Mantener un entorno de control altamente eficaz es parte integrante de cualquier buen programa de cumplimiento. Cuando los controles u otras medidas de seguridad fallan, pueden exponer a su organización a riesgos. Las repercusiones van más allá de unos malos resultados en las auditorías. Puede sucumbir a una costosa filtración de datos, interrupción de la cadena de suministro, daños a su reputación, pérdida de ingresos y mucho más. Sin embargo, con una gestión cuidadosa y las herramientas de supervisión adecuadas, la mayoría de los fallos de control son totalmente evitables.
Sólo el 34% de las empresas encuestadas por EY afirman disponer de un programa de control interno maduro, lo que indica que muchas no han sabido mantenerse al día y no han logrado evolucionar su enfoque de los controles desde la implantación de la ley Sarbanes-Oxley (SOX). Aunque esta encuesta se llevó a cabo en una época anterior a la entrada en vigor de COVID-19, la estadística es preocupante si se tiene en cuenta lo frágil que es realmente la reputación de una organización, siendo el creciente escrutinio normativo y de los medios sociales los principales culpables y el verdadero asesino de gigantes.
Una revisión de su entorno de control no sólo identificará áreas de mejora, sino que pondrá de relieve eficiencias, oportunidades y garantizará que se tenga en cuenta cualquier perturbación futura. Una vez que su organización se comprometa a mejorar la gestión de los controles, se pondrá de manifiesto lo importantes que son realmente unos controles eficaces. Ya sean detectivescos, preventivos o correctivos, una mejor gestión de los controles es la respuesta a la protección contra las catástrofes. La NASA fue testigo desgarrador de ello en 1986 con la explosión del transbordador espacial Challenger. No se tuvo en cuenta un error en la toma de decisiones durante el proceso de fabricación de las juntas tóricas, lo que provocó que el transbordador se partiera 73 segundos después de despegar, matando a los siete miembros de la tripulación; fue el primer accidente mortal de una nave espacial estadounidense en vuelo, y costó a la nación 3.400 millones de dólares.
Amy Brachio, Vicepresidenta Adjunta Global de Sostenibilidad de EY, recomienda formular las siguientes preguntas durante la revisión del entorno de control:
1. ¿Su estructura de gobierno maximiza la cobertura de riesgos y los recursos? Aunque pueda parecer una tarea sin importancia después de 10 años de cumplir con los requisitos de la SOX, muchas empresas están dando un paso atrás y documentando la carta de su programa ICFR e introduciéndolo como parte de sus programas de formación.
2. ¿Actualiza periódicamente su programa ICFR para responder a los cambios en el negocio y a los requisitos normativos? Las organizaciones con prácticas líderes han establecido un proceso sostenible para actualizar periódicamente su programa ICFR con el fin de responder a los cambios en el mercado, e incluso utilizarlo como plataforma para realizar cambios y mejoras más holísticos.
3. ¿Se identifican los cambios en las normas contables y se abordan a tiempo las implicaciones para la empresa? Un proceso continuo bien documentado y comprendido es fundamental para mantenerse al día de los cambios en las normas contables.
4. ¿Su proceso de certificación SOX Sección 302 se lleva a cabo con el nivel adecuado de diligencia? Mientras que muchas empresas pueden pensar que tienen un buen proceso de certificación SOX Sección 302, algunas pueden haberse vuelto complacientes, llegando incluso a dar el visto bueno a las certificaciones, lo que introduce aún más riesgo para su organización.
5. ¿Cómo seleccionar y supervisar el alcance y la combinación adecuados de controles? La optimización de los controles no debe ser un ejercicio aislado, sino que debe realizarse periódicamente para adaptarse a los cambios del entorno empresarial y normativo.
6. ¿Se han diseñado y ejecutado adecuadamente los controles de revisión por la dirección? Las áreas típicas incluyen los procesos de estimación de mayor riesgo, el fraude u otros riesgos significativos, las clases de transacciones inusuales o no rutinarias, los controles de todo el grupo y los controles compensatorios en los que se confía para mitigar las deficiencias.
7. ¿Se tiene en cuenta la integridad y exactitud de las pruebas de la eficacia de los controles? Cuando las empresas reúnen internamente pruebas del diseño y la eficacia operativa de los controles, deben considerar y documentar la integridad y exactitud de las pruebas.
8. ¿Cuándo es importante que la población esté completa? Los informes utilizados como población en la comprobación de los controles de TI y de procesos empresariales deben ir acompañados de pruebas de que los datos notificados reflejan completamente la información contenida en el sistema y de que no se modificaron indebidamente cuando se generaron los informes.
