UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS

AUDITORA DE ESTADOS FINANCIEROS CON ENFOQUE BASADO EN RIESGOS EN UN AMBIENTE DE SISTEMAS INFORMTICOS INTEGRADOS TIPO ENTERPRISE RESOURCE PLANNING -ERP- (SISTEMA DE PLANEACIN DE RECURSOS EMPRESARIALES)

TESIS

PRESENTADA A LA HONORABLE JUNTA DIRECTIVA DE LA FACULTAD DE CIENCIAS ECONMICAS PREVIO A CONFERIRSELE EL TTULO DE CONTADORA PBLICA Y AUDITORA EN EL GRADO ACADMICO DE LICENCIADA

POR

SULY ARACELY MARTINEZ HERNANDEZ

GUATEMALA, MARZO 2007

JUNTA DIRECTIVA FACULTAD DE CIENCIAS ECONMICAS UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

Decano Secretario Vocal 1 Vocal 2 Vocal 3 Vocal 4 Vocal 5

Lic. Jos Rolando Secaida Morales Lic. Carlos Roberto Cabrera Morales Lic. Canton Lee Villela Lic. Mario Leonel Perdomo Salguero Lic. Juan Antonio Gmez Monterroso P.C. Efrn Arturo Rosales lvarez P.C. Deiby Boanerges Ramrez Valenzuela

PROFESIONALES QUE PRACTICARON LOS EXAMENES DE LAS REAS PRCTICAS BSICAS

Auditora Contabilidad Matemtica-Estadstica

Lic. Mario Danilo Espinoza Lic. Luis Alfredo Guzmn Lic. Vctor Manuel Cifuentes Rodas

PROFESIONALES QUE REALIZARON EL EXAMEN PRIVADO DE TESIS

Presidente Examinador Examinador

Lic. Sergio Arturo Sosa Rivas Lic. Walter Augusto Cabrera Hernndez Lic. Luis Ricardo de la Rosa

DICTAMEN DEL ASESOR

ORDEN DE IMPRESION

ACTO QUE DEDICO

A Dios, por haberme dado la vida y la perseverancia necesaria para alcanzar mis metas A la Universidad de San Carlos de Guatemala, por la oportunidad de formarme profesionalmente A mi Abuela, por su amor, sacrificio y dedicacin permanente e incondicional y por la confianza que ha tenido en mi A Licenciado Amory Gonzalez, por su apoyo e impacto en mi formacin profesional y personal A mis padres, por el apoyo recibido A mis hermanos, esperando que mi logro les sirva de ejemplo y motivacin para esforzarse y alcanzar un mejor futuro A mis sobrinos, esperando alcancen productos ms fructferos

INDICE Pgina INTRODUCCION CAPITULO I EL PROCESO GEN ERAL DE LA AUDITORA DE ESTADOS FIN AN CIEROS CON ENFOQUE BASADO EN EL ANLISIS DE RIESGOS DEL NEGOCIO 1.1 Auditora de estados financieros 1.2 El p roceso general d e au d itora d e estad os financieros con enfoqu e basad o en riesgos en u na entid ad qu e u tiliza u n ERP p ara el control d e sus operaciones. 1.2.1 Planeacin 1.2.1.1. Conocim iento d el Cliente y estu d io p relim inar d e riesgos. 1.2.1.2. Conocimiento del Sistema de Control Interno. 1.2.1.3. Evalu acin y anlisis d e riesgos d el negocio y la realizacin del riesgo de auditora. 1.2.1.4. Evalu acin d e los sistem as d e Inform acin y Comunicacin. 1.2.1.5. Evalu acin d el efecto d el Sistem a Inform tico en el Control Interno y enfoqu e d e au d itoria d e estad os financieros. 1.2.1.6. Id entificacin d e tip os d e transacciones im p ortantes (procesos) y fuentes de evidencia. 1.2.1.7. Diseo del enfoque de auditora. 1.2.2 Ejecucin 1.2.2.1. Fase intermedia Evaluacin del Control Interno 1.2.2.2. Determ inacin y Diseo d e Proced im ientos d e Auditoria. 1.2.2.3. Evaluacin del Sistema Informtico 1.2.2.4. Anlisis d e d ebilid ad es y fu ncionam iento d e los Controles. 1.2.2.5. Diseo del Programa de Auditora a Detalle 1.2.2.6. Fase Intermedia Revisin Sustantiva 1.2.2.7. Anlisis de Resultados y Conclusiones 1.2.3 Finalizacin e Informe en el d ictam en d e au d itoria d e estad os 1

2 2 3 3 4

4 6 10 11 11 11 12 13 14 15 16 17 18 19

1.3 Consid eracin d el Efecto

financieros d e la ap licacin d e Tcnicas d e Au d itoria d e Sistem as en un ambiente ERP. 1.4 Metod ologa d e anlisis y evalu acin d e riesgos d el negocio y su aplicacin a la auditoria de estados financieros.

20

1.4.1 1.4.2 1.4.3 1.4.4 1.4.5 1.4.6 1.4.7

Proceso de evaluacin y gestin de riesgos ERMRiesgo Tipos de riesgos Mtodos de identificacin y definicin de riesgos Enfoqu e d e au d itoria d e estad os financieros u tilizand o el proceso de anlisis de riesgos del negocio Relacin d e la Evalu acin d e Riesgos d e N egocios con el Riesgo de Auditora El riesgo informtico y su relacin con el riesgo de Auditora.

20 21 23 26 29 31 34

CAPITULO II EVALUACIN DEL CON TROL IN TERN O COMO EJE CEN TRAL DE LA PLAN EACIN DE AUDITORA EN UN AMBIEN TE DE SISTEMAS EN TERPRISE RESOURCE PLAN N IN G PLAN EACION DE RECURSOS EMPRESARIALES2.1 Control Interno 2.1.1 El Control Interno seg n la N orm a 14 d el Institu to Guatemalteco de Contadores Pblicos y Auditores -IGCPA 2.1.2 El Control interno bajo el enfoqu e d el inform e COSO (Committee of Sponsoring Organizations of the Treadway Commission Comit de la Comisin Treadway -) 2.1.3 Com p aracin d e los concep tos d e control interno - N orm a 14 d el Institu to Gu atem alteco d e Contad ores P blicos y Auditores IGCPA y el marco COSO. Etapas de evaluacin de la estructura de control interno como eje central de la Planeacin de la auditora basada en riesgos 2.2.1 Conocim iento d e la entid ad evalu ad a, su s objetivos y estrategias 2.2.2 Anlisis de los componentes y objetivos del control interno 2.2.3 Reconocimiento y descripcin de los sistemas 2.2.4 Consid eraciones sobre la im p ortancia d e la tecnologa d e informacin en los procesos contables 2.2.5 Anlisis del proceso de administracin de riesgos 2.2.6 Anlisis y evaluacin de controles y deficiencias 2.2.7 Diseo de pruebas de controles 2.2.8 Anlisis de resultados 2.2.9 Determinacin de riesgo de control y deteccin 2.2.10 Consideraciones para el plan de auditora 37 37 39

43

2.2

44 45 45 47 48 49 62 63 66 67 69

2.3

El efecto d e los sistem as inform ticos en el control interno d e la empresa 2.3.1 El riesgo informtico y tecnolgico 2.3.2 Im p lantacin d e controles internos a travs d e los sistem as informticos. 2.3.3 Naturaleza de las fuentes de evidencia de auditora

71 71 73 76

CAPITULO III CON SIDERACION ES SOBRE LOS SISTEMAS IN FORMATICOS IN TEGRADOS TIPO EN TERPRISE RESOURCE PLAN N IN G -ERP(PLAN EACIN DE RECURSOS EMPRESARIALES) CON APLICACION ES ORACLE UTILIZADOS POR LA ENTIDAD 3.1 Informtica 3.2 Sistemas y tecnologa de informacin 3.3 Caractersticas de los sistemas de informacin computarizado 3.4 Componentes bsicos de un sistema de informacin computarizado. 3.5 Sistemas informticos integrados 3.6 Sistem as Enterp rise Resou rce Planning ERP- (Planeacin d e recu rsos empresariales) con aplicaciones Oracle 3.6.1 Caractersticas 3.6.2 Arquitectura y procesos 3.6.3 Herramientas y utileras 3.6.4 Aplicaciones 3.7 Asp ectos d el sistem a contable d entro d e u n am biente Enterp rise Resou rce Planning -ERP- (Sistem a d e Planeacin d e Recu rsos Empresariales) Consid eraciones esp ecficas d el Sistem a a ser consid erad os en u na auditora

86

78 79 80 82 83 84 85 86 91 92 92

3.8

94

CAPITULO IV PROCEDIMIEN TOS DE AUDITORA DE SISTEMAS Y TECN OLOGIA DE IN FORMACIN APLICABLES EN LA PLAN EACION Y EJECUCION DE UNA AUDITORA DE ESTADOS FIN AN CIEROS CON EN FOQUE BASADO EN EL ANLISIS DE RIESGOS 4.1 Auditora de sistemas y tecnologa de informacin 4.1.1 Objetivos y Alcance 4.1.2 Metodologa y Proceso General 4.1.3 N orm as generales p ara la p rctica d e u na au d itora d e sistem as de informacin Proced im ientos d e au d itora d e sistem as y tecnologa d e inform acin aplicables en la Fase de Planeacin y Anlisis preliminar de la auditora 96 97 98 101

4.2

103

4.2.1 4.2.2 4.2.3 4.2.4

Reconocimiento y evaluacin de riesgos Evaluacin de la funcin informtica en las operaciones. Evaluacin de objetivos de control de los sistemas informticos. Tcnicas d e anlisis d el riesgo inform tico a travs d e metodologa COBIT 4.2.5 Inventario de software y utileras 4.2.6 Reconocimiento de hardware y dispositivos de seguridad 4.2.7 Evaluacin de la seguridad informtica 4.2.8 Tcnicas de auditora asistidas por el computador. 4.2.9 Identificacin de controles y deficiencias 4.2.10 Anlisis de procesos internos 4.3 Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la fase de evaluacin del sistema de control interno 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.4 Uso de software de auditora. Simulacin de procesos y clculos. Pruebas de datos. Uso de software de utileras. Evaluacin de sistemas de aplicaciones Pruebas de Control a travs de software de auditora

103 105 106 107 110 110 112 114 119 120 121

121 122 122 123 123 125

Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la ejecucin de pruebas sustantivas de auditora 4.4.1 Pru ebas Su stantivas u tilizand o Tcnicas d e au d itora asistid as por el computador TAAC's Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la fase final de auditoria Emisin del Informe Efecto, Ventajas y Desventajas d el u so d e Tcnicas d e Au d itoria d e Sistemas en una auditoria de estados financieros

126 126

4.5

128

4.6

128

CAPITULO V CASO PRACTICO. PLAN EACIN Y EJECUCIN DE LA AUDITORA DE ESTADOS FIN AN CIEROS CON EN FOQUE BASADO EN AN LISIS DE RIESGOS, EN UN AMBIEN TE DE SISTEMAS IN TEGRADOS TIPO ENTERPRISE RESOURCE PLANNING -ERP- (PLANEACIN DE RECURSOS EMPRESARIALES) CON APLICACIONES ORACLE. 5.1 5.2 Planeacin preliminar de la auditora Plan General de Auditoria 131 149

5.3 5.4 5.5

Evaluacin del Control Interno Proced im ientos d e au d itora ap licand o Softw are Generalizado Informe de Auditoria y Presentacin de Resultados

162 de Au d itoria

CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA ANEXOS Anexo I. Gua de Auditora p ara Evaluar el Proceso d e ERM Anexo II. Auditoria. Pru ebas d e Auditora Utilizand o Softw are Generalizad o d e

194 197 199

INTRODUCCION

Derivad o d el d esarrollo d e la tecnologa d e inform acin y la necesid ad d e las em p resas d e p restar servicios d e m ayor calid ad al m enor costo y tiem p o p osible, entid ad es han ad op tad o las

sistem as inform ticos p ara el control d e su s op eraciones en

form a au tom atizad a, algu nos sistem as tienen u n m ayor grad o d e com p lejid ad qu e otros, d entro d e estos sistem as u tilizad os p or las entid ad es p ara el p rocesam iento d e su inform acin se encu entran los sistem as integrad os com o los tip o Enterprise Resource Planning ERP (Sistem as d e Planeacin d e Recu rsos Em p resariales), qu e au tom ticam ente inician, au torizan y ap ru eban transacciones, realizan clcu los m atem ticos au tom ticos,

alm acenan los d atos y la evid encia a travs d e d isp ositivos m agnticos esp eciales d e accesibilid ad com p leja, generan flu jos d e transacciones sin p ista d ocu m ental la cu al

nicam ente p u ed e ser verificad a a travs d e u n m ap eo d el p roceso inform tico interno y qu e tienen interfaces integrad as al sistem a contable p ara su resu m en, clasificacin y registro contable en form a au tom tica en los estad os financieros. Un sistem a inform tico Enterp rise Resou rce Planning ERP (Planeacin d e Recu rsos Em p resariales),

p rop orciona a la ad m inistracin d e la entid ad los recu rsos e inform acin gerencial necesaria p ara p lanificar las activid ad es y conocer su d esem p eo a travs d e inform acin ad m inistrativa y financiera, tiene com o base central el sistem a contable y el registro au tom tico d e transacciones, p rop orciona a la ad m inistracin d e herram ientas d e anlisis las cu ales p u ed en ser u tilizad as p ara el p roceso d e p laneacin y ad m inistracin d e los riesgos del negocio base de la auditora basada en el anlisis de riesgos.

La com p lejid ad y caractersticas especficas d e los sistem as inform ticos integrados bajo el concep to Enterp rise Resou rce Planning -ERP- (Planeacin d e Recu rsos

Em p resariales) con ap licaciones Oracle, d escritas anteriorm ente, hacen qu e el Contad or P blico y Au d itor al realizar au d itora d e estad os financieros en este am biente, consid ere su efecto en el enfoqu e d e Au d itora, d ebid o a qu e ser necesario evalu ar el efecto d el sistem a y su s caractersticas en los estad os financieros y el control Interno, p or lo qu e d eber u tilizar p roced im ientos d e au d itora d e sistem as y tecnologa d e inform acin p ara el d esarrollo d e los p roced im ientos d e au d itora. Este d ocu m ento p retend e ser u na gu a

p rctica y bsica d e los asp ectos qu e el Contad or Pu blico y Au d itor necesita saber sobre la p laneacin y ejecu cin d e u na au d itoria d e estad os financieros en u na entid ad con u n sistem a ERP. Ad em s se enm arca en d ar a conocer las tcnicas d e au d itoria d e sistem as, sobre u n enfoqu e p rctico, qu e el CPA p u ed e ap licar p ara lograr u na evalu acin op tim a que soporte sus conclusiones de auditoria.

El Au d itor, est obligad o p or N orm as d e Au d itora Generalm ente Acep tad as a conocer y evaluar el sistema de control interno para determinar la naturaleza, oportunidad y alcance d e su s p roced im ientos d e au d itora, y d entro d e esta evalu acin se inclu ye el anlisis d el sistem a contable d e la entid ad y en general el sistem a d e registros e Inform acin ad m inistrativa-financiera y las fu entes p otenciales d e la evid encia qu e soporte sus conclusiones.

La norm a 26, "Au d itora en u n Am biente PED" em itid a p or el Institu to Gu atem alteco d e Contad ores P blicos y Au d itores, seala qu e cu and o se au d ita en u n ambiente PED debe considerarse lo siguiente: (a) En la fase d e p laneacin, el au d itor entre otros asp ectos d ebe conocer el efecto qu e

tienen los sistem as inform ticos u tilizad os p or el cliente p ara el p rocesam iento d e su s transacciones y la seguridad y adecuacin de los mismos a las operaciones de la entidad. (b) En la fase d e ejecu cin d el trabajo d e au d itora, con base en la inform acin

recabad a y las conclu siones establecid as en la fase d e p laneacin y conocim iento p relim inar, el au d itor d ebe d eterm inar la calid ad d e la evid encia a obtener p ara

su stentar las conclu siones d e au d itora. En esta fase la relacin d e la inform tica con la au d itora se m anifiesta en la u tilizacin d e tcnicas d e au d itora asistid as p or el

computador para la ejecucin de los procedimientos de auditora.

En ese contexto, se p lante com o p roblem a d e investigacin: Cu les son los p roced im ientos d e Au d itora d e Sistem as y Tecnologa d e Inform acin qu e p u ed en ser ap licad os en la p laneacin y ejecu cin d e u na Au d itora d e Estad os Financieros, con enfoque basado en el anlisis de riesgos, en una entidad que utiliza un sistema informtico integrad o tip o Enterprise Resource Planning ERP- (Sistema de Planeacin de Recursos

Empresariales) con ap licaciones Oracle, p ara el p rocesam iento d e su s transacciones, en el ejercicio contable 2,003?

La hiptesis que orient el proceso de investigacin es: La auditora en un sistema informtico integrado tipo Enterprise Resource Planning ERP(Planeacin d e Recu rsos Em p resariales) con ap licaciones Oracle, requ iere qu e se

com binen p roced im ientos d e au d itora d e sistem as y tecnologa d e inform acin p ara lograr los objetivos d e Au d itora. Se consid era qu e en la Planeacin d e Au d itora, en la etap a d e conocim iento d el cliente y d escrip cin d el sistem a d e control interno, el au d itor p u ed e ap licar p roced im ientos d e reconocim iento y evalu acin u tilizad os p or la Au d itora d e Sistem as p ara evalu ar el efecto d el sistem a inform tico en su s op eraciones, su

adecuacin y la seguridad informtica, tales como: Reconocimiento y evaluacin de riesgos Evaluacin de la funcin informtica en las operaciones. Evaluacin de objetivos de control de los sistemas informticos. Inventario de software y utileras Reconocimiento de hardware y dispositivos de seguridad. Evaluacin de la seguridad informtica. Anlisis de procedimientos internos. Tcnicas de anlisis del riesgo informtico a travs de metodologa COBIT. Tcnicas de auditora asistidas por el computador. Identificacin de controles y deficiencias. Utilizacin de un especialista En la fase d e ejecu cin d e la au d itora, los p roced im ientos d e sistem as y tecnologa d e inform acin tend rn su ap licacin en el d iseo d e p ru ebas d e cu m p lim iento p ara la evalu acin d el sistem a d e control Interno, esp ecficam ente en la verificacin d e la

funcionalidad de los controles internos de aplicacin dentro del sistema y de integridad de transacciones, tales como: Uso de software de auditora. Simulacin de procesos y clculos. Pruebas de datos.

