Controles internos para proteger sus activos

0
134


Cuando escucha las palabras “controles internos”, ¿le vienen a la mente principios de la década de 2000, el escándalo de Enron y SOX (Sarbanes-Oxley)? Este es probablemente el caso, especialmente si trabaja en finanzas o contabilidad. El control interno, tal como lo define COSO, es “un proceso para garantizar los objetivos de una organización de eficacia y eficiencia operativas, informes financieros confiables y cumplimiento de leyes, reglamentos y políticas. Un concepto amplio, el control interno involucra cualquier cosa que controle el riesgo para una organización.


Mucha gente se centrará en los aspectos financieros cuando piense en los controles internos, pero como indica la definición de COSO, los controles internos se relacionan con toda la organización. Esto incluye operaciones y tecnología de la información (TI) y es posible que no se haya dado cuenta de que algunas cosas que se hacen están relacionadas con el control interno. Por ejemplo, si trabaja en una planta de fabricación, el equipo es fundamental y desea asegurarse de que funcione correctamente. Así, tendrá inspecciones y mantenimiento de rutina, que se consideran controles internos.

La tecnología está en el corazón de la mayoría de las organizaciones, por lo que definitivamente desea asegurarse de que sus activos de TI funcionen y estén protegidos. Si hay una brecha de seguridad o un ransomware, el director ejecutivo querrá saber cómo sucedió. Puede que no esté pensando en los controles internos, pero definitivamente podría estar relacionado con una debilidad en el control interno.

Tipos de controles internos

Foto por Debra Shannon

Los controles internos generalmente se dividen en tres categorías:

  1. Controles preventivos: políticas y prácticas diseñadas para “prevenir” que ocurran problemas.
  2. Controles de detección: procedimientos diseñados para “detectar” si ocurre un problema. Identifica que algo sucedió.
  3. Controles correctivos: estos se implementan después del hecho para ‘arreglar’ para que no vuelva a suceder. Esto puede incluir brindar capacitación, aplicar un parche de software o reiniciar un sistema.

Hay dos tipos de controles internos relacionados con TI: controles generales y controles de aplicación:

  1. Controles generales: se relacionan con el entorno general e incluyen hardware físico, software, seguridad, etc. Por ejemplo, asegúrese de programar (y probar) las copias de seguridad de rutina. En el caso de un desastre, querrá estar seguro de que puede restaurar el sistema. Otros controles generales son antivirus, cortafuegos y procesos de gestión de cambios.
  2. Controles de aplicación: son específicos para la entrada, el procesamiento y la salida de cada aplicación. Algunos ejemplos son los campos obligatorios, el formato de fecha correcto y las comprobaciones de integridad de los datos.

Cómo identificar y mitigar las debilidades del control interno

concepto de control interno

Bigstock

Algunos elementos para identificar y mitigar las debilidades de control son:

1. Definir e inventariar los riesgos. Si bien algunos riesgos pueden ser comunes a toda una industria, algunos serán específicos de una organización. Es importante identificar los riesgos que son críticos para la misión de su organización. Algunas personas se especializan en identificar riesgos permanentes.

  • ¡Uno de los principales riesgos es la ciberseguridad! Muchas organizaciones tienen un CISO (Chief Information Security Officer) dedicado. Además, las personas pueden obtener la certificación CISSP (Profesional certificado en seguridad de sistemas de información).
  • Algunas organizaciones tienen un grupo específico de GRC (gobierno, riesgo y cumplimiento).

2. Marcos y realización de evaluaciones de riesgos. Muchas herramientas, procesos y plantillas están disponibles. Querrá determinar y documentar los riesgos, la probabilidad de que ocurra el evento, el impacto, incluido el costo potencial, si/cómo mitigar el riesgo, etc. Algunos marcos y consideraciones son:

  • Si trabaja en el cuidado de la salud, ¿cómo se asegura de cumplir con HIPAA?
  • ¿Con qué frecuencia realiza pruebas de penetración?
  • Si tiene un socio de ERP, ¿ha revisado su informe anual SOC2 (Sistema y controles organizacionales tipo 2) para revisar sus controles internos y cualquier consideración del cliente de la que pueda ser responsable?

3. Involucramiento de Auditoría Interna (control interno es prácticamente su segundo nombre). Pueden ser un socio comercial valioso y proporcionar una perspectiva independiente para garantizar que los controles internos sean efectivos (incluso rentables) y funcionen correctamente.

4. Monitoreo continuo. Su organización y el panorama de amenazas cambian constantemente. Desea realizar evaluaciones y revisiones periódicas para asegurarse de que los controles sean efectivos. No haga los controles tan rígidos que sea imposible que el negocio funcione.

  • Existen herramientas que pueden monitorear, identificar y solucionar problemas sistemáticamente, como Norton, que identifica virus y malware.
  • Organizar pruebas de formación y phishing para todos los empleados para aumentar la conciencia de seguridad.

No puede asegurar la organización al 100% sin cerrar el negocio, pero puede crear y mantener un marco de controles internos para proteger los activos importantes de la organización.

Existen excelentes recursos sobre controles internos proporcionados por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA), el Instituto de Auditores Internos (IIA) y la Asociación de Auditoría y Control de Sistemas de Información (ISACA).

Para obtener más información sobre los controles internos, sígueme en LinkedIn.

De artículos en su sitio

Artículos relacionados en la web

.

LEAVE A REPLY

Please enter your comment!
Please enter your name here