26

4.3.2. Ambiente Interno o de Control. 26

4.3.3. Establecimiento de objetivos. 27

4.3.4. Identificacin de eventos. 27

4.3.5. Evaluacin de riesgos. 27

4.3.6. Respuesta al riesgo. 27

4.3.7. Actividades de control. 27

4.3.8. Informacin y comunicacin. 27

4.3.9. Monitoreo. 27

5. METODOLOGA. 31

5.1. Descripcin de la metodologa utilizada para la asignacin de

pesos, factores, variables y niveles de los modelos propuestos. 32

5.1.1. Mtodo Delphi. 34

5.1.1.1. Caractersticas del Mtodo Delphi. 34

5.1.1.2. Aplicacin del Mtodo Delphi. 35

5.1.1.3. Anlisis de resultados de la aplicacin del Mtodo Delphi. 38

5.1.2. Definicin y asignacin de pesos para calcular el Score y los nivelesde relevancia utilizados para la seleccin de controles claves yvalorar la efectividad de los controles. 38

5.2. ETAPA 1: MODELO PARA VALORAR LA RELEVANCIA DEL CONTROL. 41

5.2.1. Seleccin de los controles claves para auditar. 41


6/73

5.2.2. Modelo propuesto para valorar la relevancia del control. 41

5.2.3. Variables del modelo propuesto para valorar y seleccionar los

controles claves. 42

5.2.4. Materialidad. 42

5.2.5. Impacto. 42

5.2.6. Omisiones del control que generaron eventos de riesgo. 43

5.2.7. Score del control. 43

5.2.8. Ejemplo de aplicacin del modelo propuesto para seleccionarcontroles claves. 43

5.3. ETAPA 2: METODOLOGIA Y MODELO PROPUESTO PARA VALORARLA EFECTIVIDAD DE LOS CONTROLES CLAVES. 45

5.3.1. Metodologa para la definicin y asignacin de pesos de losfactores de efectividad del control. 45

5.3.2. Metodologa para la definicin y asignacin de pesos de las

variables de efectividad del control. 46

5.3.3. Metodologa para la definicin y asignacin de los niveles deefectividad del control. 47

5.4. ETAPA 3: DESCRIPCIN DE LOS FACTORES Y VARIABLES DELMODELO PROPUESTO PARA EVALUAR LA EFECTIVIDAD EN ELDISEO Y OPERACIN DEL CONTROL. 48

5.4.1. Diseo del Control. 48

5.4.2. Operacin del Control. 49

5.4.3. Cobertura del Control. 49

5.4.4. Frecuencia del Control. 50


7/73

5.4.5. Madurez del Control. 51

5.4.6. Registro de los resultados de las Pruebas de Auditorarealizadas al Control. 51

5.4.7. Clculos y resultados del modelo propuesto para la valoracinde la efectividad en el diseo y operacin del Control. 52

6. APLICACIN DE LA METODOLOGA Y MODELOS PROPUESTOSPARA EVALUAR EL DISEO Y EFECTIVIDAD DEL CONTROL. 54

6.1. ETAPA 4: Ejercicio de aplicacin de la metodologa propuesta. 54

6.2. Aplicacin del modelo para seleccionar controles claves. 55

6.3. Resultados de la aplicacin del modelo para valorar la relevanciadel control y seleccionar controles claves. 56

6.4. Aplicacin del modelo para evaluar el diseo y efectividad delcontrol. 60

6.5. Resultados del ejercicio de aplicacin del modelo para evaluar eldiseo y efectividad del control. 65

6.6. ETAPA 5: Anlisis de los resultados del ejercicio de aplicacin del

modelo para evaluar el diseo y efectividad del control. 66

7. CONCLUSIONES. 68

8. RECOMENDACIONES. 70

BIBLIOGRAFA. 71


8/73

LISTA DE TABLAS

pg.

Tabla 1. Score y porcentaje distribuido entre el panel de expertosque asignaron pesos a los modelos propuestos. 33

Tabla 2. Diseo del cuestionario enviado al panel de expertos paraasignar pesos a los factores, variables y niveles del modelopropuesto para seleccionar controles claves. 36

Tabla 3. Diseo del cuestionario enviado al panel de expertos paraasignar pesos a los factores, variables y niveles del modelopropuesto para valorar la efectividad de los controles. 37

Tabla 4. Resultado de los pesos asignados por el panel de expertos a los

factores y variables del modelo propuesto para valorar larelevancia del control. 38

Tabla 5. Metodologa para valorar los niveles de relevancia de loscontroles. 39

Tabla 6. Niveles para determinar y clasificar la relevancia del control. 39

Tabla 7. Resultado de los pesos asignados por el panel de expertos a losfactores y variables del modelo propuesto para valorar laefectividad de los controles. 40

Tabla 8. Metodologa de valoracin y seleccin de los niveles deefectividad de los controles. 40

Tabla 9. Niveles para determinar y clasificar la efectividad de loscontroles. 41

Tabla 10. Asignacin de pesos para los factores, variables y niveles delmodelo propuesto para valorar la efectividad del control. 45

Tabla 11. Resultado de la metodologa utilizada para asignar pesos de lasvariables de efectividad del control. 46


9/73

Tabla 12. Resumen del resultado de la valoracin y asignacin dePesos para los factores y variables del modelo de efectividaddel control. 47

Tabla 13. Resultado de la metodologa de definicin y asignacin de losniveles de efectividad del control. 47

Tabla 14. Controles asociados al riesgo Ejercicio. 55

Tabla 15. Niveles para determinar y clasificar la relevancia delos controles. 56

Tabla 16. Niveles para clasificar los niveles de efectividad de loscontroles. 61

Tabla 17. Controles Claves seleccionados para evaluar su efectividad. 61


10/73

LISTA DE GRFICOS

pg.

Grfico 1. Contextualizacin del problema de investigacin. 20

Grfico 2. Modelo COSO Administracin de riesgos corporativos. 26

Grfico 3. Esquema de la metodologa y los modelos propuestos 32

Grfico 4. Estructura del modelo propuesto para valorar la relevanciadel control. 42

Grfico 5. Preguntas sobre materialidad. 42

Grfico 6. Niveles de impacto por la omisin del control. 43

Grfico 7. Niveles de eventos de riesgo por la omisin del control. 43

Grfico 8. Score del modelo propuesto para la seleccin de controlesclaves. 43

Grfico 9. Resultado del ejemplo de aplicacin del modelo

propuesto para seleccionar controles claves. 44

Grfico 10. Diseo del Control. 49

Grfico 11. Operacin del Control. 49

Grfico 12. Cobertura del Control. 50

Grfico 13. Frecuencia del Control. 50

Grfico 14. Madurez del Control. 51

Grfico 15. Resultados de las Pruebas de Auditora realizadas al Control. 52

Grfico 16. Estructura del modelo para evaluar el diseo yefectividad del Control. 53


11/73

Grfico 17. Valoracin del Riesgo - Ejercicio. 54

Grfico 18. Modelacin control 1. 56






Grfico 24. Resumen del resultado aplicacin del modelode seleccin de controles claves - Ejercicio. 59

Grfico 25. Modelacin de la efectividad del control 1. 62


Grfico 27. Reporte de Auditora efectividad del control 4. 64


Grfico 29. Reporte de Auditora efectividad del control 5. 65

Grfico 30. Resultados del ejercicio de aplicacin del modelopara evaluar el diseo y efectividad del control. 66

Grfico 31. Anlisis comparativo de valoracin del riesgo. 67


12/73

12

RESUMEN

Palabras Claves:Efectividad del control, auditora basada en riesgo, seleccin decontroles claves, metodologas y modelos para valorar la efectividad del control.

La frecuente ocurrencia de eventos de riesgo operacional que generan prdidaseconmicas y deterioro de la imagen en diferentes organizaciones, convoca a lareflexin de evaluar la efectividad de las diferentes actividades de control que serealizan en la operacin del negocio y que hacen parte del sistema de controlinterno de la entidad. Por esta razn, existe un reto para las reas de auditorainterna que consiste en disear, desarrollar e implementar nuevas metodologasestructuradas en tecnologa eficiente y en el conocimiento de expertos, quepermitan evaluar el diseo y efectividad de los controles claves de la entidad.La literatura actual plantea varios lineamientos conceptuales para trabajar elproblema de valorar el diseo y la efectividad de los controles, no obstante,

existen limitaciones en su implementacin y ninguna de las fuentes referenciadas,plantea metodologas o modelos de cmo se debe realizar la valoracin de laefectividad del diseo y operacin de los controles.

El objetivo de este trabajo, es contribuir con el desarrollo de una metodologa y unmodelo estructurado que permita evaluar de forma integral el diseo y efectividadde los controles. Para ello, el contenido del trabajo propone el diseo, estructura eimplementacin de una metodologa y dos modelos cualitativos que permitenidentificar los controles claves para valorar la efectividad del diseo y operacin delos controles claves, a partir del relacionamiento de variables cualitativaspreviamente definidas y valoradas por expertos en temas de riesgos y auditorainterna.

La metodologa propuesta y la aplicacin de los modelos en este trabajo, puedenagregar valor a las organizaciones porque les permite reducir la subjetividad en elconcepto que emite el auditor sobre la efectividad del control, los costos invertidosen los trabajos y el riesgo de fracaso en la realizacin de las actividades deauditora interna, quien tiene como objetivo evaluar la efectividad del sistema decontrol interno en la organizacin.

El ejercicio prctico de este trabajo se orienta a la aplicacin de la metodologa y

de los modelos propuestos, que estarn soportados por el desarrollo de unavaloracin del riesgo y la efectividad del diseo y operacin de los controlesasociados al riesgo. El resultado del ejercicio permitir al auditor, concluir sobre laefectividad de los controles claves, adems de comparar y conceptuar sobre lavaloracin del riesgo realizada por el responsable del proceso, comparado con elresultado de la auditora basada en riesgos.


13/73

13

ABSTRACT

Keywords: Effectiveness of control, risk-based auditing, key control selection,methodologies and models to assess the effectiveness of control.

The frequent occurrence of operational risk events that generate economic lossesand deterioration of the organizational image, invites to a reflection and to assessthe effectiveness of different control activities performed in the operation of thebusiness. They are part of the institution's internal control system. For this reason,there is a challenge for the areas of internal audit to design, develop andimplement new technology efficiently, structured methodologies and knowledge ofexperts to evaluate the design and effectiveness of key controls in the entity.