Uso de software de utileras. Evaluacin de sistemas de aplicaciones En la ejecu cin d e p ru ebas su stantivas, la ap licacin d e Tcnicas d e Au d itora Asistid as p or el Com p u tad or TAACs, p erm itir u n m ayor alcance y m ejor efectivid ad . La

u tilizacin d e softw are interactivo d e anlisis d e d atos com o Interactive Data Extraction and analysis IDEA-, p roveer al au d itor d e herram ientas d e anlisis p ara reconocer

tend encias, realizar y verificar clcu los, com p arar tablas relacionales d e inform acin p ara cu ad res cru zad os y sim u lar clcu los y p rocesos qu e p erm itan conciliar sald os d e los estad os financieros con los registros au xiliares, lo cu al resu ltar en evid encia d e au d itora suficiente y competente para sustentar la opinin del Contador Pblico y Auditor sobre los estados financieros. Los objetivos que orientaron la investigacin son: Generales: Dar a conocer cu ales son los p roced im ientos d e Au d itora d e Sistem as y Tecnologa d e Inform acin ap licables a u na au d itora d e Estad os Financieros con enfoqu e basad o en anlisis d e riesgos en u na entid ad qu e u tiliza u n sistem a inform tico integrad o tip o Enterp rise Resou rce Planning ERP-(Planeacin d e Recu rsos Em p resariales) p ara el procesamiento de sus transacciones. Establecer cu ales son las consid eraciones generales qu e d ebe realizar u n Au d itor sobre el efecto de los sistemas informticos en su enfoque de auditora. Especficos: Dar a conocer la m etod ologa y fases qu e com p rend e la Au d itora d e Estad os Financieros con Enfoqu e basad o en el Anlisis d e Riesgos, a fin d e d efinir u na gu a d e p roced im ientos d e au d itora orientad a al anlisis d e riesgos d el negocio qu e tengan u n efecto im p ortante en los estad os financieros, sistema informtico y su efecto. Analizar y d escribir la im p ortancia y el efecto d e la evalu acin d el sistem a d e control interno en la p laneacin d e la au d itora con enfoqu e basad o en riesgos. Asim ism o, haciend o nfasis en los riesgos d el

d ar a conocer los factores y com p onentes d e la estru ctu ra d e control interno qu e son afectad os por el u so d e sistem as com p u tarizad os en transacciones. el p rocesam iento d e las

Describir las p rincip ales caractersticas y com p onentes d e los sistem as inform ticos integrad os Enterp rise Resou rce Planning -ERP-(Planeacin de Recu rsos

Em p resariales) con ap licaciones Oracle y los factores qu e d eben ser consid erad os p or el Contad or P blico y Au d itor en el d iseo d el enfoqu e y los p roced im ientos d e au d itora necesarios p ara d ictam inar estad os financieros, prep arad os a travs d e este tipo de sistema. Dar a conocer el p roceso general d e la Au d itora d e Sistem as y Tecnologa d e Inform acin, id entificand o los p roced im ientos y tcnicas p rop ios qu e le son ap licables, realizando un anlisis descriptivo y comparativo. Ap ortar u na gu a general d e p roced im ientos d e Au d itora d e Sistem as d e Inform acin, p ara el ap oyo d el Contad or P blico y Au d itor en la evalu acin d el control interno en u n am biente d e sistem as integrad os tip o Enterp rise Resou rce Planning -ERP (Sistem as d e Planeacin d e Recu rsos Em p resariales) con ap licaciones Oracle y en la ejecucin de pruebas sustantivas en la ejecucin de la auditora. Evalu ar las ventajas y lim itaciones d e u tilizar las tcnicas y p roced im ientos d e u na

au d itora d e sistem as d e inform acin en la p laneacin y ejecu cin d e u na au d itora d e estad os financieros con enfoqu e basad o en riesgos, en u n am biente d e sistem as integrad os tip o Enterp rise Resou rce Planning Empresariales) con aplicaciones Oracle. ERP (Planeacin d e Recu rsos

Este inform e se elabor p ara d ar a conocer los resu ltad os d e la investigacin, mediante cinco captulos. En el p rim ero se p resenta el p roceso general d e la au d itora d e estad os financieros con enfoqu e basad o en el anlisis d e riesgos d el negocio, consid era p rim ero algu nos conceptos de carcter general y luego hace referencia a cada una de las fases respectivas. En el segund o se hace referencia a la evalu acin d el control interno com o eje central d e la p laneacin d e la au d itora en u n am biente d e sistemas Enterprise Resource Planning ERP- (Planeacin d e Recu rsos Em p resariales), trata p rim ero el control interno, las etapas del control interno y el efecto de los sistemas informticos en ste. En el tercero, se hacen consid eraciones sobre los sistem as inform ticos integrad os tipo ERP con aplicaciones Oracle, inicialmente toma algunos elementos conceptuales sobre

la inform tica, los sistem as y su s com p onentes, lu ego centra su atencin en el sistem a ERP y los efectos d e ste en el sistem a contable y las consid eraciones qu e d eben tom arse al realizar una auditora. En el cu arto, se d escriben los p roced im ientos d e au d itora d e sistem as y tecnologa d e inform acin ap licables en la p laneacin y ejecu cin d e u na auditora d e estad os financieros con enfoque basado en el anlisis de riesgos, se hace un estudio de los objetivos y alcances, la metodologa y los procesos as como de las normas a observar en la auditora d e sistem as; se id entifican y d escriben los p roced im ientos d e au d itora d e sistem as ap licables en la p laneacin d e la au d itora y en la evalu acin d el sistem a d e control interno, se id entifican los p roced im ientos d e la au d itora d e sistem as y tecnologa d e inform acin ap licables en la ejecu cin d e p ru ebas su stantivas y se sealan las ventajas y desventajas de las mismas. En el quinto, se presentan los resultados del caso prctico de planeacin y ejecucin d e la au d itora d e estad os financieros con enfoqu e basad o en anlisis d e riesgos en u n am biente d e sistem as integrad os tip o ERP con aplicaciones Oracle. Este cap tu lo es el qu e presenta las bondades que presentan los procedimientos de auditora de sistemas para una auditora de estados financieros. Finalm ente ap arecen las conclu siones a las qu e se arrib en la investigacin as como las recomendaciones.

CAPITULO I EL PROCESO GENERAL DE LA AUDITORA DE ESTADOS FINANCIEROS CON ENFOQUE BASADO EN RIESGOS

1.1

Auditora de Estados Financieros

Auditora El p roceso d e au d itora en trm inos generales es d efinid o com o u n estu d io o u na revisin qu e com p ara lo actu al a lo d esead o y p rovee retroalim entacin p ara realizar u na m ed id a correctiva (21:3). De lo anterior se p u ed e d efinir la au d itoria com o: Activid ad p ara d eterm inar, p or m ed io d e la investigacin, la ad ecu acin d e los p roced im ientos establecid os, instru cciones, esp ecificaciones, cod ificaciones y estnd ares u otros requ isitos, la ad hesin a los m ism os y la eficiencia d e su im p lantacin. En Gu atem ala la au d itoria d e estados financieros como actividad profesional est regulada por el Instituto Guatemalteco de Contad ores P blicos y Au d itores IGCPA-, a travs d e las N orm as d e Au d itoria tericos d e ap licacin

Generalm ente Acep tad as, las cu ales consisten en p recep tos

obligatoria en la ejecucin de auditorias financieras en el territorio nacional. Alcance El trm ino alcance d e u na au d itora, se refiere a los p roced im ientos d e au d itora consid erad os necesarios en las circu nstancias p ara lograr el objetivo de la

auditora(18:17).

Con base en lo anterior se consid era qu e el alcance corresp ond e a la

metodologa y el enfoqu e qu e el au d itor ap licar en el d esarrollo d e su trabajo, ste d ep end er entre otras cosas: d el objetivo qu e se p ersigu e, la natu raleza d el u niverso su jeto a revisin y las cu estiones d el au d itor sobre el riesgo inm erso, p or lo tanto el alcance d e u na au d itora d e estad os financieros corresp ond e al conju nto de

procedmientos y su extensin, qu e se ap licarn con el objetivo d e em itir u na op inin sobre la razonabilidad de los estados financieros. Objetivos

Las N orm as d e Au d itora Generalm ente Acep tad as em itid as p or el Institu to Gu atem alteco d e Contad ores P blicos y Au d itores IGCPA -, establecen qu e el p rincip al objetivo d e u na au d itora d e estad os financieros es exp resar u na op inin sobre los estad os financieros d e la em p resa. Para lograr este objetivo d icho p roceso necesita cu m p lir con

u n p roceso lgico el cu al com p rend e la p lanificacin, la ejecu cin, la su p ervisin y la finalizacin del trabajo como la emisin de informes. Las Normas Internacionales de Auditoria emitidas por la Internacional Federation of Accountants IFAC-, coincid en qu e el objetivo d e u na au d itora d e estad os financieros es hacer p osible al au d itor el exp resar u na op inin sobre si los estad os financieros estn p rep arad os, resp ecto d e tod o lo su stancial, d e acu erd o a u n m arco d e referencia p ara reportes financieros identificado o a otros criterios. Por lo tanto en la au d itoria d e estad os financieros el objetivo general es obtener evid encia su ficientes qu e p erm ita d eterm inar y sop ortar el ju icio d el au d itor sobre la cap acid ad d e los estad os financieros p rep arad os p ara u na entid ad d e exp resar y reflejar objetivam ente su situ acin a u na fecha establecid a; asim ism o tod os los p asos qu e el auditor realiza para lograrlo, es decir, el anlisis y examen se considere su alcance.

1.2 El proceso general de una auditoria de estados financieros con enfoque basado en riesgos en una entidad que utiliza un ERP para el control de sus operaciones. El libro La au d itora d e Price Waterhou se d ivid e el p roceso d e au d itora d e estados financieros en tres etap as p rincip ales: la etap a d e p lanificacin, la etap a d e ejecu cin, y la etap a d e finalizacin, el ord en y segu im iento d e los p asos y p rocesos relacionad os con cad a etap a son cru ciales p ara el logro d e los objetivos d e au d itoria. A continuacin se describen los principales componentes de cada fase. 1.2.1 Planeacin Los objetivos d e esta fase son d isear el enfoqu e d e au d itora y d ecid ir la form a m s efectiva y eficiente d e d istribu ir los p roced im ientos d e au d itora. La p laneacin d e auditoria se d efine com o: "d esarrollar u na estrategia general y u n enfoqu e d etallad o p ara la natu raleza, op ortu nid ad y alcance esp erad os d e la au d itora(19:14). En esta fase se establece y documenta el enfoque de auditora. Este proceso involucra:

Obtener u n conocim iento general d el cliente y su s op eraciones, realizand o u na evaluacin preliminar del sistema de control interno. Revisin analtica d e la inform acin financiera y ad m inistrativa p ara id entificar asuntos de la auditora. Evaluacin y anlisis de riesgos del negocio y la realizacin del riesgo de auditora. Evaluar y determinar los objetivos de la auditora Identificar los tipos de transacciones y fuentes de evidencia Realizar una junta de planeacin con el cliente Prep aracin d el m em orand o d e p laneacin d e au d itora y u na ju nta d e informacin preliminar con el equipo de auditora. 1.2.1.1 Conocimiento del Cliente y estudio preliminar de riesgos: Una vez se ha establecid o y conciliad o los trm inos d e la contratacin, la p rim era fase consiste en obtener d atos generales d el negocio y la ind u stria d el cliente. Tam bin se necesita conocer las p rincip ales p olticas contables qu e el cliente u tiliza y cam bios ap licad os a las p olticas. En esta etap a se realizan anlisis p ara d eterm inar la

auditabilidad y el riesgo profesional que conlleva la relacin con el cliente especifico. Ad icionalm ente, en esta etap a com nm ente se realiza u n anlisis general d e los estad os financieros com o p ru ebas analticas com p arativas d e estad os financieros histricos, tend encias y razones financieras, y si los n m eros tienen sentid o, con el fin d e d eterm inar asu ntos d e benchmarking d e la com p aa con relacin a otras d e su gru p o, as mismo en este anlisis se elabora el primer bosquejo de criterios sobre Importancia relativa (materialidad) a ser considerados y aspectos cualitativos de los estados financieros En la etap a d e evalu acin p relim inar se d ebe realizar el p rim er anlisis sobre el sistema de administracin y gestin de riesgos empresariales que la compaa utiliza. 1.2.1.2 Conocimiento del sistema de control interno: Consiste en realizar u n anlisis general y p relim inar sobre la estru ctu ra d e control interno y relacionarlo con el anlisis general d el riesgo d e au d itoria. N orm alm ente esta

evalu acin p relim inar se realiza m ed iante entrevistas y cu estionarios generales d e conocim iento d el cliente. Este paso p erm itir d eterm inar com o se encu entran form ad os los com p onentes d el sistem a d e control interno d e la entid ad y d eterm inar cu al d e ellos puede contener mayor debilidades y riesgos. 1.2.1.3 Evaluacin y anlisis de riesgos del negocio y la realizacin del riesgo de auditora En el enfoqu e d e au d itora basad o en riesgos, se tom a com o base qu e el negocio form a p arte d e u n u niverso con el cu al tiene constantes relaciones qu e p u ed en significar u na am enaza o u na op ortu nid ad . Estos elem entos d eben consid erarse al realizar u na au d itora p u es tales fenm enos incid irn en la razonabilid ad d e los estad os financieros. Por esto bajo este enfoqu e, se consid era la ad ecu acin y efectivid ad d el sistem a integrad o d e gestin d e riesgos u tilizad o p or la Alta Gerencia. Esta evalu acin y consid eracin consiste en determinar su efectividad que permita asegurar una respuesta adecuada a cada riesgo im p ortante y d im ensionar el im p acto en conju nto qu e p u ed an tener sobre los objetivos d e la com p aa y el objetivo d e au d itoria, au nqu e se realiza m ayor nfasis en el objetivo d e inform acin financiera. Esto consiste en la base d e la evalu acin d el riesgo

de auditora y el enfoque a ser aplicado. El equ ilibrio entre los niveles d e im p acto y p robabilid ad d e los eventos relacionad os con el objetivo d e p roveer inform acin financiera confiable y razonable y su m itigacin a travs d e controles efectivos y otras d ecisiones d e la gerencia, as com o la consid eracin global d el efecto p otencial d e los riesgos en m ateria op eracional, d e rend im iento, salvagu ard a y cu m p lim iento con leyes y regu laciones, es lo qu e d eterm inara el alto, mediano o bajo nivel de riesgo de auditora, segn sea el caso.

1.2.1.4 Evaluacin de los sistemas de Informacin y Comunicacin De acu erd o con la N orm a Internacional d e Au d itoraNIA- 400, "Evalu aciones d el Riesgo y Control Interno" el au d itor d ebe obtener u na com p rensin d e los sistem as d e contabilid ad y d e control interno, su ficiente p ara p lanear la au d itora y d esarrollar u n enfoqu e d e au d itora efectivo, este com p onente d e p laneacin tiene com o objetivo obtener u n am p lio entend im iento sobre las caractersticas bsicas d el sistem a d e contabilid ad

entend id o ste com o: "La serie d e tareas y registros d e u na entid ad p or m ed io d e las qu e se p rocesan las transacciones com o u n m ed io d e m antener registros financieros. Dichos sistem as id entifican, re nen, analizan, calcu lan, clasifican, registran, resu m en, e inform an transacciones y otros eventos(18:118). Las cu estiones qu e el au d itor d ebe com p rend er sobre el sistem a contable y administrativo de la entidad son entre otras: Flujo general de informacin hasta los estados financieros. Medios utilizados: formatos, registros, procedimientos, tecnologa, etc. Nivel de Automatizacin y uso de computadores. Transacciones p rocesad as en form a sistem tica y form a d e p rocesam iento d e transacciones extraordinarias. Un elem ento m u y im p ortante d e id entificar y d ocu m entar en esta etapa, es el grado d e u tilizacin d e sistem as com p u tarizad os y su com p lejid ad . Algu nos asp ectos qu e se consideran son: Nivel de automatizacin y componentes del sistema informtico utilizado. Naturaleza y complejidad de la tecnologa informtica utilizada. Marco global (u niverso) d el sistem a inform tico u tilizad o y nivel d e integracin, es d ecir, qu e p rocesos y transacciones im p ortantes son p rocesad as y com o se interrelacionan. Proceso global de informacin: Entradas, Proceso, Salidas. Disponibilidad de evidencia, accesibilidad, tipos de reportes y datos que el sistema permite obtener para ser utilizados en la auditora. Estru ctu ra organizativa y am biente d e segu rid ad general d el Procesam iento d e Sistemas. Riesgo inform tico p ara las op eraciones d e la com p aa y p ara los estad os financieros.

Es en esta etap a qu e el au d itor p u ed e ap oyar su base d e anlisis en tcnicas d e anlisis d e sistem as u tilizad os p or la Au d itoria Esp ecial d e Sistem as, p ara com p rend er estos asp ectos d e form a inm ed iata. Al finalizar esta etap a el au d itor p od r id entificar los asp ectos d el sistem a qu e consid erar al analizar el flu jo d e las transacciones im p ortantes y el efecto que ste tendr en su enfoque de auditora.

1.2.1.5 Evaluacin del efecto del Sistema Informatico en el Control Interno y enfoque de auditoria de estados financieros. Existe un efecto directo entre el ambiente de tecnologa de informacin utilizado por la entidad auditada y la estructura de control interno, por esta razn esta relacin afectar directamente el enfoque de auditora a planear por el auditor. Esta relacin se esquematiza en la figura que se presenta a continuacin:

RELACION DEL SISTEMA CONTABLE INFORMATICO CON EL AMBIENTE DE TECNOLOGIA DE LA INFORMACION Y ESTRUCTURA DE CONTROL INTERNO

AMBIENTE DE CONTROL

La natu raleza y objetivo d e u na au d itora d e estad os financieros no cam bia y no d ep end e d el am biente en el cu al se d esarrollan las op eraciones d e la entid ad , sin em bargo s existe u n efecto im p ortante en el enfoqu e d e la au d itora, d ebid o a qu e la form a en qu e se p rocesa, alm acena y com u nica la inform acin y se p rep aran los estad os financieros cam bia con relacin d e los sistem as m anu ales y no integrad os, y con ellos la ejecu cin d e los controles internos qu e sop ortan las aseveraciones qu e le son relativas. Es d ecir, la relacin tiene u n efecto d irecto sobre el sistem a d e inform acin contable, los p roced im ientos d e control, y p or consigu iente u n efecto d irecto sobre, la p laneacin d e au d itora, evid encia d e au d itora, p roced im ientos p ara la evalu acin y el conocim iento d el sistema de control interno. Los aspectos ms relevantes del enfoque de auditora que se ven afectados son: La naturaleza de los procedimientos de auditora a aplicar para comprender los sistemas de contabilidad y de control interno. Com o se exp lic anteriorm ente, al evalu ar el sistem a d e control interno, el au d itor d ebe necesariam ente obtener u n conocim iento y entend im iento com p leto d e los sistem as informticos y manuales que el cliente utiliza como parte de su sistema contable y evaluar: El grad o en qu e se u tiliza el sistem a inform tico y la tecnologa d e inform acin y la importancia que stos tienen para las cifras importantes de los estados financieros. La com p lejid ad d el entorno, consid erand o el grad o d e transform acin d e la informacin y el volumen de transacciones. La importancia de los sistemas de computacin para la entidad. La form a com o est estru ctu rad o el sistem a inform tico, nivel d e com p lejid ad e im p ortancia p ara el negocio, la tecnologa d e inform acin u tilizad a, p od ran ser d e tal natu raleza qu e requ ieran p roced im ientos esp eciales p ara su anlisis. Es p or esto qu e el au d itor d eber consid erar p roced im ientos d e Au d itora Inform tica y tcnicas esp eciales qu e no se consid eran en u na au d itora en u n am biente m anual. Otra consid eracin, qu e

d eber realizar u n au d itor con resp ecto a los p roced im ientos es si tiene la habilid ad y com p etencia su ficiente p ara p lanificar y ejecu tar la au d itora o bien si requ erir la

u tilizacin d e esp ecialistas qu e p erm itan ejecu tar ad ecu ad am ente los p roced im ientos d e auditora. La consideracin del riesgo inherente y del riesgo de control a travs de la cual el auditor llega a la evaluacin del riesgo. Debid o a qu e el sistem a d e inform acin es u n com p onente im p ortante d e la estructura d e control interno y d e l d ep end e el logro d e los objetivos d e control en cu anto a qu e la inform acin sea confiable y razonable, el au d itor d ebe evalu ar com o ste, cu and o es com p u tarizad o e inclu ye tecnologa d e inform acin influ ye en la conform acin d el riesgo inherente y d e control. Ad icionalm ente, en la d eterm inacin d el riesgo inherente y d e control estar ntim am ente relacionad o el riesgo informtico y tecnolgico que enfrenta la compaa y la forma en que ste es manejado. Algu nas consid eraciones qu e el au d itor d eber realizar sobre las caractersticas d e un sistema computarizado, incluyen lo siguiente: N atu raleza d e la p ista d e au d itora (rastro d e las transacciones). El p rocesam iento d irecto en sistem as inform ticos y au tom tico, ocasiona qu e no siem p re exista u n rastro d e au d itora com p leto p ara el segu im iento d e las transacciones. Estos d atos nicam ente p u ed en estar en m ed io m agntico p or u n corto p lazo d e tiem p o (inclu sive tiem p o antes d el p erod o d e au d itora), la generacin y valid ez d e

transacciones nicam ente p u ed e ser verificad o a travs d e verificar el p rogram a o cdigo fuente, etc. Estand ard izacin d el p roceso d e d atos. Al u tilizar sistem as inform ticos con

