Mejores prácticas para configurar un marco de controles internos y su implementación práctica con software especializado.
El término controles, originalmente utilizado en el dominio de GRC (Gobernanza, Riesgo, Cumplimiento) para describir mecanismos de gestión de riesgos y garantizar el cumplimiento, ahora se aplica de manera más amplia a la planificación estratégica.
En este artículo, compartiremos las mejores prácticas para configurar controles y su uso práctico.
Introducción a los Controles Internos
En esencia, un «control» es un mecanismo de respuesta o prevención utilizado para gestionar el riesgo y garantizar el cumplimiento.
Ejemplo de control: «Empleado dejó la empresa»
- Plan de acción: Redirigir correos electrónicos
- Plan de acción: Notificar a los clientes
- Métrica de efectividad: Inicios de sesión deshabilitados [Basado en evidencias]
- Métrica de efectividad: % de clientes notificados
- Riesgo: Disrupción del flujo de trabajo
Componentes del Control
Los controles tienen componentes específicos:
- Definición del control.
- Mecánica interna para asegurar que el control funcione correctamente (métricas, planes de acción, seguimiento).
- Los resultados de aplicar un control que se informan y proporcionan insumos para un bucle de aprendizaje.
Desde la perspectiva de la automatización, un control puede ser:
- Tan sencillo como un plan de acción con métricas de progreso alineadas, o
- Tan complejo como un conjunto jerárquico de controles y subcontroles, cada uno con su propio conjunto de métricas, estimaciones de riesgos, planes de mitigación, dependencias contextuales y responsables.
Los controles tienen áreas de aplicación específicas, lo que define cuándo ciertos controles deben activarse.
1. Definición de Control
En la etapa inicial, nuestro objetivo es mapear adecuadamente las experiencias pasadas del equipo de gestión en controles o mecanismos de respuesta formal.
Propiedades Generales
Los aspectos básicos para identificar un control incluyen darle un nombre significativo y explicar su propósito en la descripción. Definir:
- Condiciones que activan el control,
- Alcance del control.
En BSC Designer:
- Utiliza el botón Añadir para crear un nuevo ítem.
- Identifica el control a través de los campos de nombre y descripción.
- Enlaza el control con objetivos pasados relevantes, eventos o requisitos regulatorios.
Documentación de Soporte
En BSC Designer:
- Añade documentos a un control a través del cuadro de diálogo Descripción.
- Añade documentos al plan de acción del control a través del cuadro de diálogo de Iniciativas.
Propiedades Personalizadas
En BSC Designer:
- Define las propiedades requeridas de los controles a través de campos personalizados.
- Los nuevos campos estarán disponibles para controles, métricas e iniciativas.
Responsabilidad
Por ejemplo, los controles de mantenibilidad de software pueden automatizar las actualizaciones, pero se necesita un especialista en TI para resolver conflictos si una actualización falla. En BSC Designer:
- Añade personas responsables del control como usuarios; asigna la persona a un equipo.
- Asigna la persona o equipo como responsable del control a través del campo Responsable.
Los responsables recibirán notificaciones relevantes para el control.
Certificación / Aprobación
En BSC Designer:
- Utiliza campos personalizados para definir propiedades del control, como «Estado de Certificación» y «Certificado por.»
- Al certificar los controles, el equipo de gestión puede actualizar estas propiedades.
- Usa filtros en los informes para identificar controles sin certificación adecuada.
Para desactivar un control no certificado pero mantenerlo en el cuadro de mando:
- Selecciona un control.
- Cambia a la pestaña Rendimiento.
- Activa la casilla Indicador de datos brutos.
Alineación de Controles
En BSC Designer:
- Copia y pega elementos entre cuadros de mando.
- Cuando se te solicite, utiliza la opción de conexión por contexto para vincular dos elementos.
Catálogo de Controles
En BSC Designer:
- Crea un cuadro de mando dedicado a controles.
- Usa una estructura jerárquica para organizar los controles.
- Cuando sea necesario, copia el control al cuadro de mando activo.
2. Cuantificación de Controles
Métricas de Efectividad
Utilizar métricas para los controles hace que el control sea más específico y evita diferentes interpretaciones. Define métricas para rastrear:
- Adherencia a los estándares,
- Efectividad del control,
- Progreso de los planes de acción.
Por ejemplo, en la notificación de incidentes:
- La métrica de eficiencia podría ser el «% de personal capacitado en notificación de incidentes».
- La métrica de efectividad podría ser «% de incidentes no comunicados adecuadamente».