The current literature raises several conceptual solutions to the problem ofevaluating the design and effectiveness of controls, nonetheless, there arelimitations in its implementation and none of the referenced sources explainsmethodologies or models of how to make the assessment of the effectiveness ofdesign and operation of controls.

The aim of this paper is to contribute to the development of a methodology and astructured model to assess comprehensively and objectively the design andeffectiveness of controls. To do this, the paper proposes the design, structure andapplication of a methodology and two qualitative models that identify key controlsfor auditing and assessing the effectiveness of the design and operation of keycontrols, from the relationship of qualitative variables previously defined and valued

by experts on risk and internal audit.

The application of the methodology and the models proposed in this paper, addvalue to organizations by reducing costs, the subjectivity introduced by the auditoron the effectiveness of controls and the risk of failure in carrying out internal auditactivities, who should ensure the effectiveness of the internal control system withinthe organization.

The practical exercise of this paper is geared towards the application of themethodology and the proposed models, which will be supported by thedevelopment of a risk assessment and the effectiveness of the design and

operation of the controls associated with those risks. The result of the exercise willenable the auditor to conclude on the effectiveness of key controls, as well ascompare and conceptualize on the risk assessment conducted by those in chargeof the processes, comparing it with the result of a risk-based audit.


14/73

14

1. INTRODUCCIN

La auditora basada en riesgo la podemos definir como el conjunto de actividadesque permiten evaluar la efectividad del sistema de control interno de un proceso,

subproceso o actividad, a partir de los riesgos inherentes y controladosidentificados, valorados y gestionados por los administradores de la entidad. Estetipo de auditora permite priorizar y dirigir los recursos para evaluar la efectividadde las actividades de control identificadas como claves que ayudan a reducir elnivel de exposicin de los riesgos ms relevantes del negocio.

La auditora basada en riesgo se diferencia de la auditora tradicional, porque estaltima, no incorpora el resultado de la valoracin y priorizacin de los riesgos ycontroles que existen en el proceso, de tal forma que permita planear, dirigir yasignar los recursos requeridos durante el desarrollo de la auditora de una formams efectiva.

Los procesos y metodologas establecidas para realizar las auditoras basadas enriesgo, se fundamentan en los lineamientos definidos por las normas y estndaresinternacionales emitidas por el Instituto de Auditores Internos IIA, a travs delConsejo de Normas de Auditora Interna (IASB, por sus siglas en ingls). Estaentidad, es ampliamente reconocida y la autorizada tcnicamente para emitir lasnormas y estndares del ejercicio de la Auditora Interna a nivel mundial.

En la literatura actual escrita y publicada por acadmicos, agremiaciones yentidades de regulacin del sistema financiero a nivel mundial, presentandiferentes herramientas y modelos para gestionar y administrar los riesgosoperacionales en las organizaciones, como Basilea II (Comit de Basilea), COSO(Committee of Sponsoring Organizations), PCAOB (Public Company AccountingOversight Board), ERM (Enterprise Risk Management), COBIT (ControlObjectives for Information Systems and related Technology), estndaresinternacionales ISO (International Organization for Standardization) y laSuperintendencia Financiera de Colombia, entre otros.

En Colombia el ICONTEC public en el ao 2004, el estndar de calidad NTC-5254 basado en el AS/NZ 4360: 1999; el cual plantea un marco para el proceso degestin de riesgos con elementos que facilitan la identificacin, la evaluacin,

tratamiento y monitoreo de los riesgo operacionales de las entidades.

La Superintendencia Financiera de Colombia, emiti la Circular Externa 041 enjunio de 2007 que establece la normatividad del Capitulo XXIII Reglas Relativas ala Administracin del Riesgo Operativo (SARO), el cual sirve como marco dereferencia para gestionar las actividades de identificar, medir, controlar ymonitorear los riesgos operacionales en las entidades supervisadas, mediante el


15/73

15

registro de eventos de riesgo ocurridos para conservar la historia de las prdidaseconmicas que faciliten en el futuro, la cuantificacin de este riesgo mediante elanlisis de informacin y la construccin de modelos estadsticos. Igualmente, laSuperintendencia Financiera de Colombia, public las Circulares Externas 014 el

19 de mayo y 038 del 29 de septiembre de 2009, donde establece un marcoconceptual y normativo para el Sistema de Control Interno como elementofundamental del gobierno corporativo de estas entidades, basado en modelos quecontemplan en detalle la nocin, contenido y alcance del sistema de controlinterno. Tambin proponen identificar y evaluar con criterio conservador, loscontroles existentes y su efectividad, mediante un proceso de valoracin realizadocon base en la experiencia y un anlisis razonable y objetivo de los eventosocurridos.

Actualmente, las reas encargadas de la gestin de riesgos de las diferentesorganizaciones realizan la valoracin de los riesgos operacionales aplicando estas

metodologas y cuantifican los niveles de exposicin de los riesgos en trminosabsolutos o inherentes y en trminos controlados o residuales, con el fin deobtener una medicin de los riesgos para determinar de forma subjetiva, el nivelde efectividad y cobertura que tienen los controles sobre los riesgos valorados porlos expertos que administran los procesos. Las reas de auditora interna tienen laresponsabilidad de asegurar la efectividad del sistema de control interno en laorganizacin, para ello, realizan trabajos de aseguramiento basados en los riesgosidentificados con el fin de evaluar la efectividad del diseo y operacin de loscontroles. El resultado lo reportan al comit de auditora o a la alta direccin.Actualmente, observamos que faltan metodologas, modelos y herramientasestructuradas que permitan evaluar de forma objetiva el diseo y efectividad de los

controles ejecutados en el proceso.

Surge entonces la necesidad, de abrir nuevos horizontes en las diferentes reasde la auditora, con la propuesta de metodologas, modelos y herramientas quefaciliten el desarrollo de las actividades de valoracin del diseo y efectividad delos controles, disminuyendo los costos, la subjetividad de los auditores y el riesgode fracaso en la realizacin de auditoras basadas en riesgo.


16/73

16

2. ESTADO DEL ARTE

Las organizaciones de cualquier naturaleza (privadas, pblicas, sin nimo delucro, productivas, financieras, etc.) estn expuestas a la posible materializacin

de riesgos operaciones en el desarrollo de sus actividades productivas, lo cual,puede impactar negativamente el logro de sus objetivos estratgicos y afectar losresultados financieros.

Existen mltiples modelos para realizar la valoracin de los riesgos operacionales,uno de ellos, es el estndar de Administracin del Riesgo AS/NZ 4360 de 1999, elcual plantea que los riesgos operativos identificados y definidos en lasorganizaciones, se miden utilizando niveles de consecuencia y probabilidad deocurrencia. La valoracin se realiza en trminos de riesgos absolutos y riesgoscontrolados por los expertos responsables de los procesos, quienes identifican ydocumentan los riesgos y asocian los controles que existen para disminuir los

niveles de exposicin. Este procedimiento se fundamenta en el conocimiento delos expertos y permite determinar de forma subjetiva la cobertura que tienen loscontroles sobre los riesgos valorados.

2.1. HISTORIA DEL CONTROL Y MODELOS EXISTENTES PARA EVALUARSU EFECTIVIDAD

El Consejo para la Prctica 2130.A1 emitido por el Instituto de Auditores InternosIIA en el 2009, sobre la efectividad de los controles, menciona: La actividad deauditora interna debe evaluar la adecuacin y eficacia de los controles en la

respuesta a los riesgos en la gobernanza de la organizacin, operaciones ysistemas de informacin relativa a la: La fiabilidad y la integridad de la informacin financiera y operacional. Eficacia y eficiencia de las operaciones. Proteccin de los activos. Cumplimiento de las leyes, regulaciones y contratos.

El estndar No. 5 emitido la PCAOB (Public Company Accounting OversightBoard) del 2007, sobre la Auditora de control interno en el proceso depresentacin de reportes financieros, sugiere tener en cuenta las siguientes

pruebas de auditora para evaluar la efectividad de los controles:

2.1.1. Prueba de la efectividad del diseo:El auditor debe probar la efectividad del diseo de los controles determinando silos controles de la compaa, si son operados como fue prescrito por personasque poseen la autoridad y competencias necesarias para desempearefectivamente el control, satisfacen los objetivos de control de la compaa y


17/73

17

efectivamente pueden prevenir o detectar los errores o el fraude que derivara endeclaraciones equivocadas materiales contenidas en los estados financieros.

2.1.2. Prueba de la efectividad de la operacin

El auditor debe probar la efectividad de la operacin de un control determinandosi el control est operando tal y como fue diseado y si la persona que desempeael control posee la autoridad y competencia necesarias para desempear elcontrol de manera efectiva.

El modelo COBIT 4.1. (Control Objectives for Information Systems and relatedTechnology). Propone medir el objetivo y la madurez de los controles de TI, atravs de los siguientes lineamientos:

Monitorear y Evaluar el Control Interno.

o Revisiones de Auditora.o Monitorear y evaluar la eficiencia y efectividad de los controles

internos de revisin de la gerencia de TI. Aseguramiento del Control Interno.

o Obtener, segn sea necesario, aseguramiento adicional de lacompletitud y efectividad de los controles internos por medio derevisiones de terceros.

2.2. METODOLOGAS PARA LA EVALUACIN DEL DISEO YEFECTIVIDAD DE LOS CONTROLES.

Luego de consultar y estudiar los diferentes lineamientos referenciados sobre laevaluacin del diseo y efectividad de los controles en la realizacin de auditorasbasadas en riesgo, se observa que la mayora de procedimientos se fundamentany apoyan en la percepcin y el conocimiento de los expertos en auditora como loexponen [Pierce y Sweeney, 2005], quienes resaltan la existencia de conductas yprocedimientos de control no formalizados en las personas que realizan laactividad, que ayudan a mitigar posibles consecuencias no relevantes del riesgo yque son desfavorables en la relacin de costo beneficio. Adicionalmenterecomiendan retomar este tema para futuras investigaciones.El estndar de auditora No. 5 emitido por la PCAOB (Public Company Accounting

Oversight Board) referenciado anteriormente, tambin propone diferentesvariables a tener en cuenta para probar el diseo y efectividad de los controlesimplementados para prevenir errores en los reportes y estados financieros de lasempresas que cotizan y transan sus acciones en el mercado de valores deEstados Unidos y que son reguladas por la SEC (Securities and ExchangeCommission) que exigen el cumplimiento de la ley Sarbanes Oxley que promuevela integridad de la informacin revelada por las compaas en relacin con sus


18/73

18

riesgos y situacin financiera, con el fin de proteger a los inversionistas,autoridades, clientes y en general a sus pblicos de inters. Su cumplimiento segarantiza mediante el Sistema de Control Interno.

