Guia de Auditoria - Evaluacion de Procesos Clave
Short Description
Descripción: Evaluacion de Procesos Clave...
Description
Guía de Auditoría
Fase III: Evaluación de los Procesos Clave 2015
Tabla de contenido
Conceptos Fundamentales ................................................................................................................. 3 Metodología para la Evaluación de los Procesos ............................................................................... 11
www.auditool.org
2
1. Conceptos Fundamentales NIA 330. Respuestas del auditor a los Riesgos Evaluados Objetivo De acuerdo con la NIA 330 “El objetivo del auditor es obtener suficiente evidencia apropiada de auditoría respecto a los riesgos evaluados de representación errónea de importancia relativa, mediante la planeación e implementación de respuestas apropiadas a dichos riesgos” Definiciones La NIA 330 define los siguientes términos: a) Procedimiento Sustantivo: Un procedimiento de auditoría diseñado para detectar representaciones erróneas de importancia relativa a nivel de aseveración. Los procedimientos sustantivos comprenden: •
Pruebas de detalles (de clases de transacciones, saldos de cuentas, y revelaciones); y
•
Procedimientos analíticos sustantivos
b) Pruebas de controles. Un procedimiento de auditoría diseñado para evaluar la efectividad operativa de los controles para prevenir, o detectar y corregir, representaciones erróneas de importancia relativa a nivel de aseveración. Durante el proceso de una auditoría de estados financieros, el auditor debe evaluar y diseñar los procedimientos que den respuesta a los riesgos significativos identificados de errores en su auditoría, que afecten a los estados financieros auditados en su conjunto, o bien, a una aseveración en específico. Un riesgo significativo es la alta posibilidad de que ocurra un error de importancia identificado y evaluado que, en caso de ocurrir, afectaría a los estados financieros o a una aseveración, de manera significativa. Por lo tanto, en opinión del auditor, se requiere de una respuesta adecuada en su auditoría, mediante la aplicación de procedimientos específicos. En el trabajo realizado en la planeación de auditoría, el auditor identificó: •
Transacciones significativas y los procesos que las inician, procesan y registran
•
Riesgos de negocio que tienen implicaciones significativas en los estados financieros
•
Riesgos de fraude
Para cada uno de estos tres puntos, auditor deberá entender los procesos que los administran, identificar riesgos a nivel de procesos relacionados con la información financiera, identificar los controles relevantes que mitigan los riesgos a nivel de procesos y evaluar el diseño, la implementación y efectividad de cada control seleccionado.
www.auditool.org
3
Respuestas a los riesgos identificados El auditor puede identificar riesgos ya sea a niveles globales o de aseveración; los primeros, están relacionados con los estados financieros, y los segundos, a errores de aseveración o a una cuenta en específico. Respuestas a riesgos identificados a nivel global Cuando se identifica y determina la existencia de riesgos a nivel global, el auditor debe diseñar procedimientos de auditoría que respondan a ellos; asimismo, debe documentar el resultado del diseño y las conclusiones de los procedimientos ejecutados. Algunos ejemplos de respuestas a los riesgos globales son los siguientes: •
Enfatizar al equipo de auditoría la necesidad de mantener el escepticismo profesional, así como el incorporar elementos de impredecibilidad en la selección de los procedimientos de auditoría que se vayan a realizar.
•
Asignar personal con más experiencia o con habilidades especiales en la industria, usar expertos, dar mayor supervisión, etcétera.
•
Si se determinan debilidades en el entorno de control, el auditor puede responder de la siguiente manera: Realizando cambios generales en la naturaleza, oportunidad y alcance de los procedimientos de auditoría; por ejemplo, se pueden efectuar procedimientos al final del ejercicio.
•
y no en una fecha intermedia, buscando evidencia de auditoría más amplia, mediante procedimientos sustantivos, incrementando el número de localidades que se han de incluir en el alcance de la auditoría, etcétera.
•
Un entorno de control efectivo, permite al auditor tener más confianza en el control interno y en la confiabilidad de la evidencia de auditoría generada dentro de la entidad y, con ello, realizar algunos procedimientos de auditoría en una fecha intermedia más que al final del ejercicio.
www.auditool.org
4
Respuestas a riesgos identificados a nivel de aseveración A nivel de aseveración, para cada clase de transacción, saldo de la cuenta y revelación, en el que se haya determinado un riesgo significativo, el auditor debe diseñar y realizar procedimientos de auditoría que respondan a los riesgos, considerando lo siguiente: •
El riesgo inherente: La posibilidad de que ocurra un error por las características particulares de la cuenta (clase y volumen de transacciones, complejidad y/o grado de subjetividad para la determinación del saldo o revelación, etcétera).
•
El riesgo de control: La posibilidad de que un control no funcione o no responda al riesgo identificado. Si la evaluación del riesgo considera que el auditor confiará y obtendrá evidencia de auditoría para determinar si los controles establecidos para las transacciones operan eficazmente.
•
Considerar que a mayor riesgo de error se debe obtener evidencia de auditoría más persuasiva.
•
Diseñar y llevar a cabo procedimientos que respondan a los riesgos de auditoría identificados, y proporcionen un vínculo claro entre los procedimientos adicionales de auditoría del auditor y la evaluación del riesgo.
Naturaleza La naturaleza de los procedimientos de auditoría se refiere a su propósito (pruebas de controles o procedimientos sustantivos) y su tipo (inspección, observación, investigación, confirmación o procedimientos analíticos). Los riesgos evaluados por el auditor, pueden afectar tanto a los tipos de procedimientos de auditoría que se realizarán como a la combinación de éstos. Por ejemplo, cuando un riesgo evaluado es alto, el auditor puede confirmar la integridad de los términos de un contrato con un tercero, además de inspeccionar el documento. Asimismo, ciertos procedimientos de auditoría pueden ser más apropiados para algunas aseveraciones que otros. Es decir, en relación con los ingresos, las pruebas de los controles pueden responder más al riesgo evaluado de errores de la aseveración de integridad, mientras que los procedimientos sustantivos pueden ser los que más respondan al riesgo evaluado de errores de la aseveración de ocurrencia. Al obtener una evidencia de auditoría más convincente, por medio de una evaluación de riesgo más alta, el auditor podría obtener la que sea más relevante o fiable (por ejemplo, poner más énfasis en obtener evidencia de algún tercero o en insistir en la búsqueda de corroboración de varias fuentes independientes).
www.auditool.org
5
Oportunidad La oportunidad se refiere al momento en el cual se llevan a cabo los procedimientos de auditoría. El auditor puede realizar pruebas de control o procedimientos sustantivos en una fecha intermedia o al final del ejercicio. Mientras más alto es el riesgo de errores de importancia relativa, más probable es que el auditor pueda decidir qué es más eficaz, realizar procedimientos sustantivos más cerca de, o al final del ejercicio, en lugar de una fecha anticipada, o llevar a cabo procedimientos de auditoría sin anunciar o en momentos no esperados (por ejemplo, llevar a cabo procedimientos de auditoría en localidades seleccionadas sin previo aviso). Esto es de especial relevancia al considerar la respuesta a los riesgos de fraude. Por otra parte, llevar a cabo procedimientos de auditoría antes del final del ejercicio puede ayudar al auditor a identificar asuntos importantes en una etapa inicial de la auditoría y, consecuentemente, resolverlos con ayuda de la administración o desarrollar un enfoque eficaz de auditoría para atender a tales asuntos. Existen otros factores relevantes que tienen influencia sobre la consideración del auditor de cuándo aplicar los procedimientos de auditoría, por ejemplo, si existe un riesgo de ingresos sobrevaluados para cumplir con presupuestos de ingresos mediante la emisión de facturas o contratos ficticios, el auditor debe efectuar la revisión correspondiente al cierre del ejercicio y confirmar la autenticidad de los documentos. Alcance El alcance de un procedimiento de auditoría se refiere al tamaño de la muestra que quedará cubierta con ese procedimiento o la cantidad de observaciones de una actividad de control. El alcance de los procedimientos de auditoría que respondan al riesgo evaluado, deben ser proporcionales al nivel de riesgo; esto es, si aumenta el riesgo de errores de importancia relativa, el alcance (cantidad de muestras o controles sujetos a los procedimientos diseñados) debe aumentar. Enfoque de auditoría La evaluación del auditor a los riesgos identificados al nivel de aseveración, proporciona una base para considerar el enfoque de auditoría eficaz para diseñar y llevar a cabo procedimientos que respondan a los riesgos identificados. Por ejemplo, el auditor puede determinar que los procedimientos sólo estarán basados en la aplicación de pruebas de la efectividad de los controles, o que sólo es adecuado llevar a cabo procedimientos sustantivos, o un enfoque combinado que usa pruebas de la eficacia de los controles y procedimientos sustantivos.
