Cómo Establecer y Supervisar Controles Internos para Asegurar el Cumplimiento

Mejores prácticas para configurar un marco de controles internos y su implementación práctica con software especializado.

El término controles, originalmente utilizado en el dominio de GRC (Gobernanza, Riesgo, Cumplimiento) para describir mecanismos de gestión de riesgos y garantizar el cumplimiento, ahora se aplica de manera más amplia a la planificación estratégica.

Infografía: Implementación de los 5 Elementos Principales de Control Interno para GRC

En este artículo, compartiremos las mejores prácticas para configurar controles y su uso práctico.

Introducción a los Controles Internos

En esencia, un «control» es un mecanismo de respuesta o prevención utilizado para gestionar el riesgo y garantizar el cumplimiento.

Ejemplo de control: «Empleado dejó la empresa»

  • Plan de acción: Redirigir correos electrónicos
  • Plan de acción: Notificar a los clientes
  • Métrica de efectividad: Inicios de sesión deshabilitados [Basado en evidencias]
  • Métrica de efectividad: % de clientes notificados
  • Riesgo: Disrupción del flujo de trabajo
Cómo Organizar los Riesgos: Registro de Riesgos vs. Objetivos Específicos de Riesgo

Componentes del Control

Los controles tienen componentes específicos:

Ejemplo de Implementación

Desde la perspectiva de la automatización, un control puede ser:

  • Tan sencillo como un plan de acción con métricas de progreso alineadas, o
  • Tan complejo como un conjunto jerárquico de controles y subcontroles, cada uno con su propio conjunto de métricas, estimaciones de riesgos, planes de mitigación, dependencias contextuales y responsables.

Los controles tienen áreas de aplicación específicas, lo que define cuándo ciertos controles deben activarse.

1. Definición de Control

En la etapa inicial, nuestro objetivo es mapear adecuadamente las experiencias pasadas del equipo de gestión en controles o mecanismos de respuesta formal.

Propiedades Generales

Los aspectos básicos para identificar un control incluyen darle un nombre significativo y explicar su propósito en la descripción. Definir:

  • Condiciones que activan el control,
  • Alcance del control.
Ejemplo de Implementación

En BSC Designer:

  1. Utiliza el botón Añadir para crear un nuevo ítem.
  2. Identifica el control a través de los campos de nombre y descripción.
  3. Enlaza el control con objetivos pasados relevantes, eventos o requisitos regulatorios.
How to Describe Goals and Indicators in a Scorecard
Estrategia en Cascada o Alineacin a Nivel Práctico

Documentación de Soporte

Los controles más complejos requieren documentación de soporte, como políticas y procedimientos. Vincula los documentos relevantes o súbelos al control.
Ejemplo de Implementación

En BSC Designer:

  • Añade documentos a un control a través del cuadro de diálogo Descripción.
  • Añade documentos al plan de acción del control a través del cuadro de diálogo de Iniciativas.
How to Describe Goals and Indicators in a Scorecard

Propiedades Personalizadas

Las organizaciones siguen sus propios estándares para la definición de controles, lo que implica propiedades específicas para controles o planes de acción asociados.
Ejemplo de Implementación

En BSC Designer:

  • Define las propiedades requeridas de los controles a través de campos personalizados.
  • Los nuevos campos estarán disponibles para controles, métricas e iniciativas.
Cómo Definir Campos Personalizados para un KPI o Iniciativa en el Cuadro de Mando

Responsabilidad

La mayoría de los controles requieren algún nivel de intervención humana. Incluso si un control está configurado para ejecutarse de manera autónoma, la supervisión sigue siendo esencial.
Ejemplo de Implementación

Por ejemplo, los controles de mantenibilidad de software pueden automatizar las actualizaciones, pero se necesita un especialista en TI para resolver conflictos si una actualización falla. En BSC Designer:

  1. Añade personas responsables del control como usuarios; asigna la persona a un equipo.
  2. Asigna la persona o equipo como responsable del control a través del campo Responsable.

Los responsables recibirán notificaciones relevantes para el control.