La ley abarca temas como el manejo y mitigacin de los riesgos en cada una delas actividades de cada compaa, con nfasis especial sobre la transparencia delos estados financieros, la prevencin del fraude, la seguridad fsica e informtica yla informacin contable. En suma, plantea la filosofa que nos orienta en trminosde comportamiento tico, valores, principios, planeacin estratgica y objetivoscorporativos.Los estndares internacionales ISO/IEC 27001:2002 y 27004:2009 Informationtechnology Security techniques Information security management Measurement. Emitidas por ISO (the International Organization forStandardization) y el IEC (the International Electrotechnical Commission).Proporcionan orientacin sobre la elaboracin y utilizacin de medidas para

evaluar la eficacia de un sistema de gestin de seguridad de la informacin (SGSI)aplicadas a la medicin de seguridad y controles o grupos de controles. Incluye lapoltica, gestin de informacin de riesgos de seguridad, objetivos de los controles,procesos y procedimientos para apoyar el proceso de revisin y mejoramientocontinuo para determinar si alguno de los controles necesitan ser cambiados omejorados. Estos estndares internacionales no describen y especifican paramedir o evaluar la efectividad de los controles, slo se limitan a requerir suevaluacin y cumplimiento.

La creciente necesidad de definir, desarrollar, proponer e implementar modelosestructurados a partir de variables cualitativas y cuantitativas que permitan evaluar

objetivamente el diseo y la efectividad de los controles, se orientan a disminuir laprobabilidad de fracaso cuando se realizan auditoras basadas en riesgo. Estetema representa oportunidades de aportar nuevo conocimiento en la actividad deauditora, como lo presenta [Knechel, 2008], quien menciona que el crecimiento delas teoras contemporneas de gestin de riesgos y procesos proporcionan unaperspectiva de gran alcance para la reingeniera de la auditora. No obstante, elproceso de desarrollo y aplicacin en las empresas es complejo y puede generarimprevistos y obstculos no administrados relacionados con la auditoratradicional.

A pesar de existir diferentes modelos y propuestas en artculos de conocimientocientfico publicados en revistas arbitradas, como el [Alles, Brennan, Kogan yVasarhelyi, 2005] quienes desarrollaron e implementaron un modelo de auditoracontinua para procesos de negocio y controles generares de TI en la empresaSiemens llamado CMBPC (continuous monitoring of business process controls).De igual forma, los investigadores [Hsu, y Sakai, 2009], proponen cincoactividades de auditora para evaluar la gestin de un producto, marca o servicioTales como: el anlisis, planificacin, ejecucin, evaluacin y administracin.


19/73

19

Estos planteamientos, lineamientos, modelos y propuestas referenciadas de laliteratura existente sobre efectividad del diseo y operacin de los controles, nosplantean alternativas y posibles soluciones al problema y aspectos a tener encuenta para evaluar la efectividad de los controles durante la realizacin de

auditoras basadas en riesgo.

La literatura actual emitida por las agremiaciones de auditora presenta variassoluciones al problema de valorar el diseo y la efectividad de los controles.Existen propuestas como el Modelo COSO (Committee of SponsoringOrganizations) que proporciona orientacin sobre los aspectos fundamentales degobierno corporativo, tica, control interno, gestin del riesgo empresarial, elfraude, y la presentacin de informes financieros. La estructura de este modelopropone la administracin del riesgo para 10 mega-procesos, 103 Procesos, 286Riesgos y 514 Controles, que son aplicables para cualquier tipo de empresa. Otromodelo recomendado es el COBIT (Control Objectives for Information Systems

and related Technology) aplicable al control de los Objetivos de sistemas deinformacin tecnologas relacionadas, estas guas y herramientas de auditora,permiten evaluar la Gestin y Control de la Tecnologa de Informacin (TI). ypropone dos modelos, el de Guas Gerenciales y el otro de Auditora, el cual estcompuesto de 4 Dominios, 34 Sub-dominios, 318 Objetivos de Control y 34 Guasde Auditoria que apoyan la medicin de la madurez de los controles de TI, ademsde facilitar el diseo de planes de mejoramiento continuo en los procesos.

Las Circulares Externas 014 el 19 de mayo y 038 del 29 de septiembre de 2009 dela SFC, establecen un marco conceptual y normativo para el Sistema de ControlInterno como elemento fundamental del gobierno corporativo de las entidades

supervisadas, basado en modelos ampliamente aceptados a nivel internacionalque contemplan en detalle la nocin, contenido y alcance del sistema de controlinterno. Proponen identificar y evaluar con criterio conservador, los controlesexistentes y su efectividad, mediante un proceso de valoracin realizado con baseen la experiencia y un anlisis razonable y objetivo de los eventos ocurridos.

Otros autores como [Chang, S.A, Tsai, C-F. A., Shih D-H. B. y Hwang C-L., 2008],proponen la utilizacin de modelos de auditora diseados a partir de la teoradifusa para calcular los grados de pertenencia que tienen los controles con losriesgos identificados en los procesos auditados, permitindole al auditor,determinar con mayor precisin la seleccin de los controles claves y la cantidad

de pruebas a evaluar, para definir estrategias objetivas que faciliten la priorizacinde la auditora hacia la cobertura de los factores de riesgo ms relevantes.La utilizacin de modelos fundamentados en conocimiento cientfico diseados poragremiaciones internacionales y expertos en temas de auditora, se aproximan adisminuir la subjetividad en la evaluacin de los controles cuando se realizanauditoras basada en riesgo, no obstante, an persisten limitaciones relacionadas


20/73

20

con el desarrollo de herramientas que permitan evaluar el diseo y efectividad delos controles.Las principales limitaciones de las propuestas presentadas en el estndar deauditora No. 5 emitido por la PCAOB, el modelo COSO y en las Circulares

Externas 014 y 038 del 2009 de la SFC, es que carecen de metodologasestructuradas para evaluar la efectividad en el diseo y cumplimiento de loscontroles de forma cuantitativa, debido a que en estas propuestas, se concentranen definir los lineamientos que se deben tener en cuenta para la gestin cualitativade la efectividad del control para minimizar la exposicin al riesgo operativo.

A partir de la revisin de la literatura, se identificaron las limitaciones anteriores yla necesidad de desarrollar una metodologa y un modelo que relacione elresultado cualitativo de las pruebas de auditora realizadas a los controlesauditados que permita realizar una gestin integral, adecuada y confiable delsistema de control interno de la entidad, disminuyendo los costos y el riesgo de

fracaso en la realizacin de auditoras basadas en riesgo.

Lo anterior, fundamenta la necesidad de proponer y desarrollar nuevasmetodologas y modelos que permitan obtener una medicin consolidada de lasdiferentes variables utilizadas para evaluar la efectividad del diseo y operacin delos controles, donde a partir de la ponderacin de variables cualitativas, se puedaobtener un resultado cuantitativo que permita apoyar con fundamento tcnico a losauditores cuando emiten un concepto sobre el resultado del test realizado a laefectividad del diseo y operacin del control, calculando un valor de cobertura delos controles sobre el nivel de exposicin al riesgo inherente o absoluto. Estanecesidad, fundamenta y motiva la propuesta presentada para resolver el

problema de investigacin, formulado as:

Grfico 1. Contextualizacin del problema de invest igacin.

Fuente: El autor


21/73

21

Con base del anlisis del estado del arte y la pregunta de investigacin formuladaa partir de las limitaciones actuales sobre la evaluacin del diseo y efectividad delos controles, se concluye que este trabajo se orientar a complementar laslimitaciones evidenciadas en los planteamientos del Consejo para la Prctica

2130.A1 emitido por el Instituto de Auditores Internos IIA y el estndar No. 5 dela PCAOB (Public Company Accounting Oversight Board), a travs del diseo,desarrollo e implementacin de una nueva metodologa y modelo estructuradopara evaluar de forma objetiva y tcnica el diseo y efectividad de los controles enla realizacin de auditoras basadas en riesgos, a partir del relacionamiento devariables cualitativas y cuantitativas, que permitan calcular los niveles deefectividad en el diseo y cumplimiento de los controles, as como el nivel deexposicin del riesgo residual. Esta metodologa permitir abrir nuevos horizontesen las diferentes reas de la auditora, fundamentados en modelos y herramientasque facilitaran el desarrollo de las actividades de valoracin de controles,disminuyendo los costos, la subjetividad de las personas y el riesgo de fracaso en

la realizacin de auditora basadas en riesgo.

Luego de la revisin del estado sobre la valoracin de efectividad de los controlesen la realizacin de auditoras basadas en riesgo, se identifica la siguientepregunta de investigacin que resolveremos durante el desarrollo de este trabajo:

Es posible contar con una metodologa y un modelo estructurado quepermita evaluar el diseo y la efectividad de los controles?


22/73

22

3. OBJETIVOS

3.1. OBJETIVO GENERAL

Contribuir con el desarrollo de una metodologa y un modelo estructurado quepermita evaluar de forma integral y objetiva el diseo y efectividad de loscontroles.

3.2. OBJETIVOS ESPECFICOS.

Desarrollar una metodologa estructurada para valorar el diseo y la efectividadde los controles, as como los niveles de exposicin de los riesgos absolutos y

controlados, durante la ejecucin de Auditoras basadas en riesgos.

Disear y proponer un modelo que relacione variables cualitativas para lavaloracin del diseo y la efectividad de los controles, reduciendo los costos, lasubjetividad del auditor y el riesgo de fracaso en el proceso de auditora.


23/73

23

4. MARCO TERICO

El control se ha definido bajo dos grandes perspectivas una limitada y una amplia.La perspectiva limitada, concibe el control como la verificacin posterior de los

resultados conseguidos en el seguimiento de los objetivos planteados y el controlde gastos realizado por los niveles directivos donde la estandarizacin en trminoscuantitativos, forma parte central de la accin de control.

Bajo la perspectiva amplia, el control es concebido como una actividad no slo anivel directivo, sino de todos los niveles y miembros de la entidad, orientando a laorganizacin hacia el cumplimiento de los objetivos propuestos bajo mecanismosde medicin cualitativos y cuantitativos. Este enfoque hace nfasis en los factoressociales y culturales presentes en el contexto institucional ya que parte delprincipio que es el propio comportamiento individual quien define en ltimainstancia la eficacia de los mtodos de control elegidos en la dinmica de gestin.