www.auditool.org
6
Enfoque de pruebas de controles Cuando el auditor tenga la expectativa de que los controles operan eficazmente y los procedimientos sustantivos por sí solos no ofrecen evidencia de auditoría completa, el auditor deberá diseñar y realizar pruebas de controles. Los controles a probar deben ser los que estén adecuadamente diseñados para prevenir, detectar y corregir errores de importancia relativa en una aseveración; no obstante lo anterior, existe la posibilidad de que algunos procedimientos no estén diseñados como pruebas de control; además, es posible que algunos de éstos puedan proporcionar evidencia de auditoría sobre la eficacia de los mismos. Por ejemplo, indagar sobre el uso de presupuestos por la administración; la observación comparativa de los gastos mensuales presupuestados y reales de la administración, y la inspección de informes pertinentes a la investigación de variaciones entre las cantidades presupuestadas y las reales. En ciertos casos, podría resultar imposible para el auditor diseñar procedimientos sustantivos eficaces que por sí mismos proporcionen suficiente evidencia de auditoría adecuada al nivel de aseveración. Esto puede ocurrir cuando una entidad procesa su información, usando Tecnologías de Información (TI) y mantiene documentación sólo en ese medio. En este caso, es imprescindible que el auditor efectué pruebas al medio ambiente tecnológico, incluyendo pruebas de cambios a programas y pruebas de acceso. Naturaleza, alcance y oportunidad de las pruebas de controles Para el diseño y ejecución de las pruebas de control, el auditor debe indagar respecto a: ü ü ü
Cómo se aplicaron los controles. Frecuencia con que se aplican. Quién o por cuál medio (manual o sistematizado) fueron aplicados.
La indagación en sí no es suficiente para obtener suficiente evidencia de la eficacia operativa de los controles; por lo mismo, se debe combinar con otros procedimientos, por ejemplo, con la observación, inspección o re-ejecución. Cuando el auditor planea tener evidencia más contundente sobre la eficacia operativa de los controles, el auditor debe aumentar sus alcances en las pruebas de control, para lo cual debe considerar la frecuencia en que se ejecuta el control, el período en que estuvo vigente, la evidencia de que el control fue ejecutado, etcétera. En el caso de los controles automatizados, debido a la continuidad inherente en que éstos son ejecutados, no es necesario aumentar el número de pruebas a menos de que existan cambios en los programas (tablas, archivos u otros datos permanentes). Asimismo, se debe considerar que, en caso de que existan cambios a los programas, éstos no se realizan sin estar sujetos a los controles de cambios adecuados, y que se use la versión autorizada del programa. Del mismo modo, otros controles generales relevantes son eficaces (control de accesos).
www.auditool.org
7
La prueba de la eficacia operativa de los controles durante el período intermedio debe considerar la obtención de evidencia de auditoría de cambios efectuados en los controles realizados en fecha posterior al período intermedio; además, evaluar la importancia de los riesgos evaluados, el grado de evidencia que se obtuvo en el período intermedio, la duración del período restante y el grado en que el auditor pretende reducir aún más los procedimientos sustantivos, con base en la dependencia de los controles. Decisión de dejar de probar controles o, en su caso, rotar los controles a ser probados, con base en los resultados de las pruebas de auditorías anteriores Es posible usar la evidencia de auditoría de las pruebas de controles efectuadas en auditorías anteriores, para decidir la estrategia a seguir en la auditoría actual, para lo cual se debe considerar lo siguiente: •
•
•
•
La eficacia de otros elementos del control interno, incluyendo el ambiente de control, el monitoreo de los controles por la entidad y el proceso de evaluación del riesgo por la entidad. Los riesgos que se originan de las características del control, incluyendo si los controles son manuales o automatizados. En el caso de estos últimos, la eficacia de los controles generales relacionados con la TI. La eficacia del control y su aplicación por la entidad, incluyendo la naturaleza y alcance de las desviaciones en la aplicación del control observadas en auditorías anteriores o la falta de un cambio en un control en particular, y si ha habido cambios de personal que afecten, de manera significativa, la aplicación del control. Investigar si hubo cambios importantes en los controles relevantes; en su caso, el auditor deberá probar los controles en la auditoría actual. Los cambios pueden afectar la relevancia de la evidencia de auditoría obtenida en auditorías previas, de modo tal que pueda no haber ya una base para una confiabilidad continua.
Si no ha habido tales cambios, el auditor deberá probar los controles al menos una vez cada tres auditorías, y deberá probar algunos controles en cada auditoría para evitar probar todos los controles sobre los cuales el auditor planea confiar en un sólo período de auditoría, sin probar los controles en los siguientes dos períodos. Para que el auditor pueda rotar los controles probados en períodos anteriores, debe cumplirse con lo siguiente: •
Que no hayan sido modificados desde que se probaron la última vez.
•
Que no sean controles que mitiguen un riesgo importante relacionado con un asunto de juicio profesional.
www.auditool.org
8
Existen situaciones que no permiten utilizar la evidencia de las pruebas de control efectuadas en períodos anteriores, estas situaciones son: ü ü ü ü ü
Un entorno de control débil. Monitoreo débil de los controles. Un elemento manual importante en los controles relevantes. Cambios de personal que afectan de modo importante la aplicación del control. Controles generales de TI débiles.
Cuando el auditor planea confiar en los controles sobre riesgos que el auditor ha determinado como importantes, el auditor probará dichos controles en el período actual. Evaluación de los controles La evaluación de los controles consta de tres pasos: 1. 2. 3. 1.
Evaluación de la implementación. Evaluación del diseño de los controles relevantes. Evaluación de la efectividad de los controles relevantes.
Evaluación de la implementación
La evaluación de la implementación hace referencia verificar que los controles que fueron identificados durante el entendimiento del proceso, realmente existen. Para esta primera evaluación normalmente se toma una transacción y se verifica desde su inicio hasta su registro en los estados financieros. 2.