instru cciones p rogram ad as en form a estnd ar, se elim inan los errores relacionados con el p rocesam iento m anu al d e op eraciones, p u esto qu e la totalid ad d e transacciones segu irn u n cam ino u niform e p ara su p roceso, sin em bargo, se d eber consid erar qu e si los p arm etros d el sistem a estn d ireccionad os o p rogram ad os errneam ente, la totalid ad d e transacciones sern p rocesad as incorrectamente. Segregacin d e fu nciones. Com o la au tom atizacin d e op eraciones y u tilizacin d e sistemas informticos estn orientados a disminuir el costo y personal de operacin de las actividades, los procesos se vern reducidos as como el numero de personas

qu e intervienen en u na sola op eracin, p or lo qu e d eber consid erarse si d entro d el am biente existe u na ad ecu ad a segregacin d e fu nciones incom p atibles y el efecto que pueden tener stas. Errores e irregu larid ad es. En un am biente de sistem as inform ticos

com p u tarizad os la factibilid ad p ara com eter errores e irregu larid ad es p u ed e ser m ayor qu e en los sistem as m anu ales, p arcialm ente a cau sa d el nivel d e d etalle d e estas activid ad es, el p otencial p ara qu e los ind ivid u os ganen acceso no au torizad o a los d atos, la alteracin d e d atos sin evid encia, e inclu so errores en el d iseo o m od ificacin d e p rogram as d e ap licacin o d el softw are d e los sistem as, p u ed en permanecer sin detectar por largos perodos de tiempo. Iniciacin o ejecu cin d e transacciones en lnea y en form a au tom tica. Cu and o el sistem a inform tico tiene la cap acid ad d e iniciar op eraciones en form a au tom tica, los p rocesos d e revisin y au torizacin p u ed e no estar d ocu m entad a en la m ism a forma que en un sistema manual, o bien estar contemplados indirectamente. Dep end encia d e controles ejecu tad os p or el com p u tad or. Se d ep end e altam ente d e los controles d irectam ente ejecu tad os p or el com p u tad or, y stos a su vez p u ed en ser la base p ara otros controles m anu ales, com o los cu ad res d e lotes o rep ortes finales, p or esto la efectivid ad d e d ichos controles d ep end ern d e la integrid ad y p recisin d el p rocesam iento p or com p u tad ora y esto d e la efectivid ad d e los controles generales. Acceso a herram ientas analticas d e su p ervisin. El sistem a p u ed e contar con herram ientas d e control com o rep ortes, u tileras d e consu lta y graficad ores qu e si se utilizan pueden apoyar los procesos de control de alto nivel. Factibilid ad p ara u sar tcnicas d e au d itora asistid as p or el com p u tad or. El caso del procesamiento y anlisis de grandes cantidades de datos usando computadoras brind a op ortu nid ad es p ara ap licar tcnicas y herram ientas generales o

especializadas de auditora. Tanto los riesgos com o los controles introd u cid os com o resu ltad o d e estas caractersticas tienen u n im p acto fu erte en la evalu acin d el riesgo d e au d itora. En u n

am biente d e sistem as inform ticos integrad os, el riesgo inherente y d e control d eber ser

evalu ad o tanto a nivel general com o p or ru bro, ad icionand o a la evalu acin general realizada, la consideracin de los siguientes elementos: Riesgos relacionad os con los asp ectos generales d e los sistem as com p u tarizad os qu e afectan en su totalid ad no slo a los sistem as relacionad os con la p rep aracin d e los estad os financieros en conju nto sino a tod as las operaciones d e la entid ad , aspectos com o: d esarrollo y m antenim iento d e p rogram as, sop orte al softw are d e sistem as, op eraciones, segu rid ad fsica d e SIC y control sobre el acceso a programas de utilera de privilegio especial. Riesgos relacionad os con errores o activid ad es frau d u lentas en ap licaciones esp ecficas, en bases d e d atos, archivos m aestros, o activid ad es d e p rocesam iento esp ecficas. Por ejem p lo, los sistem as relacionad os con el m anejo d e efectivo y disponibilidades como el sistema de banca virtual. Riesgos tecnolgicos relacionad os con la habilid ad d e la ad m inistracin d e lid iar con el su rgim iento d e nu evas tecnologas, sistem as d e com p u tacin cad a vez m s complejos. 1.2.1.6 Identificacin de tipos de transacciones importantes (procesos) y fuentes de

evidencia Los tip os im p ortantes d e transacciones se d efinen p ara efectos d e au d itora

financiera com o: las transacciones op eraciones qu e generan los p rincip ales cargos y abonos d e las cu entas m s im p ortantes d el balance general y su contracu enta en el estad o d e resu ltad os y las revelaciones obligatorias. En esta etap a nicam ente se realiza u na

id entificacin p relim inar d e los p rocesos p rincip ales relacionad os a las p artid as importantes en los estad os financieros y los tip os d e transacciones qu e generan los p rincip ales cargos y abonos a d ichas cu entas, esto relacionad o con los errores p otenciales qu e p od ran ocu rrir d ad os los sistem as d el cliente y la natu raleza d e su negocio e industria. A la vez qu e se id entifican los tip os im p ortantes d e transacciones (y las transacciones individuales importantes) tambin se debe considerar el proceso general que lleva la transaccin d esd e su inicio hasta el reconocim iento en los estad os financieros, as

10

m ism o d ebe id entificarse las fu entes d e evid encia, los sistem as m anu ales e inform ticos utilizados, los departamentos y personal involucrado.

1.2.1.7 Diseo del enfoque de auditora Con la inform acin recolectad a en esta fase el au d itor est en cond iciones p ara realizar u n bosqu ejo d el enfoqu e d e au d itoria a u tilizar. Disear el enfoqu e general d e au d itoria consiste en tom ar las d ecisiones p rincip ales qu e enm arcarn el p lan d el au d itor para lograr sus objetivos. Estas decisiones incluirn: El grado de confianza que se planea depositar en los controles internos. Realizar u na seleccin d e los controles clave qu e sop ortan el sistem a y qu e aseguran que los riesgos importantes son mitigados. Consid erar tod os los riesgos, errores p otenciales y d ebilid ad es d el sistem a qu e en esta evaluacin se consideren no controlados. El alcance p lanead o d e los p roced im ientos su stantivos y el ord en com o estarn definidos. Distribu cin d el trabajo d e au d itora y el equ ip o necesario as com o la p osible necesidad de expertos. Relacin de los controles a nivel corporativo y sistemas de informacin.

1.2.2

Ejecucin

1.2.2.1 Fase intermedia Evaluacin del Control Interno Esta fase constituye la parte medular de la auditora, sus objetivos son: Evalu ar el sistem a d e control interno p ara d eterm inar la p robabilid ad d e qu e haya errores en los estados financieros. Bajo el enfoqu e d e la au d itoria basad a en riesgos, esta evolucin inclu ye ad em s verificar qu e el sistem a d e control interno asegu re la consecu cin d e los objetivos

11

empresariales. Pero en especial los objetivos de confiabilidad financiera, que es uno de los rubros de objetivos principales establecidos por COSO. Afinar el p lan d e au d itora y d efinir el p rogram a esp ecific p ara las p ru ebas sustantivas. Este p roceso consiste en obtener u n conocim iento su ficiente qu e p erm ita al au d itor evalu ar la ad ecu acin d el m ism o p ara asegu rar el logro d e los objetivos financieros, d e op eracin y cu m p lim iento d e la com p aa. Se esp era qu e en la evalu acin d el sistem a d e

control interno analice y entiend a los asp ectos p rincip ales d e la entid ad au d itad a qu e p erm ita realizar u na p laneacin ad ecu ad a d e los Proced im ientos d e Au d itoria a ap licar. La evalu acin d el sistem a d e control interno se trata con m ayor d etalle en el cap itu lo II, p or lo qu e en esta p arte nicam ente se realiza u na d escrip cin general d e los p asos qu e comprende. En esta fase el auditor obtiene el conocimiento necesario sobre los componentes del sistem a d e control interno y la form a en com o stos se interrelacionan. En esta etap a se tiene la visu alizacin global d el sistem a y com o seg n est d isead o se esp era qu e fu ncione. Con esta visu alizacin, el au d itor d efine los p rocesos clave qu e a su criterio tend rn u n efecto significativo en los estad os financieros y en su s objetivos d e au d itoria, e identifica los controles clave en los que se considera confiar para probar su efectividad. 1.2.2.2 Determinacin y Diseo de Procedimientos de Auditoria Los p roced im ientos d e au d itoria son el conju nto d e tcnicas d e investigacin ap licables a u na p artid a o u n gru p o d e hechos y circu nstancias relativas a los estad os financieros su jetos a exam en m ed iante los cu ales el aud itor obtiene las bases p ara fundamentar su opinin. Una vez el au d itor ha obtenid o u n conocim iento global y ha d ocu m entad o los p rincip ales com p onentes d e la estru ctu ra d e control interno, est en cond iciones d e d isear los p roced im ientos qu e ap licar p ara d eterm inar si los controles son confiables y logran su s objetivos tal com o estn d isead os. El d iseo d e las p ru ebas d e controles comprende que el auditor defina: El objetivo de cada prueba (lo que quiere probar)

12

El universo y el plan de muestreo. Los niveles de error esperados y el mximo razonable. La evidencia que se documentar sobre la prueba. El personal encargado de su ejecucin y revisin Limitaciones que puedan afectar el alcance Las p ru ebas d e cu m p lim iento tienen com o objetivo reu nir evid encia su ficiente y com p etente qu e p erm ita conclu ir si la estru ctu ra d el sistem a d e control interno establecid o por la ad m inistracin es efectiva en la p revencin, d eteccin, correccin y m onitoreo d e errores p otenciales qu e p u ed an tener u n efecto im p ortante en los estad os financieros qu e estn siend o exam inad os. Seg n la d efinicin d el Institu to Mexicano d e Contad ores

P blicos y Au d itores, u na p ru eba d e control es la com p robacin d e qu e u no o m s p roced im ientos d e control estu vieron op erand o con efectivid ad d u rante el p erod o au d itad o.La fase d e p ru ebas d e cu m p lim iento consiste en la etap a en la qu e se ejecu tan las p ru ebas sobre los controles clave en los qu e seg n el enfoqu e d eterm inad o, se esp era sop ortar la op inin d el au d itor. Al realizar las p ru ebas d e control, bsicam ente se bu sca determinar si el control es eficiente con base a dos mbitos: Op eracin: Es d ecir, si el control fu ncion d u rante tod o el p erod o au d itad o y cu al podra ser el efecto de su falta de funcionamiento, en el riesgo de auditora. Diseo: Si el control est definido de acuerdo con las necesidades establecidas para lograr anular los riesgos para los cuales fue colocado. Es decir, realmente logra sus objetivos de control. 1.2.2.3 Evaluacin del Sistema Informtico En u n am biente d e sistem as inform ticos integrad os, m u chas veces ser necesario u tilizar tcnicas esp eciales d e auditoria d e sistem as p ara realizar los p roced im ientos d e control y su stantivos d e auditora. El au d itor d eber consid erar las caractersticas d el

sistem a y la form a d e alm acenam iento y existencia d e la evid encia qu e consid erar com o p arte d e la d ocu m entacin d e la evalu acin d e control interno y consigu ientes p ru ebas sustantivas.

13

El au d itor p u ed e u sar p roced im ientos d e au d itora m anu ales, p rocesos esp ecificos d e la au d itoria d e sistem as y tcnicas d e au d itora con ayu d a d e com p u tad ora, o u na com binacin d e am bos p ara obtener su ficiente m aterial d e evid encia. Sin em bargo, en algu nos sistem as d e contabilid ad qu e u san u na com p u tad ora p ara p rocesar ap licaciones significativas, p u ed e ser d ifcil o im p osible p ara el au d itor obtener ciertos d atos p ara inspeccin, investigacin, o confirmacin sin la ayuda de la computadora.

En esta etapa se realizan las pruebas de cumplimiento sobre la estructura del sistema informatico y la estructura de seguridad de sistemas existente, con el objetivo de conclu ir si la estru ctu ra analizad a y d ocu m entad a en la etap a anterior, corresp ond e y fu nciona acord e a las necesid ad es d e la entid ad y si establece u n m arco efectivo d e seguridad y control que soporte la integridad de la informacin presentada. Las p ru ebas d e cu m p lim ento realizad as con resp ecto al sistem a inform tico, p u ed en ser estru ctu rad os, con base a los tip os d e controles d el sistem a inform tico inmersos: Controles Generales (Ambiente de Seguridad y Organizacin) Pru ebas sobre el am biente general y los controles generales d e acceso, segu rid ad , integridad y transparencia de la Funcin de Informtica y Tecnologa. Controles de Aplicacin del Sistema (Integridad de la informacin que se procesa) Pru ebas d e evalu acin sobre las fortalezas clave d e las ap licaciones d e p rocesam iento d e d atos, qu e sop ortan la integrid ad d e los estratos im portantes d e los estados financieros.

1.2.2.4 Anlisis de debilidades y funcionamiento de los Controles. En este p aso el objetivo es analizar los resu ltad os obtenid os en las p ru ebas d e control para evid enciar la razonabilid ad d el fu ncionam iento d el sistem a d e control interno en la litigacin d e los riesgos im p ortantes, y sop ortar las d ecisiones d e p laneacin d e las pruebas sustantivas y cierre de la auditora.

14

En esta etap a se resu m en los resu ltad os d e las p ru ebas ejecu tad as, se conclu ye sobre las excep ciones observad as. El au d itor d ebe analizar en esta fase p ara cad a p ru eba, la natu raleza y cau sa d e las d esviaciones observad as, la natu raleza d e las d ebilid ad es observadas y determinar tendencias en operaciones especificas, si estn dentro del margen estad stico d e error p lanead o originalm ente, el efecto qu e p u ed an rep resentar en la confiabilidad del control clave y el efecto sobre el riesgo de auditora definido. Con base en este resu m en, el au d itor est en cond iciones d e d efinir el nivel d e confiabilid ad d el sistem a d e control interno en alto, m od erad o o bajo y consecu entem ente la p robabilid ad d e qu e existan errores im p ortantes en los estad os financieros, el grad o d e confiabilid ad p ara d eterm inad as op eraciones y p ara cu ales ser necesario am p liar el alcance de las pruebas sustantivas de forma que se soporten los objetivos establecidos.

1.2.2.5 Diseo del Programa de Auditora a Detalle Una vez se tiene la decisin sobre la confiabilidad del sistema contable realizada en las activid ad es anteriores, y se ha d eterm inad o la p robabilid ad d e errores im p ortantes en los estad os financieros inclu yend o el efecto d e los controles m itigantes, el au d itor est en p osicin d e d efinir el p rogram a a d etalle d e los p roced im ientos su stantivos y finales a ejecutar en la Auditora para concluir sobre la razonabilidad de los estados financieros. Ad icionalm ente, si el au d itor no p lanea confiar en los controles internos, o si se ha conclu id o qu e los controles no son confiables, es en esta fase d ond e el au d itor d efine los p roced im ientos d e au d itora su stantivos qu e ap licar. Estos p roced im ientos inclu yen las p ru ebas p ara d etectar errores m onetarios y el reu nir evid encia d e au d itora p ara sop ortar las conclusiones sobre los estados financieros. En general, au nqu e se tenga p lena confianza d el sistem a d e control interno, ser necesario d isear algu nas Pru ebas Su stantivas para las partid as claves orientad as a p robar los riesgos im p ortantes p ara cad a cu enta. N o siem p re es p osible esp ecificar los

p roced im ientos p articu lares a ser ap licad os y su alcance, esto algu nas veces es u na cu estin d e ju icio p rofesional en contrap osicin d e las circu nstancias qu e en ese m om ento se observen. Sin em bargo el p rogram a a d etalle d ebe cu brir u n bosqu ejo general d e los p roced im ientos a ser ap licad os, los objetivos a ser lograd os, los riesgos p ara cad a cu enta

15

im p ortante qu e fu eron consid erad os y la op ortu nid ad en qu e sern efectu ad os los procesos. 1.2.2.6 Fase Intermedia Revisin Sustantiva: Los p roced im ientos su stantivos d e au d itoria estn orientad os a p robar

d irectam ente y con m ayor d etalle las transacciones y sald os d e cu entas esp ecificas en el Balance General. Su objetivo p rincip al es d eterm inar si el sald o d e u na cu enta es

razonable en cu anto a las aseveraciones d e la Gerencia y si est rep resentad o d e acu erd o con su naturaleza, propiedad y evaluacin. En esta etapa el objetivo es ap licar los p roced im ientos su stantivos qu e p erm itan com p robar o d eterm inar si efectivam ente hay errores m ateriales en la inform acin financiera de tal forma de emitir una opinin adecuada. La natu raleza y el alcance d el trabajo necesario d ep end ern d e la d eterm inacin d e la p robabilid ad d e qu e haya errores en los estad os financieros, as com o d e las conclusiones obtenidas en las actividades descritas anteriormente. Existen d os categoras generales d e p roced im ientos su stantivos: analticos y detallados. Los p rim eros son aqu ellos qu e d eterm inan la confiabilid ad general d e las transacciones y d e los sald os d e las cu entas, u tilizand o anlisis d e las razones y tend encias p ara com p ararlas entre s y con d atos d e aos anteriores y d e la ind u stria. Los

p roced im ientos analticos tam bin se u tilizan p ara id entificar reas en las qu e se requ iere u na investigacin m s p rofu nd a. Cu and o los p roced im ientos m u estren u na d esviacin im p ortante con resp ecto a lo qu e esp erbam os, se p rosigu e con investigaciones y p ru ebas detalladas adicionales especficas. Los segu nd os, p u ed en enfocarse ya sea a tip os esp ecficos d e transacciones (p or ejem p lo, ad iciones a los activos fijos) o a sald os qu e com p rend en varios tip os d e transacciones (p or ejem p lo, cu entas p or p agar). En cad a caso se refieren a d os tip os generales d e p artid as: p artid as clave y tod as las d em s p artid as. Las p artid as clave son transacciones o sald os ind ivid u ales d e im p ortancia tal qu e se d ebe ap licar p ru ebas su stantivas p ara au d itar a cad a u no en form a ind ivid u al; tod as las d em s p artid as p u ed en muestrearse como un grupo.

16

Tcnicas de auditora asistidas por el computador TAACs Las Tcnicas d e Au d itora asistid as p or el Com p u tad or son consid erad as com o cu alqu ier tcnica d e au d itora ap licad a p or m ed ios au tom atizad os tales com o softw are d e auditora, software de utileras, prueba de datos, y pruebas de transmisin y mapeo. En u na entid ad qu e u tiliza u n sistem a inform tico, cu alqu iera qu e ste sea y el grad o d e com p lejid ad qu e tenga, p ara el p rocesam iento d e su s op eraciones contables, los p roced im ientos d e auditora sern m as eficientes en la m ed id a qu e se u tilice el computador para asistir en las actividades. Las Tcnicas d e Au d itoria Asistid as p or el com p u tad or inclu yen: la extraccin d e d atos, los anlisis d e segu rid ad m ed iante softw are esp eciales, las p ru ebas d e d atos; el m od elad o y el softw are u tilitario sern u tilizad os com o sop orte d e los p roced im ientos d e auditoria, a fin de realizar la labor en forma mas eficiente. 1.2.2.7 Anlisis de Resultados y Conclusiones El p aso final en esta fase ser evalu ar los resu ltad os d e la au d itora y llegar a u na op inin sobre los estad os financieros. Tod o el trabajo realizad o, las conclu siones

alcanzad as y los ju icios hechos d eben ind icarse clara y concisam ente ya sea en cd ulas d e papeles de trabajo o memorandos. En el anlisis final d e los resu ltad os d e los p roced im ientos d e au d itora ap licad os, d eber consid erarse, la natu raleza d e las excep ciones y hallazgos en fu ncin d e: recu rrencia, cau sa, natu raleza, efecto d e im p ortancia relativa (seg n los m rgenes establecid os en la p laneacin), d eterm inacin si cad a cu enta im p ortante d e los estad os financieros cu m p le con los requ isitos bsicos d e p resentacin: totalid ad , integrid ad ,

valu acin, p erod o contable (op ortu nid ad ), clasificacin, valid ez y au torizacin y revelacin de conformidad con el marco contable establecido. En este p aso, el p rod u cto final consiste en d eterm inar p ara cad a cu enta im p ortante su d ictam en ind ivid u al, los qu e en conju nto sern la base d el d ictam en sobre los estad os financieros.