En consecuencia, para que el control sea efectivo debe desarrollarse como unaunidad que conforma el sistema y ser aplicado permanentemente por todas laspersonas que conforman las organizaciones.

Todo esto lleva a pensar que el control es un mecanismo que permite corregirdesviaciones a travs de indicadores cualitativos y cuantitativos dentro de uncontexto social amplio, a fin de lograr el cumplimiento de los objetivos claves parael xito organizacional, es decir, el control se entiende no slo como el procesosistmico netamente tcnico de seguimiento, sino tambin como un procesoinformal donde se evalan factores culturales, organizativos, humanos y grupales.

4.1. DEFINICIN DE EFECTIVIDAD DEL CONTROL

La Real Academia de la Lengua Espaola define el significado de control yefectividad, as: Fuente: www.rae.es

4.1.1. Definicin de Control: Comprobacin, inspeccin, fiscalizacin eintervencin.

4.1.2. Definic in de Efectividad:Capacidad de lograr el efecto que se desea o seespera.

Tambin hay otras connotaciones para la palabra control: Comprobar o verificar; Regular; Comparar con un patrn;


24/73

24

Ejercer autoridad sobre alguien (dirigir o mandar); Frenar o impedir.

Otras definiciones mencionan que el control tambin puede hacer referencia al

dominio, mando o a la regulacin sobre un sistema.Burt K. Scanlan, define que el control tiene como objeto cerciorarse de que loshechos vayan de acuerdo con los planes establecidos.De otro lado, la efectividad es la capacidad de lograr un efecto deseado,esperado o anhelado.El control es una etapa primordial en la administracin, pues, aunque una empresacuente con magnficos planes, una estructura organizacional adecuada y unadireccin eficiente, el ejecutivo no podr verificar cul es la situacin real de laorganizacin si no existe un mecanismo que se cerciore e informe si los hechosvan de acuerdo con los objetivos propuestos.

El concepto de control es muy general y puede ser utilizado en el contextoorganizacional para evaluar el desempeo general frente a un plan estratgico.

Con el fin de ampliar el concepto y formar una idea al lector sobre la definicin decontrol, relacionamos algunos planteamientos tomados de varios autores sobreeste tema:

Henry Farol: El control consiste en verificar si todo ocurre de conformidad conlas instrucciones emitidas y con los principios establecidos. Tiene como finsealar las debilidades y errores a fin de rectificarlos e impedir que seproduzcan nuevamente.

Robert B. Buchele: El proceso de medir los actuales resultados en relacin conlos planes, diagnosticando la razn de las desviaciones y tomando las medidascorrectivas necesarias.

George R. Terry: El proceso para determinar lo que se est llevando a cabo,valorizacin y, si es necesario, aplicando medidas correctivas, de manera quela ejecucin se desarrolle de acuerdo con lo planeado.

Bur K. Scanlan: El control tiene como objetivo cerciorarse de que los hechosvayan de acuerdo con los planes establecidos.

Robert C. Appleby: La medicin y correccin de las realizaciones de los

subordinados con el fin de asegurar que tanto los objetivos de la empresacomo los planes para alcanzarlos se cumplan econmica y eficazmente.

Robert Eckles, Ronald Carmichael y Bernard Sarchet: Es la regulacin de lasactividades, de conformidad con un plan creado para alcanzar ciertos objetivos.


25/73

25

Harold Koontz y Ciril ODonell: Implica la medicin de lo logrado en relacincon lo estndar y la correccin de las desviaciones, para asegurar la obtencinde los objetivos de acuerdo con el plan.

Chiavenato: El control es una funcin administrativa: es la fase del proceso

administrativo que mide y evala el desempeo y toma la accin correctivacuando se necesita. De este modo, el control es un proceso esencialmenteregulador.

El estndar Australian/NewZealand AS/NZ 4360 de 1999, define el Control delRiesgo, como: La parte de la administracin de riesgo, que involucra laimplantacin de polticas, estndares, procedimientos y cambios fsicos paraeliminar o minimizar los riesgos adversos. De igual forma, menciona que laReduccin de la consecuencia y probabilidad se refiere al control del riesgo queincluye determinar el beneficio relativo de incorporar nuevos controles a la luz dela efectividad de los controles existentes. Los controles pueden involucrar la

efectividad de las polticas, procedimientos o cambios fsicos. Las mediciones delRiesgo y de la efectividad del control deben ser monitoreadas para asegurar quecircunstancias cambiantes no alteren la prioridad de los riesgos. Pocos riesgos semantienen estticos.

4.2. ESTNDARES INTERNACIONALES RELACIONADOS CON LAEFECTIVIDAD DEL CONTROL

El estndar internacional ISO/IEC 27004:2009 Information technology Securitytechniques Information security management Measurement. Emitida por ISO

(the International Organization for Standardization) and IEC (the InternationalElectrotechnical Commission). Proporcionan orientacin sobre la elaboracin yutilizacin de medidas para evaluar la eficacia de un sistema de gestin deseguridad de la informacin (SGSI) aplicadas a la medicin de seguridad ycontroles o grupos de controles, tal como se especifica en la norma ISO / IEC27001. Esto incluye la poltica, gestin de informacin de riesgos de seguridad,objetivos de los controles, procesos y procedimientos para apoyar el proceso derevisin y mejoramiento continuo para determinar si alguno de los controlesnecesitan ser cambiados o mejorados. Hay que tener en cuenta que ninguna delas mediciones de los controles puede garantizar la seguridad total. El alcance yaplicacin de este enfoque constituye una de medicin de la Seguridad de laInformacin.

De igual forma, el estndar internacional ISO/IEC 27001 requiere que laorganizacin "realice revisiones peridicas de la eficacia del SGSI teniendo encuenta los resultados de la medicin de la eficacia "y" medir la eficacia de loscontroles para verificar los requisitos de seguridad se han cumplido". ISO/IEC27001 tambin requiere que la organizacin "defina cmo medir la eficacia de los


26/73

26

controles seleccionados o grupos de controles y especificar cmo estas medidasson que se utilizarn para evaluar la eficacia de control para producir resultadoscomparables y reproducibles". Los estndares internacionales no especifican lametodologa del cmo medir o evaluar la efectividad de los controles, slo se

limitan a requerir su evaluacin y cumplimiento.

La norma NTC 5254, (ICONTEC - Instituto Colombiano de Normas Tcnicas yCertificacin, Pgina 3, 2004), define lo siguiente:

Concepto de Control.Proceso, poltica, dispositivo, prctica u otra accinexistente que acta para minimizar el riesgo negativo o potenciaroportunidades positivas.

Concepto de Evaluacin del control.Revisin sistemtica de los riesgospara garantizar que los controles an son eficaces y adecuados.

4.3. NORMATIVIDAD Y CONCEPTOS SOBRE MEJORES PRCTICAS PARAEVALUAR LA EFECTIVIDAD DEL CONTROL

4.3.1. Modelo COSO: Las Tcnicas de Aplicacin del Modelo COSO para laGestin y Administracin de Riesgos Corporativos emitido en el ao 2005, incluyela gua que orienta y sirve de referencia a las Organizaciones para tratarefectivamente la exposicin a los riesgos, mejorando as la capacidad de generarvalor. La gua consta de ocho componentes, as:

Grfico 2. Modelo COSO Administ racin de riesgos corporativos.

Fuente: (COSO, 2005, pg. 7)

4.3.2. Ambiente Interno o de Control: Establece la base de cmo el personalpercibe y trata los riesgos, incluyendo la cultura de administracin de riesgo y elriesgo aceptado.


27/73

27

4.3.3. Establecimiento de objetivos: Necesarios para identificar potencialeseventos que afecten su consecucin.4.3.4. Identificacin de eventos: Los eventos internos y externos que afectan alos objetivos de la entidad deben ser identificados, diferenciando entre riesgos y

oportunidades.4.3.5. Evaluacin de riesgos: Los riesgos se analizan considerando suprobabilidad e impacto como base para determinar cmo deben ser administrados.4.3.6. Respuesta al riesgo: Se seleccionan las posibles respuestas (evitar,aceptar, reducir o compartir los riesgos), desarrollando una serie de acciones paraalinearlos con el riesgo aceptado y las tolerancias del riesgo de la entidad.4.3.7. Actividades de control: Son las polticas y procedimientos que seestablecen para ayudar a asegurar que las respuestas de los riesgos se lleven acabo efectivamente.4.3.8. Informacin y comunicacin: La informacin relevante se comunica enforma y plazo adecuado para permitir al personal afrontar sus responsabilidades.

4.3.9. Monitoreo: La totalidad de la administracin de riesgo es monitoreada conel fin de efectuar las modificaciones que sean necesarias.

Las actividades de control contiene las polticas y procedimientos que ayudan adisminuir los niveles de exposicin a los riesgos que enfrente la entidad. Estasactividades de control deben incorporarse en la cultura de la organizacin paratodos los niveles y funciones que realizan diferentes actividades comoaprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones delfuncionamiento operativo, seguridad de los activos y segregacin de funciones.(COSO, 2005, pg. 3 90).

El Instituto de Auditores Internos IIA, a travs del Consejo de Normas deAuditora Interna define el Control como cualquier medida que tome la direccin,el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad dealcanzar los objetivos y metas establecidos. La direccin planifica, organiza ydirige la realizacin de las acciones suficientes para proporcionar una seguridadrazonable de que se alcanzarn los objetivos y metas. Tambin define el ControlAdecuado - Es el que est presente si la direccin ha planificado, organizado ydiseado las operaciones de manera tal que proporcionen un aseguramientorazonable de que los objetivos y metas de la organizacin sern alcanzados deforma eficiente y econmica.

Las Circulares Externas 014 el 19 de mayo y 038 del 29 de septiembre de 2009 dela Superintendencia Financiera de Colombia (SFC), establecen que lasActividades de Control son las polticas y los procedimientos que deben seguirsepara lograr que las instrucciones de la administracin con relacin a sus riesgos ycontroles se cumplan. Las actividades de control se distribuyen a lo largo y a loancho de la organizacin, en todos los niveles y funciones.


