Cómo configurar y monitorear controles internos para garantizar el cumplimiento

Mejores prácticas para establecer un marco de controles internos y su implementación práctica con software especializado.

El término «controles«, utilizado originalmente en el ámbito de GRC (Gobernanza, Riesgo, Cumplimiento) para describir mecanismos de gestión de riesgos y asegurar el cumplimiento, ahora se aplica más ampliamente a la planificación estratégica.

Infografía: Implementación de 5 Elementos Básicos de Control Interno para GRC

En este artículo, compartiremos las mejores prácticas para establecer controles y su uso práctico.

Introducción a los controles internos

En esencia, un «control» es un mecanismo de respuesta o prevención utilizado para gestionar riesgos y asegurar el cumplimiento.

Control de ejemplo: «Empleado dejó la empresa»

  • Plan de acción: Redirigir correos electrónicos
  • Plan de acción: Notificar a los clientes
  • Métrica de efectividad: Usuarios deshabilitados [Basado en evidencia]
  • Métrica de efectividad: % de clientes notificados
  • Riesgo: Disrupción del flujo de trabajo
Cómo Organizar los Riesgos: Registro de Riesgos vs. Objetivos Específicos de Riesgo

Componentes del control

Los controles tienen componentes específicos:

Ejemplo de implementación

Desde la perspectiva de automatización, un control podría ser:

  • Tan simple como un plan de acción con métricas de progreso alineadas o
  • Tan complejo como un conjunto jerárquico de controles y sub-controles, cada uno con su propio conjunto de métricas, estimaciones de riesgo, planes de mitigación, dependencias contextuales y responsables.

Los controles tienen áreas de aplicación específicas, definiendo cuándo ciertos controles deben ser activados.

Exploremos las herramientas que podemos usar para implementar controles en la planificación estratégica.

1. Definición de Control

En la etapa inicial, nuestro objetivo es mapear adecuadamente las experiencias pasadas del equipo de administración en controles o mecanismos de respuesta formal.

Propiedades generales

Los aspectos básicos para identificar un control incluyen darle un nombre significativo y explicar su propósito en la descripción. Defina:

  • Condiciones que disparan el control,
  • Alcance del control.
Ejemplo de implementación

En BSC Designer:

  1. Use el botón Agregar para crear un nuevo elemento.
  2. Identifique el control a través de los campos de nombre y descripción.
  3. Enlace cruzado el control con metas pasadas relevantes, eventos o requisitos regulatorios.
Cómo Describir Objetivos e Indicadores en un Cuadro de Mando
Estrategia en Cascada o Alineacin a Nivel Práctico

Documentación de apoyo

Controles más complejos requieren documentación de apoyo, como políticas y procedimientos. Enlace a los documentos relevantes o súbalos al control.
Ejemplo de implementación

En BSC Designer:

  • Agregue documentos a un control a través del diálogo de Descripción.
  • Agregue documentos al plan de acción del control a través del diálogo de Iniciativas.
Cómo Describir Objetivos e Indicadores en un Cuadro de Mando

Propiedades personalizadas

Las organizaciones siguen sus propios estándares de definición de control, lo que implica propiedades específicas para controles o planes de acción asociados.
Ejemplo de implementación

En BSC Designer:

  • Defina las propiedades requeridas de los controles a través de campos personalizados.
  • Los nuevos campos estarán disponibles para controles, métricas e iniciativas.
Cómo Definir Campos Personalizados para un KPI o Iniciativa en el Cuadro de Mando

Responsabilidad

La mayoría de los controles requieren algún nivel de intervención humana. Incluso si un control está configurado para funcionar de manera autónoma, la supervisión sigue siendo esencial.
Ejemplo de implementación

Por ejemplo, los controles de mantenibilidad del software pueden automatizar las actualizaciones, pero se necesita un especialista en TI para resolver conflictos si una actualización falla. En BSC Designer:

  1. Agregue personas responsables para el control como usuarios; asigne a la persona a un equipo.
  2. Asigne a la persona o equipo como el responsable del control a través del campo Responsable.