Evaluación del diseño de los controles relevantes
Para los controles seleccionados, se debe obtener evidencia valida y suficiente que le permita al auditor evaluar si éstos están debidamente diseñados para prevenir, detectar y corregir un error e irregularidad significativos en los estados financieros. Los procedimientos que efectuamos en esta evaluación se basan en la revisión de documentos (Manuales de procedimientos, políticas, organigramas, documentos que entran y salen del proceso entre otros), indagaciones con los dueños y clientes del proceso y la experiencia de años anteriores. Durante la prueba del diseño, consideramos: • • • • •
La forma cómo está estructurado el control La forma cómo se desempeña Los riesgos que ayuda a mitigar La frecuencia con la que es ejecutado La competencia de las personas que lo ejecutan
www.auditool.org
9
En el caso que el auditor determine que el control no está adecuadamente diseñado deberá emitir la respectiva recomendación y proceder a identificar otro control para verificar su diseño. Evaluando la eficacia operativa de controles La evaluación de la eficacia es la verificación que realiza el auditor al funcionamiento del control. Ejemplo: Un control de conciliación puede estar bien diseñado, pero no es ejecutado de forma oportuna, por lo tanto no es eficaz. Cuando se detectan desviaciones de los controles sobre los cuales el auditor piensa confiar, deberá hacer indagaciones específicas para entender las causas y sus posibles consecuencias, para determinar si: • • •
Las pruebas de controles realizadas ofrecen una base adecuada para confiar en los controles. Se requieren pruebas de controles adicionales. Los posibles riesgos de errores de importancia relativa deben ser tratados mediante procedimientos sustantivos.
Las desviaciones en los controles prescritos pueden ser causadas por factores como cambios en el personal clave, fluctuaciones estacionales importantes en el volumen de transacciones y error humano. La tasa de desviación detectada, especialmente en comparación con la tasa esperada, podría indicar que no se puede confiar en el control para reducir el riesgo a nivel de aseveración al nivel evaluado por el auditor. Procedimientos sustantivos El auditor deberá diseñar y realizar procedimientos sustantivos para cada clase de transacción importante, saldo de la cuenta, independientemente de los riesgos evaluados, para lo que puede considerar la aplicación, sólo, de procedimientos sustantivos analíticos, o pruebas de detalles o una combinación de procedimientos sustantivos analíticos y de pruebas de detalles. Si se decide por efectuar procedimientos sustantivos en una fecha intermedia, el auditor cubrirá el período restante realizando procedimientos sustantivos combinados con pruebas de controles para cubrir el período en cuestión; o si el auditor determina que es suficiente, únicamente aplicar procedimientos sustantivos adicionales, que ofrezcan una base razonable para ampliar las conclusiones de auditoría de la fecha intermedia al final del ejercicio. Si se detectan errores inesperados cuando el auditor evalúa los riesgos de error de importancia relativa a una fecha intermedia, éste deberá determinar si la evaluación de riesgo relativa y la naturaleza, oportunidad o alcance planeado de los procedimientos sustantivos, que cubren el período restante, requieren de alguna modificación que podría incluir la ampliación o modificación de los procedimientos efectuados.
www.auditool.org
10
Documentación El auditor debe asegurarse de contar, como mínimo, con la siguiente documentación: •
• •
Respuestas globales para manejar los riesgos identificados de errores de importancia relativa al nivel de estado financiero y la naturaleza, oportunidad y alcance de los procedimientos adicionales de auditoría. La vinculación de los procedimientos aplicados con los riesgos evaluados a nivel de aseveración. El resultado de los procedimientos de auditoría aplicados e incluir las conclusiones cuando éstos no sean claros.
Si el auditor planea usar la evidencia de auditoría sobre la eficacia operativa de los controles obtenida en auditorías anteriores, deberá documentar las conclusiones sobre la confiabilidad en los mismos, los cuales fueron probados en una auditoría anterior.
www.auditool.org
11
2. Metodología para la evaluación de los procesos En el trabajo realizado en la planeación de auditoría, identificamos:
• • •
Transacciones significativas y los procesos que las inician, procesan y registran. Riesgos de negocio que tienen implicaciones significativas en los estados financieros. Riesgos de fraude.
Para cada uno de estos tres puntos, el auditor debe entrar a evaluar los procesos que los administran. 2.1 Evaluación de Procesos que Administran Transacciones Significativas Iniciaremos con los procesos que inician, procesan y registran las transacciones significativas. Recordemos, una transacción significativa se refiere a los movimientos contables reflejados en los estados financieros que surgen por intercambio de valor entre la entidad y un ente externo. Ejemplo, ventas. Para un mejor entendimiento las clasificamos y agrupamos por procesos:
Proceso que administra las transacciones significativas
Cuentas afectadas en los estados financieros
Proceso de ventas, cuentas por cobrar y recaudos
Ventas, Cuentas por Cobrar, Impuestos y Disponible
Proceso de compras, cuentas por pagar y pagos
Inventarios, Gastos, Cuentas por pagar, impuestos y Disponible
Proceso de administración de inventarios y propiedad, planta y equipo
Inventarios, costo de ventas, propiedad, planta y equipo y depreciación.
Proceso de nómina
Gastos de personal, nómina por pagar, impuestos y disponible
Las siguientes son las fuentes en donde el Auditor puede encontrar información para documentar los procesos:
-‐
Organigramas que identifiquen los puestos y responsabilidades
-‐
Entrevistas con los dueños de los procesos
-‐
Manuales de procedimientos
-‐
Políticas relacionadas con el proceso
-‐
Observación de las actividades del proceso
www.auditool.org
12
-‐
Inspección de información producida por el proceso
-‐
Informes de auditorías internas y/o externas (ayuda a que el Auditor identifique debilidades y riesgos del proceso)
-‐
Revisión de las cartas de recomendaciones del Auditor del año anterior
Para el logro de nuestro análisis de los procesos, consideraremos el desarrollo de las siguientes actividades, así: a. b. c. d. e. a.
Entendimiento del proceso Identificación de los riesgos y controles del proceso Selección de los controles relevantes a los que se les realizarán las pruebas Evaluación de los controles Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles
Entendimiento del proceso
Es indispensable que el Auditor entienda y documente las actividades que inician, procesan y registran las transacciones significativas. Ejemplo: Transacción significativa: Proceso de ventas, cuentas por cobrar y recaudos Actividades (Cada actividad se debe describir de forma resumida) -‐ -‐ -‐ -‐ -‐
Recibo de la orden del cliente Extracción de los artículos del inventario Se envía la mercancía al cliente y se genera el informe de ventas Se factura al cliente Se registran los asientos en el mayor general
b.
Identificación de los riesgos y controles del proceso
Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras.
www.auditool.org
13
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de los procesos: •
La vinculación de personal, no competitivo frente a los retos de la organización, así como la falta de efectividad de métodos de entrenamiento y motivación que puedan influir en el nivel de conciencia del auto-control en la entidad
•
Fallas en el procesamiento de los sistemas de información, que afectan las operaciones de la entidad
•
Cambios en las responsabilidades asignadas de la administración, que afecten la ejecución de algunos controles
•
Indebida aplicación de las políticas de la organización.
Ejemplos de riesgos de procesos: Transacción significativa: Proceso de ventas, cuentas por cobrar y recaudos Riesgos ü
Que se efectúen ventas a clientes ficticios
ü
Que se registren ventas y no se envíe la mercancía
ü
Que se envíe la mercancía y no se registre el ingreso.
ü
Que las transacciones se registren en un monto incorrecto.
ü
Que las transacciones no se clasifiquen correctamente.