28/73

28

Lo anterior incluye el establecimiento de unas actividades obligatorias para todaslas reas, operaciones y procesos de la entidad, entre las cuales se encuentran,entre otras, las siguientes:

i. Revisiones de alto nivel, como son el anlisis de informes y presentacionesque solicitan los miembros de junta directiva y otros altos directivos de laorganizacin para efectos de analizar y monitorear el progreso de la entidadhacia el logro de sus objetivos; detectar problemas, tales como deficiencias decontrol, errores en los informes financieros o actividades fraudulentas, yadoptar los correctivos necesarios.

ii. Gestin directa de funciones o actividades.iii. Procesamiento de la informacin.iv. Controles de aplicacin.

v. Limitaciones de acceso a las distintas reas de la organizacin, de acuerdocon el nivel de riesgo asociado a cada una de ellas, teniendo en cuenta tantola seguridad de los funcionarios de la entidad como de sus bienes, de losactivos de terceros que administra y de su informacin.

vi. Acompaamiento a los visitantes de la entidad para controlar que sloingresen a los sitios permitidos y que no realicen ningn acto que afecte laseguridad de los equipos o de la informacin que en ellos se procesa.

vii. Controles fsicos adicionales que resulten necesarios.viii. Indicadores de rendimiento.ix. Segregacin de funciones.x. Acuerdos de confidencialidad.

xi. Procedimientos de control.xii. Difusin de las actividades de control.

Las actividades de control son seleccionadas y desarrolladas considerando larelacin beneficio / costo y su potencial efectividad para mitigar los riesgos queafecten en forma material el logro de los objetivos de la organizacin.

Adicionalmente, la Circular Externa 041 de 2007 de la SFC, establece las ReglasRelativas a la Administracin del Riesgo Operativo, que incluye los requisitos parala implementacin de un Sistema de Administracin de Riesgo Operativo (SARO),

que se puede definir como el conjunto de elementos tales como polticas,procedimientos, documentacin, estructura organizacional, registros de eventos deriesgo operativo, rganos de control, plataforma tecnolgica, divulgacin deinformacin y capacitacin mediante los cuales las entidades identifican, miden,controlan y monitorean el riesgo operativo (SFC, CB 007/1995 Captulo XXIII, pg.1).


29/73

29

El SARO contempla cuatro etapas principales que son la identificacin, lamedicin, el control y el monitoreo. En la primera etapa las entidades debenidentificar los riesgos operativos en que se ven expuestos previo a laimplementacin o modificacin de cualquier proceso.

En la segunda etapa las entidades deben medir la probabilidad de ocurrencia (enun horizonte de tiempo de un ao) del riesgo operativo y el impacto en caso dematerializarse; como resultado de esta etapa se obtiene el perfil de riesgoinherente.

En la tercera etapa se deben tomar las medidas para controlar los riesgosinherentes que permitan disminuir la probabilidad de ocurrencia y la magnitud delimpacto; como resultado de esta etapa se obtiene el perfil de riesgo residual ydebe incluir como mnimo:

a) Establecer la metodologa con base en la cual definan las medidas de controlde los riesgos operativos.

b) Implementar las medidas de control sobre cada uno de los riesgos operativosidentificados.

c) Determinar las medidas que permitan asegurar la continuidad del negocio.d) Estar en capacidad de determinar el perfil de riesgo residual de la entidad.

Las entidades podrn decidir si transfieren, aceptan o evitan el riesgo, en loscasos en que esto sea posible a travs de la adquisicin de un seguro o latercerizacin a travs de un outsourcing, teniendo en cuenta que esto puede

generar otros riesgos operativos que tambin se deben administrar.

En la ltima etapa las entidades deben hacer un monitoreo peridico del perfil deriesgo y de la exposicin a prdidas que permita la rpida deteccin y correccinde las deficiencias en el SARO.

Dentro de los elementos del SARO se encuentra el registro de eventos de riesgooperativo; en el cual las entidades deben construir el registro y mantenerloactualizado. Este registro debe contener todos los eventos de riesgo operativo quecumplan las siguientes caractersticas (SFC, CB 007/1995 Captulo XXIII, pg. 7):

Generan prdidas y afectan el estado de resultados. Generan prdidas y no afectan el estado de resultados. No generan prdidas y por lo tanto no afectan el estado de resultados.


30/73

30

Dichas actividades implican la definicin de una poltica que establezca cmo sedebe hacer, adicional a los procedimientos y controles que se realizan parallevarla a cabo. Todas estas actividades deben tener como principal objetivo ladeterminacin y prevencin de los riesgos (potenciales o reales), errores, fraudes

u otras situaciones que afecten o puedan llegar a afectar la estabilidad y/o elprestigio de la entidad. Para ello, la Unidad de Riesgo Operativo de evaluar laefectividad de las medidas de control potenciales y ejecutadas para los riesgosoperativos medidos y realizar seguimiento a las medidas adoptadas para mitigar elriesgo inherente, con el propsito de evaluar su efectividad.

En consecuencia, todo lo comentado hasta el momento, nos refleja que la palabracontrol tiene muchas connotaciones y su significado depende de la funcin o delrea en que se aplique y que puede ser entendida: Como la funcin administrativa que hace parte del proceso administrativo junto

con la planeacin, organizacin y direccin. Como los medios de regulacin utilizados por la entidad para acompaar y

avalar su desempeo y orientar las decisiones. Tambin hay casos en que lapalabra control sirve para disear un sistema automtico que mantenga ungrado constante de flujo o de funcionamiento del sistema total.

Como la funcin restrictiva de un sistema para mantener a los participantesdentro de los patrones deseados y evitar cualquier desvo.

Imagen popular de la palabra control que est asociada a un aspecto negativo,principalmente cuando en las organizaciones y en la sociedad es interpretadacomo una restriccin, coercin, limitacin, direccin, refuerzo, manipulacin einhibicin.

Todas esas definiciones subjetivas pueden representar conceptos aproximadossobre el control, dependiendo del contexto de aplicacin.

Para el desarrollo y aplicacin de este trabajo, entenderemos por control como: Laactividad sistmica que forma parte del proceso administrativo, que permiteasegurar a travs de la ejecucin, verificacin y medicin, si la actividad, funcin,elemento, proceso o sistema seleccionado, est cumpliendo de acuerdo con losobjetivos propuestos y los resultados esperados.

De igual forma, durante el desarrollo y aplicacin de este trabajo, entenderemospor efectividad del control como: El ptimo diseo y operacin del control, queasegura el logro de los objetivos del proceso, actividad o sistema.


31/73

31

5. METODOLOGA

De acuerdo con los aspectos mencionados en el captulo 4, observamos lanecesidad de definir, desarrollar y proponer una metodologa y un modelo

estructurado que permita evaluar objetivamente el diseo y la efectividad de loscontroles cuando se realizan auditoras basadas en riesgo, debido a que engeneral la literatura revisada define lineamientos generales pero no plantean elcmo se debe o puede evaluar la efectividad de los controles.

Para atender y solucionar esta necesidad, se propone la siguiente metodologafundamentada en publicaciones de conocimiento cientfico y de agremiaciones,que contiene un modelo estructurado que permite relacionar variablescuantitativas y cualitativas a partir de los pesos asignados por el auditor durante laevaluacin, con el fin de valorar objetivamente la efectividad en el diseo y laefectividad de los controles seleccionados como claves durante el desarrollo de

auditoras basadas en riesgos. Permitiendo as, disminuir la probabilidad defracaso o de riesgo de auditora. La metodologa propuesta para evaluar el diseoy la efectividad de los controles es aplicable a todas las organizaciones y suimplementacin depende del tipo, tamao y naturaleza del negocio. Para efectosdel ejercicio prctico que presentaremos ms adelante, la metodologa y losmodelos aplicados se realizarn en una entidad financiera y estn estructuradosen hojas de clculo en Excel, no obstante, los factores, variables y niveles sepueden desarrollar como un sistema de informacin soportado en una herramientatecnolgica.

Antes de iniciar la aplicacin de la metodologa propuesta, es necesario que elauditor haya realizado la valoracin y seleccin de los riesgos absolutosrelevantes del proceso que sern sujetos de la auditora, adems de haberidentificado las causas de riesgo para asociar y verificar la existencia de controlesque contribuyen a minimizar su posible ocurrencia. El siguiente grfico, contiene elesquema de la metodologa y los modelos propuestos.


32/73

32

Grfico 3. Esquema de la metodologa y de los modelos propuestos.

Fuente: El autor

A continuacin, se detallan cada una de las etapas propuestas para elcumplimiento de los objetivos planteados en este trabajo.

5.1. Descripcin de la metodologa utilizada para la asignacin de pesos,factores, variables y niveles de los modelos propuestos.

Para obtener y asignar los pesos de las variables que conforman los modelospropuestos de seleccin de controles claves y de valoracin de la efectividad delos controles claves, se utiliz uno de los mtodos generales de prospectivallamado mtodo de expertos, en el cual, se consulta la opinin de diferentespersonas que tienen conocimiento y criterio elevado de la materia que se va atratar. El mtodo de expertos, sirve como fuente de informacin para consolidarlas ideas y opiniones en el tema analizado.

Para efectos de este trabajo, se estructuro y dirigi el mtodo de expertos,tomando como referencia el conocimiento, criterio y experiencia de siete expertosen temas relacionados con la gestin del riesgo, la auditora basada en riesgos y

la efectividad de los controles, a los cuales, se les present la metodologa y losmodelos, con el fin de solicitarles la asignacin de los pesos para cada una de lasvariables cualitativas que conforman los modelos propuestos. El autor de lametodologa y los modelos, tambin particip en este proceso de asignacin depesos.


33/73

33

Este mtodo de expertos se puede utilizar cuando no existe informacin histricaque permita alimentar las variables y algunas de las ventajas estn relacionadascon la informacin que proviene del grupo, la cual, es mejor insumo que el que seobtiene del participante mejor preparado, debido a que cada experto aporta su

criterio, conocimiento y experiencia en los temas analizados. No obstante, elmtodo de expertos tambin presenta inconvenientes como es la posibledesinformacin, falta de conocimiento o experiencia que tenga uno o variosmiembros del grupo. Este problema se suele evitar con una correcta eleccin delos participantes.

En la seleccin y clasificacin de los siete expertos invitados para asignar lospesos a las variables de los modelos propuestos, junto con el autor de losmodelos, se valor el perfil y las competencias profesionales en aspectosrelacionados con el ttulo de pregrado obtenido, formacin acadmica, cargo quedesempea actualmente, sector econmico donde labora y los aos de

experiencia en el ejercicio profesional.

