Aseguramiento por diseño: Considere las necesidades de control por adelantado

A pesar de la planificación significativa que a menudo sustenta nuevas transformaciones de negocio o implementaciones de sistemas, muchas organizaciones luchan por lograr sus objetivos comerciales previstos. Un enfoque de implementación consciente de los controles puede mejorar los resultados.

Los controles son rutinariamente objeto de discusiones de cumplimiento, pero de igual importancia es cómo una mentalidad de controles puede ayudar a las organizaciones a gestionar eficazmente los riesgos operativos y estratégicos. Las empresas dedican recursos considerables a grandes proyectos transformadores, por lo que a menudo es importante considerar a lo largo del proyecto factores como la escalabilidad, la compatibilidad con posibles modelos de negocio futuros y el logro de eficiencias.

Una mentalidad de controles a menudo comienza con la alineación con la naturaleza y el alcance de las actividades realizadas por los profesionales de riesgo y cumplimiento asociados con el proyecto. El riesgo y los controles se pueden incorporar en el proceso desde el principio. La implementación de un principio de garantía por diseño para estos proyectos, que incluye la participación intencional de las personas con riesgo y cumplimiento durante todo el proyecto, puede ayudar a una organización a lograr la preparación para el riesgo y los controles.

Las grandes transformaciones empresariales y las implementaciones de sistemas a menudo se centran en controles relevantes para TI, como la seguridad de acceso, los controles automatizados y los controles del ciclo de vida del desarrollo del sistema, pero las necesidades de control en las organizaciones suelen tener un alcance mucho más amplio. Diseñar deliberadamente controles en procesos de negocio críticos desde el principio puede conducir a muchos beneficios convincentes.

Construir controles a través de un proceso de garantía por diseño puede aumentar el enfoque de una organización en las prioridades estratégicas, ofrecer una ventaja competitiva y mejorar la información sobre el riesgo, lo que puede reducir las exposiciones al riesgo, los costos y las posibles interrupciones. Extender los planes de integración de control para cubrir todo el ciclo de vida de la implementación del sistema desde el diseño hasta la implementación también puede dar a las organizaciones un enfoque proactivo y una estrategia deliberada para evitar los desafíos posteriores. También puede aumentar la confianza en muchos grupos de partes interesadas, incluidos inversores, reguladores, proveedores, clientes y otros.

Controles de alcance desde el principio

Las organizaciones pueden tomar medidas para mitigar el riesgo de proceso de negocio posterior a la implementación y controlar los desafíos con una estrategia integral que amplíe las consideraciones de control en el diseño de la implementación. El compromiso con amplios grupos de partes interesadas en toda la empresa puede ayudar a identificar las capacidades necesarias de proceso de negocio y controles, lo que puede informar el desarrollo de principios rectores sobre cómo se incorporan los controles a lo largo del ciclo de vida del proyecto.

Las implementaciones se pueden diseñar para desarrollar requisitos de control al principio del proceso, con un enfoque en el que se pueden automatizar los procesos y cálculos manuales. Las organizaciones a menudo pueden considerar una multitud de oportunidades para automatizar los controles diseñados para mitigar muchos tipos diferentes de riesgos, incluidos los riesgos financieros, operativos, regulatorios y estratégicos.

Cuando las organizaciones experimentan desafíos posteriores a la implementación relacionados con los controles internos, a menudo son el resultado de oportunidades perdidas durante la planificación para considerar un entorno de proceso y control de extremo a extremo. Este proceso incluye considerar no solo el riesgo financiero, sino también el riesgo operativo y estratégico, lo que sugiere un conjunto más amplio de controles y capacidades necesarias para lograr los objetivos comerciales.

A veces, la planificación y las actividades de implementación no involucran adecuadamente a los propietarios de procesos y control de negocios, los trabajadores de primera línea del negocio que realizan funciones y procesos cotidianos. Trabajar en equipo a estos propietarios por adelantado con profesionales del riesgo y el cumplimiento para pensar en los riesgos empresariales de extremo a extremo, las necesidades de control y los requisitos de datos e informes puede reducir el riesgo y los desafíos cuando un nuevo sistema o proceso entra en funcionamiento.