Cuando hemos identificado los riesgos del proceso, procedemos a identificar los controles que los mitigan. La forma más fácil de identificar si se trata de un control es verificar si lo que se está evaluando corresponde a revisión, verificación, aseguramiento a través de sistemas, reconciliación, contraseñas, reportes de error, mapeo de cuentas, etc. Identificación de Controles Los controles se clasifican en tres tipos: Automático: lo realiza de principio a fin un sistema de información. Semiautomático: es ejecutado de manera parcial por una persona, pero con la colaboración de un sistema de información. Manual: lo ejerce en su totalidad una persona, sin la colaboración de un sistema de información.
www.auditool.org
14
Los controles pueden ser preventivos, detectivos o correctivos: Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las causas del riesgo, así como evitando la generación de errores o eventos fraudulentos. Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, así como advierte sobre la presencia de riesgos. Control Correctivo: Se orienta a la implementación de las acciones correctivas una vez se ha identificado un evento no deseado. Su implementación se realiza cuando los controles preventivos y detectivos no han funcionado, lo cual representa que su implementación sea más costosa, pues actúan cuando ya se han materializado eventos de pérdida para la organización. Los siguientes son los tipos de controles más comunes: Categoría de Control
Autorización
Reportes de Excepción / Edición
Indicadores Clave de Desempeño
Revisión Gerencial
Tipo de Control
Descripción
Manual
La aprobación de transacciones ejecutadas de acuerdo con las políticas y los procedimientos generales o específicos de la gerencia.
Ø Aprobación manual designada Ø Límites de Autorización Ø Documentación Soporte
Revisar reportes del sistema para monitorear errores o entradas y seguimiento a su resolución.
Ø Revisar todas las ediciones hechas por empleados a archivos maestros. Ø Revisar ventas que excedan el límite de crédito de los clientes.
Análisis de interrelaciones, tendencias, y revisión de desempeño de indicadores
Ø Análisis de Presupuesto vs real Ø Reportes Gerenciales Ø Métricas y análisis de tendencias
Involucramiento de la gerencia en revisión de transacciones y supervisión de staff.
Ø Revisión por un segundo empleado o gerente Ø Inclusión en la información a Junta
Comparación de diferentes grupos de datos, destacar diferencias y su correspondiente seguimiento.
Ø Reconciliación de Bancos Ø Reconciliación estado de proveedores.
Manual
Manual
Manual
Reconciliación Manual
www.auditool.org
Ejemplos
15
Categoría de Control
Tipo de Control
Descripción
Ejemplos
Manual
Separación de funciones y responsabilidades para autorización de transacciones, registro de transacciones, y mantenimiento de custodia.
Ø El Procesador de facturas de gastos es diferente al de pagos. Ø El aprobador de términos de Crédito es diferente del aprobador de nuevos clientes.
Configuración y Mapeo de Cuentas.
Automático
Grupo de “Switches” para asegurar los datos contra procesamiento inadecuado.“Switches” relacionados direccionamiento de transacciones al libro mayor.
Ø Grupos de Autorización Ø Facturas asignadas al libro mayor solo si esta tiene un número de proyecto asignado
Interface
Automático
Transferencia de datos de una base de datos a otra.
Ø Auxiliares a Libro Mayor Ø Nómina a Libro Mayor
Automático
Derechos de acceso otorgados a un usuario individual dentro de un ambiente de procesamiento de IT.
Ø El acceso al sistema de nómina está limitado a empleados de nómina.
Segregación de Funciones
Acceso al Sistema
c.
Selección de los controles relevantes a los que se les realizarán las pruebas
Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes, esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permiten prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso, como de la auditoría aplicada. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles que consideramos tienen las siguientes características: ü ü ü ü
Los más eficientes de probar. Los que mitigan más número de riesgos. Los que cubren un mayor número de aseveraciones. Si se trata de un cliente recurrente se debe tener en cuenta la evaluación de los años anteriores.
www.auditool.org
16
d.
Evaluación de los controles Verificación de la implementación:
Antes de iniciar la evaluación de los controles seleccionados, debemos verificar que el proceso funciona de acuerdo con lo documentado por nosotros, teniendo presente de verificar que TODOS los controles con los que cuenta el proceso realmente existen, para esto tomamos una transacción y efectuamos el recorrido desde su inicio hasta su registro en los estados financieros, verificando la existencia de los controles. En este paso únicamente inspeccionamos la existencia de los controles. Ejemplos: Para el proceso de ventas, cuentas por cobrar y recaudos, tomamos un pedido de un cliente y verificamos todo el proceso desde el recibo de la orden del cliente hasta su registro en el libro mayor y posteriormente desde el recibo del pago de la factura hasta su registro en el libro mayor, observando la existencia de los controles de autorización, revisión, conciliación, segregación de funciones, etc. Documentación: El auditor debe dejar evidencia de la existencia de cada control, documentando en que soportes verificó la existencia del control. Ejemplo. Se verificó la autorización del pedido por parte del departamento de cartera en la orden de compra Número 2214 del 20 de agosto de 2009. Finalizado esto procedemos a realizar las actualizaciones respectivas. Ej. Identificamos que ciertos controles no se están ejecutando entonces los eliminamos de nuestra documentación y emitimos una carta de recomendaciones si lo consideramos necesario. Los controles identificados en el punto c (Selección de los controles relevantes a los que se les realizarán las pruebas), los probamos así: Verificación del diseño: Documentamos y evaluamos los siguientes aspectos con el propósito de concluir sobre el adecuado diseño: − Cómo se ejecuta − Con qué frecuencia − La competencia, es decir la experiencia de la persona que lo desempeña (si es un control manual) − Enfoque del control (prevención, detección o corrección) − Si su aplicación requiere un componente de sistemas − Riesgos que contribuye a mitigar
www.auditool.org
17
Esta documentación se hace para verificar si el esquema del control establecido dentro del proceso es realmente efectivo para prevenir, detectar o corregir un error relevante en el desarrollo del proceso. Los resultados de estas pruebas de diseño se utilizan como una evaluación preliminar del riesgo de que ocurran errores e irregularidades significativas, con relación a los objetivos de la auditoría relacionados.
Dentro de las pruebas que se utilizan para evaluar dentro de la auditoría el diseño de los controles tenemos: ü ü ü
Inspección u observación de documentos y registros. Indagación con el personal adecuado de la entidad. La experiencia previa con la entidad.
Si se concluye por medio de la prueba de diseño, que el control aplicado no es el apropiado, se debe tomar otro control para someter a la prueba, así como recomendar la evaluación del diseño del control que no paso las pruebas. Verificación de la eficacia operativa: La probamos mediante una muestra determinada con base en la frecuencia del control y la calificación del riesgo inherente e igualmente concluimos sobre la misma. El objetivo de aplicar la prueba de operación de los controles es comprobar cómo se aplicaron los controles, el grado de consistencia con que se aplicaron durante el período y quienes lo aplicaron. Para demostrar la eficacia operativa se considera: ü ü ü ü
Las técnicas que se usan para obtener evidencia de auditoría. La naturaleza de las pruebas. El alcance de las pruebas. El momento oportuno de las pruebas, es decir evidencia de que se efectuó regular y debidamente durante todo el año.
Se utilizan diferentes técnicas, que permiten verificar en el desarrollo de la auditoría, la eficacia de la operación de los controles que son: Observación: Se observa el desempeño del control, un ejemplo es observa el conteo del inventario físico Indagación: Se les solicita a varias personas informadas y competentes, que nos proporcione información acerca del funcionamiento del control.
www.auditool.org
18
Inspección: Se analizan los registros o documentos que soporten el funcionamiento del control. Por ejemplo se inspecciona la conciliación bancaria, con respecto a evidencia de un desempeño eficaz. Repetición: Se puede repetir el funcionamiento de un control para determinar que se desempeña correctamente. Por ejemplo se puede repetir el análisis del archivo de crédito. Evaluación de Conocimientos: El auditor combina técnicas de indagación, inspección y repetición que le permitan comprobar los conocimientos de los individuos sobre un tema o su competencia para el desempeño de un control. Indagación Corroborativa: El auditor corrobora el desempeño de un control por medio de confirmación con otros miembros de la organización, es decir se confirma la validez y consistencia de la aplicación del control, como una prueba de eficacia operativa. Indagación del Sistema: El auditor prueba que los controles automatizados dentro de una aplicación de Tecnología de la Información, funcionan según lo esperado. Dentro de estos ejemplos tenemos: ü
ü
Que el sistema logre identificar correctamente una excepción predefinida, en donde la excepción puede estar relacionada con los principios de integridad y/o exactitud de un insumo y procesamiento y producto de la aplicación. Que la configuración de acceso dentro de la aplicación se encuentre estructurada de tal forma que distribuya las obligaciones a los usuarios, así como la autorización de transacciones, según el perfil asignado a cada usuario.