17

1.2.3

Fase de Finalizacin e Informe Esta etap a consiste en la revisin final d e cierre d e la au d itora, anlisis d e los

p u ntos generales d e au d itora com o eventos su bsecu entes, revisin d e riesgos finales, y conclu siones sobre la m aterialid ad d e los hallazgos esp ecficos d e auditora p revio a la elaboracin y emisin del informe de auditora. Uno de los pasos principales de esta etapa consiste en la revisin final por parte del p ersonal d e su p ervisin, y d el Director d el equ ip o d e au d itora sobre el trabajo final y el resu ltad o d el p roceso d e au d itora llevad o a cabo, esto no qu iere d ecir qu e nicam ente se realice la revisin al final d e la au d itoria, la revisin p or p arte d e p ersonal con cap acid ad su ficiente es u na activid ad u niform e qu e se realiza d u rante tod a las fases d e auditora, sin embargo, en esta etapa la revisin se realiza d e m anera global p ara concretar cu alqu ier punto importante que haya quedado pendiente durante cualquier fase. Desp u s d e la revisin d el trabajo d e auditora y d el resu ltad o d e las p ru ebas finales d e auditora, tam bin d eben efectu arse p roced im ientos d e cierre p ara revisar asu ntos relacionad os con eventos su bsecu entes qu e p u ed an afectar la razonabilid ad d e los estad os financieros a la fecha d e cierre d e au d itora, tales com o contingencias, asu ntos legales, nu evos p lanes d e la ad m inistracin, habilid ad d el negocio p ara segu ir op eraciones, legislacin d e ap licacin reciente y cu alqu ier otro efecto qu e p u ed a o haya su rgid o entre la fecha d e los estad os financieros y la d e cierre y em isin d el Inform e d e Auditora. En esta etap a se realiza la revisin d e confirm aciones sobre asu ntos im p ortantes como: abogados, Consejo Directivo, confirmaciones de la Gerencia, etc. Otra p arte im p ortante d e esta etapa consiste en revisar si los estad os financieros y su s notas p resentan cifras qu e no slo concu erd an con los libros y registros ya aju stad os, sino tam bin qu e los estad os financieros en conju nto, inclu yend o su form a d e presentacin, cumplan con las normas profesionales aplicables al trabajo. Desp u s d e la revisin global sobre el trabajo d e au d itora se p roced e a realizar el informe de auditora, esta etapa requiere mayor participacin del auditor encargado y es el p rod u cto term inad o. Algu nos asp ectos qu e d eben observarse en la p resentacin d el

informe de auditoria comprende:

18

Utilizacin d e la norm ativa ap licable a la em isin y red accin d el inform e y sobre el tipo de opinin que se va a proporcionar. Exactitud en las cifras incluidas como parte del informe. Inclu ir com entarios qu e estn ad ecu ad am ente su stentad os en los p ap eles d e trabajo. Claridad en la redaccin, sin faltas de ortografa. Uso de palabras sencillas para facilitar su comprensin. Adecuada presentacin, haciendo uso de recursos informticos modernos. 1.3 Consideracin del Efecto en el dictamen de auditoria de estados financieros de la aplicacin de Tecnicas de Auditoria de Sistemas en un ambiente ERP. La norm a 26 "Au d itora en u n Am biente PED" em itid a p or el Institu to Gu atem alteco d e Contad ores P blicos y Au d itores, seala qu e cu and o se au d ita en u n am biente PED d ebe considerarse dos factores principalmente: (a) En la fase d e p laneacin, conocer el efecto qu e tienen los sistem as inform ticos

u tilizad os p or el cliente p ara el p rocesam iento d e su s transacciones y la segu rid ad y adecuacin de los mismos a las operaciones de la entidad. (b) En la fase d e ejecu cin d el trabajo d e au d itora, con base en la inform acin

recabad a y las conclu siones establecid as en la fase d e p laneacin y conocim iento p relim inar, se d ebe d eterm inar la calid ad d e la evid encia a obtener p ara su stentar las conclu siones d e au d itora, p ara la cu al d eber consid erarse el u so d e tcnicas d e au d itora asistidas por el computador. Al realizar la au d itoria financiera d e u na entid ad qu e u tiliza u n sistem a inform tico integrado tip o Enterp rise Resou rce Planning ERP(Planeacin de Recu rsos

Empresariales),

d ebid o al grad o d e com p lejid ad y alto nivel d e integracin d e las

operaciones, resu lta d ifcil id entificar la p ista d e au d itoria, p or lo qu e el au d itor requ iere combinar p roced im ientos d e au d itora d e sistem as y tecnologa d e inform acin p ara

lograr los objetivos. Med iante el u so d e TAACS no solam ente se restablece la p ista, sino qu e el sistem a inform tico se resu lta convirtiend o en recu rso valioso p ara auditoria de un mayor alcance y mejores herramientas de anlisis financiero. d otar la

19

El ap licar este tip o d e tcnicas

en u na au d itoria financiera,

sop ortara m ejores

conclu siones en el Inform e d e au d itoria realizados por el computador, como:

en asp ectos relativos a clculos d irectos

1. Errores en Calculo y Aplicaciones que podran generar ajuste contables importantes. 2. Errores en el calcu lo d e las estim aciones realizad as: Cu entas Incobrables,

depreciaciones, calculo de Intereses y Contingencias. 3. 4. Errores en la valuacin de inventarios al aplicar UEPS o PEPS Om isiones en el costo d e ventas al no ap arecer algu nas transacciones ocu rrid as

durante el ao. 5. Errores en la clasificacin de algunos rubros de gasto.

El CPA deber hacer las pruebas necesarias para determinar las deficiencias observadas en el ERP son m ateriales y p u ed en tener efecto en la elaboracin d e los estad os financieros. Al no encontrar ningu na situ acin qu e p u d iera afectar en form a m aterial los estad os financieros, el CPA tam bin d eber evalu ar el afecto qu e el ERP p u d iera tener en la continu id ad d el negocio. Dad o el alto nivel d e com p lejid ad alcanzad o, el p lan d e recu p eracin en casos d e d esastre cobra u na m ayor relevancia com o u n m ecanism o p ara garantizar la recu p eracin d e los d atos. Esta situ acin tam bin p u ed e llegar a tener u n efecto importante en la calificacin que el auditor pueda dar a su opinin. 1.4 Metodologia de anlisis y evaluacin de riesgos del negocio y su aplicacin a la auditoria de estados financieros 1.4.1 El proceso de evaluacin y gestin de riesgos del negocio ERMCualquier entidad o actividad se realiza con la premisa clave de generar y proveer valor a sus socios y asociados. El valor es maximizado cuando la administracin dirige y establece su estrategia y objetivos en alcanzar un balance ptimo entre el crecimiento y las metas de retorno, los riesgos relacionados, y la utilizacin efectiva y eficiente de sus recursos en el logro de los objetivos de la entidad. La incertidumbre presenta riesgos y oportunidades con potencial para perder y/o

ganar valor. Todas las entidades se enfrentan a dicha incertidumbre, por lo que el principal reto de la administracin es balancear dichos riesgos y oportunidades. El proceso de Administracin de Riesgos ENTERPRISE RISK MANAGEMENT ERM-, provee a la administracin un marco de

20

trabajo para tratar efectivamente la incertidumbre, los correspondientes riesgos y oportunidades, y fortalecer y mejorar la capacidad de la entidad para generar valor. Es u n enfoqu e rigu roso y coord inad o p ara asegu rar y resp ond er a tod os los riesgos qu e p u ed en afectar el logro d e los objetivos estratgicos, op eracionales y financieros d e u na organizacin. Estos inclu yen los riesgos a lo largo y ancho d e la entid ad , en

general el p roceso d e ERM, ayu d a a la entid ad a p roteger la consecu cin d e los objetivos propuestos, evaluando en forma ordenada los riesgos, para establecer prioridades y dirigir la gestin d e riesgos, d e tal m anera qu e tod os los riesgos p u ed an ser ad m inistrad os y llevados a un nivel que la administracin considere tolerable. De acu erd o con el m arco d e control interno COSO ERM, la Administracin del Riesgo del N egocio, -ERM- Ent erprise Risk Managment , est d efinid a com o: p roceso efectu ad o p or la ju nta d irectiva d e la entid ad , la ad m inistracin y su p ersonal, ap licad o estratgicam ente y a lo largo d e la em p resa, d isead o p ara id entificar los eventos

p otenciales qu e p u ed an afectar a la entid ad y ad m inistrar el riesgo d entro d e su m bito interno d e riesgo, p ara p roveer asegu ram iento razonable con resp ecto al logro d e los objetivos organizacionales. Esta definicin establece elementos claves: De acu erd o con la d efinicin d el ERM d escrita anteriorm ente, el riesgo ind ep end ientem ente d e su natu raleza, viene a afectar alg n objetivo esp ecfico p rop u esto p or la entid ad . Dentro d el contexto d el establecim iento d e la m isin y visin d e u na entid ad , la ad m inistracin establece objetivos estratgicos, selecciona la estrategia y El m arco ERM, ad ap ta

establece objetivos alinead os en cascad a a travs d e la entid ad . los objetivos de una entidad en cuatro categoras:

Objetivos estratgicos: Los cu ales relacionan las m etas d e alto nivel d e la entid ad , alinead os y sop ortand o la m isin d e la entid ad . Definen las op ciones d e la ad m inistracin p ara crear valor en el negocio y la eleccin m ism a, as com o la estrategia qu e u tilizar para lograrlo. Objetivos Operacionales: Los cu ales estn relacionad os con el u so efectivo y eficiente d e los recu rsos d e la entid ad . Se refieren a la eficacia y eficiencia d e las op eraciones d e la entid ad , inclu yen los objetivos d e rend im iento, rentabilid ad y salvagu ard a d e los recu rsos contra posibles prdidas.

21

Objetivos de Informacin: Los cuales son relativos a la confiabilidad (reliability) de todo lo qu e la entid ad rep orta a las partes internas y externas. Se refieren a la p rep aracin d e estad os financieros fiables y a la p revencin d e la falsificacin d e la inform acin financiera publicada. A menudo, estos objetivos estn condicionados por requerimientos externos. Objetivos de Cumplimiento: Los cu ales se refieren al cu m p lim iento d e la entid ad con las leyes y regu laciones qu e le son ap licables. Estos objetivos se refieren al cu m p lim iento d e las leyes y norm as a las qu e est su jeta la entid ad . Dep end en d e factores externos (tales com o la reglam entacin en m ateria fiscal, legal o am biental) y tiend en a ser p arecid os en todas las entidades o en un sector. Esta categorizacin p erm ite enfocarse en asp ectos sep arad os d el ERM. Las

d istintas categoras interrelacionad as son d elegad as d entro d e la estru ctu ra organizativa a d iferentes ind ivid u os, d e tal m anera qu e tod os p articip en en la gestin y ad m inistracin d e riesgos. ERM es u n p roceso constante el cu al consiste en crear u na d inm ica qu e permita estar d etectand o y evalu and o en form a p erm anente los riesgos, d e tal m anera qu e aqu ellas reas d eclarad as en zona roja, p u ed an ser transferid as a zona am arilla o verd e, y cu id and o qu e aqu ellas activid ad es qu e p or razones d e crecim iento, tecnologa, competencia u otros factores, se hayan convertid o d e verd e o am arillo a rojo, sean d etectad as y ad m inistrad as op ortu nam ente. administracin ERM, es un proceso constante. La evalu acin d e riesgos o asegu ram iento consiste en los p asos m ed iante los cu ales la ad m inistracin id entifica los eventos (p ositivos y negativos), enfatizand o aqu ellos qu e p u ed en convertirse en u na am enaza im p ortante p ara la entid ad y su s op eraciones, as m ism o analiza y d eterm ina la m agnitu d y p robabilid ad (m ed id a) y en fu ncin d e ello los ordena por la importancia de su efecto. Al finalizar este p roceso, la ad m inistracin es cap az d e contar con u n m ap a d e riesgo, d ond e se u bican la totalid ad d e eventos d esfavorables qu e en u n esp acio tem p oral p u ed e estar afectand o la op eracin d e la entid ad , cu ales tienen m ayor efecto y p robabilid ad y su im p ortancia en fu ncin d e su m agnitu d , tal com o se m u estra en este esquema. En otras p alabras, el p roceso d e

22

1.4.2

Riesgo En trm inos generales, el riesgo es la p osibilid ad d e qu e se efect e u n d ao

importante qu e afecte las activid ad es d e u na entid ad o p royecto. La d eclaracin N o.9 sobre norm as p ara la prctica p rofesional d e la au d itora interna (SIAS 9), em itid a p or el Institu to Am ericano d e Au d itores Internos, seala al riesgo, com o la p osibilid ad d e qu e un evento o accin pueda afectar en forma adversa a la organizacin. Cualquier actividad empresarial puede verse expuesta a diversos tipos de riesgos tales como los siguientes: Informacin financiera distorsionada o inapropiada. Prdida o destruccin de activos fijos o recursos financieros. Costos excesivos/Ingresos deficientes. Sanciones legales. Fraude o robo. Decisiones errneas de la gerencia. Interrupcin del negocio. Deficiencias en el logro de objetivos y metas. Desventaja ante la competencia. Desprestigio de imagen. Los riesgos no se originan p or la falta d e controles, stos existen p or s m ism os y son inherentes a tod a gestin. Los controles se establecen p ara red u cir o m inim izar los riesgos.

1.4.3

Tipos de riesgos Tod a activid ad est su jeta a u na serie d e riesgos qu e p u ed en afectar la consecu cin

de sus objetivos, todos relacionados con distintos grupos de situaciones , las cuales pueden ser clasificad as en d iversas categoras d ep end iend o d el objeto qu e afecte, su origen o causa, la magnitud de su efecto, etc. Algunas clasificaciones generales se presentan a continuacin: a) Riesgos Internos y Externos:

23

Esta clasificacin tom a com o criterio el origen d el riesgo. Los riesgos p u ed en ser la consecu encia d e factores externos o internos a la entid ad y p or end e en cu anto a la factibilidad de controlarlos o manejarlos por parte de la administracin. La siguiente tabla presenta ejemplos generales de riesgos clasificados por su fuente u origen: FUENTES DE RIESGO

FACTORES INTERNOS Infraestructura Complejidad ) (Activos, Cap ital,

FACTORES EXTERNOS Econm icos (Crd ito, Liqu id ez, Mercado, Mercado Financiero) N egocios (Marcas, Competencias, Publicidad) Frau d es,

Personal (Cap acid ad , Frau d e, Ju icio y Criterio Profesional, Segu rid ad , Demandas) Proceso p rod u ctivo (Cap acid ad Instalada, Dependencias, Ejecucin) Tecnologa (Datos, Disp onibilid ad , Capacidad, Seguridad, Confiabilidad)

Tecnolgicos (Datos Externos, Tecnologa emergente, Obsolescencia) Desastres N atu rales (Contam inacin, Energa, Incend io, Torm entas, Terremotos) Poltico/ Social (Leyes, Regu laciones, Dem ografa, Cam bios Sociales, Cambio de Gobierno)

b) Riesgos relacionados con los objetivos del negocio: Este esqu em a p resenta los riesgos observand o el efecto o im p acto d e los m ism os al realizarse. Bajo este enfoqu e se d ebe inicialm ente verificar el tip o d e objetivo y su

natu raleza qu e se afecte con la realizacin d el riesgo. El m arco d e control d e interno d el informe COSO-ERM define 4 tipos de objetivos segn los fines bsicos de la empresa: Continu id ad y Crecim iento d e las Op eraciones d e la Entid ad (estrategia a corto, mediano y largo plazo). Rentabilidad y Efectividad de las Operaciones. Cu m p lim iento ad ecu ad o con Leyes, N orm as operacin de la entidad. Informacin financiera confiable y razonable y Regu laciones ap licables a la

24

Tod o objetivo estar relacionad o con cu alqu iera d e estas cu atro reas, p or lo qu e los riesgos sern clasificad os seg n la natu raleza d el objetivo al cu al afecten al materializarse, as: Riesgo Estratgico: se asocia con la form a en qu e se ad m inistra u na organizacin. El m anejo d el riesgo se relaciona con: asu ntos globales d e m ercad os, clientes, com p etid ores, globalizacin, alianzas, empresas conjuntas y desarrollo de nuevos productos. Riesgo Financiero: se relaciona con las exp osiciones financieras d e u na organizacin. El m anejo d el riesgo financiero im p acta a activid ad es d e tesorera, com ercializacin e inversin, capital de trabajo y reportes financieros, entre otros. Riesgo Operativo: com p rend e tanto riesgos en sistem as com o op erativos, p rovenientes d e d eficiencias en los sistem as d e inform acin, p rocesos, estru ctu ra, qu e cond u cen a p rd id as inesperadas y/o ineficientes. Riesgo de Cumplimiento: se asocia con la cap acid ad d e la organizacin p ara cu m p lir con los requ isitos regu latorios, legales, contractu ales, d e cond u cta d e negocios, d e tica, fiduciarios y de calidad. Riesgo Tecnolgico: se asocia con la cap acid ad qu e tienen los sistem as d e inform acin p ara sop ortar las activid ad es d e la op eracin, u tilizacin d e tecnologa d e p u nta, obsolescencia de tecnologa que pueden llevar a prdidas inesperadas e ineficientes. c) Riesgos segn el nivel de participacin de la administracin Riesgo Absoluto (A bsolute Risk): aplicado Controles Internos. Riesgos Administrados (M anaged Risk): los riesgos y consecu encias d esp u s d e la aplicacin de Control Interno . Riesgo Residual (Residual Risk): el Riesgo que queda cuando las tcnicas de Administracin de Riesgos han sido aplicados. el m xim o riesgo sin los efectos m itigantes d e haber

25

1.4.4

Mtodos de identificacin y definicin de los riesgos. El p aso inicial en la id entificacin d e los riesgos lo constitu ye la id entificacin d e

los objetivos a fin d e d eterm inar las areas criticas a asegu rar (activid ad es auditables). Estas pueden definirse en base a factores tales como los siguientes: Por la ubicacin fsica de las distintas unidades operativas. Por los ciclos de operaciones que realiza el negocio. Por departamentos o subsidiarias. Por rubros especficos relacionados con los estados financieros. Por distribuciones geogrficas. Por centros de costo Por una mezcla de los criterios anteriores. Para cad a u na d e las activid ad es au d itables se har u na evalu acin d e los niveles d e riesgos, consid erand o su p robabilid ad d e ocu rrencia y el im p acto qu e tend ran en los estados financieros. N o tod as las activid ad es tienen el m ism o nivel d e im p ortancia. Algu nas d e estas activid ad es tienen u n m ayor im p acto en los estad os financieros y a stas d eber prestrseles una mayor atencin para identificar los riesgos propios de esa actividad. Partiend o d e u na ad ecu ad a id entificacin d e las activid ad es au d itables es p osible analizar cu ales son los riesgos qu e p u ed en afectar a esa activid ad , su im p acto y la p robabilid ad d e qu e ocu rran. Com o resu ltad o d e la ad m inistracin d e los riesgos, stos van siend o red u cid os a u n nivel acep table, lo cu al p erm ite d efinir nu evas p riorid ad es las cuales se vuelven cambiantes. Partiend o d e la id entificacin d e las activid ad es au d itables y d e los riesgos relacionad os con cad a activid ad es p osible calificar los riesgos. Bajo un enfoqu e d e riesgo orientad o a la au d itoria d e estad os financieros, el nivel d e calificacin d e cad a riesgo d ep end er d el grad o d e im p acto qu e su ocu rrencia tend ra en los estad os financieros y la p robabilid ad d e qu e el riesgo ocu rra, tom and o en consid eracin el nivel d e eficiencia d el sistem a d e control interno. As, p or ejem p lo, en cu alqu ier em p resa com ercial los

