| |
| |
| Diseño
de Controles |
| |
Máximos controles no son controles óptimos
Pasos
1. Identificación
de riesgos |
| |
Métodos más usados:
- Lluvias de ideas. (Grupo Delphi). Riesgos macros hasta micros.
- Segmentar sistema por áreas, por operaciones, por
recursos u otros conceptos.
- Agrupar causas y efectos de un mismo riesgo.
- Redacción en la forma más clara y explícita
del posible riesgo.
Se requiere conocimiento detallado del procedimiento.
|
| 2. Selección de riesgos críticos |
| |
" La eficiencia global de un sistema
es inversamente proporcional a la cantidad de controles existentes
en el".
Se diseñan controles para los riesgos más importantes.
Método recomendado.
- Comparación por parejas.
- Análisis cualitativo de efectos y probabilidad de
ocurrencia.
|
3. Evaluar las implicaciones
de costos, eficiencia, etc., si se decide controlar
|
4. La administración
decide: Asume el riesgo o controla la operación
|
| 5. Se diseña los controles detallados para aquellos riesgos
que se decide controlar |
| |
Objetivo. Definir controles
para riesgos críticos
Método recomendado.
- Descomponer riesgos en causas, efectos y formas de ocurrencia.
- Examinar procedimientos para: |
| |
Eliminar causas
Detectar formas de ocurrencia
Reducir efectos
Estos controles deben ser: Prácticos, razonables, costo-efecto,
oportunos, significativos, apropiados, simples y operativos. |
Grupo de diseño de controles.
Jefe del área.
Personal involucrado
Administrativo
Auditor
|
| 6. Análisis de efectividad de controles |
| |
Objetivo. Determinar
si los controles propuestos son efectivos para los riesgos
críticos.
Método recomendado.
- Elaborar matriz riesgos-controles
- Determinar y calificar la efectividad de cada control para
el riesgo o los riesgos que se aplican. Esta calificación
puede ser arbitraria, pero lo que se debe mantener es la forma
relativa que permita comparar el grado de protección
que ofrece un control para un riesgo determinado. Puede ser:
Alto, Medio, Bajo, Nulo; 0,1,2 o Mal, Bien, Excelente.
- Analizar cada columna de la matriz (riesgo) para determinar
el grado de protección global.
- Donde la protección no sea suficiente proponer nuevos
controles.
- Analizar las filas (controles) para determinar si el control
propuesto se justifica por su grado de efectividad, para uno
o varios riesgos. De lo contrario eliminarlo.
Notas.
Si para un riesgo crítico solo hay un control
que lo minimice suficientemente, este es candidato a
selección.
Si hay un control que actúe en forma excelente
sobre varios riesgos críticos es candidato a
selección.
Si existen riesgos críticos que no han sido minimizados
suficientemente, debo continuar la búsqueda de
controles que lo hagan.
Tener cuidado con la preselección de controles
excluyentes.
|
7. Análisis de
eficiencia
|
| 8. Selección de controles. |
| |
Objetivo. Decidir si se invierte en el control para reducir
la posibilidad de ocurrencia del riesgo, o se acepta la probabilidad
de perdidas asociadas al riesgo.
La implantación de los controles no debe ser más
costosa que los recursos involucrados en el riesgo. |
9. Definir
el punto más adecuado de implantación. La búsqueda
del autocontrol, exige los controles se involucren lo mas
natural posible dentro de los procesos. Deben ser procedimientos
que interfieran lo menos posibles en las normales actividades,
es mas, se deben convertir en formas de actuar.
|
10. Diseñar procedimiento
detallado de ejecución del control
|
11. Documentación.
Garantizan el mantenimiento permanente de los controles implantados
|
|
