Autoevaluación del Control (Control Self Assessment) Parte 2

Siguiendo con las referencias a ISACA, es necesario enumerar los beneficios de CSA:
  • Detección Temprana de Riesgos.
  • Controles Internos más efectivos y mejorados.
  • Creación de equipos cohesivos a través de la participación de los empleados.
  • Desarrollo de un sentido de propiedad de los controles en los empleados y en los dueños del proceso y reducción de su resistencia a controlar las iniciativas de mejoramiento.
  • Mayor conciencia de los empleados sobre los objetivos organizaciones y mayor conocimiento sobre riesgos y controles internos.
  • Mayor comunicación entre los mandos operativos y la alta dirección.
  • Empleados altamente motivados.
  • Proceso mejorado de califiación en auditorías.
  • Reducción en el costo del control.
  • Mayor seguridad para los accionistas y clientes.
  • Seguridad mínima para la alta dirección sobre lo adecuado de los controles internos, según requerimientos de diversas agencias regulatorias y de leyes tales como la Ley Americana Sarbanes-Oxley (El nombre de los diplomáticos que la impulsaron).
Pero no todo lo que brilla es oro, algunas de las Desventajas de CSA son:
  • Podría confundirse como un reemplazo de la función de auditoría.
  • Significa una carga de trabajo adicional.
  • No implementar las mejoras sugeridas podría dañar la moral de los empleados.
  • La falta de motivación puede limitar la efectividad en la detección de controles débiles.
El Rol del Auditor en CSA

El auditor en un proceso de CSA, primero que todo debe entender el proceso de negocio que se está evaluando; aunque esta siempre esa es la primera misión del auditor de sistemas, esto se puede lograr por medio de las herramientas tradicionales de auditoría, como lo son la inspección o recorrido preliminar. Los auditores dentro de CSA son facilitadores y la dirección/cliente es el participante del proceso de CSA. En otras palabras durante un taller de CSA, en lugar de que el auditor realice procedimientos detallados de auditoría, el auditor dirigirá y guiará a los clientes en la evaluación de su ambiente proporcionando su punto de vista sobre los objetivos de los controles badados en la evaluación de riesgos. Los gerentes, con un enfoque de mejora en la productividad del proceso, podrían sugerir el reemplazo de los controles preventtivos. En dicho caso, el auditor está en mejor posición para explicar los riesgos asociados con estos cambios.

Lo atractivo del Enfoque Tradicional vs el Enfoque CSA, es que los responsables de evaluar y reportar sobre el control interno en CSA corresponde a la dirección y los equipos de trabajo, a diferencia del enfoque tradicional, donde cuya responsabilidad se le asigna a los auditores y en menor grado a los dptos. de contraloría y consultores externos.

Finalmente, cabe reforzar que CSA no debe ni puede reemplazar la Auditoria, sino que es una herramienta valida para la mejora de los controles y los objetivos de control que mantenga una organización. Recordemos que la independencia es necesaria y por ello la auditoria es la herramienta por excelencia para la mejora continua.

Comentarios

Publicar un comentario

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers
Leer más

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

QAT: Quality Assurance Test / UAT: User Acceptance Testing

QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos. QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad. UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen: Definición de las estrategias y procedimientos de prueba   Diseño de casos y escenarios de prueba Ejecución de pruebas   Utilización de los resultados para verificar la preparación del sistema Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para
Leer más