Para conocer y clasificar el nivel de formacin y competencia de los expertosseleccionados, se valor el perfil de cada uno de ellos teniendo en cuenta losaspectos relacionados anteriormente, asignado un valor entre 1 y 5, siendo 1 elmenor nivel y 5 el mayor. Como resultado de la valoracin, se obtiene un scorepromedio asignado a cada experto, el cual, se dividi entre la sumatoria total delas valoraciones del panel de expertos, para calcular y asignar un porcentaje departicipacin de cada uno de ellos, de acuerdo con su perfil y nivel decompetencias profesionales, como lo observamos en la siguiente tabla:

Tabla 1. Score y porcentaje distribuido entre el panel de expertos queasignaron pesos a los modelos propuestos.

Fuente: El autor

Una de las tcnicas ms utilizadas que permite extraer y maximizar las ventajasque presentan los mtodos basados en grupos de expertos y minimizar susinconvenientes, es el mtodo Delphi, cuya metodologa permite aprovechar lasinergia del grupo, eliminar las interacciones indeseables que puedan existir en elequipo, para obtener un consenso lo ms fiable posible del grupo de expertos.

PERFILDELEXPERTO EXPERTO1 S CORE EXPERTO2 SC OR E E XPE RT O3 S CO RE E X PE RT O4 S CORE EXPERTO5 S CORE EXPERTO6 S CORE EXPERTO7 S CORE AUTOR

METODOLOGA SCOR

TtuloProfesional ContadorPblico 5 Ingeniero

de

Sistemas 4

Administrador

de

Empresas 4

Ingeniero

Administrador 5 IngenieroIndustrial 5 ContadorPblico 5 ContadorPblico 5 ContadorPblico 5

Niveldeformacinacadmica. Especializacion 4 Especializacion 4 Profesional 3 Especializacion 4 Especializacion 4 Especializacion 4 Especializacion 4 Maestra 5

CargoActual. GerentedeAuditora 4 GerentedeAuditora 5 GerentedeAuditora 4 AnalistadeRiesgos 3 Gerente

de

Control

Interno 4

Director

de

Auditora 5

Director

de

Auditora 5 GerentedeAuditora 4

SectorEconmicodondeLabora. Financiero 5 Financiero 5 Financiero 5 Financiero 5 Real 4 Burstil 5 Real 4 Financiero 5

Aos

de

experiencia

en

el

ejercicio

profesional. 30

aos 5 29aos 5 27aos 4 6aos 1 10aos 2 10aos 2 15aos 3 18aos 3

SCORE

PROMEDIO

EXPERTO 4,6 4,6 4 3,6 3,8 4,2 4,2 4,4

%ASIGNADOALEXPERTO 14% 14% 12% 11% 11% 13% 13% 13%


34/73

34

5.1.1. Mtodo Delphi.

Dos matemticos norteamericanos, Norman Dalkey y Olaf Hermes, disearon enel ao de 1963 la tcnica que ellos bautizaron como Delphi con el propsito de

establecer el consenso de expertos con respecto al acontecimiento de un hechoen el futuro. El nombre Delphi fue escogido en memoria de la ciudad de Delfosen la antigua Grecia, que era su centro religioso en el siglo IV antes de Cristo.

De acuerdo con la autora Irene Konow en su libro "Mtodos y Tcnicas deInvestigacin Prospectiva para la toma de Decisiones" El mtodo Delphicontempla una amplia variedad de reas de aplicacin para resolver problemas ytomar decisiones a partir del conocimiento de expertos en diferentes temas deinters comn, independiente de que algunos autores definan el mtodo Delphicomo un mtodo de proyeccin, dado su uso significativo en esa rea. De igualforma, los autores Linstone y Turoff (1977) mencionan que el modelo Delphi puede

ser caracterizado como un mtodo para estructurar un proceso efectivo decomunicacin en la medida que este logra el crecimiento del conocimiento de ungrupo de individuos que estructura un proceso de comunicacin en problemasparticulares y complejos. El mtodo Delphi presenta tres caractersticasfundamentales:

5.1.1.1. Caractersticas del Mtodo Delphi .

Anonimato: Durante la aplicacin de un mtodo Delphi, ningn expertoconoce la identidad de los otros que componen el grupo de debate. Esto tiene

una serie de aspectos positivos, como son: Impide la posibilidad de que un miembro del grupo sea influenciado por la

reputacin de otro de los miembros o por el peso que supone oponerse a lamayora.

Permite que un miembro pueda cambiar sus opiniones sin que eso supongauna prdida de imagen.

El experto puede expresar su conocimiento y su posible equivocacin no vaa ser conocida por los otros expertos.

Iteracin y realimentacin controlada:La iteracin se consigue al presentarel mismo cuestionario a todos los expertos de forma independiente.

Respuesta del grupo: La informacin que se presenta a los expertos no esslo el punto de vista de la mayora, sino que se presentan todas las opinionesindicando el grado de acuerdo obtenido.

En la realizacin de un mtodo Delphi se utiliza la siguiente terminologa: Circulacin: Es cada uno de los cuestionarios que se presenta al grupo de

expertos.


35/73

35

Cuestionario: El cuestionario es el documento que se enva a los expertos. Panel: Es el conjunto de expertos que toma parte en el Delphi. Moderador: Es la persona responsable de recoger las respuestas del panel y

preparar los cuestionarios. Fases: Antes de iniciar un Delphi se realizan una serie de tareas previas, como

son: Delimitar el contexto y el horizonte temporal en el que se desea realizar la

previsin sobre el tema en estudio. Seleccionar el panel de expertos y conseguir su compromiso de

colaboracin. Las personas que sean elegidas adems de ser grandesconocedores del tema presentan una pluralidad en sus planteamientos paraevitar la aparicin de sesgos en la informacin disponible en el panel.

Explicar a los expertos en qu consiste el mtodo y el objetivo de losprocesos que requiere la metodologa.

5.1.1.2. Aplicacin del Mtodo Delphi.

Para efectos del mtodo Delphi utilizado en este ejercicio, el contenido delcuestionario enviado por el moderador al panel de expertos, es producto de lainvestigacin del estado del arte realizada por el autor de este trabajo,fundamentado en artculos acadmicos de conocimiento cientfico y depublicaciones realizadas por agremiaciones de auditores reconocidas a nivelmundial, sobre temas relacionados con la efectividad del diseo y operacin de loscontroles en la realizacin de auditoras basadas en riesgos. El detalle del estadodel arte investigacin se encuentra en el numeral 2 de este trabajo. Comoresultado de la investigacin, el autor propone el cuestionario que contiene losfactores, variables y niveles que estructuran los modelos para valorar la relevanciay efectividad de los controles. El cual, ser socializado con el panel de expertospara su valoracin y asignacin de pesos.

A partir del conocimiento y experiencia de los siete expertos referenciados en elpunto anterior, el moderador quien es el mismo autor de este trabajo, socializo yexplico de forma individual al panel de expertos, la metodologa y los modelospropuestos para seleccionar controles claves y valorar la efectividad de losmismos. Posteriormente, se les envo a travs de correo electrnico, un archivo

con los cuestionarios diseados en hojas electrnicas, que contienen los niveles,factores y variables definidas a travs de preguntas, para que el experto compartasus opiniones sobre la relevancia de cada uno de los factores y variables queconforman los modelos propuestos en este trabajo. La asignacin de la relevanciapor parte del experto, se realiza respondiendo s no a cada factor y variabledel cuestionario y la asignacin de los pesos, la realiza mediante el anlisis yaplicacin del criterio profesional, asignando distribuyendo un peso porcentual


36/73

36

utilizando la escala de (0% al 100%) para cada pregunta, rango, evento y nivel queconforman las variables de los modelos propuestos, as:

Tabla 2. Diseo del cuestionario enviado al panel de expertos para asignar

pesos a los factores, variables y niveles del modelo propuesto paraseleccionar contro les claves.

Fuente: El autor


37/73

37

Tabla 3. Diseo del cuestionario enviado al panel de expertos para asignarpesos a los factores, variables y niveles del modelo propuesto para valorarla efectividad de los controles.

Fuente: El autor

El entregable esperado del panel de expertos se recibi a travs de correoelectrnico, donde adjuntan el archivo diligenciado con las respuestas derelevancia junto con los pesos asignados a cada uno de los factores, variables yniveles que conforman los modelos propuestos. Los pesos definitivos registrados

FACTORES

EFECTIVIDAD

DEL

CONTROL RESPUESTA PESODELFACTOREN

%

DISEODELCONTROL(SeleccinMltiple) FACTOREFECTIVO PESO

Tieneunobjetivodefinido?

Estdiseadoparaprevenirodetectarfraudes?

Estdocumentadoyformalizado?

OPERACINDELCONTROL(Seleccinnica) FACTOREFECTIVO PESO

ManualPreventivo X

MixtoPreventivo

AutomticoPreventivo

ManualDetectivo

MixtoDetectivo

AutomticoDetectivo

"Otra"%deCumplimientoParcial

COBERTURADECONTROL(SeleccinMltiple) FACTOREFECTIVO PESO

Totalidad

Validez

Exactitud

AccesoRestringido

FRECUENCIADELCONTROL(Seleccinnica) FACTOREFECTIVO PESO

ptima

Moderada

Deficiente

"Otra"

%

de

Cumplimiento

Parcial

MADUREZDELCONTROL(Seleccinnica) FACTOREFECTIVO PESO

ptima

Monitoreado

Estandarizado

Informal

PocoConfiable

RESULTADOS

DE

LAS

PRUEBAS

DE

AUDITORA

REALIZADAS

AL

CONTROL

(SeleccinMultiple) FACTOREFECTIVO PESO

1 ) El resultado de las pruebas de auditora realizadas al control, evidencian cumplimiento del

objetivoydisminuyelaexposicinalriesgo?.%Cumplimiento.2 )Laejecucindelcontrolessimple?

3 )Durantelaejecucindelcontrolnuncasehanpresentadodesviacionesensucumplimiento?

4 ) Considera usted que el responsable de realizar el control, conoce los riesgos que implica su

omisin?

PESOASIGNADOALEXPERTO 14% 0%

EFECTIVIDADDEL

CONTROL COLOR SCOREMENOR% SCOREMAYOR%

DEFICIENTE

BAJA

ACEPTABLE

ALTA14%

EXPERTO

PESO

ASIGNADO

AL

EXPERTO


38/73

38

por el panel de expertos para los diferentes factores, variables y niveles de estosmodelos, corresponde a la sumatoria del producto de los pesos asignados por elexperto, para cada factor o variable valorada, multiplicado por el porcentaje departicipacin asociado a cada uno de los siete expertos y al autor, de acuerdo con

los valores calculados a partir del nivel de formacin y competencia referenciadosen la Tabla 1.