En todos los casos, es importante mencionar que las pruebas de diseño, y eficacia operativa deben ser realizadas en orden. Por ejemplo, si se concluye que un control no está adecuadamente diseñado no se deben hacer las pruebas de eficacia y si está bien diseñado pero la implementación no es adecuada, no se debe hacer la prueba de eficacia operativa. Las debilidades detectadas en la evaluación del diseño y la efectividad de los controles las debemos informar a la gerencia. 2.2. Evaluación de Procesos que Administran Riesgos de Negocio y/o Fraude Los riesgos de negocio son aquellos riesgos que pueden llegar a impedir que la compañía cumpla con sus objetivos y se generan en tres ambientes: a) b) c)
Ambiente externo de la organización Ambiente de la industria de la organización Ambiente interno de la organización
www.auditool.org
19
Los riesgos identificados se califican según su probabilidad de ocurrencia y su impacto en los estados financieros y se deben seleccionar los riesgos significativos Para cada uno de los riesgos significativos se debe identificar la respuesta que tiene la administración de la compañía para mitigarlos. Las acciones que puede tomar la compañía para mitigar los riesgos pueden ser: a) b) c) d)
Aceptar el riesgo (asume el impacto) Intentar reducir el riesgo (implementa controles) Transferir el riesgo (utiliza seguros) Evitar el riesgo (se retira del ambiente que le genera el riesgo)
Existen dos objetivos a los que el auditor debe apuntar cuando se audita un proceso que administra un riesgo de negocio: a)
Obtener evidencia suficiente y adecuada que le permita al auditor concluir que la compañía cuenta con procedimientos adecuados para mitigar los riesgos de negocio.
b)
Obtener evidencia suficiente y adecuada que le permita al auditor concluir que los estados financieros reflejan el impacto de los riesgos de negocio. (*) (*) Las implicaciones de los riesgos de negocio en los estados financieros están relacionadas con estimaciones en los estados financieros, revelaciones y/o una calificación de la opinión del Auditor.
Para el logro de estos objetivos, el auditor debe seguir los siguientes pasos: a. Entendimiento del proceso b. Identificación de los riesgos y controles del proceso c. Selección de los controles relevantes a los que se les realizarán las pruebas d. Evaluación de los controles e. Diseño de las pruebas de auditoría relativas a la eficacia operativa de controles a)
Entendimiento del proceso
Se debe comprender la forma como la gerencia de la compañía administra este riesgo. Los esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el riesgo.
www.auditool.org
20
b)
Identificación de los riesgos y controles del proceso
Una forma sencilla para identificar riesgos de procesos es preguntar: ¿Qué puede impedir que el proceso logre sus objetivos? Pueden existir casos en donde la administración de la Compañía no cuente con controles que mitiguen los riesgos o los controles identificados no sean efectivos, casos en los cuales se debe emitir nuestra carta de recomendaciones y/o calificar la opinión del Auditor si no se llegare a tener evidencia suficiente y apropiada de auditoría mediante otros procedimientos. Adicionalmente, se debe identificar las implicaciones del riesgo en los estados financieros. Ejemplo, provisiones de cuentas por cobrar. c)
Selección de los controles relevantes a los que se les realizarán las pruebas
Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes. Esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permitan prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, se seleccionan los controles que tengan las siguientes características: Ø Ø Ø
d)
Los más eficientes de probar Los que mitigan más número de riesgos. Si se trata de un cliente recurrente se debe tener en cuenta la evaluación de los años anteriores. Evaluación de los controles
Se debe verificar el diseño y la efectividad del control de acuerdo con lo comentado en transacciones significativas. Ejemplo de cómo auditar los procesos que administran riesgos de negocio Los ejemplos aquí enunciados no pretenden abarcar todas las situaciones, simplemente queremos que sirvan de guía para facilitar el trabajo del auditor. Caso ficticio: Objeto de la Compañía Auditada: Compañía dedicada a la venta de puertas y ventanas. Clientes: El 40% de las ventas son a crédito y se realizan a proyectos de construcción y el 60% se realizan de contado y al detal. Situación actual del mercado: En el análisis de las fuerzas externas observamos que la economía entró en recesión lo que afectará el sector de la construcción.
www.auditool.org
21
Riesgo de negocio Ventas a clientes insolventes: Debido a la situación de recesión por la que atraviesa la economía el sector de la construcción se verá afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede afectar a la compañía teniendo en cuenta que el 40% de sus ventas son a crédito y realizadas a proyectos de construcción. Proceso que administra el riesgo de negocio Créditos y Cartera Objetivos del proceso dirigidos a mitigar el riesgo de negocio ü ü
Garantizar que los clientes a los que se los concede crédito sean solventes Garantizar que la provisión de cartera se ajuste a la realidad.
Actividades dirigidas a mitigar el riesgo de negocio 1. Estudio y aceptación del crédito de acuerdo con los procedimientos de la compañía 2. Monitoreo del comportamiento de la cartera 3. Monitoreo de los límites de crédito 4. Monitoreo de la situación financiera del cliente 5. Análisis de la cartera mensual para determinar la provisión de cartera. Riesgos y Controles del proceso RIESGOS DEL PROCESO
Control 1
1) Que el estudio y aceptación del crédito no se realice de acuerdo con el manual de procedimientos.
X
2) Que no se haga un monitoreo permanente al
comportamiento de la cartera.
4) Que no se haga un monitoreo permanente a la situación
financiera del cliente
www.auditool.org
Control 3
X
3) Que se sobrepasen los límites de crédito sin autorización.
5) Que la provisión de cartera esté subestimada.
Control 2
X
X
X
22
e)
Diseño de las pruebas de auditoría relativas a la efectividad de los controles:
Para el caso de que el control mitigue riesgos de fraude o un riesgo inherente alto, diseñamos pruebas con el propósito de identificar si existe o no la evidencia de ejecución del mismo. La periodicidad sugerida será:
Frecuencia del control
Anual – Incluyendo la de fin de año Semestral – Incluyendo la de fin de año Bimensual – Incluyendo la de fin de año Mensual – Incluyendo la de fin de año Quincenal Semanal Diario Más que diario
4
Riesgo inherente moderado o alto
(Veces a Probar)
(Veces a Probar)
1 1 3 3 5 6 25 30
1 2 4 5 8 10 30 40
Evaluación del Diseño y la Efectividad de los controles: 1) 2) 3) 4) 5)
1)
Riesgo Inherente bajo
Segregación de funciones Autorización Conciliación Indicadores Clave de Desempeño Acceso al Sistema, Configuración y Mapeo de Cuentas
Segregación de Funciones:
La segregación de funciones es una de las principales actividades de control interno destinada a prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las organizaciones. Su función es la de asegurar que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios. Se daría una adecuada segregación de funciones cuando para realizar una acción fraudulenta o irregularidad se requiera de la confabulación de dos o más empleados.
www.auditool.org
23
Evaluación del diseño del Control
Evaluación de la efectividad del Control
Para determinar un correcto diseño de la segregación de funciones debemos responder a las siguientes preguntas:
Para determinar la efectividad de la segregación de funciones debemos evaluar lo siguiente:
1. ¿Los manuales de procedimientos definen una adecuada segregación de funciones en el proceso que estamos auditando?