26

inventarios y cu entas por cobrar rep resentan los ru bros d e m ayor im p acto en los estad os financieros. Esto lleva a consid erar los riesgos relacionad os con estas d os reas com o d e alto im p acto. La evalu acin d e los controles internos p or otro lad o, p u ed e llevar a u na calificacin d e baja ocu rrencia p ara las cu entas p or cobrar, d esp u s d e analizar tod os los p rocesos relacionad os con esta rea y p robar el fu ncionam iento d e los controles. Para los inventarios, sin em bargo, p u ed e consid erase u na tasa d e p robabilid ad alta, si se tom an en cu enta las d eficiencias p robables en el sistem a d e control interno en su conju nto (bod egas con d eficiencias fsicas en su fu ncionam iento, registros au xiliares qu e son conciliad os con las cifras que reporta la contabilidad y falta de planeacin en la toma fsica de inventarios). Si se clasifican las activid ad es au d itables en u n m od elo d e p iscina d e riesgos en la cu al d e acu erd o con el grad o d e p eligro se clasifican com o tortu gas (verd e), d elfines (am arillo) y tiburones (rojo), se llegara a la conclu sin d e qu e tanto los inventarios com o las cu entas p or cobrar d eben ser clasificad os com o tibu rones, p ero u no d e ellos se sit a en zona amarilla, en tanto que el otro en zona roja. Esta calificacin nos permite definir prioridades en la p laneacin d e la au d itoria. Al d efinir p riorid ad es concentram os el trabajo d e auditora en las reas rojas, las cu ales rep resentan el m ayor riesgo en cu anto a qu e la administracin debe tomar medidas para prevenir contingencias en dicha rea. Identificacin de Riesgos: La id entificacin d e Riesgos (Risk Id entification) corresp ond e al p roceso y mtodo de identificar un riesgo as como de definir su importancia (priorizacin ordinal o card inal) en fu ncin d e varias alternativas, p royectos o u nid ad es(21:12). Esta es u na d e las fases m s im p ortantes d el p roceso d e ERM, im p lica realizar conjetu ras acerca d e am enazas relevantes y p osibles op ortu nid ad es qu e pudran afectar a la entid ad y el logro de sus metas. La Ev aluacin de Riesgos- (Risk Assessment ), - tiene p or objetivos la id entificacin d e riesgos, la m ed icin d el im p acto negativo qu e el riesgo im p lica p ara las op eraciones, y la p robabilid ad d e su ocu rrencia. Com o resu ltad o d e este p roceso se ap lica u na

calificacin al riesgo seg n su grad o d e im p ortancia. Este p roceso es p or d efinicin u n proceso ms amplio y complementario a la identificacin de riesgos propiamente dicha. El proceso de identificacin de riesgos requiere, entre otros:

27

1. Obtener u n conocim iento com p leto sobre el am biente d e negocios d e la entid ad (asegu ram iento d e riesgos a nivel m acro), as com o u n entend im iento total d e los p rocesos clave d e la entid ad (asegu ram iento d e riesgos a nivel m icro), esto es obtenid o d e d iversas fu entes com o entrevistas y observaciones con el p ersonal, lectura de informes y/o indicadores de la empresa, informacin estadstica o gremial sobre el ambiente de negocios de la entidad, etc. 2. Determ inar u n bosqu ejo general sobre el conju nto d e p osibilid ad es qu e afectan a la entidad, esto a travs de establecer relaciones en el proceso y contestar una pregunta sim p le QUE PUEDE SALIR MAL y EN QUE PODEMOS FALLAR. Algu nas bases o fuentes principales para realizar este anlisis incluyen: a. Realizar analogas con op eraciones sim ilares, p or ejem p lo, a travs d e informacin estadstica y/o gremial. b. Investigaciones previas de la entidad y sus procesos c. Investigaciones sobre la industria en la que opera. d. Informacin en revistas o artculos relacionados. e. Exp eriencia a travs d e talleres d e llu via d e id eas con el equ ip o encargad o y sistema de multivoto. 3. Un m tod o bsico qu e p erm ita generar en form a razonable y u niform e u na lista d e posibles riesgos. 4. Involu crar u n equ ip o m u ltid iscip linario y conoced or d e los p rocesos d el negocio (los dueos del proceso). El p u nto d e p artid a p ara la id entificacin d e los riesgos lo p u ed e constitu ir u na base estandarizada d e riesgos, estos com p rend en u n inventario d e riesgos generales qu e p u ed en ap licarse a cu alqu ier em p resa. Partiend o d e d icha base la ad m inistracin p u ed e id entificar cu ales d e d ichos riesgos son ap licables a su activid ad esp ecfica. A los riesgos all contenid os el ad m inistrad or ad icionar nu evos concep tos d e riesgo a fin d e llegar a integrar una base ms amplia.

28

Calificacin de riesgo La calificacin d el riesgo se refiere al p roceso ap licad o p ara clasificar los riesgos seg n su nivel d e im p ortancia. Este p roceso p u ed e consistir en u n p roceso d e

clasificacin absolu ta el cu al u tiliza valores d e m ed icin p ara clasificar los riesgos en orden descendente. Conform e a este sistem a, la tasa d e severid ad es m u ltip licad a p or la tasa d e p robabilid ad p ara calcu lar la calificacin total. Dicho total se d istribu ye en intervalos im p ares o prop orcionales d e m anera qu e la m ayora d e calificaciones cae en los intervalos inferiores. Riesgo en general Bajo Por debajo del promedio Mediano Arriba del promedio Alto Calificacin total 1a5 a 10 11 a 15 16 a 20 21 a 25

1.4.5 Enfoque de auditoria de estados financieros utilizando el proceso de anlisis de riesgos del negocio Com o se exp lico en p u ntos anteriores, el m od elo COSO establece la evalu acin d e riesgos com o u no d e los com p onentes ms im p ortantes d el sistem a d e control interno. El grad o d e form alid ad qu e la ad m inistracin d el negocio ad op te en la im p lem entacin d el riesgo se trad u cir en u n elem ento d e confianza para la elaboracin d e inform acin financiera. Para llevar a cabo u n p roceso d e au d itoria, se hace necesario consid erar u n m tod o o p u nto d e vista, el cu al norm alm ente es conocid o com o enfoqu e. En el Rep orte sobre Au d itabilid ad y Control d e Sistem as - Systems A uditability and Control ESA C Report em itid o p or el Institu to d e Au d itores Internos en 1994 - d efine al enfoqu e general d e au d itoria basad o en riesgos com o alcanzar los objetivos d e control d e la au d itora, tom and o en cu enta el costo y los beneficios d e los p roced im ientos a realizar, su natu raleza

29

y extensin; y p or otra p arte, el u so d e p roced im ientos d e aud itora, m tod os, herram ientas y tcnicas p ara red u cir el riesgo d e au d itora. Este enfoqu e d e au d itora est orientado a evalu ar p rioritariam ente el efecto d e los riesgos p rop ios d el negocio com o u n eje central p ara el anlisis d e la ad ecu acin d e los controles establecid os p or el gobierno corp orativo y su efectivid ad en la red u ccin d e eventos d esagrad ables (d aos), as com o tod os los elem entos qu e intervienen en la op eracin d e la entid ad y en la im p lantacin d e controles. Trad icionalm ente los au d itores han visto nicam ente fu nciones y p roced im ientos ind ep end ientes, lo qu e d ificu ltaba ver las interrelaciones d e riesgo en el entorno d e la com p aa. Con el enfoqu e basad o en riesgos (anlisis d e la estru ctu ra d e gestin d e riesgos ERM-), el equ ip o d e au d itoria p u ed e ser ap to p ara agregar m ayor valor a su s hallazgos d e au d itoria y recom end aciones, en el contexto d el riesgo d e la organizacin total a travs d e u nirlos y relacionar los resu ltad os al contexto total d e la evalu acin y aseguramiento de riesgo. RISK BASED AUDIT (RBA) extiend e y m ejora el m od elo d el asegu ram iento d el riesgo a travs d e cam biar la visin d el au d itor. En lu gar d e ver al p roceso d e negocios

dentro de una sistema de control interno, el auditor lo ve dentro de un ambiente de riesgo. En lu gar d el esqu em a trad icional d e d escribir los p rocesos p ara id entificar los controles involu crad os en las d iferentes etap as d el p roceso, el au d itor d efine los riesgos e id entifica cu ales son los controles qu e contribu yen a m inim izarlos. Esto es u n cam bio total d e p arad igm a: u n au d itor enfocad o al riesgo ad hiere m ayor valor a la organizacin qu e u n auditor que se enfoca en los controles solamente. Este es u n enfoqu e m eram ente d e au d itoria interna, sin em bargo actu alm ente ap licable al enfoqu e d e au d itoria externa, d erivad o d e la im p ortancia d e la ad m inistracin d e riesgos d entro d el contexto d e la com p aa, p rincip alm ente en la realizacin d e los objetivos qu e asegu ren la confiabilid ad d e la inform acin financiera. Para extend er m ayor valor a sus clientes el auditor debe enfocarse mayormente al futuro que al pasado. As, el au d itor p u ed e enfocarse m ayorm ente en los asu ntos qu e generan p roblem a p ara el au d itor. En ocasiones este cam bio d e p arad igm a p u ed e ser d ifcil en lu gar d e id entificar los controles y p robarlos, la au d itora basad a en riesgos trata d e id entificar los riesgos y d eterm inar com o la ad m inistracin los m aneja. La m ayora d e p rocesos d e

30

ad m inistracin d e riesgos

y su s tcnicas envolvern controles, p ero el au d itor ahora

p robar qu tan bien los riesgos estn siend o m anejad os, evalu and o lo ad ecu ad o d el control ms que los controles sobre el riesgo son adecuados y efectivos. La im p lem entacin d el p roceso d e Evalu acin d e riesgos d el N egocio, d em and a a la ad m inistracin la form alizacin y sistem atizacin d e su p lan d e gestin d e riesgos y el levantam iento d etallad o d e los p rocesos realizad os p or la organizacin en relacin con las d iferentes etap as d el sistem a contable. Med iante tcnicas tales com o d escrip ciones

narrativas o flu jogram as, la ad m inistracin d eber d ocu m entar los d iferentes p rocesos, d efinir los riesgos involu crad os en cad a p roceso, e id entificar los controles ap licad os p ara m inim izar los riesgos, esto d ebe pertenecer a u n p roceso form al d e ad m inistracin d e riesgos d e conform id ad con el m od elo COSO. El rol d el au d itor financiero bajo este enfoqu e es revisar d icho p roceso p ara asegu rar qu e se estn m anejand o los riesgos clave en forma oportuna y optima, asegurar que la informacin relativa a riesgos se conoce a lo largo y ancho d e la entid ad y valid ar revisand o la documentacin d el sistem a, para conocer cu ales son las reas d e riesgo relevantes p ara el enfoqu e d e su trabajo y m ed iante una calificacin de riesgos elaborar programas a la medida. Esto implicar la identificacin d e los controles relevantes y p ru ebas d e cu m p lim iento al fu ncionam iento d e d ichos controles para asegurar la minimizacin del riesgo. Para aqu ellos controles qu e no estn fu ncionand o ad ecu ad am ente, el au d itor d eber inclu ir su gerencias p ara su fortalecim iento en la carta d e recom end aciones. Para fines de elaboracin del programa de auditoria,

1.4.6 Relacin de la Evaluacin de Riesgos de Negocios con el Riesgo de Auditora El p roceso d e valoracin d el riesgo qu e d ebe realizarse p ara verificar la op eracin d e u na entid ad , es d iferente d e la valoracin d el riesgo d e auditora qu e realiza el au d itor sobre los estad os financieros d e u na entid ad , la p rim era trata sobre la id entificacin y m anejo d e tod as las circu nstancias y situ aciones qu e p u ed en afectar el ad ecu ad o logro d e los objetivos y estrategias d e la entid ad , m ientras qu e la valoracin realizad a p or el

au d itor nicam ente tiene d e base el anlisis d e aqu ellos riesgos qu e p u ed en influ enciar el riesgo de declaracin incorrecta no detectada en la revisin de los estados financieros.

31

El riesgo d e auditora est enm arcad o seg n las N orm as d e Auditora Generalm ente Acep tad as em itid as p or el Institu to Gu atem alteco d e Contad ores P blicos y Auditores como: El riesgo d e qu e exista u na d eclaracin incorrecta error e

irregularidad- importante en una aseveracin de los estados financieros(19:10). En au d itora el riesgo est d efinid o com o u na com binacin entre la p osibilid ad d e la existencia d e errores significativos o irregu larid ad es en los estad os financieros y el hecho d e qu e los m ism os no sean d escu biertos p or m ed io d e p roced im ientos d e control d el cliente o d el trabajo d e au d itora. clases: Para este efecto el riesgo est integrad o en tres

RIESGO DE AUDITORIA: COMBINACION DE TRES FACTORES Riesgo Inherente La p robabilid ad d e qu e el p roceso contable se vea afectad o p or la existencia d e errores significativos relacionad os con la natu raleza y com p lejid ad de las transacciones efectu ad as p or la entid ad . Algu nos au tores lo han id entificad o com o Riesgo Inherente. Riesgo de Control El riesgo relacionad o con la noefectivid ad de los controles establecidos p or el cliente, para d etectar, p revenir y corregir errores e irregu larid ad es, a ste se le d enom ina Riesgo d e Control. Riesgo de Deteccin Riesgo d e qu e a n d esp u s d el control interno, los p roced im ientos ap licad os p or el Au d itor, no sean suficientes o ad ecu ad os con relacin a los errores o irregu larid ad es qu e p u ed an p resentar los estad os financieros, p or lo qu e stos no son d etectad os, ste es conocid o com o el riesgo d e au d itora y com p rend e el riesgo d e m u estreo y el riesgo de evid encia inadecuada.

Para d eterm inar la op ortu nid ad y alcance d e su s p roced im ientos d e au d itora el au d itor necesita evalu ar el nivel d e riesgo d e au d itora, p ara lo cu al existen varias

m etod ologas, entre las cu ales la m s u tilizad a consiste en u na m atriz d e riesgo, la cu al tiene com o objetivo d istribu ir los d iferentes riesgos en fu ncin d e la p osibilid ad d e qu e ocu rran o no, p ara lo cu al se les d esigna com o alto, m od erad o y bajo. De esta form a si u n riesgo es d efinid o com o alto, se requ erir m ayores p ru ebas qu e si es consid erad o con riesgo bajo.

32

La evalu acin d e riesgos es u tilizad a p ara id entificar, m ed ir y p riorizar riesgos con el fin d e qu e el m ayor esfu erzo sea realizad o p ara id entificar las reas au d itables d e m ayor relevancia. Bajo ese contexto, tanto las d eclaraciones sobre norm as d e au d itora (SAS.- Statement on A uditing Standards), las d eclaraciones p ara la p rctica p rofesional d e la au d itora interna (SIAS.- Statem ents on Internal Au d iting Stand ard s), y las d eclaraciones p ara la p rctica p rofesional d e au d itora d e sistem as (SISAS.- Statem ents on Inform ation System s Au d iting Stand ard s), establecen lineam ientos en m ateria d e riesgos qu e los au d itores d eben responsabilidades. La SAS 47, El riesgo d e au d itora y la im p ortancia d e la realizacin d e la m ism a, seala qu e la existencia d el riesgo d e au d itora est im p lcita en la frase en nuestra op inin, y qu e el riesgo d e au d itora es el riesgo qu e corre el au d itor d e no m od ificar, inadvertidamente y en form a ap rop iad a, su op inin sobre los estad os financieros qu e se p resentan incorrectam ente en im p ortes consid erables. Establece, asim ism o, qu e el au d itor d ebe p lanear la au d itora p ara qu e el riesgo antes sealad o se lim ite a u n nivel bajo qu e sea, a su ju icio p rofesional, ap rop iad o p ara em itir u na op inin sobre los estad os financieros, qu e el riesgo d e au d itora p u ed e evalu arse en trm inos cu antitativos o no cu antitativos, y qu e el au d itor necesita consid erarlo a nivel d e cu enta o clase d e transacciones individuales. De igual manera, el SIAS 9 Valuacin de riesgos, establece que como parte de los planes establecidos para llevar a cabo las responsabilidades del departamento de auditora interna, se d ebe efectu ar u na valu acin d e riesgos con relacin a su organizacin, y seala como elementos del proceso de evaluacin: Identificacin de las actividades auditables. Identificacin de factores de riesgo que son relevantes a las actividades auditables. Evaluacin de los factores de riesgo. Al d esarrollar el p lan global d e au d itora, el au d itor d ebera evalu ar el riesgo inherente a nivel d el estad o financiero. Al d esarrollar el p rogram a d e au d itora, el au d itor d ebera relacionar d icha evalu acin a nivel d e aseveracin d e sald os d e cu enta y clases d e observar p ara realizar un bu en trabajo y cu m p lir con su s

33

transacciones d e im p ortancia relativa, o asu m ir qu e el riesgo inherente es alto p ara la aseveracin. Para evalu ar el riesgo inherente, el au d itor u sa ju icio p rofesional p ara evalu ar numerosos factores, cuyos ejemplos son: A nivel del estado financiero La integridad de la administracin La exp eriencia y conocim iento d e la ad m inistracin y cam bios en la administracin d u rante el p erod o, p or ejem p lo, la inexp eriencia d e la ad m inistracin p u ed e afectar la preparacin de los estados financieros de la entidad. Presiones inu su ales sobre la ad m inistracin, p or ejem p lo, circu nstancias qu e p od ran p red isp oner a la ad m inistracin a d ar u na rep resentacin errnea d e los estad os financieros, tales com o el qu e la ind u stria est p asand o p or u n gran nmero de fracasos de negocios o u na entid ad qu e carece d e su ficiente cap ital p ara continuar operaciones. La natu raleza d el negocio d e la entid ad , p or ejem p lo, el p otencial p ara obsolescencia tecnolgica d e su s p rod u ctos y servicios, la com p lejid ad d e su estru ctu ra d e cap ital, la im p ortancia d e las p artes relacionad as y el n m ero d e locaciones y diseminacin geogrfica de sus instalaciones de produccin. Factores qu e afectan la ind u stria en la qu e op era la entid ad , p or ejem p lo, cond iciones econm icas y d e com p etencia seg n id entificad as p or las tend encias e nd ices financieros, y cam bios en tecnologa, d em and a d el consu m id or y p rcticas de contabilidad comunes a la industria. 1.4.7 El riesgo informtico y su relacin con el riesgo de Auditora. El d esarrollo d e los sistem as inform ticos ha venid o constitu ynd ose en u na fu ente d e p rim ord ial im p ortancia p ara el d esarrollo d e las organizaciones. La inform acin y com u nicacin constitu ye u no d e los elem entos bsicos d el sistem a d e control interno, seg n lo reconoce el m od elo COSO(Comitee of Sponsoring Organizations) . Esta inform acin flu ye a travs d e los d istintos niveles d e la organizacin gracias al constante crecim iento d e la tecnologa inform tica. Dep end iend o d e la natu raleza d e las operaciones d e cad a

34

u nid ad econm ica y d e la visin qu e la ad m inistracin d esarrolle, los sistem as inform ticos p u ed en alcanzar u n alto grad o d e involu cram iento en la gestin op erativa. Para entid ad es qu e p or ejem p lo se d esem p ean en el sector financiero, el u so d e sistem as inform ticos d e alta tecnologa es ind isp ensable p ara p rop orcionar u n servicio eficiente a su s clientes y p ara agilizar el p roceso d e tom a d e d ecisiones. indispensable para poder subsistir. Para entidades comerciales, industriales y de servicios, principalmente aquellas con op eraciones en u nid ad es geogrficas d istintas, el u so d e sistem as inform ticos com p lejos es tambin indispensable. La tecnologa ERP ha venid o a d arle u n m ayor grad o d e involu cram iento a los sistem as inform ticos y a generar consecu entem ente u n m ayor grad o d e d ep end encia en los sistem as, a tal grad o d e qu e si stos fallan, au tom ticam ente la gestin op erativa se paraliza. Los sistemas ERP permiten llevar un detalle con una visin integral del recorrido d e tod as las transacciones en cad a ciclo d e las op eraciones y acu m u lar inform acin p ara generar ind icad ores qu e agilicen el p roceso d e tom a d e d ecisiones. Esta caracterstica ocasiona cad a vez u n m ayor grad o d e d ep end encia p or p arte d e la ad m inistracin en relacin a d ichos sistem as. Cad a d a las em p resas estn invirtiend o m iles y m iles d e quetzales para alcanzar un mayor grado de desarrollo en sus sistemas informticos. En este contexto, el riesgo inform tico ad qu iere u na connotacin d e alta relevancia en la gestin ad m inistrativa. La evalu acin d e los riesgos relacionad os con el rea d e informtica, en un modelo COSO-ERM d em and a qu e la organizacin p erm anezca atenta a nu evos riesgos qu e p u ed an su rgir en esta rea, crea u n m ecanism o p ara evalu arlos en form a p erm anente y tom e las m ed id as necesarias p ara ad m inistrar el riesgo y m inim izarlo. Algu nos d e los riesgos qu e la ad m inistracin d eber consid erar en relacin con esta rea son los siguientes: . Riesgo d e continu id ad , el cu al im p lica contar con u n p lan d e recu p eraciones en casos d e d esastre, qu e garantice u na p ronta reanu lacin d e las op eraciones inclu so en cond iciones de dificultad extrema. . Riesgo d e obsolescencia, el cu al se refiere a la p osibilid ad d e colocarse en situ aciones d e d esventaja resp ecto a los servicios qu e p resta la com p etencia, y d e incu rrir en altos costos En otras p alabras, es

35

d e m antenim iento p ara d ar sop orte a sistem as qu e no van d e la m ano con los cam bios tecnolgicos ms recientes. . Riesgo d e accesos no au torizad os tanto d e fu ente externa (hackers) com o d e fu ente interna (u su arios). Estos accesos p u ed en referirse tanto a las bases d e d atos com o a los programas de produccin y pueden degenerar en fraudes. . Riesgo d e p ersonal, el cu al se refiere a la p rd id a d e recu rsos hu m anos los cu ales la

em p resa ha form ad o con u n alto grad o d e inversin y qu e p u ed en em igrar a otras empresas o incluso a la competencia, ocasionando desajustes en la gestin del negocio. Desde el punto de vista de auditora, el auditor deber considerar el grado de impacto que las diferentes aplicaciones en produccin puedan tener en los estados financieros. En algunos casos la pista de auditora estar totalmente integrada a la caja negra y el acceso a la misma depender en alto grado de la capacidad del auditor para acceder dicha caja. Consideraciones tales como el formato en que estn grabados los datos o los ambientes de organizacin de las bases de datos (Oradle, Informix y otros) formarn parte de los elementos para definir una estrategia de acceso a los datos. El auditor deber asignar al sistema informtico una calificacin de nivel de complejidad bajo, moderado o alto para incluir un especialista en el equipo de auditoria y garantizar el acceso a los datos en ambientes en que la nica forma de generar la pista de auditora es a travs de utilizar con eficiencia los recursos de los sistemas informticos.