Los responsables recibirán notificaciones relevantes para el control.

Asigne Responsables a los Objetivos, KPIs e Iniciativas para Garantizar la Rendición de Cuentas

Certificación / Aprobación

Para completar la definición de un control o indicador, podría ser necesario una certificación o aprobación formal. La Administración certifica que el control interno cumple con los requisitos normativos e internos.
Ejemplo de implementación

En BSC Designer:

  • Utilice campos personalizados para definir propiedades del control como «Estado de certificación» y «Certificado por».
  • Al certificar los controles, el equipo de administración puede actualizar estas propiedades.
  • Utilice filtros en informes para identificar controles sin certificación adecuada.
Cómo Definir Campos Personalizados para un KPI o Iniciativa en el Cuadro de Mando

Para desactivar un control no certificado pero mantenerlo en el cuadro de mando:

  1. Seleccione un control.
  2. Cambie a la pestaña Desempeño.
  3. Active la casilla de verificación Indicador de datos en bruto.

Alineación de controles

Los controles no existen de forma aislada. Establezca las conexiones contextuales necesarias entre varios controles, objetivos, riesgos y eventos. Como se discute en el Sistema de Implementación de Estrategias, los controles se implementan en la estrategia a través de cuadros de mando funcionales.
Ejemplo de implementación

En BSC Designer:

  • Copiar y pegar elementos entre cuadros de mando.
  • Cuando se le indique, utilice la opción de conexión por contexto para enlazar dos elementos.
Estrategia en Cascada o Alineacin a Nivel Práctico

Catálogo de controles

Para controles repetitivos, cree una biblioteca de controles. En el caso de un cierto evento, puede desplegar fácilmente un control copiándolo de la biblioteca. Para mantener la implementación de controles sincronizada con la plantilla predefinida, utilice la función de sincronización disponible en la plataforma.
Ejemplo de implementación

En BSC Designer:

  1. Crear un cuadro de mando dedicado a los controles.
  2. Utilizar una estructura jerárquica para organizar los controles.
  3. Cuando sea necesario, copiar el control al cuadro de mando activo.
Cómo Organizar los Riesgos: Registro de Riesgos vs. Objetivos Específicos de Riesgo

2. Cuantificación de controles

Métricas de efectividad

El uso de métricas para los controles hace que el control sea más específico y evita diferentes interpretaciones. Defina métricas para rastrear:

  • Cumplimiento de los estándares
  • Efectividad del control
  • Progreso de los planes de acción
Ejemplo de implementación

Por ejemplo, en la notificación de incidentes:

  • La métrica de eficiencia podría ser el «% de personal capacitado en la notificación de incidentes.»
  • La métrica de efectividad podría ser «% de incidentes no comunicados adecuadamente.»

En BSC Designer:

  • Use el botón Agregar para añadir métricas dentro del elemento Control.

Desempeño general

Cuando se definen las métricas de efectividad para el control, la efectividad total de la aplicación del control se puede calcular utilizando el promedio ponderado del desempeño de las métricas individuales.
Ejemplo de implementación

En BSC Designer:

  1. Seleccione una métrica
  2. Cambie a la pestaña de Desempeño
  3. Cambie el peso de la métrica

El desempeño/progreso del control se mostrará en la columna correspondiente.

Creación de un Indicador de Índice con Métricas Ponderadas

Métricas de eficiencia

Dependiendo del contexto, utilice métricas de actuación. A diferencia de las métricas de resultado, las métricas de actuación no contribuirán directamente al desempeño general del control, pero sugerirán ideas valiosas para entender la eficiencia del control.