1). Inspeccionar el manual de políticas y procedimientos del proceso analizado y observar que lo relacionado con segregación de funciones esté claramente documentado.
2. ¿Están definidos los controles de acceso al sistema que limitan la capacidad de los individuos de desempeñar funciones de autorización, custodia de activos y mantenimiento de los registros al mismo tiempo?
2) Mediante la revisión de la estructura del proceso y la verificación de los accesos en el sistema, verificar la adecuada segregación de funciones.
3. ¿En qué se basa la asignación de responsabilidades? 4. ¿Existen procedimientos de revisión de la gerencia para garantizar que la segregación de funciones sea adecuada?.
2.
Control de Autorización:
Identificamos dos tipos de autorizaciones: 1) 2)
Aprobación de transacciones ejecutadas de acuerdo con las políticas y los procedimientos de la Compañía. Autorización para el acceso a activos y registros de acuerdo con las políticas y procedimientos de la Compañía.
www.auditool.org
24
Evaluación del diseño del Control
Evaluación de la efectividad del Control
Las preguntas / acciones que se han de
Para determinar la efectividad del control de
considerar:
autorización debemos evaluar los siguientes aspectos teniendo en cuenta la frecuencia del
1.
¿Cómo se efectúa la autorización
control:
(manualmente o en el sistema)? 2.
Que evidencia se deja de la
1.
autorización (firma, actas, etc.)
evidencie la autorización
3.
¿Qué busca prevenir la autorización?
4.
¿Quién realiza la autorización?
5.
¿Qué parámetros definen si la autorización es apropiada (ejemplo, manual de procedimientos)?
6.
¿La autorización se realizar de acuerdo con el manual de procedimientos?
7.
¿Qué niveles de autorización existen?
8.
¿Se autorizan todas las transacciones?
9.
¿Cómo se anula la autorización?
2.
Revisar la documentación que
Si la autorización es generada por el
sistema de información, efectuar una revisión del sistema para determinar si el acceso al sistema prohíbe el procesamiento no autorizado 3.
Si ocurre la revisión de la gerencia,
considerar usar sus pruebas para obtener evidencia relacionada con la eficacia del control
10. ¿Cómo se detecta la anulación de una autorización? 11. ¿Se deja evidencia de las anulaciones? 12. ¿Existen procedimientos de revisión de la gerencia que garanticen que la autorización ocurra según los planes?
3.
Control de Conciliación
El control de conciliación se refiere a la comparación de dos grupos de datos cuya fuente es diferente. Ejemplos: Conciliación bancaria: Se compara el auxiliar de bancos (fuente contabilidad) con el extracto bancario (fuente banco) Conciliación cartera: Se compara el auxiliar de cartera (fuente contabilidad) con el reporte del sistema de cartera (fuente cartera)
www.auditool.org
25
La conciliación es un control de doble propósito porque por un lado ayuda a detectar errores o irregularidades en los estados financieros y adicionalmente le ayuda al auditor a probar la razonabilidad del saldo de contabilidad. De la comparación de los dos grupos de datos pueden surgir diferencias (partidas conciliatorias). El auditor debe analizar el efecto de estas partidas en los estados financieros y si es necesario proponer ajustes y/o emitir recomendaciones. Que nos ayuda a detectar el control de conciliación: La conciliación ayuda a asegurar la integridad, existencia y exactitud de la cuenta probada. Factores que indican que el control no funciona correctamente: a)
Partidas conciliatorias con antigüedad superior a 60 días.
b)
Diferencias no identificadas.
c)
Partidas conciliatorias falsas (Nos puede indicar que la conciliación no se ejecuta correctamente. Normalmente, las partidas falsas se usan para CUADRAR las conciliaciones). La persona que elabora la conciliación puede realizar ajustes para modificar alguna de las dos fuentes. Partidas conciliatorias significativas con efecto en los estados financieros Ejemplo: Devoluciones y descuentos por contabilizar. Efecto: menor valor del ingreso y la cuenta por cobrar. La conciliación no es revisada por un nivel superior de la persona que la prepara.
d) e)
f)
www.auditool.org
26
Evaluación del control de conciliación A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del control de conciliación: Evaluación del diseño del Control
Evaluación de la efectividad del Control
Para determinar un correcto diseño de este control debemos responder a las siguientes preguntas:
Inspeccionar la conciliación y determine la eficacia operativa del control, teniendo en cuenta los siguientes aspectos básicos:
1) ¿En qué consiste el proceso de conciliación?. ¿ Qué fuentes utiliza?
1) ¿Los saldos de la conciliación cruzan con los saldos de las fuentes?
2) ¿Se prepara manualmente o la prepara el sistema, o una combinación de ambos?
2) ¿Los soportes de las fuentes son confiables? Ejemplo: extractos bancarios originales, auxiliares bajados directamente del sistema etc.
3) ¿El cliente cómo se asegura que toda la información de base (ej., cuentas bancarias, cuentas por cobrar, etc.) se ha capturado en el proceso de conciliación?
3) ¿La fecha de preparación de la conciliación es oportuna?
4) ¿Qué busca prevenir o detectar este control 5) ¿Con qué frecuencia se prepara el proceso de conciliación? 6) ¿Quién realiza el proceso de conciliación?. ¿ La persona que realiza la conciliación posee la competencia y el conocimiento? 7) ¿La persona que prepara la conciliación puede realizar ajustes a las fuentes? (Ver control de segregación de funciones) 8) ¿La conciliación es revisada por un nivel superior de la persona que la prepara? La persona que realiza la revisión posee la
4) ¿Las partidas conciliatorias existen? (esto lo verificamos con el soporte de la partida conciliatoria ej: Consignación en extracto no en contabilidad – revisamos que la partida conciliatoria efectivamente aparece en el extracto y no está en el auxiliar del banco). 5) ¿Se observan partidas conciliatorias con efecto significativo en los estados financieros? ¿ Es necesario ajustarlas al cierre? 6) ¿Se observan partidas conciliatorias con antigüedad superior a 60 días? 7) ¿Qué gestión está realizando la compañía para ajustar las partidas conciliatorias significativas y antiguas? 8) Las conciliaciones están revisadas por un nivel superior de la persona que las prepara
9) ¿Qué tipo de evidencia se deja proceso de conciliación?
www.auditool.org
27
¿Cuántas conciliaciones debemos probar? Para el diseño, con una conciliación es suficiente. Para la efectividad debemos tener en cuenta la tabla sugerida. Normalmente las conciliaciones son mensuales. Si es una conciliación mensual la debemos probar entre 3 y 5 veces al año dependiendo la calificación del riesgo inherente. Para este caso sugerimos probar al precierre y al cierre, el resto, en los meses que el auditor considere; cuando son varias las conciliaciones Ej. Cinco bancos, debemos probar el 100% de las conciliaciones las veces sugeridas (entre 3 y 5). 4.
Indicador clave de desempeño
Indicadores clave del desempeño se refiere a las medidas cuantitativas, financieras y no financieras, que la administración de la Compañía genera para realizar seguimiento al progreso de sus objetivos. Como auditores podemos generar valor agregado ayudando a nuestros clientes a encontrar mejores formas de medición, monitoreo y control de sus negocios. Buenas prácticas En la actualidad existen dos herramientas que son utilizadas por grandes compañías para definir sus indicadores claves de desempeño, el Balanced Scorecard y Benchmark. Balanced Scorecard Es la representación en una estructura coherente, de la estrategia del negocio a través de objetivos claramente encadenados entre sí, medidos con los indicadores de desempeño, sujetos al logro de unos compromisos determinados y respaldados por un conjunto de iniciativas o proyectos. Los componentes para un buen balanced scorecard son los siguientes: a.
b. c.
d.