Asigne Responsables a los Objetivos, KPIs e Iniciativas para Garantizar la Rendición de Cuentas

Certificación / Aprobación

Para completar la definición de un control o indicador, puede ser necesario un proceso formal de certificación o aprobación. La administración certifica que el control interno cumple con los requisitos regulatorios e internos.
Ejemplo de Implementación

En BSC Designer:

  • Utiliza campos personalizados para definir propiedades del control, como «Estado de Certificación» y «Certificado por.»
  • Al certificar los controles, el equipo de gestión puede actualizar estas propiedades.
  • Usa filtros en los informes para identificar controles sin certificación adecuada.
Cómo Definir Campos Personalizados para un KPI o Iniciativa en el Cuadro de Mando

Para desactivar un control no certificado pero mantenerlo en el cuadro de mando:

  1. Selecciona un control.
  2. Cambia a la pestaña Rendimiento.
  3. Activa la casilla Indicador de datos brutos.

Alineación de Controles

Los controles no existen en aislamiento. Establece las conexiones contextuales necesarias entre varios controles, objetivos, riesgos y eventos. Como se menciona en el Sistema de Implementación de Estrategias, los controles se implementan en la estrategia a través de cuadros de mando funcionales.
Ejemplo de Implementación

En BSC Designer:

  • Copia y pega elementos entre cuadros de mando.
  • Cuando se te solicite, utiliza la opción de conexión por contexto para vincular dos elementos.
Estrategia en Cascada o Alineacin a Nivel Práctico

Catálogo de Controles

Para controles repetitivos, crea una biblioteca de controles. En el caso de un evento determinado, puedes desplegar fácilmente un control copiándolo desde la biblioteca.
Ejemplo de Implementación

En BSC Designer:

  1. Crea un cuadro de mando dedicado a controles.
  2. Usa una estructura jerárquica para organizar los controles.
  3. Cuando sea necesario, copia el control al cuadro de mando activo.
Cómo Organizar los Riesgos: Registro de Riesgos vs. Objetivos Específicos de Riesgo

2. Cuantificación de Controles

Métricas de Efectividad

Utilizar métricas para los controles hace que el control sea más específico y evita diferentes interpretaciones. Define métricas para rastrear:

  • Adherencia a los estándares,
  • Efectividad del control,
  • Progreso de los planes de acción.
Ejemplo de Implementación

Por ejemplo, en la notificación de incidentes:

  • La métrica de eficiencia podría ser el «% de personal capacitado en notificación de incidentes».
  • La métrica de efectividad podría ser «% de incidentes no comunicados adecuadamente».

En BSC Designer:

  • Utiliza el botón Añadir para agregar métricas dentro del ítem de Control.

Rendimiento General

Cuando se definen métricas de efectividad para el control, la efectividad total de la aplicación del control puede calcularse utilizando el promedio ponderado del rendimiento de las métricas individuales.
Ejemplo de Implementación

En BSC Designer:

  1. Selecciona una métrica
  2. Cambia a la pestaña Rendimiento
  3. Cambia el peso de la métrica

El rendimiento/progreso del control se mostrará en la columna correspondiente.

Creating an Index Indicator with Weighted Metrics

Métricas de Eficiencia

Dependiendo del contexto, usa métricas de actuación. A diferencia de las métricas de resultado, las métricas de actuación no contribuyen directamente al rendimiento general del control, pero proporcionan valiosos conocimientos para comprender la eficiencia del control.
Ejemplo de Implementación

En BSC Designer:

  1. Selecciona una métrica
  2. Cambia al Contexto
  3. Cambia el tipo de la métrica a Actuación
Leading vs. Lagging Indicators in BSC Designer

Estimación de Riesgos

Un control puede incluir una definición de riesgo o alinearse con riesgos de un registro de riesgos. La estimación del riesgo puede ser:

  • Un desencadenante para la ejecución del control, o
  • Una condición para seleccionar un determinado curso de acción.
Ejemplo de Implementación

En BSC Designer:

  1. Crea un nuevo indicador
  2. Cambia su tipo a ‘Riesgo’
  3. Actualiza los indicadores de Probabilidad e Impacto del riesgo
Steps to Add a Risk to an Objective in BSC Designer

Control Binario

Los estados posibles de los indicadores binarios son:

  • No asignado: la parte del control aún no se ha ejecutado
  • : para indicar que la parte del control se ejecutó correctamente
  • No: para indicar que la parte del control no se ejecutó correctamente
Ejemplo de Implementación

Ejemplo: «Plan de continuidad de negocio actualizado teniendo en cuenta una nueva amenaza identificada» puede automatizarse con un indicador binario. En BSC Designer:

  1. Selecciona un indicador
  2. Cambia a la pestaña ‘General’
  3. Cambia sus unidades de medida a «Sí/No»
Indicadores Binarios: Un Ejemplo de Uso para Controles Internos

Control Cualitativo

Los indicadores cualitativos se utilizan para los controles cuando no se ha desarrollado aún una estimación cuantitativa más específica, o no es rentable desarrollarla.
Ejemplo de Implementación

Ejemplo: un control de Gestión y Comunicación de Políticas puede evaluarse con una métrica cualitativa Efectividad de la Comunicación de Políticas de Cumplimiento con los siguientes estados posibles:

  • Altamente Efectivo (100): Los empleados entienden claramente las políticas de cumplimiento.
  • Moderadamente Efectivo (60): Algunos empleados entienden las políticas.
  • Inefectivo (10): Los empleados en general desconocen las políticas.