En BSC Designer:
- Utiliza el botón Añadir para agregar métricas dentro del ítem de Control.
Rendimiento General
En BSC Designer:
- Selecciona una métrica
- Cambia a la pestaña Rendimiento
- Cambia el peso de la métrica
El rendimiento/progreso del control se mostrará en la columna correspondiente.
Métricas de Eficiencia
En BSC Designer:
- Selecciona una métrica
- Cambia al Contexto
- Cambia el tipo de la métrica a Actuación
Estimación de Riesgos
Un control puede incluir una definición de riesgo o alinearse con riesgos de un registro de riesgos. La estimación del riesgo puede ser:
- Un desencadenante para la ejecución del control, o
- Una condición para seleccionar un determinado curso de acción.
En BSC Designer:
- Crea un nuevo indicador
- Cambia su tipo a ‘Riesgo’
- Actualiza los indicadores de Probabilidad e Impacto del riesgo
Control Binario
Los estados posibles de los indicadores binarios son:
- No asignado: la parte del control aún no se ha ejecutado
- Sí: para indicar que la parte del control se ejecutó correctamente
- No: para indicar que la parte del control no se ejecutó correctamente
Ejemplo: «Plan de continuidad de negocio actualizado teniendo en cuenta una nueva amenaza identificada» puede automatizarse con un indicador binario. En BSC Designer:
- Selecciona un indicador
- Cambia a la pestaña ‘General’
- Cambia sus unidades de medida a «Sí/No»
Control Cualitativo
Ejemplo: un control de Gestión y Comunicación de Políticas puede evaluarse con una métrica cualitativa Efectividad de la Comunicación de Políticas de Cumplimiento con los siguientes estados posibles:
- Altamente Efectivo (100): Los empleados entienden claramente las políticas de cumplimiento.
- Moderadamente Efectivo (60): Algunos empleados entienden las políticas.
- Inefectivo (10): Los empleados en general desconocen las políticas.
En BSC Designer:
- Selecciona un indicador
- Haz clic en el botón Editar junto a las unidades de medida para añadir unidades de medida personalizadas
Control Cuantitativo
Ejemplo: para evaluar la efectividad de la implementación de un control específico, hacemos una auditoría interna para rastrear el % de Cumplimiento de Políticas. En este caso, la fórmula de rendimiento es una maximización lineal, con un objetivo del 100%. Otro ejemplo puede ser la métrica Tiempo Promedio para Detectar, configurada como una minimización lineal con un objetivo de 24 horas.
En BSC Designer:
- Cambia a la pestaña ‘Rendimiento’ para definir la fórmula de rendimiento.
- Cambia a la pestaña ‘Datos’ para definir el estado actual del indicador, su línea base y su objetivo.
Control Basado en Evidencias
Por ejemplo, un control de prueba de respaldo y recuperación podría requerir la carga de resultados de la prueba o registros como prueba de la ejecución exitosa del control.
En BSC Designer:
- Selecciona un indicador
- Cambia sus unidades de medida a Evidencia
- Sube un documento al indicador para cambiar su estado
3. Iniciativas para los Controles
Planes de Acción
En BSC Designer:
- Utiliza la herramienta de Iniciativas para añadir planes de acción a los controles.
- Alinea riesgos y métricas de eficiencia con la iniciativa.
- Asigna un responsable a la iniciativa; la persona recibirá notificaciones cuando cambie el estado.
Seguimiento del Plan de Acción
En BSC Designer:
- Añade una nueva iniciativa al control.
- Abre el cuadro de diálogo de la iniciativa.
- Selecciona el KPI de progreso en el campo ‘KPI Alineado’.
4. Seguimiento de los Controles a lo Largo del Tiempo
Controles Periódicos
Ejemplo de revisión de la mecánica del control:
- Revisión de Listas de Verificación de Cumplimiento: revisión anual
- Retención de Conocimiento, %: revisión trimestral
Ejemplos de aplicación periódica del control:
- Escaneo de Vulnerabilidades: revisión/actualización mensual
Ejemplos de control que se activa una vez:
- Evaluación Inicial de Riesgos: para ser actualizada una vez
En BSC Designer:
- Utiliza la configuración de Intervalo de Actualización del indicador para programar revisiones regulares.
Actualización del Estado del Control
En BSC Designer:
- Selecciona una métrica del control
- Selecciona una fecha en el calendario interno
- Cambia a la pestaña ‘Datos’
- Introduce el nuevo estado en el campo ‘Valor’
Herencia del Estado del Control
Por ejemplo:
- % de Empleados Capacitados: es probable que sea un indicador inherente, ya que podemos suponer que el porcentaje de empleados capacitados en mayo se mantendrá igual o aumentará en junio.