Una cadena de relaciones de causa-efecto que expresen el conjunto de hipótesis de la estrategia a través de objetivos estratégicos. Ejemplo de la relación causa - efecto (Empleados calificados y motivados (causa), procesos eficientes y efectivos (efecto). Un balance de indicadores de resultados e indicadores guía: Indicadores que reflejen las cosas que se necesitan "hacer bien" para cumplir con el objetivo. Mediciones que generen e impulsen el cambio: La medición motiva determinados comportamientos, asociados tanto al logro como a la comunicación de los resultados organizacionales. Alineación de iniciativas o proyectos con las estrategias a través de los objetivos estratégicos: Cada proyecto que exista debe relacionarse directamente con los logros esperados para los diversos objetivos expresados por sus indicadores.
www.auditool.org
28
Perspectivas del Balanced Scorecard: 1)
Perspectiva de innovación y aprendizaje
En esta perspectiva se analiza la capacidad que tiene la compañía de proporcionar los recursos y la infraestructura apropiada para permitirle a otros procesos lograr sus objetivos. Clasifica los activos relativos a la innovación y aprendizaje en: •
Capacidad y competencia de las personas (gestión de los empleados). Incluye indicadores de satisfacción de los empleados, productividad, necesidad de formación...
•
Sistemas de información (sistemas que proveen información útil para el trabajo). Indicadores: bases de datos estratégicos, software propio, etc...
•
Cultura-clima-motivación para el aprendizaje y la acción. Indicadores: iniciativa de las personas y equipos, la capacidad de trabajar en equipo, el alineamiento con la visión de la empresa.
Perspectiva interna de negocios Analiza la adecuación de los procesos internos de la empresa de cara a la obtención de la satisfacción del cliente y conseguir altos niveles de rendimiento financiero. Para alcanzar este objetivo se propone un análisis de los procesos internos desde una perspectiva de negocio y una predeterminación de los procesos clave a través de la cadena de valor. Se distinguen cuatro tipos de procesos: • • • •
2)
Procesos de Operaciones. Desarrollados a través de los análisis de calidad y reingeniería. Los indicadores son los relativos a costos, calidad, tiempos o flexibilidad de los procesos. Procesos de Gestión de Clientes. Indicadores: Selección de clientes, captación de clientes, retención y crecimiento de clientes. Procesos de Innovación. Ejemplo de indicadores: % de productos nuevos, % productos patentados, introducción de nuevos productos en relación a la competencia... Procesos relacionados con el Medio Ambiente y la Comunidad. Indicadores típicos de Gestión Ambiental, Seguridad e Higiene y Responsabilidad Social Corporativa. Perspectiva del cliente
Para lograr el desempeño financiero que una empresa desea, es fundamental que posea clientes leales y satisfechos, con ese objetivo en esta perspectiva se miden las relaciones con los clientes y las expectativas que los mismos tienen sobre los negocios. Además, en esta perspectiva se toman en cuenta los principales elementos que generan valor para los clientes, para poder así centrarse en los procesos que para ellos son más importantes y que más los satisfacen.
www.auditool.org
29
Algunos Indicadores para medir la perspectiva del cliente son: • • • •
Participación del mercado Adquisición de clientes Retención de clientes Satisfacción del cliente
3)
Perspectiva Financiera
La perspectiva financiera tiene como objetivo el responder a las expectativas de los accionistas. Esta perspectiva está particularmente centrada en la creación de valor para el accionista, con altos índices de rendimiento y garantía de crecimiento y mantenimiento del negocio. Esto requerirá definir objetivos e indicadores que permitan responder a las expectativas del accionista en cuanto a los parámetros financieros de: Rentabilidad, crecimiento, y valor al accionista. Algunos indicadores típicos de esta perspectiva son: • • • • •
Valor Económico Agregado (EVA) Retorno sobre Capital Empleado (ROCE) Margen de Operación Ingresos, Rotación de Activos Presupuesto
BENCHMARK El Benchmark es un proceso continuo de medir productos, servicios y prácticas contra competidores más duros o aquellas compañías reconocidas como líderes en la industria. El objetivo del Benchmark es construir sobre las ideas de otros para mejorar la actuación futura de la Compañía. La expectativa es que con esta comparación de los procesos y las prácticas pueden conseguirse mejoras mayores. No debe considerarse hacer Benchmark externo que hasta que se hayan analizado sus rendimientos internos y se ha establecido completamente un sistema eficaz de medida interior. Que nos ayuda a detectar el control Indicador Clave de Desempeño: Un Indicador Clave de Desempeño le puede ayudar al auditor a asegurar la integridad y existencia de la cuenta probada o a medir la gestión en la administración de los riesgos de negocio. Ejemplos: Presupuesto de ventas, una variación importante entre las ventas presupuestadas y las ventas reales nos puede dar indicios de sobrestimación de ingresos. Un indicador de cartera por edades nos puede dar indicios de la gestión de cobro realizada por la compañía.
www.auditool.org
30
Factores que indican que el control no funciona correctamente: ü
ü ü
Las bases sobre las cuales se prepara el indicador no son confiables. Ejemplo, un presupuesto de ventas que se hace con base en el incremento del PAAG sin tener en cuenta otros factores como, situación actual del mercado, nuevos productos, nuevos competidores etc. La persona que prepara el indicador clave es la misma que evalúa el resultado (Segregación de funciones) El indicador clave no es revisado por un nivel superior de la persona que lo prepara
A continuación, mostraremos los parámetros a tener en cuenta en la evaluación del control de indicador clave de desempeño: Evaluación del diseño del Control
Evaluación de la efectividad del Control
Para determinar un correcto diseño de este control debemos responder a las siguientes preguntas:
Inspeccionar la conciliación y determine la eficacia operativa del control, teniendo en cuenta los siguientes aspectos básicos:
1) ¿En qué consiste el Indicador Clave de Desempeño?
1) Inspeccionar la documentación del indicador clave del desempeño tomando en consideración:
2) ¿Cómo se elabora? ¿Sobre qué bases? ¿Son confiables las bases? ¿Se prepara manualmente o la prepara el sistema, o una combinación de ambos? 3) ¿Cómo se establecen las bases de referencia con que se compara el indicador clave de desempeño (p.ej., presupuestos, promedios de la industria, etc.)?
2) ¿La base de comparación es la aprobada por el nivel superior? Ejemplo: Presupuesto aprobado por la junta directiva. ¿La fecha de preparación es oportuna?Están documentadas las explicaciones de las fluctuaciones extraordinarias? Comprobar que coincida con los libros / registros que estemos auditando.
4)
3)
¿Cuál es el objetivo de Indicador?
5) ¿Con qué frecuencia se prepara este indicador? 6) ¿Quién elabora el indicador? ¿La persona que elabora el indicador posee la competencia y el conocimiento? 7) ¿El indicador es revisado por un nivel superior de la persona que la prepara? ¿La persona que realiza la revisión posee la competencia y el conocimiento?
Verificar lo adecuado del seguimiento
4) Usar la técnica corroborativa de indagación con otras personas que realizan el seguimiento 5) Usar la técnica corroborativa de indagación con otras personas que realizan el seguimiento 6) Usar la técnica corroborativa de indagación con otras personas que realizan el seguimiento 7) Usar la técnica corroborativa de indagación con otras personas que realizan el seguimiento
www.auditool.org
31
Evaluación del diseño del Control 8) ¿Qué medida se toma si la fluctuación esperada del revisor no guarda proporción con la fluctuación real en el análisis de indicadores clave del desempeño? ¿Resulta oportuna esa medida?