36

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

CAPITULO II EVALUACIN DEL CONTROL INTERNO COMO EJE CENTRAL DE LA PLANEACIN DE AUDITORA EN UN AMBIENTE DE SISTEMAS ENTERPRISE RESOURCE PLANNING PLANEACION DE RECURSOS EMPRESARIALES-

2.1

Control Interno Es imperativo que toda actividad se encuentre adecuadamente organizada y que se

ejecute con base a un ordenamiento previamente definido, que dirija las actividades de todos aquellos que participan en ella, a fin de que se logre el objetivo cualquiera que ste sea, adicionalmente se debe tener un sistema de retroalimentacin que permita verificar el logro del objetivo propuesto y determinar las acciones correctivas en caso de distorsiones no planificadas. Este papel lo juega el control interno.

2.1.1 El Control Interno para efectos de una auditora de estados financieros segn la Norma 14 del Instituto Guatemalteco de Contadores Pblicos y Auditores - IGCPA Las Normas Generales de Auditora relativas la Ejecucin del Trabajo indican: El auditor debe obtener el conocimiento suficiente de la estructura de control interno para planificar la auditora y determinar la naturaleza, oportunidad y alcance de las pruebas sustantivas. Adicionalmente, en la Norma de Auditoria Generalmente Aceptada No.14, se identifican las consideraciones sobre la estructura del control interno, su conocimiento y evaluacin, que el Auditor debe tomar en cuenta al ejecutar una Auditora de Estados Financieros con el objetivo especfico de poder planificar los procedimientos de auditora. De acuerdo con esta Norma, la estructura de control interno consiste en las polticas y procedimientos establecidos para proporcionar seguridad razonable de poder lograr los objetivos especficos de la entidad; para efectos de una auditoria de estados financieros, la

37

estructura de control interno cuenta con tres elementos: el Ambiente de control, el Sistema Contable y los Procedimientos de control. De una forma grfica, se puede presentar as:

ESQUEMA GENERAL DE LOS ELEMENTOS DEL CONTROL INTERNO

OBJETIVOS
Estados Financieros Confiables. Salvaguarda Cumplimiento

El Ambiente de control es definido como: el efecto colectivo de varios factores en establecer, realzar o reducir la efectividad de procedimientos y polticas especficos, dentro de los cuales se incluyen: la filosofa de la Gerencia, estructura organizativa, funcionamiento del Consejo de Administracin, polticas y prcticas de personal. En general, el ambiente de control corresponde a la base del sistema de control interno, puesto que la combinacin de estos factores: actitud de la Gerencia y prioridad que se le d a cualquier actividad realizada, definir en gran medida su efectividad y el logro de los objetivos. Esto proporcionar al auditor una base para la formacin de su criterio, sobre la confiabilidad de los estados financieros y del sistema en s. El segundo elemento incluido es el Sistema contable, y consiste en una serie de actividades y herramientas, que se realizan para reflejar de una forma estructurada los distintos tipos de transacciones que afectan a la empresa. Incluye desde que la operacin se conoce e identifica hasta que se rinde un informe sobre la misma. consideran dentro de este componente por la Norma son: Los aspectos que se

38

Tipos de Transacciones que se deben reportar y reflejar en los estados financieros. Forma en que se inician y conocen los hechos econmicos. Documentos de soporte. Distintos registros mantenidos El sistema informtico utilizado Pasos del proceso de informacin contable Las Actividades de control son consideradas como factor determinante para lograr el objetivo del Control Interno, debido a que las mismas son todas aquellas normas y procedimientos (que constituyen las acciones necesarias para implementar las polticas) que pretenden asegurar que se cumplen las directrices que la direccin ha establecido con el fin de controlar los riesgos (9:67). La presencia o falta de estos procedimientos afectarn la eficiencia del sistema como un todo, por lo que el auditor debe obtener un conocimiento completo de su existencia y operacin efectiva durante el perodo sujeto a su examen.

2.1.2

El Control interno bajo el enfoque del informe COSO (Committee of Sponsoring Organizations of the Treadway Commission Comit de la Comisin Treadway-) Como una alternativa a la norma 14, se encuentra el marco conceptual del reporte del

Committee of Sponsoring Organizations of the Treadway Commission COSO,

en este

enfoque el concepto de control interno se considera desde perspectivas ms completas, definindolo como: Proceso efectuado por el consejo de administracin, la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras: eficacia y eficiencia de las operaciones, fiabilidad de la informacin financiera, cumplimiento de las leyes y normas aplicables(8:33), por lo que los objetivos de control interno se clasifican en: Operacionales. Al orientarse a lograr la utilizacin eficaz y eficiente de los recursos de la entidad. En este rubro se enmarca el rendimiento y rentabilidad de las operaciones de la empresa, la salvaguarda de los recursos contra posibles prdidas, etc.

39

Informacin Financiera.

Como medio de retroalimentacin y toma de decisiones, a

travs de la preparacin y publicacin de informacin financiera confiable. Estos objetivos orientan el enfoque a prevenir el fraude mediante distorsin de la informacin financiera. Cumplimiento. Referente a promover la adhesin a las leyes y normas tanto internas como externas a las que la entidad est sujeta. Para lograr estos objetivos, el enfoque COSO considera que la estructura de control interno debe ser integral, incluyendo cinco componentes, los cuales se interrelacionan entre s con los objetivos empresariales, de tal manera que los objetivos son lo que se quieren hacer y conseguir, los componentes todos los requisitos que se necesitan alinear y asegurar de forma que se logren dichos objetivos, segn se presenta en la figura siguiente:

COMPONENTES DEL CONTROL INTERNO Y OBJETIVOS EMPRESARIALES

OBJETIVOS EMPRESARIALES

MONITOREO INFORMACION Y

COMPONENTES
ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS

AMBIENTE DE CONTROL

40

Entorno de Control: EI entorno de control marca la pauta del funcionamiento de una organizacin e influye en la concienciacin de sus empleados respecto al control. Es la base de todos los dems componentes del control interno, aportando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores ticos y la capacidad de los empleados de la entidad, la filosofa de direccin y el estilo de gestin, la manera en que la direccin asigna la autoridad y responsabilidades y organiza y desarrolla profesionalmente a sus empleados y la atencin y orientacin que proporciona el consejo de administracin. Evaluacin de riesgos: Cada entidad se enfrenta a diversos riesgos externos e internos que tienen que ser evaluados. Una condicin previa a la evaluacin del riesgo es la identificacin de los objetivos a los distintos niveles, vinculados entre s e internamente coherentes. La evaluacin de los riesgos consiste en la identificacin y el anlisis de los riesgos relevantes para la consecucin de los objetivos y sirve de base para determinar cmo han de ser gestionados los riesgos. Debido a que las condiciones econmicas, industriales, legislativas y operativas continuarn cambiando, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio. Actividades de control: Las actividades de control son las polticas y los procedimientos que ayudan a asegurar que se llevan a cabo las instrucciones de la direccin. Ayudan a asegurar que se toman las medidas necesarias para controlar los riesgos relacionados con la consecucin de los objetivos de la entidad. Hay actividades de control en toda la organizacin, a todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversa como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa, salvaguarda de activos y segregacin de funciones.

41

Informacin y comunicacin: Hay que identificar, recopilar y comunicar informacin pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas informticos producen informes que contienen informacin operativa, financiera y datos sobre el cumplimiento de las normas que permiten dirigir y controlar el negocio en forma adecuada. Dichos sistemas no slo manejan datos generados internamente, sino tambin informacin sobre acontecimientos externos, actividades y condiciones relevantes para la toma de decisiones de gestin, as como para la presentacin de informacin a terceros. Tambin debe haber una comunicacin eficaz en un sentido ms amplio, que fluya en todas las direcciones a travs de todos los mbitos de la organizacin de arriba hacia abajo y a la inversa. El mensaje por parte de la alta Direccin a todo el personal ha de ser claro: las responsabilidades del control han de tomarse en serio. Los empleados tienen que comprender cual es su papel en el sistema de control interno y cmo las actividades individuales estn relacionadas con el trabajo de los dems. Por otra parte, han de tener medios para comunicar la informacin significativa a los niveles superiores. Asimismo, tiene que haber una comunicacin eficaz con terceros, como clientes, proveedores, organismos de control y accionistas. Supervisin: Los sistemas de control interno requieren supervisin, es decir, un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisin continuada, evaluaciones peridicas o una combinacin de ambas cosas. La supervisin continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de direccin y supervisin como otras actividades llevadas a cabo por el personal en la realizacin de sus funciones. El alcance y la frecuencia de las evaluaciones peridicas dependern esencialmente de una evaluacin de los riesgos y de la eficacia de los procesos de supervisin continuada. Las deficiencias detectadas en el control interno debern ser notificadas a niveles superiores, mientras que la alta direccin y el consejo de administracin debern ser informados de los aspectos significativos.

42

2.1.3 Comparacin de los conceptos de control interno - Norma 14 del Instituto Guatemalteco de Contadores Pblicos y Auditores - IGCPA y el marco COSO. La diferencia principal entre los conceptos sobre control interno de la Norma 14 y el informe COSO, radica en que la primera fue emitida con el objetivo de apoyar el trabajo del Auditor en la planeacin de una auditoria financiera, mientras que el segundo presenta una perspectiva de la estructura de control interno ms amplia, ligada a la estructura de control corporativo en todas sus reas y logro de objetivos empresariales. Otras diferencias entre el enfoque COSO y la Norma 14, se presentan en el siguiente esquema: DIFERENCIAS ENTRE LA NORMA 14 Y EL ENFOQUE COSO
CARACTERISTICAS DEFINICION NORMA 14 (Clsico) Conjunto de Normas y Polticas. COSO Proceso General que permite el fin. Establece Responsabilidad directa de las personas a cargo de su ejecucin. Au nqu e el enfoqu e COSO es m s am p lio, am bos nicam ente p rop orcionan u n grad o d e segu rid ad razonable y se orientan a lograr los objetivos propuestos en ciertas reas. OBJETIVOS Salvaguarda Informacin Financiera Cumplimiento Logro d e Objetivos d e la entid ad , en tres categoras: Operacional Financieros Cumplimiento. COMPON EN TES D E LA ESTRUCTURA Ambiente de Control Procedimientos de Control. Sistema Contable Ambiente de Control Evaluacin de Riesgos Actividades de Control Informacin y Comunicacin Monitoreo

43

El enfoque COSO agrega nuevas categoras a los componentes de la estru ctu ra d e control interno, u tilizand o ad em s categoras m s am p lias qu e el enfoqu e d e la N orm a 14. COSO analiza u n m arco m s am p lio a lo largo d e la em p resa, el p roceso y los m tod os d e com u nicacin, d ond e se inclu ye entre otros, el Sistema Contable.

2.2

Etapas de evaluacin de la estructura de control interno como eje central de la Planeacin de la auditoria basada en riesgos La evaluacin del sistema de control interno se realiza con el fin de conocer y

analizar la forma en que se elaboran los estados financieros de una entidad, para obtener evidencia comprobatoria relativa a las aseveraciones de la gerencia, de tal forma que no exista ninguna declaracin incorrecta importante. Las normas definen una declaracin incorrecta importante como una revelacin dentro de los estados financieros, un error o irregularidad que individualmente o en conjunto tendra un efecto importante en los estados financieros tomados en conjunto. La evaluacin de la estructura de control interno es la base principal para distintas decisiones de planeacin que el auditor realiza en su trabajo de auditora de estados financieros, ms en el caso de una auditora basada en riesgos. Como se explic

anteriormente, la estructura de control interno bajo los parmetros del enfoque del Informe COSO, incluye dentro de su ambiente el proceso de evaluacin y administracin de riesgos del negocio, lo que se conoce como Enterprise Risk Management ERM-, proceso bsico utilizado en el enfoque de auditoria basada en riesgos por lo que debe colocarse mayor nfasis en la planeacin de una auditoria bajo este enfoque. Las etapas que deben realizarse al evaluar el sistema de control interno para planear la auditoria son:

2.2.1

Conocimiento de la entidad evaluada, sus objetivos y estrategias El objetivo d e lograr u n entend im iento ad ecu ad o d el negocio, su s op ortu nid ad es y

am enazas, es id entificar y com p rend er los eventos, transacciones y p rcticas u tilizad as p or la ad m inistracin, qu e p u ed an tener u n efecto im p ortante sobre los estad os financieros y el riesgo d e au d itora, p ara consid erarlo en la d eterm inacin d e la natu raleza, op ortu nid ad

44

y alcance de los procedimientos de auditora a ser aplicados. Se debe obtener un conocimiento general de la economa, la industria y la forma en que la entidad opera dentro de este contexto. Este conocim iento se obtiene inicialm ente en la fase d e anlisis d el cliente p otencial. Para auditoras recu rrentes el aud itor d ebe consid erar la inform acin d e ejercicios anteriores y los cam bios qu e ha p resentad o la entid ad en el ejercicio p or au d itar. La inform acin recabad a y analizad a p or el au d itor en esta fase es im p ortante y ap oyar los juicios sobre asuntos como: Evaluar el riesgo inherente al negocio. Considerar los riesgos y la respuesta de la administracin. Desarrollar el plan global de auditora y el programa de auditora. Determinar un nivel de importancia relativa. Evidencia de auditora. Identificar reas donde pueden ser necesarias habilidades de auditora especiales. Dentro d e esta etapa el au d itor se fam iliariza inicialm ente con los p rincip ales eventos, am enazas y asp ectos p ositivos y negativos qu e p u ed an afectar a la entid ad en su operacin normal.

2.2.2

Anlisis de los componentes y estructura del control interno En esta etap a se analizarn la natu raleza d e cad a u no d e los com p onentes d e la

m atriz COSO y su im p ortancia al p lanear la au d itora, sin em bargo, au nqu e COSO consid era tres tip os d e objetivos seg n fu eron d efinid os anteriorm ente, p ara efectos d e u na auditora financiera, el anlisis d e com p onentes d eber orientarse p rioritariam ente a los objetivos relacionados con la asegurabilidad y confiabilidad de la informacin financiera. En la evalu acin global d e los com p onentes d el sistem a d e control interno, el au d itor realiza u n anlisis general d e los com p onentes d e la estru ctu ra d e control interno a travs cu estionarios generales d e evalu acin, qu e p erm itan d eterm inar el grad o d e

45

ad ecu acin d e la estru ctu ra a las op eraciones d e la com p aa y la efectivid ad en el logro d e los objetivos. Para efectos d e u na au d itora financiera, las cu estiones d ebern orientarse esp ecficam ente al objetivo general d e asegu rabilid ad d e la inform acin financiera, sin em bargo, com o ya se ha com entad o anteriorm ente, sin d ejar d e analizar com o el logro o fallo en los objetivos estratgicos, d e op eracin y cu m p lim iento p u ed en afectar la p resentacin d e inform acin financiera y p or otro lad o, cm o el p roceso d e b squ ed a d e estos objetivos deber estar revelado en los estados financieros. Entonces, este anlisis ad em s d e d eterm inar com o est fu ncionand o el com p onente, d ebe consid erar en u n ap artad o d e evalu acin esp ecial, el efecto qu e el componente puede tener en el logro del objetivo de presentacin de informacin financiera confiable y razonable, cm o u n fallo en el logro d e los objetivos p u ed e afectar los estad os financieros, qu p artes d el com p onente p od ran afectar d irecta e ind irectam ente este

objetivo, cu les son las d eficiencias a nivel global d e la estru ctu ra d e control interno qu e p u ed en afectar la p resentacin d e inform acin financiera razonable. Por ejem p lo: com o se ha com entad o el entorno d e control establece la base d el control d e u na entid ad , en u n am biente d ond e no existe u n nivel d e im p ortancia y resp onsabilid ad ad ecu ad os sobre la presentacin de estados financieros confiables, donde la administracin no establece pautas qu e p erm itan el segu im iento y m onitoreo sobre la situ acin real d e la entid ad , existir m ayor p robabilid ad d e qu e los estad os financieros inclu yan errores significativos qu e en una entidad con mayor inters hacia la razonabilidad de la informacin financiera. El rep orte COSO establece m od elos d e gu as d e evalu acin a u tilizarse p ara

analizar el fu ncionam iento d e cad a com p onente, las cu ales se p resentan en el Cap itu lo V y se am p lan con el anlisis d e los asp ectos esp ecficos qu e el au d itor d ebe analizar p ara efectos de una auditora de estados financieros.