En BSC Designer:

  1. Selecciona un indicador
  2. Haz clic en el botón Editar junto a las unidades de medida para añadir unidades de medida personalizadas
Using Qualitative and Quantitative Measurement Units on Scorecards

Control Cuantitativo

Para hacer los controles más específicos, se utilizan indicadores cuantitativos o numéricos. Para los indicadores cuantitativos podemos definir su fórmula de rendimiento, por ejemplo, cómo el estado actual de un indicador impacta el rendimiento.
Ejemplo de Implementación

Ejemplo: para evaluar la efectividad de la implementación de un control específico, hacemos una auditoría interna para rastrear el % de Cumplimiento de Políticas. En este caso, la fórmula de rendimiento es una maximización lineal, con un objetivo del 100%. Otro ejemplo puede ser la métrica Tiempo Promedio para Detectar, configurada como una minimización lineal con un objetivo de 24 horas.

En BSC Designer:

  • Cambia a la pestaña ‘Rendimiento’ para definir la fórmula de rendimiento.
  • Cambia a la pestaña ‘Datos’ para definir el estado actual del indicador, su línea base y su objetivo.
Uso Práctico de la Función de Optimización para KPIs en BSC Designer

Control Basado en Evidencias

Los indicadores de evidencias cambiarán su estado según el número de documentos/evidencias subidos.
Ejemplo de Implementación

Por ejemplo, un control de prueba de respaldo y recuperación podría requerir la carga de resultados de la prueba o registros como prueba de la ejecución exitosa del control.

En BSC Designer:

  1. Selecciona un indicador
  2. Cambia sus unidades de medida a Evidencia
  3. Sube un documento al indicador para cambiar su estado
Automate Evidence Tracking in a GRC Scorecard with Controls

3. Iniciativas para los Controles

Planes de Acción

Aplicar controles implica seguir acciones específicas de prevención o respuesta, similares a la gestión de proyectos clásica con fechas de vencimiento, presupuestos y personas responsables.
Ejemplo de Implementación

En BSC Designer:

  • Utiliza la herramienta de Iniciativas para añadir planes de acción a los controles.
  • Alinea riesgos y métricas de eficiencia con la iniciativa.
  • Asigna un responsable a la iniciativa; la persona recibirá notificaciones cuando cambie el estado.
Cómo Agregar una iniciativa a un objetivo en la planificación estratégica

Seguimiento del Plan de Acción

El seguimiento de la ejecución del plan de acción generalmente forma parte del alcance del control. Una de las métricas alineadas con el control puede utilizarse para rastrear el progreso del plan de acción.
Ejemplo de Implementación

En BSC Designer:

  1. Añade una nueva iniciativa al control.
  2. Abre el cuadro de diálogo de la iniciativa.
  3. Selecciona el KPI de progreso en el campo ‘KPI Alineado’.
Using KPIs to Track the Progress of an Initiative

4. Seguimiento de los Controles a lo Largo del Tiempo

Controles Periódicos

Algunos controles requieren revisiones periódicas. Tales revisiones implican la mecánica del control, así como la aplicación periódica del control. Algunos controles necesitan activarse solo una vez.
Ejemplo de Implementación

Ejemplo de revisión de la mecánica del control:

  • Revisión de Listas de Verificación de Cumplimiento: revisión anual
  • Retención de Conocimiento, %: revisión trimestral

Ejemplos de aplicación periódica del control:

  • Escaneo de Vulnerabilidades: revisión/actualización mensual

Ejemplos de control que se activa una vez:

  • Evaluación Inicial de Riesgos: para ser actualizada una vez

En BSC Designer:

Garantizar la Consistencia de los Datos con Intervalos de Actualización

Actualización del Estado del Control

Para controles periódicos, actualiza el estado de las métricas que se definieron para el control.
Ejemplo de Implementación

En BSC Designer:

  1. Selecciona una métrica del control
  2. Selecciona una fecha en el calendario interno
  3. Cambia a la pestaña ‘Datos’
  4. Introduce el nuevo estado en el campo ‘Valor’
Continuous Monitoring of KPIs in BSC Designer

Herencia del Estado del Control

Algunos indicadores utilizados para los controles heredarán su estado previamente conocido, mientras que otros solo utilizarán actualizaciones específicas introducidas.
Ejemplo de Implementación

Por ejemplo:

  • % de Empleados Capacitados: es probable que sea un indicador inherente, ya que podemos suponer que el porcentaje de empleados capacitados en mayo se mantendrá igual o aumentará en junio.
  • Ingresos Mensuales por Ventas: es probable que sea un indicador no inherente, ya que nos interesa seguir los datos de ventas reales mes a mes.