Algunas implementaciones no contemplan completamente oportunidades para automatizar o modernizar ciertos aspectos de los controles; como resultado, se pueden perder oportunidades para lograr un entorno de control más eficaz y eficiente. En los casos en que las organizaciones identifican oportunidades para automatizar los controles, a veces no prueban suficientemente los controles o los validan durante la transición, lo que puede resultar en que los controles no estén completamente listos en la fecha de puesta en marcha.

 

«Extender los planes de integración de control para cubrir todo el ciclo de vida de la implementación del sistema … puede dar a las organizaciones un enfoque proactivo y una estrategia deliberada para evitar los desafíos posteriores«.

 

Cuando tales circunstancias están presentes durante o después de una implementación, las organizaciones pueden experimentar consecuencias no deseadas, como desalineación con los auditores externos de la organización o deficiencias de auditoría. En casos más graves, las consecuencias no deseadas pueden conducir a impactos adversos en las operaciones comerciales, datos inexactos para la toma de decisiones o debilidades materiales.

 

Beneficios posteriores a la implementación

Una estrategia de implementación que incorpora amplias consideraciones de control es coherente con el Modelo de Tres Líneas, un modelo actualizado para facilitar la gobernanza y el marco establecido por el Instituto de Auditores Internos. En la primera línea, que representa a la gestión supervisando los procesos y actividades de negocio de primera línea, los propietarios del control pueden proporcionar información sobre el diseño para fomentar la gestión adecuada de los controles desde una perspectiva de riesgo.

En la segunda línea, que proporciona experiencia, apoyo, monitoreo y desafío a la primera línea, los profesionales del riesgo pueden definir las regulaciones relevantes para ser consideradas y coordinar las actividades de cumplimiento con el resto del negocio. Esto puede promover la alineación de funciones y responsabilidades, garantizar una cobertura adecuada y reducir el potencial de superposición o despido.

En la tercera línea, los auditores internos pueden proporcionar garantías y supervisión objetivas. La auditoría interna también puede proporcionar servicios de asesoramiento a las dos primeras líneas, dependiendo de dónde se coloquen las capacidades de riesgo y control dentro de la organización. Las tres líneas pueden ser supervisadas y supervisadas por un órgano rector, como la alta dirección y el comité de auditoría de la junta.

Al considerar los requisitos de control a lo largo de una implementación, las organizaciones pueden crear alineación con las partes interesadas y controlar a los propietarios sobre lo que se puede esperar cuando un nuevo sistema o proceso entre en funcionamiento. Puede aumentar la garantía sobre el entorno de control, incluidos los sistemas de límites, lo que promueve la preparación para el control para el nuevo entorno de trabajo. También ofrece una oportunidad para que las organizaciones actualicen los controles en los puntos débiles del sistema heredado y mejoren los informes empresariales, lo que puede conducir a beneficios estratégicos y competitivos fuera del uso exclusivo del control.

Las organizaciones que siguen este tipo de estrategia de implementación a menudo construyen sistemas que, por diseño, pueden promover la eficiencia y la eficacia en los procesos comerciales rutinarios, ayudar a cumplir con los requisitos de cumplimiento y ayudar a lograr los objetivos empresariales y organizativos. Esto puede agregar valor y conducir a oportunidades de crecimiento de maneras que los líderes superiores no podrían contemplar de otra manera.

—por Sandy Pundmann, socio, Charmaine Wilson, directora, Sarah Fedele, directora, y Joseph Guintu, gerente senior, todos con Deloitte Risk & Financial Advisory, Deloitte & Touche LLP

Fuente. https://deloitte.wsj.com/riskandcompliance/2021/03/23/assurance-by-design-consider-control-needs-upfront/?mod=Deloitte_riskcompliance_wsjarticle

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 1

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.