2.2.3 Anlisis del Proceso de Administracin de Riesgos Un com p onente im p ortante d e la nu eva estru ctu ra d e control interno bajo el enfoqu e COSO y COSO ERM es el p roceso d e ad m inistracin d e riesgos d efinid o com o u n p roceso efectu ad o p or la Ju nta Directiva de la entidad, la administracin y su personal,

46

ap licad o en el establecim iento d e la estrategia global d e la em p resa, p ara proveer asegu ram iento razonable con resp ecto al logro d e los objetivos organizacionales a travs d e id entificar los eventos p otenciales qu e p u ed an afectar la entid ad y ad m inistrar el riesgo relacionado para mantenerlo dentro del mbito de riesgo de la entidad(8:126, 34:2). Este concepto su p one qu e la ad m inistracin en conju nto realiza u n esfu erzo continu ad o p ara p rom over el logro d e los objetivos esp erad os, y evalu ar y ad m inistrar cualquier evento qu e p u ed a afectar d icho logro, p ara qu e su efecto no sobrep ase el m arco esperado definido previamente. La labor esp ecfica d el au d itor con resp ecto a este p roceso es revisar la eficacia y efectivid ad d e la ad m inistracin al realizarlo y d eterm inar si los esfu erzos realizad os son su ficientes p ara lograr m anejar d ichos eventos en el nivel requ erid o o establecid o. El rol d el au d itor no es realizar el anlisis d e riesgos generales d e la em p resa, sino facilitar a la administracin para que realice dicho anlisis y evaluar si a su juicio es correcta y adecuada a las necesidades de la compaa. Sin em bargo, el alcance d el ERM es bastante am p lio ya qu e analiza a la com p aa d esd e cu atro asp ectos: Estrategia, Op eracin y Efectivid ad , Cu m p lim ento y Confiabilid ad d e la inform acin. Los cu ales au nqu e a la larga estn correlacionad os y concatenad os entre s, (p u esto qu e el efecto d e u no se reflejar necesariam ente en tod os), p or el alcance y objetivo d e u na au d itoria financiera, el nfasis d e este anlisis rad ica en com o la ad m inistracin m aneja los asp ectos relacionad os con el objetivo d e presentacin de informacin financiera confiable y razonable, ya qu e este objetivo se reflejara en estados financieros razonables que corresponde al objetivo de opinin de la auditora financiera. En conclu sin, al evalu ar el sistem a d e control interno el aud itor d eber realizar u n anlisis del proceso de evaluacin de riesgos a dos niveles:

El anlisis global a nivel d e la entid ad , qu e enm arcar la totalid ad d e riesgos qu e p u ed an afectar a la entid ad y cm o la ad m inistracin los est m anejand o. (N ivel d e entidad)

47

El anlisis global d e la ad m inistracin d e los riesgos relacionad os con la confiabilidad d e la informacin financiera. (Nivel de actividad).

2.2.4

Consideraciones sobre la importancia de la tecnologa de informacin en los procesos contables La norm a 26, Au d itora en u n Am biente PED" em itid a p or el Institu to

Gu atem alteco d e Contad ores P blicos y Au d itores, seala qu e cu and o se au d ita en u n am biente PED en la fase d e p laneacin, el au d itor d ebe consid erar p rincip alm ente el efecto qu e tienen los sistem as inform ticos u tilizad os p or el cliente p ara el p rocesam iento d e su s transacciones y la seguridad y adecuacin de los mismos a entidad. Para d eterm inar si u na ap licacin en el sistem a contable es com p leja y tiene u n efecto importante en el sistema contable, deber analizarse lo siguiente: Se procesa alto volumen de transacciones. Se generan transacciones o entrad as d e im p ortancia relativa d irectam ente automticamente. Se realizan cm p u tos com p licad os d e inform acin financiera y/ o au tom ticam ente genera transacciones o entrad as d e im p ortancia relativa qu e no p u ed en ser (o no son) validadas independientemente. Las transacciones son intercam biad as electrnicam ente con otras organizaciones (com o en los sistem as electrnicos d e intercam bio d e d atos -EDI ) sin revisin manual para la propiedad o razonabilidad. Ad icional a la com p lejid ad d el sistem a, tam bin d ebern analizarse los asp ectos siguientes: Tipo e importancia de las transacciones financieras que se procesen; Naturaleza de los archivos y programas utilizados en las aplicaciones. Tip o d e base d e d atos y el sistem a d e ad m inistracin u tilizad o, las tareas d e administracin de la base de datos y las aplicaciones utilizadas. o las op eraciones de la

48

Controles generales del CIS Estru ctu ra organizacional d e las activid ad es d e inform ticas y el grad o d e concentracin o distribucin de funciones.

Estos aspectos sern considerados desde el punto de vista de su naturaleza, nivel de segu rid ad , consid eraciones esp ecficas d e frau d e y error, as com o los riesgos esp ecficos qu e aad e su estru ctu ra a la confiabilid ad d e la inform acin financiera. Por ltim o, se consid erara cad a asp ecto referid o anteriorm ente sobre la base d el efecto qu e tend r sobre su p lan d e au d itora p ara la evalu acin d e control interno y la p robabilid ad d e qu e existan errores importantes en los estados financieros.

2.2.5

Conocimiento y descripcin de los sistemas administrativos y contables En la evalu acin d el sistem a d e control interno p ara efectos d e au d itora d e estad os

financieros, u no d e los asp ectos fu nd am entales es el anlisis y d escrip cin d el sistem a contable y ad m inistrativo u tilizad o p ara la p rep aracin d e los estad os financieros, p or m ed io d el cu al la ad m inistracin p retend e alcanzar los objetivos d e rep orte financiero y asegu rar la p resentacin d e inform acin financiera y ad m inistrativa, confiable y razonable para la toma de decisiones.

Los objetivos d e control d el sistem a d e inform acin contable estn ntim am ente relacionad os con el asegu ram iento d e las aseveraciones bsicas d e la ad m inistracin sobre los estados financieros segn se presenta en el cuadro siguiente:

49

ASEVERACIONES BSICAS DE LOS ESTADOS FINANCIEROS Y SU RELACIN CON LOS OBJETIVOS DE CONTROL INTERNO
Objetivos de Control del Sistema ContableAdministrativo Autorizacin

Descripcin

Aseveracin

Descripcin y Relacin Los estad os financieros p resentan inform acin real, confiable y au torizad a p or la administracin.

Tod as las transacciones Validez son ejecu tad as d e acu erd o con la au torizacin general o esp ecfica de la administracin. Totalidad /Integridad

Reporte Financiero Todas las transacciones y Confiable otros eventos son oportunamente registrad os en el monto correcto, en las cuentas apropiadas y en el periodo contable aprop iad o, a modo de permitir la preparacin de los estados financieros de acuerdo con un marco de referencia p ara inform es financieros identificado.

N o existen activos, p asivos, transacciones, eventos o p artid as no registrad as o revelad as; Tod as las transacciones reflejadas se presentan en forma completa. Un activo o pasivo es registrad o a u n valor apropiado y el ingreso o el gasto es atribuido en forma apropiada; Las transacciones se registran d e acu erd o con su naturaleza y realidad. u Un activo o p asivo existe a una fecha d ad a / Una transaccin o evento qu e haya su cedido p ertenece a la entid ad d u rante u n p eriod o relevante;

Valuacin /Medicin Clasificacin Existencia Ocurrencia

Presentacin y Una p artid a es revelad a, clasificad a y revelacin: d escrita d e acu erd o con el m arco d e informacin financiera aplicable. Salvaguarda El acceso a activos y Propiedad registros es p erm itid o slo de acu erd o con la au torizacin de la administracin. Los activos registrad os son Medicin com p arad os con los activos existentes a intervalos razonables y se tom a la accin ap ropiada resp ecto d e cu alqu iera diferencia. Un activo o pasivo pertenece a una entidad a una fecha dada;

Monitoreo

Una transaccin o evento es registrado con el m onto ap rop iad o y el ingreso o gasto atribuido.

Esta etap a consiste en analizar y conocer el sistem a m anu al o inform tico, procedimientos y documentacin utilizados por la entidad para proporcionar y mantener la inform acin y com u nicacin necesaria p ara controlar su op eracin. Desp u s d el

50

reconocim iento d e los d iferentes com p onentes, se realiza u na revisin d e la calid ad y fu ncionam iento d e los d iversos sistem as d e inform acin, y la im p ortancia y efecto a ser consid erad o en el enfoqu e global d e au d itoria. Es en esta fase d ond e se id entifican los recu rsos inform ticos y tecnologa u tilizad os, d eterm inand o aqu ellos qu e tienen u n efecto d irecto su stancial en los estad os financieros, su cap acid ad y confiabilid ad y habilid ad p ara proporcionar informacin razonable y fidedigna. La id entificacin d e los tip os im p ortantes d e transacciones, fu entes d e evid encia y errores p otenciales, llevar a obtener u na d escrip cin d e los sistem as d e contabilid ad d e la entid ad y d e los controles qu e p revienen, o d etectan y corrigen, los errores p otenciales p ara el logro d e los objetivos d e control. Estas d escrip ciones d e los sistem as son necesarias p ara evaluar los controles internos y para planear el enfoque de auditoria. Por lo tanto, el grado d e d etalle d e las d escrip ciones d e los sistem as d ebe ser ad ecu ad o p ara ese p rop sito. Para d eterm inar el nivel d e d escrip cin d e los factores: El tamao y complejidad de la entidad. Efecto del sistema informtico utilizado. Importancia relativa aplicada. Tipo de controles internos y naturaleza de su evidencia y documentacin Riesgo inherente (nivel) Por esto, la evalu acin d el control interno y d el sistem a contable cobra m ayor relevancia en u n am biente d e p rocesam iento electrnico integrad o com o son los sistem as ERP, p u esto qu e su efecto, los tip os d e controles, la d ocu m entacin y el riesgo se ven afectad os d irectam ente. La d escrip cin d e los sistem as inclu ye entonces los sigu ientes pasos:
1. Id entificar y com prend er los tipos im portantes d e transacciones y los procesos d e negocios relativos. 2. Reconocer el proceso global d e reconocim iento, valid acin y registro d e las operaciones importantes. 3. 4. Identificar los medios manuales o informticos utilizados. Identificar las fuentes de evidencia

sistem as,

el au d itor consid era entre otros

51

5. 6.

Identificar los errores potenciales de cada transaccin. Id entificar los proced im ientos d e control aplicad os para prevenir, d etectar o corregir los errores potenciales.

7.

Documentar el conocimiento del sistema

Identificar y comprender la naturaleza de los principales tipos de transacciones en las operaciones de la entidad En esta fase el auditor considera los tipos importantes de transacciones con los estados financieros de la compaa sobre los cuales se va a emitir una opinin, para lo cual se realiza mediante una prueba normalmente analtica una identificacin de los limites de materialidad, de cada rubro de cuentas, su importancia relativa y componentes de una cuenta, y determinando si pueden representar un mayor riesgo de auditora que otras y si requerirn que se les d atencin por separado en el plan de auditora.
Los tip os im p ortantes d e transacciones son aqu ellas qu e en conju nto tienen u n im p acto im p ortante en las op eraciones d e la entid ad , su negocio y p or end e sobre los estad os financieros. El p rim er p aso p ara id entificarlos consiste en establecer los Procesos Princip ales d el N egocio y su correlacin con las Cu entas Im p ortantes d el Balance General y Estad o d e Resu ltad os. Una vez se ha id entificad o la m aterialid ad d e las transacciones y p rocesos im p ortantes, se d ebe iniciar la d iscrim inacin d e las transacciones ord ennd olas en atencin a su importancia, tanto cuantitativa como cualitativa.

Esta relacin existente, su anlisis e identificacin debe ser documentada mediante una matriz de riesgo-cuenta que consiste en listado del Balance General y Estado de Resultados relacionado y estructurado de tal forma que presente la relacin del efecto de los errores potenciales sobre cada cuenta, listando la totalidad de errores potenciales

identificados y el nivel de materialidad de las clasificaciones generales de los estados financieros con mayor probabilidad y efecto de tales errores. Tambin ilustra otra

consideracin importante, que es la direccin en la cual un error potencial afectara el saldo de una cuenta en particular, es decir, podra hacer que la cuenta en cuestin se registrase por mayor o menor cuanta. Reconocer el proceso global de reconocimiento, validacin y registro de cada tipo de transaccin.

52

En este p aso se id entifica la natu raleza d el p roceso contable d e las transacciones m s im p ortantes, la form a m s sencilla consiste en segu ir la transaccin tip o d esd e su inicio (nacim iento), consid erand o los eventos a lo largo d el p roceso, hasta su resu m en (m u erte) p ara su inclu sin en los estad os financieros. En esta fase nicam ente se necesita Un m od elo p ara

id entificarlas y d ocu m entarlas d esd e u n p u nto d e vista d escrip tivo. realizar esta actividad se presenta a continuacin:

MODELO PARA SEGUIR LA NATURALEZA DEL PROCESO CONTABLE DE LAS TRANSACCIONES MS IMPORTANTES
PROCESO GENERAL CUENTA PRINCIPAL Y SUB CUENTA RELACIONADA A DOCUEMNTAR Com o se Inicia - Docu m ento u Operacin Original Cmo se d ocu m entan en la empresa Docu m ento qu e sop orta la transaccin d e la entidad Cm o se au torizan - Qu es necesario p ara d ar tram ite a la operacin? Cmo se resum en y rep ortan y cmo se asegu ra su totalid ad e integridad Registros au xiliares y Reportes? Sistem a Inform tico y/ o Manu al u tilizad o p ara p rocesar las operaciones? Cules son los registros contables que se operan: partida contable registrada. Proceso general contable? de registro

TRANSACCION X

TRANSACCION Y

cu entas y p artid as qu e generan los sald os im p ortantes en los estados financieros?

53

Identificar los medios manuales e informticos utilizados Inicialm ente el au d itor d ebe obtener u n esqu em a general d e los sistem as m anu ales, inform ticos, tecnologa y la integralid ad d e los m ism os a lo largo d e los p rocesos d e las op eraciones im p ortantes. En esta etap a, lo qu e bu scam os inicialm ente es conocer cu ales son los medios que la entidad utiliza para procesar informacin a nivel general, contable y administrativa. En esta etap a el au d itor d ebe realizar u n reconocim iento d el nivel d e

au tom atizacin y com p u tad ores inm ersos en la p rep aracin d e inform acin financiera y contable. Se d ebe reconocer los sistem as inform ticos y el nivel d e au tom atizacin e

integralidad, considerando: Su composicin y estructura Estru ctu ra general d el Dep artam ento encargad o d e la fu ncin inform tica y tecnolgica Controles generales d e la activid ad y tip os d e controles especficos d e la ap licacin, inquirir sobre el marco global de control sobre tecnologa de informacin aplicada. Aplicaciones importantes en operacin, discontinuadas, y en diseo y desarrollo. Qu op eraciones se ap lican en qu sistem a y en qu consiste el p roceso bsico d e informacin (entradas, proceso, salidas). Esto p u ed e ser levantad o y d ocu m entad o m ed iante u na gu a d e entrevista con el contralor general y/ o el ejecu tivo a cargo d e los sistem as d e inform acin, y elaborar u n diagrama de aplicaciones. Identificar las fuentes de evidencia Conform e se id entifiqu e los tip os im p ortantes d e transacciones (y las transacciones ind ivid u ales im p ortantes) tam bin se analizarn las fu entes d e evid encia existentes y provenientes del sistema informtico o manual que se utilice, a fin de determinar y analizar con respecto a cada error potencial para cada tipo importante de transaccin. Es im p ortante obtener m ed iante observacin, investigacin o revisin d e transacciones, sobre la evid encia m anu al o m agntica qu e el sistem a d eja p ara cad a p aso d e cad a transaccin im p ortante. La evid encia inclu ye no slo d ocu m entos, sino p rocesos d e au torizacin y revisin, generacin y acep tacin d e nu evas op eraciones, y d e controles

54

generales y esp ecficos d entro d el entorno inform tico, se trata d e realizar u n inventario general de las posibles fuentes de evidencia. Identificar los errores potenciales de cada proceso y transaccin. Esta identificacin est dirigida principalmente a los errores relacionados con las aseveraciones en los estad os financieros y los eventos qu e p u ed an generar riesgo p ara el logro d el objetivo d e inform acin financiera, au nqu e tam bin d ebern analizarse el efecto d e los errores p otenciales d e op eracin y cu m p lim iento qu e p u ed an p resentarse en los procesos importantes de los estados financieros. Los errores potenciales sern identificados con base en los objetivos d e control en relacin a la p resentacin d e inform acin razonable y confiable (aseveraciones), es decir, como en el anlisis de riesgos para efectos d e Gestion d e Riesgos Em p resariales, tod o em p ieza con sim p les p regu ntas com o: cu les son los eventos qu e p u ed en ocasionar qu e no se logre el objetivo?, qu p od ra salir m al?, d nd e el sistema puede fallar?, dnde puede haber una equivocacin? Sin em bargo, en este resp ecto, la cu estin clave sern los errores relacionad os con inad ecu ad as p resentaciones en los estad os financieros relacionad os con las aseveraciones, p or ejem p lo: la totalid ad d e transacciones son op erad as en form a consistente y u niform e?, existe su ficiente segu im iento p ara asegu rar qu e las op eraciones se registran p or su valor correcto?, p od ra existir transacciones no op erad as?, p od ran haber op eraciones no vlidas? Los tip os d e errores generales con los cu ales p od ra relacionarse u na revelacin incorrecta en los estados financieros, se presentan seguidamente EJEMPLO DE RIESGOS ESPECIFICOS

Aseveracin Validez

Ejemplo de Riesgos/errores especficos Componente de Inventarios Registro de transacciones errneas, Com p ras de inventario no no autorizadas y/o no vlidas. solicitado. Aju stes a inventarios no autorizados. Registro de Ventas no realizadas. Error o Riesgo Potencial

55

Totalidad /Integridad

Transacciones no registrad as o no Op eraciones d e inventario no reportadas. registrad as. Falta o p rd id a d e correlativid ad d e las transacciones al inventario. Valuacin Inad ecu ad a valu acin d e Error en el p rorrateo y costeo d el /Medicin transacciones; Sobre o Inventario. Sobrevalu acin d el subvaluacin de activos. Inventario contra p recio de mercado. Clasificacin Transacciones no registrad as d e Error en la cod ificacin d e acuerdo con su naturaleza y op eraciones al inventario en (centro realidad (Inadecuada d e costo, tip o d e p rod u cto, valor y clasificacin). cantidad). Existencia u Registro d e transacciones no Registro d e p artid as d e inventario Ocurrencia reales. inexistentes o no ingresad o a Registro d e transacciones en bodega. periodo incorrecto. Registro de op eraciones no realizad as a la fecha d e cierre d e inventario. Op eraciones fu era d e cierre. Aju stes al inventario p ost cierre. Presentacin Inad ecu ad a revelacin y Falta de revelacin sobre y revelacin: clasificacin de operaciones. contingencias y com prom isos d el Incu m p lim iento d e norm ativa Inventario. contable Presentacin inad ecu ad a d el ru bro de inventarios. Propiedad Falta d e d isp osicin y p rop ied ad Gravamen sobre los inventarios. sobre un activo o pasivo. Inventario en consignacin registrado a nombre de la empresa. Medicin Transacciones inad ecu ad am ente Error en el costo histrico d e registrad as p or im p orte o compra de inventarios. cantidad. Identificar los procedimientos de control aplicados para prevenir, detectar o corregir los errores potenciales Esta etap a, consiste en id entificar d entro d el p roceso qu e se ha recabad o, tod os los controles im p ortantes qu e se consid eren qu e m itigan los errores y riesgos id entificad os anteriormente. La forma de identificarlos, es a travs del anlisis del flujo de transacciones d el p roceso y la id entificacin d el flu jo d e transacciones id entificad os anteriorm ente, para cada control identificado, deber describirse los siguientes aspectos:

Cm o se ejecu ta el control, cu l es su

Tip o d e Control: Preventivo, Detectivo,

56

naturaleza Qu in lo realiza, qu in lo m onitorea, y le da seguimiento. Es documentado, formal o Informal: Frecu encia d el Control: Esp ord ico, Mensual, a cada Cierre. .

Correctivo. Clase d e Control: Manu al, Inform tico, Automtico, General. Objetivo d e Control: (riesgo-error qu e busca mitigar) Im p ortancia d el Complementario Control: Clave o

El au d itor d eber obtener esta inform acin p ara cad a p roced im iento clave d e control y controles com p lem entarios, tratand o d e correlacionarlos con los riesgos y errores p otenciales qu e p retend en m itigar. Este anlisis d ebe realizarse tanto a nivel d e la entid ad como a nivel de cada actividad o proceso clave.