- Ingresos Mensuales por Ventas: es probable que sea un indicador no inherente, ya que nos interesa seguir los datos de ventas reales mes a mes.
En BSC Designer:
- Selecciona un indicador
- Haz clic en el botón Editor de Valores
- Cambia el tipo de herencia del indicador
5. Informes de los Controles
Controles en Paneles de Control
En BSC Designer:
- Cambia a la pestaña Panel de Control.
- Añade gráficos relevantes, incluidos gráficos de Gantt para iniciativas, diagramas de riesgos y diagramas que enumeren los controles y sus estados.
Controles para la Estimación de Riesgos
En BSC Designer:
- Conecta la parte de resultado del control con las métricas de Impacto del Riesgo o Estimación del Riesgo en el registro de riesgos por medio de datos.
Controles en Informes
En BSC Designer:
- Utiliza el menú ‘Informe’ para generar varios informes.
- Utiliza el botón ‘Programar’ en el menú ‘Informe’ para enviar informes automáticamente a los interesados.
Responsabilidad
En BSC Designer:
- Todas las actividades relacionadas con el diseño y ejecución de controles se registran en el registro de auditoría.
- El administrador de la cuenta puede acceder a los registros de auditoría a través de Menú > Usuarios > Seguimiento de Auditoría.
Ejemplo Práctico del Uso de un Control
Hablemos de un ejemplo práctico. Consideremos el control activado cuando un empleado deja la empresa.
Estructura del ejemplo:
Biblioteca de Controles
En la biblioteca de controles, tengo una sección de RRHH donde uno de los controles es «Empleado dejó la empresa».
Este control tiene tres planes de acción:
- Redirigir correos electrónicos.
- Contactar a los clientes.
- Plan de transferencia de conocimiento.
También tiene dos métricas:
- Inicios de sesión deshabilitados (basado en evidencias).
- Porcentaje de clientes notificados.
Otra métrica se utiliza para la revisión periódica de controles:
- Retención de Conocimiento (%)
Un riesgo se define para el control como:
- Riesgo: Disrupción del Flujo de Trabajo
- Plan de mitigación: Documentar funciones críticas
Cuadro de Mando de Eventos
Tengo un cuadro de mando llamado «Eventos de RRHH» donde se registran los eventos relevantes de RRHH. El cuadro de mando está organizado por tipo de evento.
Aplicando el Control
Aquí están los pasos a seguir cuando un empleado deja la empresa:
- Crea un nuevo evento en el cuadro de mando de Eventos, por ejemplo, «Alex dejó la empresa».
- Copia y pega el control apropiado desde la biblioteca de controles al cuadro de mando de Eventos.
- La persona responsable del control será notificada automáticamente sobre los nuevos planes de acción creados.
- Sube evidencia (capturas de pantalla) de que los inicios de sesión fueron deshabilitados.
- Notifica a los clientes y actualiza el indicador de «% de clientes notificados».
- Actualiza el estado de los planes de acción a «En revisión».
Más Ejemplos
Puedes encontrar más ejemplos del uso de controles en artículos sobre:
- Gobernanza Corporativa
- Cuadros de Mando de Cumplimiento
- Gestión de Continuidad del Negocio
- Gobernanza de IA
- Plantillas de CMI. Regístrese con un plan gratuito de BSC Designer y tenga acceso inmediato a 31 plantillas de cuadro de mando, incluyendo el Biblioteca de Controles de GRC discutido en este artículo.
- Domine habilidades. Aprenda a desglosar objetivos ambiguos como "mejorar la calidad" y "aumentar la resiliencia" en estrategias específicas.
- Automatice. Aprenda qué es el software de Cuadro de Mando Integral y cómo puede facilitarle la vida al automatizar la ejecución de la estrategia, los KPIs y los mapas estratégicos.
Más ejemplos del Cuadro de Mando Integral
Alexis es el CEO de BSC Designer con más de 20 años de experiencia en planificación estratégica. Tiene una formación académica en matemáticas aplicadas y ciencias de la computación. Alexis es autor del «Sistema de Despliegue de Estrategia en 5 Pasos», del libro «Sistema de KPI en 10 Pasos», y «Tu Guía para el Cuadro de Mando Integral». Es orador habitual en conferencias de la industria y ha escrito más de 100 artículos sobre estrategia y medición del rendimiento. Su trabajo es citado con frecuencia en investigaciones académicas y por profesionales de la industria.