5.1.1.3. Anlisis de resultados de la aplicacin del Mtodo Delphi.

El resultado del mtodo Delphi utilizado en este ejercicio, permiti obtener lasconvergencias de opiniones reduciendo los posibles consensos entre el panel deexpertos consultados, debido a que la metodologa utilizada de presentacin yentrega individual de la metodologa y los modelos propuestos, no permiti que losexpertos interactuaran entre s y pudieran influir o sesgar sus opiniones por lasposiciones dominantes. El resultado de la consolidacin de los cuestionarios

recibidos del panel de expertos, permiti calcular la relevancia y pesos de losfactores, variables y niveles de los modelos propuestos para seleccionar controlesclaves y valorar la efectividad de los controles. Los cuales, relacionamos acontinuacin.

5.1.2. Definicin y asignacin de pesos para calcular el Score y los nivelesde relevancia utilizados para la seleccin de controles claves y valorar laefectividad de los controles:

Luego de haber explicado el detalle del mtodo general de prospectiva aplicado en

este trabajo que corresponde al mtodo de expertos, as como el detalle de lametodologa Delphi utilizada para obtener del panel de expertos, los pesos de losfactores, variables y niveles de los modelos propuestos; compartiremos el detallede los resultados obtenidos del proceso de asignacin de pesos que permitencalcular el Score y los niveles de relevancia en la seleccin de controles claves yla valoracin de la efectividad de los controle.

Tabla 4. Resultado de los pesos asignados por el panel de expertos a losfactores y variables del modelo propuesto para valorar la relevancia delcontrol.


39/73

39

Fuente: El autor

Tabla 5. Metodologa para valorar los niveles de relevancia de los controles.

Fuente: El autor

El resumen de los niveles obtenidos del panel de expertos para la seleccin decontroles claves en trminos porcentuales y en puntos, es el siguiente:

Tabla 6. Niveles para determinar y clasificar la relevancia del control .

Fuente: El autor

FACTORESYVARIABLESPARASELECCIONARCONTROLES

CLAVESFACTOR

RELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTE PESO FACTORRELEVANTEPESOPROMEDIO

%

PE

LAOMISINENLAREALIZACINDELCONTROLPUEDE? SI 30% SI 45% SI 20% SI 25% SI 40% SI 35% SI 28% SI 40% 100% 33%

AfectarlainformacincontableylosestadosFinancieros? SI 50% SI 40% SI 35% SI 30% SI 60% SI 55% SI 50% SI 45% 46% GenerarposiblesPrdidasEconmicasodeteriorodelaimageny

reputacinde

la

entidad

? SI 50% SI 60% SI 65% SI 70% SI 40% SI 45% SI 50% SI 55% 54%

ELIMPACTOOPRDIDAECONMICAPORLAOMISINDEL

CONTROLPUEDEASCENDERA?:

(Seleccione

con

una

"X"

el

rango

en

millones

de

COP)

SI 40% SI 40% SI 50% SI 50% SI 30% SI 45% SI 55% SI 45% 100% 44%

NingnImpactoEconmico SI 0% SI 0% SI 0% SI 0% SI 0% SI 0% SI 0% SI 0% 0% Entre$1y$19millones SI 20% SI 15% SI 25% SI 10% SI 10% SI 30% SI 25% SI 20% 20% Entre$5y$20millones SI 30% SI 25% SI 40% SI 30% SI 20% SI 50% SI 45% SI 30% 34%

Entre$21y$60millones SI 50% SI 45% SI 55% SI 50% SI 40% SI 70% SI 65% SI 50% 53% Entre$61y$90millones SI 70% SI 65% SI 70% SI 70% SI 60% SI 80% SI 85% SI 70% 71%

Entre$100y$150millones SI 90% SI 85% SI 95% SI 90% SI 80% SI 95% SI 95% SI 90% 90% Mayora$150millones SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% 100%

HISTORICAMENTESEHANPRESENTADOEVENTOSDERIESGOPOR

LAOMISINENLAREALIZACINDELCONTROL?

(Seleccioneconuna"X"elrangoconelnmerodeeventos)

SI 30% SI 15% SI 30% SI 25% SI 30% SI 20% SI 17% SI 15% 100% 23%

NingnEventodeRiesgo SI 0% SI 10% SI 0% SI 15% SI 25% SI 0% SI 5% SI 5% 7% Entre1y5EventosdeRiesgo SI 25% SI 40% SI 20% SI 45% SI 55% SI 30% SI 40% SI 35% 36%

Entre6y10EventosdeRiesgo SI 65% SI 60% SI 40% SI 70% SI 75% SI 50% SI 70% SI 55% 60% Entre11y20EventosdeRiesgo SI 85% SI 80% SI 80% SI 85% SI 95% SI 70% SI 90% SI 85% 84%

Msde21EventosdeRiesgo SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% 100%

PESOASIGNADOALEXPERTO 14% 14% 12% 11% 11% 13% 13% 13% 100%

TOTALVALORAC

ASIGNACINDEPESOSALOSFACTORESYVARIABLESDELMODELOPROPUESTOPARAVALORARLARELEVANCIADELCONTROL

AUTOREXPERTO3 EXPERTO4 EXPERTO5 EXPERTO6 EXPERTO7EXPERTO1 EXPERTO2

CONTROL COLOR SCOREMENOR% SCOREMAYOR% SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCORE

%

CLAVE 7 9, 81 % 1 00 ,0 0% 8 0, 01 % 1 00 ,0 0% 7 3, 81 % 1 00 ,0 0% 7 9, 81 % 1 00 ,0 0% 8 4, 00 % 1 00 ,0 0% 6 5, 01 % 1 00 ,0 0% 7 5, 01 % 1 00 ,0 0% 7 0, 01 % 1 00 ,0 0% 75,84% 100,RELEVANTE 70 ,0 1% 79 ,80 % 6 0, 01 % 80 ,0 0% 5 8, 01 % 73 ,80 % 6 0, 01% 79 ,80 % 69 ,00 % 83 ,9 9% 50 ,01 % 65 ,00 % 5 5, 01% 75 ,00 % 55, 01 % 7 0, 00% 59 ,6 3% 7 5,ESTNDAR 30 ,0 1% 70 ,00 % 4 0, 01 % 60 ,0 0% 4 5, 01 % 58 ,00 % 3 0, 01% 60 ,00 % 50 ,00 % 68 ,9 9% 30 ,01 % 50 ,00 % 3 8, 01% 55 ,00 % 35, 01 % 5 5, 00% 37 ,1 2% 5 9,

IRELEVANTE 0,00% 30,00% 0,00% 40,00% 0,00% 45,00% 0,00% 30,00% 0,00% 49,99% 0,00% 30,00% 0,00% 38,00% 0,00% 35,00% 0, 00% 3 7,14% 14% 12% 11% 11% 13% 13% 13%

CONTROL COLOR SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos. SCOREMENORPtos. SCOREMA

CLAVE 3,99 5,00 4,00 5,00 3,69 5,00 3,99 5,00 4,20 5,00 3,25 5,00 3,75 5,00 3,50 5,00 3,79 5,RELEVANTE 3,50 3,99 3,00 4,00 2,90 3,69 3,00 3,99 3,45 4,20 2,50 3,25 2,75 3,75 2,75 3,50

2,98 3,ESTNDAR 1,50 3,50 2,00 3,00 2,25 2,90 1,50 3,00 2,50 3,45 1,50 2,50 1,90 2,75 1,75 2,75 1,86 2,IRELEVANTE 0,00 1,50 0,00 2,00 0,00 2,25 0,00 1,50 0,00 2,50 0,00 1,50 0,00 1,90 0,00 1,75 0,00 1,

14% 14% 12% 11% 11% 13% 13% 13%

PROMEDIO

TOTA

EXPERTO4

CLASIFICACIN

DE

LOS

NIVELES

DEL

MODELO

PROPUESTO

PARA

VALORAR

LA

RELEVANCIA

DEL

CONTROL

EXPERTO1 EXPERTO2 EXPERTO3 PROMEDIOTOTAAUTOR

AUTOR

PESOASIGNADOALEXPERTO


EXPERTO4

EXPERTO5

EXPERTO5

EXPERTO6

EXPERTO6

EXPERTO7

EXPERTO7EXPERTO1 EXPERTO2 EXPERTO3

CONTROL COLOR NIVELESDERELEVANCIA

DEL

CONTROL

EN

%

NIVELES

DE

RELEVANCIA

DEL

CONTROLENPUNTOS

CLAVE Entre75,84%y100% Entre3,79y5,00

RELEVANTE Entre59,63%y75,83% Entre2,98y3,79

ESTNDAR Entre37,12%y59,62% Entre1,86y2,98

IRRELEVANTE Entre0%y37,11% Entre0y1,86


40/73

40

Estos niveles permiten clasificar de forma estructurada y objetiva, el grado deimportancia de los controles que le permita al auditor seleccionar los controlesclaves que sern evaluados.

Tabla 7. Resultado de los pesos asignados por el panel de expertos a losfactores y variables del modelo propuesto para valorar la efectividad de loscontroles.

Los resultados obtenidos del proceso de asignacin de pesos para calcular elScore y los niveles de efectividad de los controles, es el siguiente:

Fuente: El autor

Tabla 8. Metodologa de valoracin y seleccin de los niveles de efectividadde los controles.