Evaluación de la efectividad del Control 8) Usar la técnica corroborativa de indagación con otras personas que realizan el seguimiento 9) Analizar este indicador e identificar posibles riesgos. 10) Documentar nombres, fechas, resumen de la entrevista y la medida de seguimiento tomada.
5.
Controles de un sistema de información
En los sistemas de información identificamos dos tipos de controles clave que pueden ser evaluados por el Auditor: 1) 2) 1)
Acceso al Sistema Configuración y Mapeo de Cuentas.
Acceso al sistema
Se refiere a la capacidad que tienen los usuarios de acceder al sistema de información de acuerdo con las funciones asignadas. Buenas prácticas: ü ü
ü
ü
ü
El acceso a la aplicación requiere de una autorización por parte de un nivel superior. El acceso a la aplicación se determina teniendo en cuenta una adecuada segregación de funciones (el control asegura que un individuo no pueda llevar a cabo todas las fases de una operación/transacción, desde su autorización, pasando por la custodia de activos y el mantenimiento de los registros maestros necesarios). Existe un proceso de verificación permanente por parte de la administración de la Compañía en donde se revisa que únicamente ingresan a la aplicación las personas autorizadas. En caso de existir excepciones se les realiza un adecuado seguimiento de la causa y el efecto. La aplicación debe estar configurada de tal forma que le solicite al usuario cambiar su contraseña de acceso periódicamente y no debe permitir que se reemplace por contraseñas usadas anteriormente. La aplicación debe estar configurada de tal forma que a más de tres intentos fallidos para ingresar a la aplicación, el usuario es bloqueado y esta situación se le informa al administrador del sistema para que investigue la causa y el efecto.
www.auditool.org
32
ü
Los manuales de procedimientos definen la forma como se estructuran los accesos al sistema, las personas autorizadas para definir esta estructura y los procedimientos de monitoreo para su cumplimiento.
Evaluación del control: Evaluación del diseño del Control Para determinar un correcto diseño de este control debemos responder a las siguientes preguntas: 1. ¿En qué consiste el control de acceso al sistema? 2. ¿Cómo se estableció ? (funciones, responsabilidades, etc) 3. ¿Los manuales de procedimientos definen la forma como se estructuran los accesos al sistema y las personas autorizadas para definir esta estructura? Evidenciar. 4. ¿La forma como está estructurado el control y las autorizaciones para el acceso y modificaciones están de acuerdo con el manual de procedimientos? 5.
¿Quiénes son las personas autorizadas para
realizar los cambios de configuración de accesos al sistema? ¿Tienen la experiencia y el conocimiento? ¿Se deja evidencia de la autorización del cambio?
www.auditool.org
Evaluación de la efectividad del Control Inspeccione el control de acceso al sistema y determine la eficacia operativa del control, teniendo en cuenta los siguientes aspectos básicos: 1. Verifique en el sistema que los niveles de acceso estén de acuerdo con lo autorizado por la administración. 2. Solicite a Recursos Humanos el reporte del personal que ha ingresado durante el año en curso y con apoyo del administrador del sistema seleccione aquellos que tienen acceso a la aplicación que estamos auditando. Verifique que los accesos fueron aprobados por los niveles adecuados. 3. Solicite a Recursos Humanos el reporte del personal que se ha retirado de la compañía durante el año en curso y con apoyo del administrador del sistema seleccione aquellos con acceso a la aplicación que estamos auditando. Verifique que los retiros de personal fueron informados por el área de Recursos Humanos y autorizados por los niveles adecuados. Adicionalmente, verifique que estas personas fueron dadas de baja de la aplicación.
33
Evaluación del diseño del Control
Evaluación de la efectividad del Control
6. ¿Tiene en cuenta una adecuada segregación de funciones este control? (Ver control de segregación de funciones Boletín No 14)
4. Solicite al administrador de sistemas la relación de cambios de perfiles ocurridos durante el año y verifique fueron autorizadas por los niveles adecuados. 7. ¿Existen restricciones relacionadas con cambios a la Los cambios afectan la segregación de configuración del sistema? ¿Identifica algún riesgo funciones? importante? 5. Verifique que otros usuarios no 8. ¿La administración de la compañía monitorea que el autorizados tengan acceso al módulo que acceso al sistema se esté realizando de acuerdo con lo se está verificando. establecido en sus manuales de procedimientos? ¿Cómo lo hace? ¿Está documentado y, si es así, puedo ver una copia? ¿Quién es responsable y qué calificaciones tiene? 9. ¿Existe un proceso de verificación permanente por parte de la administración de la Compañía en donde se revisa que únicamente ingresan a la aplicación las personas autorizadas? ¿En caso de existir excepciones se les realiza un adecuado seguimiento de la causa y el efecto? 2)
Configuración y mapeo del sistema
Definiciones: n
n
Configuración del sistema: Es la forma como está parametrizado un sistema de información contable. Ejemplos: límites de cupos de crédito, autorizaciones, límites para realizar desembolsos, límites de acceso, etc. Mapeo de cuentas: Se refiere a la forma como están direccionadas las entradas de información a una cuenta contable especifica.
Es importante que el Auditor identifique los cambios en la configuración y mapeo del sistema, con el fin de evaluar si fueron implementados de forma adecuada. En caso de no tener un apoyo de especialistas en tecnología, como Revisores Fiscales (contadores) podemos obtener evidencia suficiente y adecuada que nos permita concluir que los cambios a los sistemas de información fueron solicitados, autorizados, realizados, probados e implementados para el logro de los objetivos de control de la aplicación de la gerencia.
www.auditool.org
34
Riesgos que se pueden generar Un mapeo herrado puede no mostrar las cuentas en los estados financieros o puede que se muestren de forma herrada Ejemplo: Un gasto se registra como activo, un pasivo como un ingreso etc. Los controles de configuración pueden desactivar las características de control de seguridad. Por ejemplo, el hecho de no asignar cupos de crédito a los clientes, desactivar la segregación de funciones, etc.
•
•
Evaluación del control Evaluación del diseño del Control Para determinar un correcto diseño de este control debemos responder a las siguientes preguntas: 1. 2. 3.
4.
¿Cómo se realiza la configuración del sistema? ¿Quién la realiza? ¿Se efectuaron pruebas del establecimiento del diseño inicial? Si fue así, ¿están documentadas? ¿Puedo ver evidencia? Quien revisa y autoriza los cambios a la configuración del sistema
5.
¿Existen restricciones relacionadas con cambios a la configuración del sistema? ¿Identifica algún riesgo importante?
6.
Se han realizado cambios a la configuración del sistema en el último año ¿existe documentación y puedo verla?
7.
¿Qué existe que garantice la integridad de la información? ¿Qué prácticas se observan para comprobar los cambios a la configuración?. ¿ Tienen procedimientos documentados?. ¿ Puedo verlos?
8.
Evaluación de la efectividad del Control En caso de identificar cambios realizados a la configuración y mapeo del sistema dentro del año auditado, debemos verificar: n n n n
Revisar la documentación del cambio Verificar que se realizó de acuerdo con el manual de procedimientos Verificar que el cambio fue revisado y autorizado por un nivel superior. Verificar el cambio en el sistema.
Fuente: Normas Internacionales de Auditoría emitidas por la IFAC – www.ifac.org Instituto Mexicano de Contadores Públicos - www.imcp.org.mx
www.auditool.org
35
View more...
Comments