Ejemplo de implementación

En BSC Designer:

  1. Seleccionar una métrica
  2. Cambiar al Contexto
  3. Cambiar el tipo de la métrica a De actuación
Indicadores de actuación vs indicadores de resultados en BSC Designer

Estimación de riesgos

Un control puede incluir una definición de riesgo o estar alineado con riesgos de un registro de riesgos.

La estimación de riesgos puede ser:

  • Un desencadenante para la ejecución del control o
  • Una condición para seleccionar un curso de acción determinado.
Ejemplo de implementación

En BSC Designer:

  1. Crear un nuevo indicador
  2. Cambiar su tipo a ‘Riesgo’
  3. Actualizar los indicadores de probabilidad e impacto del riesgo
Pasos para añadir un riesgo a un objetivo en BSC Designer

Control binario

Los posibles estados de los indicadores binarios:

  • No asignado – la parte del control no se ha ejecutado aún
  • – para indicar que la parte del control se ejecutó con éxito
  • No – para indicar que la parte del control no se ejecutó con éxito
Ejemplo de implementación

Ejemplo: «Plan de continuidad del negocio actualizado teniendo en cuenta una amenaza recién identificada» se puede automatizar con un indicador binario. En BSC Designer:

  1. Seleccione un indicador
  2. Cambie a la pestaña ‘General’
  3. Cambie sus unidades de medida a «Sí/No»
Indicadores Binarios: Un Ejemplo de Uso para Controles Internos

Control Cualitativo

Los indicadores cualitativos se utilizan para los controles cuando una estimación cuantitativa más específica aún no se ha desarrollado, o no es rentable desarrollar una.

Ejemplo de implementación

Ejemplo: un control Gestión y Comunicación de Políticas puede evaluarse con una métrica cualitativa Efectividad de la Comunicación de Políticas de Cumplimiento con posibles estados:

  • Altamente Efectivo (100): Los empleados entienden claramente las políticas de cumplimiento.
  • Moderadamente Efectivo (60): Algunos empleados entienden las políticas.
  • Ineficaz (10): Los empleados generalmente desconocen las políticas.

En BSC Designer:

  1. Seleccione un indicador
  2. Haga clic en el botón Editar junto a las unidades de medida para agregar unidades de medida personalizadas
Utilización de Unidades de Medida Cualitativas y Cuantitativas en los Cuadros de Mando

Control cuantitativo

Para hacer los controles más específicos, se utilizan indicadores cuantitativos o numéricos. Para los indicadores cuantitativos podemos definir su fórmula de desempeño, por ejemplo, cómo el estado actual de un indicador impacta el desempeño de salida.

Ejemplo de implementación

Ejemplo: para evaluar la efectividad de la implementación de un control específico, realizamos una auditoría interna para rastrear el % de Cumplimiento de Políticas. En este caso, la fórmula de desempeño es maximización lineal, con objetivo = 100%. Otro ejemplo puede ser la métrica de Tiempo Medio de Detección, configurada como minimización lineal con un objetivo de 24 horas.

En BSC Designer:

  • Cambie a la pestaña ‘Desempeño’ para definir la función de desempeño.
  • Cambie a la pestaña ‘Datos’ para definir el estado actual del indicador, la línea base y el objetivo.
Uso Práctico de la Función de Optimización para KPIs en BSC Designer

Control impulsado por evidencia

Indicadores de evidencia cambiarán su estado según el número de documentos/evidencias subidos.

Ejemplo de implementación

Por ejemplo, el control de prueba de respaldo y recuperación podría requerir subir resultados de pruebas o registros como prueba de la ejecución exitosa del control.