9. ¿Son sus controles lo suficientemente precisos como para detectar problemas significativos? El objetivo general de las pruebas de estimaciones de la dirección es validar que las hipótesis y estimaciones del emisor en que se basa la valoración de los activos y pasivos son razonables.
10. ¿Sabe quiénes son sus partes vinculadas? Las empresas deben revisar los controles que tienen establecidos para identificar, contabilizar y revelar las transacciones con partes vinculadas y ejecutivos, así como las transacciones inusuales significativas.
11. ¿Realiza su organización un análisis de impacto una vez identificada una deficiencia? Cuando se identifican deficiencias relacionadas con procesos empresariales o sistemas y controles financieros clave, el siguiente paso es realizar procedimientos adicionales para determinar si ha ocurrido algo "malo".
12. ¿Puede el retraso en la corrección de las deficiencias actuales convertirse en deficiencias significativas en el futuro? La dirección debe definir y aplicar planes de corrección específicos para todas las deficiencias. Si los planes están en marcha pero abarcan varios años, puede ser necesario implantar controles compensatorios temporales para mitigar los riesgos.
13. ¿Cómo afectan las implantaciones de sistemas al entorno de control interno? Las implantaciones de aplicaciones informáticas suelen introducir nuevas capacidades de control, pero también nuevos riesgos que afectan a la capacidad de la aplicación para respaldar un control interno eficaz que permita elaborar informes financieros precisos.
14. ¿Dónde residen en su organización la responsabilidad y la supervisión de los sistemas y procesos de negocio externalizados? La externalización de sistemas y procesos empresariales no exime a las entidades usuarias de su responsabilidad de disponer de un entorno de control interno eficaz.
15. ¿Qué se puede hacer si no se dispone de un informe SOC? Si no existen controles suficientes en la entidad usuaria, es posible que la dirección, con ayuda de los equipos de cumplimiento y los auditores internos, tenga que realizar pruebas de controles o procedimientos sustantivos en la organización de servicios.
16. Cuando los sistemas se trasladan a la nube, ¿se puede esperar que los controles les sigan? Cuidado con el comprador: cuando sistemas enteros o sus componentes se trasladan a soluciones gestionadas por un proveedor, la diligencia debida relacionada con los controles merecerá la pena.
17. ¿Por qué la segregación de funciones es una bomba de relojería? Sin una herramienta GRC automatizada, los principales sistemas de planificación de recursos empresariales pueden no tener controles adecuados sobre los conflictos de SOD.
18. ¿Se tiene suficientemente en cuenta el ciberriesgo en su programa de gestión de riesgos? Cuando se trata de ciberriesgos, esperar no suele ser una buena respuesta bajo ninguna circunstancia.
19. ¿Ha considerado cómo el análisis de datos puede ayudar a su organización a evaluar los controles y valorar los riesgos de forma más eficiente? Las áreas comunes de implementación son la supervisión continua de los controles junto con los sistemas; la delimitación del alcance de la auditoría para identificar las áreas de mayor riesgo; y el análisis del impacto en el caso de deficiencias de control identificadas.
20. ¿Su organización aprovecha la tecnología y las herramientas para gestionar más eficazmente los controles internos? Los repositorios de código fuente y las herramientas de gestión de versiones pueden permitir un control adecuado de los cambios en los sistemas de producción y la segregación de las tareas de soporte frente a las de desarrollo. Además, el software comercial de pruebas permite aplicar un enfoque disciplinado a las pruebas de cambio del sistema financiero.
Simplificar los controles internos con AuditComply
Por supuesto, elegir la solución adecuada es el primer paso. En muchas organizaciones progresistas, AuditComply es un líder probado a la hora de ofrecer resultados, mejorar la eficiencia, reducir el caos y ayudar a las organizaciones a funcionar con más fluidez y mejor enfoque. Establecemos el estándar para aumentar el compromiso en las tres líneas de defensa centralizando y automatizando las pruebas de control y los flujos de trabajo. Pregúntese, ¿ha llegado el momento de introducir AuditComply en su función de Riesgos y Auditoría Interna?
La automatización permite liberar recursos para darles un mejor uso. La gestión automatizada del control es el futuro, ya que reduce los puntos de contacto manuales, proporciona tranquilidad a los ejecutivos, identifica las costosas sanciones por incumplimiento antes de que se produzcan y reduce el riesgo de fallos de control. Con análisis en tiempo real e información procesable, sus funciones de Riesgo, Cumplimiento y Auditoría Interna pueden esperar obtener mejores resultados, experimentando una verdadera visibilidad del estado de cumplimiento de SOX o UK SOX en cualquier momento.
Si desea obtener más información sobre cómo AuditComply puede ayudarle a gestionar y mantener su entorno SOX o UK SOX, programe una demostración aquí.