Fuente: El autor

FACTORESEFECTIVIDADDELCONTROL FACTOR

EFECTIVO PESO FACTOR








EFECTIVO

PESOPROMEDIO

VARIABLEEN%

PESOPRO

VARIABLEE

DISEODELCONTROL(SeleccinMltiple) SI 12% SI 10% SI 20% SI 12% SI 10% SI 8% SI 12% SI 10% 100% 12% 0,5

Tieneunobjetivodefinido? SI 30% SI 35% SI 20% SI 33% SI 33% SI 20% SI 40% SI 30% 30% 1,5

Estdiseadoparaprevenirodetectarfraudes? SI 40% SI 30% SI 20% SI 33% SI 33% SI 20% SI 20% SI 30% 28% 1,4Estdocumentadoyformalizado? SI 30% SI 35% SI 60% SI 34% SI 34% SI 60% SI 40% SI 40% 42% 2,0

OPERACINDELCONTROL(Seleccinnica) SI 4% SI 6% SI 10% SI 11% SI 5% SI 6% SI 4% SI 5% 100% 6% 0,3

ManualPreventivo SI 70% SI 80% SI 65% SI 80% SI 70% SI 65% SI 75% SI 70% 72% 3,5

MixtoPreventivo SI 95% SI 100% S I 90% SI 95% SI 90% SI 95% SI 95% SI 95% 95% 4,7

AutomticoPreventivo SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% 100% 5,0ManualDetectivo SI 65% SI 55% SI 70% SI 65% SI 50% SI 80% SI 75% SI 60% 65% 3,2

MixtoDetectivo SI 95% SI 90% SI 85% SI 90% SI 95% SI 90% SI 90% SI 95% 91% 4,5AutomticoDetectivo SI 99% SI 98% SI 100% SI 100% SI 100% SI 100% SI 100% SI 100% 100% 4,9

"Otra"%deCumplimientoParcial SI SI SI SI SI SI SI SI

COBERTURADECONTROL(SeleccinMltiple) SI 4% SI 6% SI 5% SI 6% SI 5% SI 6% SI 4% SI 5% 100% 5% 0,2

Totalidad SI 30% SI 30% SI 25% SI 30% SI 25% SI 25% SI 30% SI 25% 28% 1,3Validez SI 15% SI 20% SI 30% SI 20% SI 25% SI 30% SI 20% SI 25% 23% 1,1

Exactitud SI 30% SI 30% SI 30% SI 30% SI 25% SI 30% SI 30% SI 25% 29% 1,4AccesoRestringido SI 25% SI 20% SI 15% SI 20% SI 25% SI 15% SI 20% SI 25% 21% 1,0

FRECUENCIADELCONTROL(Seleccinnica) NO 0% SI 6% SI 5% SI 6% SI 5% NO 0% SI 4% SI 5% 74% 4% 0,1

ptima NO 1 00% SI 100% SI 100% SI 100% SI 100% N O 1 00% SI 100% SI 100% 100% 5,0

Moderada NO 80% SI 50% SI 60% SI 65% SI 75% N O 8 5% SI 65% SI 70% 69% 3,4

Deficiente NO 60% SI 35% SI 40% SI 45% SI 50% N O 5 5% SI 45% SI 40% 46% 2,3"Otra"%deCumplimientoParcial NO SI SI SI SI NO SI SI

MADUREZDELCONTROL(Seleccinnica) SI 15% SI 10% SI 10% N O 0% SI 10% SI 15% SI 8% SI 10% 89% 10% 0,5ptima SI 100% SI 100% SI 100% NO 1 00% SI 100% SI 100% SI 100% SI 100% 100% 5,0

Monitoreado SI 95% SI 95% SI 90% N O 9 5% SI 95% SI 90% SI 85% SI 90% 92% 4,5Estandarizado SI 85% SI 85% SI 75% N O 9 0% SI 85% SI 75% SI 70% SI 80% 81% 4,0

Informal SI 65% SI 65% SI 50% N O 6 0% SI 65% SI 50% SI 45% SI 60% 58% 2,8PocoConfiable SI 10% SI 10% SI 15% NO 0% SI 10% SI 15% SI 15% SI 20% 12% 0,6

RESULTADOSDELASPRUEBASDEAUDITORAREALIZADASALCONTROL

(SeleccinMultiple) SI 65% SI 62% SI 50% SI 65% SI 65% SI 65% SI 68% SI 65% 100% 63% 3,1

1 ) El resultado de las pruebas de auditora realizadas al control, evidencian cumplimiento del

objetivoydisminuyelaexposicinalriesgo ?.%Cumplimiento. SI 90% SI 85% SI 95% SI 88% SI 60% SI 95% SI 90% SI 90% 87% 4,3

2 )Laejecucindelcontrolessimple? SI 4% SI 2% SI 1% SI 4 % S I 10% SI 1 % SI 3% SI 2% 3% 0,1

3 )Durantelaejecucindelcontrolnuncasehanpresentadodesviacionesensucumplimiento? SI 3% SI 5% SI 3% SI 4% SI 15% SI 3% SI 3% SI 5% 5% 0,2

4

) Considera usted que el responsable de realizar el control, conoce los riesgos que implica su

omisin?SI 3% SI 8% SI 2% SI 4% SI 15% SI 2% SI 4% SI 3% 5% 0,2

PESOASIGNADOALEXPERTO 14% 14% 12% 11% 11% 13% 13% 13% 100% 5,0

EXPERTO7 AUTOR

ASIGNACINDEPESOSALOSFACTORESYVARIABLESDELMODELOPROPUESTOPARAVALORARLAEFECTIVIDADDELOSCONTROLES

EXPERTO1 EXPERTO2 EXPERTO3 EXPERTO4 EXPERTO5 EXPERTO6

EFECTIVIDADDEL

CONTROL COLOR

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCOREMAYOR

%

SCOREMENOR

%

SCORE

%

DEFICIENTE 0,00% 35,80% 0,00% 49,80% 0,00% 40,00% 0,00% 38,00% 0,00% 20,00% 0,00% 32,00% 0,00% 40,00% 0,00% 45,00% 0, 00% 3 7,BAJA 35 ,8 1% 59 ,80 % 4 9, 81 % 6 2, 00% 4 0, 01 % 6 5, 00 % 3 8, 01 % 6 6, 00% 2 0,0 1% 4 5, 00 % 3 2, 01% 57 ,0 0% 40 ,01 % 6 5, 00 % 45 ,0 1% 65 ,00 % 37,94% 60,

ACEPTABLE 59 ,8 1% 83 ,80 % 6 2, 01 % 8 9, 80% 6 5, 01 % 9 1, 00 % 6 6, 01 % 9 0, 00% 4 5,0 1% 8 2, 00 % 5 7, 01% 85 ,0 0% 65 ,01 % 9 0, 00 % 65 ,0 1% 85 ,00 % 60,71% 87,ALTA 8 3, 81 % 1 00 ,0 0% 8 9, 81 % 1 00 ,0 0% 9 1, 01 % 1 00 ,0 0% 9 0, 01 % 1 00 ,0 0% 8 2, 01 % 1 00 ,0 0% 8 5, 01 % 1 00 ,0 0% 9 0, 01 % 1 00 ,0 0% 8 5, 01 % 1 00 ,0 0% 87,05% 100,

14% 14% 12% 11% 11% 13% 13% 13%

EFECTIVIDADDEL

CONTROL COLOR

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCOREMAYOR

Ptos.

SCOREMENOR

Ptos.

SCORE

Pt

DEFICIENTE 0,00 1,79 0,00 2,49 0,00 2,00 0,00 1,90 0,00 1,00 0,00 1,60 0,00 2,00 0,00 2,25 0,00 1,BAJA 1,79 2,99 2,49 3,10 2,00 3,25 1,90 3,30 1,00 2,25 1,60 2,85 2,00 3,25 2,25 3,25 1,90 3,

ACEPTABLE 2,99 4,19 3,10 4,49 3,25 4,55 3,30 4,50 2,25 4,10 2,85 4,25 3,25 4,50 3,25 4,25 3,04 4,ALTA 4,19 5,00 4,49 5,00 4,55 5,00 4,50 5,00 4,10 5,00 4,25 5,00 4,50 5,00 4,25 5,00 4,35 5,

14% 14% 12% 11% 11% 13% 13% 13%

EXPERTO6 EXPERTO7 AUTOR PROMEDIOTOTA


EXPERTO5

PESO

ASIGNADO

AL

EXPERTO

EXPERTO1 EXPERTO2 EXPERTO3 EXPERTO4

CLASIFICACIN

DE

LOS

NIVELES

DEL

MODELO

PROPUESTO

PARA

VALORAR

LA

EFECTIVIDAD

DEL

CONTROL

EXPERTO1 EXPERTO2 EXPERTO3 EXPERTO4 EXPERTO5 EXPERTO6 EXPERTO7 AUTOR PROMEDIOTOTA


41/73

41

Tabla 9. Niveles para determinar y clasif icar la efectividad de los controles.

Fuente: El autor

Estos niveles permiten clasificar de forma estructurada y objetiva, el grado deefectividad de los controles durante la realizacin de auditoras basadas en riesgo.A continuacin, describiremos el detalle de las etapas propuestas en la

metodologa y los modelos planteados en este trabajo.

5.2. ETAPA 1: MODELO PARA VALORAR LA RELEVANCIA DEL CONTROL.

5.2.1. Seleccin de los controles claves para auditar.

A partir de los riesgos absolutos o inherentes relevantes seleccionados para serevaluados durante la auditora, se identifican y seleccionan los controles claves delproceso que permiten minimizar el nivel de exposicin del riesgo. En esta etapatambin se identifican las principales causas de riesgo asociadas a las actividades

de control que realizan durante todo el proceso para mitigar su posiblematerializacin. Estas actividades de control permiten que la gerencia logre unaseguridad razonable en la gestin y administracin de los riesgos asociados a suactividad, mediante un sistema de control interno que ayude a preveniroportunamente la posible materializacin de los riesgos inherentes asociados alnegocio, as como la disminucin del posible impacto para el logro de los objetivosde la entidad.

5.2.2. Modelo propuesto para valorar la relevancia del contro l.

El modelo propuesto tiene como objetivo valorar a partir de 4 preguntas

relacionadas con las variables de materialidad, impacto econmico y frecuencia dela posible materializacin del riesgo por la omisin en la realizacin de loscontroles. La valoracin, se realiza a partir de la descripcin del riesgo y el controlevaluado, los cuales, se analizan como un proceso sistmico en el contexto de lasdiferentes causas de riesgo que son minimizadas por el control a valorar.

EFECTIVIDAD

DEL

CONTROL COLOR

NIVELES

DE

EFECTIVIDADDEL

CONTROL

EN

%

NIVELES

DE

EFECTIVIDADDEL

CONTROL

EN

PUNTOSDEFICIENTE Entre0%y37,90% Entre0y1,90

BAJA Entre37,91%y59,95% Entre1,91y3,00

ACEPTABLE Entre59,96%y83,90% Entre3,01y4,20

ALTA Entre83,91%y100% Entre4,21y5


42/73

42

Grfico 4. Estructura del modelo propuesto para valorar la relevancia delcontrol.

Fuente: El autor

5.2.3. Va

metodologia para medir efectividad sgsi

Documents

Transcript of metodologia para medir efectividad sgsi