En BSC Designer:

  1. Seleccione un indicador
  2. Cambie sus unidades de medida a Evidencia
  3. Suba un documento al indicador para cambiar su estado
Automatizar el Seguimiento de Evidencias en un Cuadro de Mando GRC con Controles

3. Iniciativas para controles

Planes de acción

La aplicación de controles implica seguir acciones específicas de prevención o respuesta, similar a la gestión clásica de proyectos con fechas de vencimiento, presupuestos y personas responsables.
Ejemplo de implementación

En BSC Designer:

  • Utilice la herramienta de Iniciativa para agregar planes de acción a los controles.
  • Alinee los riesgos y las métricas de eficiencia con la iniciativa.
  • Asigne un responsable a la iniciativa; la persona recibirá notificaciones cuando el estado cambie.
Cómo Agregar una iniciativa a un objetivo en la planificación estratégica

Seguimiento del plan de acción

El seguimiento de la ejecución del plan de acción es típicamente parte del alcance del control. Una de las métricas alineadas con el control puede usarse para rastrear el progreso del plan de acción.
Ejemplo de implementación

En BSC Designer:

  1. Agregar una nueva iniciativa al control.
  2. Abrir el diálogo de la iniciativa.
  3. Seleccionar el KPI de progreso en el campo ‘KPI alineado’.
Utilizando los KPI para Seguir el Progreso de una Iniciativa

4. Seguimiento de los controles a lo largo del tiempo

Controles periódicos

Algunos controles requieren revisión periódica. Tales revisiones involucran la mecánica del control, así como la aplicación periódica del control. Ciertos controles necesitan ser activados solo una vez.
Ejemplo de implementación

Ejemplo de revisión de mecánica del control:

  • Revisión de listas de verificación de cumplimiento – revisión anual
  • Retención de conocimiento, % – revisión trimestral

Ejemplos de aplicación periódica del control:

  • Escaneo de vulnerabilidades – revisión/actualización mensual

Ejemplos de control iniciado una vez:

  • Evaluación inicial de riesgos – para ser actualizado una vez

En BSC Designer:

Garantizar la Consistencia de los Datos con Intervalos de Actualización

Actualizar el estado del control

Para los controles periódicos, actualice el estado de las métricas que fueron definidas para el control.
Ejemplo de implementación

En BSC Designer:

  1. Seleccione la métrica de un control
  2. Seleccione una fecha en el calendario interno
  3. Cambie a la pestaña ‘Datos’
  4. Ingrese el nuevo estado en el campo ‘Valor’
Seguimiento Continuo de los KPIs en BSC Designer

Herencia del estado de los controles

Algunos indicadores utilizados para los controles heredarán su estado previamente conocido, mientras que otros utilizarán solo las actualizaciones específicamente ingresadas.

Ejemplo de implementación

Por ejemplo:

  • % de empleados capacitados – es probable que sea un indicador inherente, ya que podemos suponer que el porcentaje de empleados capacitados en mayo se mantendrá igual o aumentará en junio.
  • Ingresos por ventas mensuales – es probable que sea un indicador no inherente, ya que estamos interesados en rastrear los datos reales de ventas durante los meses.

En BSC Designer:

  1. Seleccione un indicador
  2. Haga clic en el botón Editor de valores
  3. Cambie el tipo de herencia del indicador
Dos Opciones para Heredar el Estado Previo de un Indicador

5. Controles de informe

Controles en paneles de control

Crear representaciones visuales de controles y sus estados. Rastrear la evolución de métricas a lo largo del tiempo, el estado de los riesgos y los planes de mitigación de riesgos.
Ejemplo de implementación

En BSC Designer:

  1. Cambie a la pestaña de Gráficos.
  2. Agregue gráficos relevantes, incluidos gráficos de Gantt para iniciativas, diagramas de riesgos y diagramas que enumeren controles y sus estados.
Adición de un Gráfico a un Panel de Control en BSC Designer

Controles para la estimación de riesgos

Las métricas de resultado que cuantifican la efectividad de los controles pueden utilizarse para cuantificar la probabilidad o el impacto de un riesgo.
Ejemplo de implementación

En BSC Designer:

  • Conectar la parte de resultado del control con las métricas de Impacto del Riesgo o Estimación de Riesgos en el registro de riesgos por medio de datos.
Identificar y Evaluar los Riesgos según la Eficacia de los Controles Internos