En BSC Designer:

  1. Selecciona un indicador
  2. Haz clic en el botón Editor de Valores
  3. Cambia el tipo de herencia del indicador
Dos Opciones para Heredar el Estado Previo de un Indicador

5. Informes de los Controles

Controles en Paneles de Control

Crea representaciones visuales de los controles y sus estados. Sigue la evolución de las métricas a lo largo del tiempo, el estado de los riesgos y los planes de mitigación de riesgos.
Ejemplo de Implementación

En BSC Designer:

  1. Cambia a la pestaña Panel de Control.
  2. Añade gráficos relevantes, incluidos gráficos de Gantt para iniciativas, diagramas de riesgos y diagramas que enumeren los controles y sus estados.
Adding a Chart to a Dashboard in BSC Designer

Controles para la Estimación de Riesgos

Las métricas de resultado que cuantifican la efectividad de los controles pueden usarse para cuantificar la probabilidad o el impacto de un riesgo.
Ejemplo de Implementación

En BSC Designer:

  • Conecta la parte de resultado del control con las métricas de Impacto del Riesgo o Estimación del Riesgo en el registro de riesgos por medio de datos.
Identificar y Evaluar los Riesgos según la Eficacia de los Controles Internos

Controles en Informes

El estado de los controles, así como los resultados de su implementación, pueden ser reportados a los interesados involucrados.
Ejemplo de Implementación

En BSC Designer:

  • Utiliza el menú ‘Informe’ para generar varios informes.
  • Utiliza el botón ‘Programar’ en el menú ‘Informe’ para enviar informes automáticamente a los interesados.
Informar Sobre el Estado de Objetivos y KPIs a las Partes Interesadas

Responsabilidad

Registrar los resultados de la ejecución de un control es importante para la responsabilidad y el aprendizaje futuro.
Ejemplo de Implementación

En BSC Designer:

  • Todas las actividades relacionadas con el diseño y ejecución de controles se registran en el registro de auditoría.
  • El administrador de la cuenta puede acceder a los registros de auditoría a través de Menú > Usuarios > Seguimiento de Auditoría.
Rendición de Cuentas y Transparencia con Pista de Auditoría en la Planificación Estratégica

Ejemplo Práctico del Uso de un Control

Hablemos de un ejemplo práctico. Consideremos el control activado cuando un empleado deja la empresa.

Estructura del ejemplo:
Ejemplo de la biblioteca de controles de GRC

Ejemplo de la estructura de la biblioteca de controles de GRC. Fuente: Ver Biblioteca de Controles de GRC en BSC Designer Biblioteca de Controles de GRC.

Biblioteca de Controles

En la biblioteca de controles, tengo una sección de RRHH donde uno de los controles es «Empleado dejó la empresa».

Este control tiene tres planes de acción:

  • Redirigir correos electrónicos.
  • Contactar a los clientes.
  • Plan de transferencia de conocimiento.

También tiene dos métricas:

  • Inicios de sesión deshabilitados (basado en evidencias).
  • Porcentaje de clientes notificados.

Otra métrica se utiliza para la revisión periódica de controles:

  • Retención de Conocimiento (%)

Un riesgo se define para el control como:

  • Riesgo: Disrupción del Flujo de Trabajo
  • Plan de mitigación: Documentar funciones críticas

Cuadro de Mando de Eventos

Tengo un cuadro de mando llamado «Eventos de RRHH» donde se registran los eventos relevantes de RRHH. El cuadro de mando está organizado por tipo de evento.

Aplicando el Control

Aquí están los pasos a seguir cuando un empleado deja la empresa:

  1. Crea un nuevo evento en el cuadro de mando de Eventos, por ejemplo, «Alex dejó la empresa».
  2. Copia y pega el control apropiado desde la biblioteca de controles al cuadro de mando de Eventos.
  3. La persona responsable del control será notificada automáticamente sobre los nuevos planes de acción creados.
  4. Sube evidencia (capturas de pantalla) de que los inicios de sesión fueron deshabilitados.
  5. Notifica a los clientes y actualiza el indicador de «% de clientes notificados».
  6. Actualiza el estado de los planes de acción a «En revisión».

Más Ejemplos

Puedes encontrar más ejemplos del uso de controles en artículos sobre:

CMI Desde Plantilla ¿Qué sigue?

Más ejemplos del Cuadro de Mando Integral

CMI y Indicadores para Servicio al Cliente
8 pasos para crear un mapa estratégico con BSC Designer
KPIs del panel de gestion corporativa

Cita: Alexis Savkín, "Cómo Establecer y Supervisar Controles Internos para Asegurar el Cumplimiento", BSC Designer, 12 junio, 2024, https://bscdesigner.com/es/controles-grc.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.