Controles en informes

El estado de los controles, así como los resultados de su implementación, pueden ser informados a las partes interesadas involucradas.
Ejemplo de implementación

En BSC Designer:

  • Utilice el menú ‘Informe’ para generar varios informes
  • Use el botón ‘Programa’ en el menú ‘Informe’ para enviar informes a las partes interesadas automáticamente
Informar Sobre el Estado de Objetivos y KPIs a las Partes Interesadas

Responsabilidad

Registrar los resultados de la ejecución de un control es importante para la responsabilidad y el aprendizaje futuro.
Ejemplo de implementación

En BSC Designer:

  • Todas las actividades relacionadas con el diseño y la ejecución de controles se registran en el registro de auditoría.
  • El administrador de la cuenta puede acceder a los registros de auditoría a través de Menú > Usuarios > Pista de auditoría.
Rendición de Cuentas y Transparencia con Pista de Auditoría en la Planificación Estratégica

Ejemplo práctico de uso de un control

Discutamos un ejemplo práctico. Considere el control activado cuando un empleado deja la empresa.

Estructura del ejemplo:
Un ejemplo de la biblioteca de controles GRC

Un ejemplo de la estructura de la biblioteca para controles GRC. Fuente: Ver Biblioteca de controles GRC en línea en BSC Designer Biblioteca de controles GRC.

Biblioteca de controles

En la biblioteca de controles, tengo una sección de RRHH donde uno de los controles es “Empleado dejó la empresa.”

Este control tiene tres planes de acción:

  • Redirigir correos electrónicos.
  • Contactar a clientes.
  • Plan de transferencia de conocimiento.

También tiene dos métricas:

  • Inicios de sesión deshabilitados (basado en evidencia).
  • Porcentaje de clientes notificados.

Otra métrica se utiliza para la revisión periódica de controles:

  • Retención de conocimiento (%)

Se define un riesgo para el control como:

  • Riesgo: Disrupción del flujo de trabajo
  • Plan de mitigación: Documentar funciones críticas

Cuadro de mando de eventos

Tengo un cuadro de mando llamado “Eventos de RRHH” donde se registran eventos relevantes de RRHH. El cuadro de mando está organizado por tipo de evento.

Aplicar el control

Aquí están los pasos a seguir cuando un empleado deja la empresa:

  1. Crear un nuevo evento en el cuadro de mando de Eventos, por ejemplo, “Alex dejó la empresa.”
  2. Copiar y pegar el control apropiado de la biblioteca de controles al cuadro de mando de Eventos.
  3. La persona responsable del control será notificada automáticamente sobre los nuevos planes de acción creados.
  4. Subir evidencia (capturas de pantalla) de que los usuarios fueron deshabilitados.
  5. Notificar a los clientes y actualizar el indicador “% de clientes notificados”.
  6. Actualizar el estado de los planes de acción a “En revisión.”

Training programSesión de formación: 'BSC Designer for Automation of GRC Controls' se ofrece como parte de nuestro programa de aprendizaje continuo e incluido con una suscripción a BSC Designer.

Las sesiones de formación se imparten semanalmente a través de Zoom, proporcionando conocimientos prácticos y orientación personalizada. Al finalizar, los participantes reciben un certificado de asistencia. Explore todas las sesiones de formación disponibles aquí.

Más ejemplos

Puede encontrar más ejemplos de uso de controles en artículos sobre:

Use la plantilla Library of GRC Controls

BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:

  1. Regístrese para un plan gratuito en la plataforma.
  2. Use la plantilla Scorecard Template Library of GRC Controls como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
  3. Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.

¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!


Cita: Alexis Savkín, "Cómo configurar y monitorear controles internos para garantizar el cumplimiento", BSC Designer, 12 junio, 2024, https://bscdesigner.com/es/controles-grc.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.