Documentar el conocimiento del sistema Las norm as d e au d itora requ ieren qu e el au d itor d eje d ocu m entacin su ficiente d e su entend im iento d el sistem a d e control interno y la evalu acin d el riesgo d e control como base p ara las conclu siones qu e sop ortarn su p laneacin d e au d itora. Pu ed en u sarse d iferentes tcnicas p ara d ocu m entar inform acin relativa a los sistem as d e contabilid ad y d e control interno. La seleccin d e u na tcnica p articu lar es cu estin d e ju icio p or p arte d el au d itor. La form a y extensin d e esta d ocu m entacin es influ id a p or el tam ao y

com p lejid ad d e la entid ad y la natu raleza d e los sistem as d e contabilid ad y d e control interno de la entidad. En u na au d itoria financiera con enfoqu e a riesgos d el negocio y con u n am biente inform tico com p lejo com o el ERP necesariam ente d eber realizarse u na evalu acin entre las tcnicas qu e se u tilizarn p ara d ocu m entar, p u esto qu e d ebem os consid erar qu e no se trata d e sistem as sim ples. generales: Se consid eran entre otros, los sigu ientes p roced im ientos

Guas de Entrevista: Es u n cu estionario qu e inclu ye las p regu ntas a reconocer sobre los p rocesos

57

p rincip ales. El au d itor m ed iante entrevistas con p ersonal clave obtiene un resumen de los asp ectos relevantes d el p roceso. La inform acin p u ed e ser obtenid a d e m anu ales

ad m inistrativos, d e p roced im ientos y d iagram as d e sistem as p rep arad os p reviam ente p or la ad m inistracin. Para facilitar la p rep aracin d e la Gu a, la base es analizar el p roceso desde su origen hasta su registro en los estad os financieros, y las p regu ntas d ebern ir orientad as a qu se hace, cm o se hace, qu in lo hace, p or qu lo hace, cu nd o se hace a lo largo d el p roceso. Esta gu a tend r com o objetivo ap oyar en la p rep aracin d el diagrama como evidencia de la comprensin del sistema de control interno. Flujodiagramacin: Diagram ar es rep resentar grficam ente hechos, situ aciones, m ovim ientos relaciones de todo tipo por medio de smbolos, sus ventajas son: De uso: facilita su empleo De destino: permite la correcta identificacin de actividades De comprensin e interpretacin: simplifica la comprensin de actividades De interaccin: permite el acercamiento y coordinacin De simbologa: disminuye la complejidad y accesibilidad La flu jod iagram acin consiste en u na tcnica m ed iante la cu al se p u ed e p resentar grficamente el flujo que sigue el procesamiento de una transaccin, es muy til puesto que p erm ite observar la totalid ad d el ciclo d e vid a d e u na transaccin, d esd e qu e se origina hasta qu e es reconocid a en los estad os financieros m ed iante u na p artid a contable. Existen d iversas m etod ologas p ara p rep arar flu jod iagram as, y esto d ep end er d el cd igo qu e se quiera utilizar, a continuacin se presenta una de las codificaciones utilizadas: o

58

CODIFICACION UTILIZADA EN LA FLUJODIAGRAMACION

SIMBOLO REPRESENTA
Terminal. Indica el inicio o la terminacin del flujo, puede ser accin o lugar; adems se usa para indicar una unidad administrativa o persona que recibe o proporciona informacin..

SIMBOLO

REPRESENTA
Documento. Representa cualquier tipo de documento que entra, se utilice, se genere o salga del procedimiento. Archivo. Representa un archivo comn y corriente de oficina.

Disparador. Indica el inicio de un procedimiento, contiene el nombre de ste o el nombre de la unidad administrativa donde se da inicio. Operacin. Representa la realizacin de una operacin o actividad relativas a un procedimiento. Decisin o alternativa. Indica un punto dentro del flujo en que son posibles varios caminos alternativos. Nota aclaratoria. No forma parte del diagrama de flujo, es un elemento que se adiciona a una operacin o actividad para dar una explicacin.

Conector. Representa una conexin o enlace de una parte del diagrama de flujo con otra parte lejana del mismo. Conector de pgina. Representa una conexin o enlace con otra hoja diferente, en la que contina el diagrama de flujo. Lnea de comunicacin. Proporciona la transmisin de informacin de un lugar a otro.

Autoevaluaciones de Control El au d itor p u ed e obtener m ejor retroalim entacin sobre los riesgos qu e p u ed en afectar una actividad u tilizand o este p roceso d e evalu acin. Consiste en u na reu nin con los d u eos d el p roceso p ara qu e ellos m ism os au toeval en su s niveles d e riesgo y control y descubran ellos m ism os su s fortalezas y d eficiencias en el p roceso, y la m ejor accin correctiva p osible, d ond e cad a p arte d el p roceso se sienta resp onsable y cm od o con las decisiones tomadas. Los crcu los d e au to evalu acin d e control son sesiones d e trabajo entre el au d itad o y los d u eos d el p roceso qu e p rom u even la p articip acin d el au d itad o, p erm itiend o preguntarse d ond e se encu entran los riesgos y d eficiencias d e su s p rocesos y activid ad es. Entre su s ventajas estn: increm enta el conocim iento d el au d itor sobre el negocio, m enor

59

tiemp o d e anlisis e im p lem entacin y realizar u n anlisis d e riesgo-control con m ayor alcance p u esto qu e p or u na p arte estn los au d itad os qu ienes conocen el p roceso y p or otra p arte los au d itores qu e d eben establecer las tcnicas p ara lograr u na d eterm inacin d e riesgo-control adecuada. En las sesiones se p u ed en u tilizar algu nas tcnicas com o: Llu via d e Id eas abierta y silenciosa-, m u lti-votos, gru p os d e m ejoram iento, cu estionarios cru zad os. Prim ero d ebe

id entificarse los p rocesos clave qu e sern analizad os u no a u no p ara d eterm inar qu e tan efectivo est siendo el equipo para el logro de los objetivos. La figu ra segu id a p resenta u n esqu em a d el p roceso d e anlisis qu e d ebe irse realizand o en la sesin p ara cad a proceso o rea clave. Prim ero d ebe ir analizand o las p rincip ales d el p roceso

p artes

ESQUEMA DEL PROCESO DE AUTOEVALUAICONES DE CONTROL CSA

clave, d efinir y aclarar cu ales son los objetivos clave d el rea

au d itad a, id entificar cu ales son las reas p roblem ticas, de las m ejora,

op ortu nid ad es

controles ineficientes, sistemas por im p lantar, y reas d ond e exista falta d e controles. Una

vez qu e se ha d eterm inad o cu ales son las p rincip ales d eficiencias, se esqu em atiza u n p lan d e accin y correccin, es d ecir, qu

p od ram os hacer m ejor en esta rea, y se rep ite el p roceso con el siguiente tema ranqueado. Otro m tod o d e realizar au toevalu acion utilizando cuestionarios dirigidos y/o encuestas los que se pasan a todo el de control personal es

relacionado con el proceso, una vez se tiene la respuesta el au d itor resu m e los resu ltad os,

60

y son p resentad os y d iscu tid os p osteriorm ente p ara d eterm inar la natu raleza d e los mismos.

Matriz de riesgo/control Consiste en u n arreglo d e filas y colu m nas qu e p erm ite relacionar los objetivos d el proceso, a sus p rincip ales riesgos y errores p otenciales y los controles qu e p retend e m itigar dichos riesgos. La form a d e esta m atriz p u ed e variar seg n la m etod ologa y enfoqu e

que el auditor pretenda aplicar, sin embargo, existen algu nos com p onentes bsicos qu e debe incluir como: La identificacin del proceso qu e se est d ocu m entand o, los objetivos

d e la activid ad , los riesgos id entificad os, inclu yend o su im p acto y p robabilid ad esp erad a, las activid ad es d e control id entificad as, con u n alineam iento hacia los riesgos qu e

p retend en m itigar, u na d escrip cin com p leta d el p roced im iento d e control inclu yend o, su natu raleza y tip o, d ocu m entacin, ejecu cin, operacin. Esta m atriz norm alm ente se va llenand o p or etap as d e la evalu acin d e control interno, como lo presenta la figura siguiente: PROCESO DEL MODELADO MATRIZ DE RIESGO /CONTROL y u na calificacin sobre su d iseo y

FASE I

FASE II

FASE III

FASE IV

FASE V

Siguiente Fase

Actualizacin y anlisis preliminar de la efectividad del control

DOCUMENTAR Y EVALUAR EL DISEO Y EFECTIVIDAD DEL CONTROL (Validacin por Rastreo de Transacciones y Recorridos de Operaciones Walkingtrouhg)

DOCUMENTA EL SISTEMA (TAL COMO ES), USANDO DIAGRAMAS Y MATRICES

Evaluacin Final Anlisis de resultados de Pruebas

61

Matriz de Resumen de Resultados para pruebas sustantivas

FASE DE PRUEBAS

La m atriz d e riesgo control es u na herram ienta qu e p erm ite d ocu m entar a la vez el conocim iento d el au d itor sobre los p roced im ientos d e control clave qu e p od ran d ism inu ir el riesgo d e u na aseveracin financiera errnea en los estad os financieros, y a la vez el resu ltad o d e los p roced im ientos ap licad os p ara p robar su efectivid ad en d iseo y operacin.

Rastreo de Transacciones o Recorridos del Proceso Walktrough Este p roced im iento tiene com o objetivo valid ar la d escrip cin d e los sistem as y transacciones d ocu m entad os p reviam ente. Se efect an seleccionand o u n n m ero p equ eo d e transacciones significativas (u na a cinco) y sigu ind oles a travs d el sistem a p ara d eterm inar si han sid o p rocesad as en la form a d escrita en los d iagram as d e flu jo y las m atrices d e riesgo control. Las transacciones d eben segu irse d entro d el flu jo norm al y continu o d esd e su origen o nacim iento (inicio d e la transaccin) hasta qu e es reconocid a en los estad os financieros (o final d e la transaccin). Se trata d e d ocu m entar tod a la evidencia qu e qu ed a d e la transaccin a lo largo d el p roceso, m ed iante la verificacin d e la ap licacin de todos los controles que puedan afectarla.

2.2.6 Anlisis y evaluacin de controles y deficiencias Una vez el sistema est documentado y el auditor tiene un entendimiento suficiente d e su estru ctu ra, est en d isp osicin d e realizar u n balance sobre los controles clave qu e sern analizad os m ed iante p ru ebas d e cu m p lim iento d e controles p ara sop ortar el nivel d e riesgo de control determinado. Por otro lad o, con la d ocu m entacin recabad a y la valid acin d e la inform acin m ed iante los p roced im ientos d e segu im iento y w alkthrou hgh, se p u ed e haber d eterm inad o qu e existen d eficiencias im p ortantes en el d iseo y op eracin d el sistem a qu e generan u n nivel d e riesgo d e control alto sobre la p osibilid ad d e errores significativos en los estad os financieros y qu e no p erm itirn confiar en el sistem a d e control interno, p or lo qu e d eber cambiarse el enfoque de auditora planeado.

62

Com o resu ltad o d e este anlisis, el au d itor se enfrenta a u na d ecisin sobre el enfoqu e d e au d itora: 1) se confiar en el sistem a d e control interno y se ejecu tarn

p ru ebas d e cu m p lim iento y 2). Se am p liar el alcance d e las p ru ebas su stantivas d e d etalle para validar la informacin de lo estados financieros.

2.2.7

Diseo de pruebas de controles

Pruebas de control Las p ru ebas d e control se d esarrollan p ara obtener evid encia d e au d itora sobre la efectivid ad d el d iseo d e los sistem as d e contabilid ad y d e control interno, es d ecir, si estn d isead os ad ecu ad am ente p ara p revenir, d etectar y corregir rep resentaciones errneas d e im p ortancia relativa y la u niform id ad d e su op eracin. Las p ru ebas d e control p u ed en incluir: Indagacin y observacin de las funciones del control interno; Inspeccin d e los d ocu m entos ap oyand o los controles o eventos p ara as ad qu irir evid encia de au d itora de qu e los controles internos hayan op erad o

ap rop iad am ente, p or ejem p lo, verificand o qu e la transaccin haya sid o au torizad a o la conciliacin aprobada ; Repaso d e los p roced im ientos d e control, p or ejem p lo, la conciliacin d e las cu entas bancarias, para asegurar que fueron ejecutados adecuadamente por la entidad; y Revisin d e los controles internos op erand o en ap licaciones com p u tacionales esp ecficas o sobre la fu ncin total d e inform acin tecnolgica, p or ejem p lo, controles de acceso o controles sobre cambios a programas. Pasos para el diseo de pruebas de controles: El m arco p rofesional d e ejecu cin ind ica la obligacin d el au d itor sobre obtener evidencia d e au d itora p or m ed io d e p ru ebas d e control p ara sop ortar cu alqu iera evalu acin d el riesgo d e control qu e sea m enos qu e alto. Al conclu ir su estu d io y evalu acin sobre los sistem as y el am biente d e control interno, el au d itor llega a u na conclu sin p relim inar sobre el sistem a d e control interno, m ed iante el cu al califica el riesgo inherente y d e control, d ep end iend o d e esta calificacin, el au d itor d ebe p lanear

63

p roced im ientos efectivos qu e

p rop orcionen u n nivel ad ecu ad o d e evid encia sobre su

anlisis preliminar. Los pasos que deber considerar son:

A. Identificar los riesgos clave y los controles a ser analizados: Lo p rim ero es id entificar riesgos m s im p ortantes en p robabilid ad y efecto relacionados con el objetivo de proporcionar informacin confiable y razonable para uso de la ad m inistracin, y a la vez id entificar los controles inm ersos en el sistem a qu e p or su efecto e im p ortancia bu scan d ism inu ir estos riesgos. Para efectos d e u na au d itora

financiera al au d itor le interesa d eterm inar los controles clave d efinid os com o: aqu ellos controles internos integrad os al sistem a com o m ed ios efectivos d e p revenir o d eterm inar d esviaciones significativas. En la fase anterior al d ocu m entar la m atriz d e riesgo control, observam os el p roceso d e id entificacin d e los controles clave com o u n flu jo d e d ecisin, que permite determinar si cada control es clave o complementario.

B. Determinar la naturaleza de la prueba para documentar su operacin y diseo: Al disear pruebas de controles o testing, el objetivo principal del auditor es obtener evid encia qu e sop orte su s conclu siones sobre la op eracin y efectivid ad d el d iseo d e los controles internos, p or lo qu e al d isear, cad a p arte d e la p ru eba d ebe orientarse a p robar los aspectos indicados en el siguiente cuadro:

64

ASPECTOS QUE DEBEN CONSIDERAR LAS PRUEBAS OPERACIN Frecuencia del Cont rol y uniformidad durant e el perodo audit ado. Au nqu e exista u n control ap arentem ente efectivo, si ste no ha sid o ap licad o u niform em ente d u rante tod o el perodo, no podr disminuir el riesgo asociado. Cmo y quin lo aplic. El auditor consid era cm o fu e ap licad o y las p ersonas encargad as de su ejecu cin son ad ecu ad as. Algu nas veces los controles au nqu e estn bien d isead os son ejecu tad os p or p ersonal no ap to o sin el nivel acep table d e au torid ad y

resp onsabilid ad p ara ejecu tarlo. Algu nos veces existen inconsistencia d e fu nciones en la ejecucin de controles. DISEO El cont rol disminuy e el riesgo relacionado es efect iv o y adecuado? el au d itor d ebe analizar si el diseo del control permite detectar, prevenir y disminuir el efecto del riesgo relacionado y amarrar esto con las aseveraciones de los estados financieros. Cmo se manejan y report an desv iaciones Las d esviaciones d e los controles p rescritos p u ed en ser cau sad as p or factores com o cam bios en p ersonal clave, flu ctu aciones d e temporada importantes en el volumen de transacciones, y error humano. El au d itor d eber evaluar cmo se pueden detectar situaciones de desviacin del control y a quin se reportan en caso existan, para analizar si estos controles finales estn siendo efectivos. Un ejemplo claro de este tipo de controles son los reportes de excepcin y los procedimientos de seguimiento de parmetros, sin embargo, aunque exista un procedimiento de generacin de esta informacin, tambin ser necesario evaluar cmo se da seguimiento a dicha informacin para que surta efecto en la entidad. Con este anlisis se d efinirn las caractersticas y evid encias d el control qu e se

65

analizarn y que sern recabadas para soportar las conclusiones de auditora.

C. Tamao del universo y plan de muestreo: Debe elaborarse u na m atriz qu e resu m a el u niverso d e op eraciones relacionad as al riesgo y el control o gru p o d e controles qu e ser p robad o y d efinir con ste, el p lan d e m u estreo qu e se esp era ejecu tar p ara d eterm inar la m u estra a ser analizad a. El au d itor d eber asegu rar qu e se realiza u na p ru eba con el m enor n m ero d e d istorsiones posibles. Au nqu e la natu raleza d el m tod o d e m u estreo, es u na cu estin d e ju icio d el au d itor ap licad o al caso en particu lar qu e se eval a, es conveniente consid erar qu e al ap licar pruebas de control, el mtodo ms aconsejable es el estadstico, por considerarse con menor riesgo de sesgo en la seleccin.

D. Oportunidad y documentacin Para qu e la d ocu m entacin obtenid a sea su ficiente entonces d eber ser p ersu asiva o convincente ms que concluyente. La naturaleza y oportunidad de la prueba depender de la natu raleza m ism a d el control, cm o sta d ocu m entad o, cu nd o es ejecu tad o, y a travs d e qu m ed ios. Esto d eterm inar la form a en qu e ser evalu ad o y la evid encia qu e ser bu scad a p ara d eterm inar si el control fu e realizad o y si fu e realizad o efectivam ente, es decir, p or u n lad o la firm a en u na ord en d e com p ra es evid encia d e qu e el control fu e realizado, pero revisar que el proveedor en la orden de compra est previamente calificado, es revisar si el control fu e realizad o ad ecu ad am ente. En cu anto a la op ortu nid ad el au d itor define esto en funcin de su planificacin global de auditora.

2.2.8

Anlisis de resultados Una vez se han ejecu tad o las p ru ebas d e control, el au d itor d ebe analizar los

resu ltad os p ara d eterm inar si los controles internos estn d isead os y op erand o seg n se contem p l en la evalu acin p relim inar d e riesgo d e control. La evalu acin d e d esviaciones p u ed e d ar com o resu ltad o qu e el au d itor conclu ya qu e el nivel evalu ad o d e riesgo d e

66

control necesita ser revisado. El concep to d e op eracin efectiva reconoce qu e algu nas variaciones en el ejercicio d el control p u ed en haber ocu rrid o d u rante el p erod o d e au d itora. Desviaciones d e los controles p rescritos p u ed en haber sid o cau sad as p or factores com o cam bio en el equ ip o d e trabajo, flu ctu aciones d e tem p orad a significativas en el volu m en d e transacciones y error hu m ano. Si se id entifica algu na d esviacin, se d eber ind agar para id entificar si la d esviacin fu e aislad a (esta ind agacin p u ed en inclu ir revisiones ad icionales) y verificar si existen controles alternativos durante el perodo. Si la indagacin adicional confirma que el p eriod o d e d esviacin est aislad o o qu e u n control m itigante resu lt ser efectivo, se p u ed e d ep ositar confianza en qu e la op eracin d e control es efectiva antes y d esp u s d el perod o de desviacin. Si el grad o d e d esviacin llega al grad o d e no p od er d ep ositar confianza en la operacin del control clave, la evaluacin inicial del riesgo deber ser revisada y se debern hacer revisiones su stantivas ad icionales a m enos qu e la evid encia d e au d itora p u ed a ser obtenid a d e otras revisiones d e controles p ara m itigar la d esviacin y confirm ar qu e se puede confiar en el control clave. A m enos qu e la evid encia d e au d itora p u ed a ser obtenid a d e otras revisiones d e controles p ara m itigar la d esviacin, la evalu acin d e riesgo d eber ser revisad a y p or consiguiente su efecto en el nivel de revisin sustantiva. Antes d e la conclu sin d e la au d itora, basad o en los resu ltad os d e los p roced im ientos su stantivos y d e otra evid encia d e au d itora obtenid a p or el au d itor, el au d itor analiza si la evalu acin d el riesgo d e control es confirm ad a. Entonces el au d itor d eber realizar u n resu m en d e conclu siones sobre los resu ltad os d e las p ru ebas d e control ap licad as a los controles clave p ara d ocu m entar la confianza o falta d e la m ism a en el sistem a d e control interno, tanto p ara los estad os financieros en conju nto com o p ara d eterm inad os com p onentes. En esta p osicin el au d itor p u ed e d eterm inar el nivel global d e riesgo d e control e inherente qu e d eterm inar p ara los estad os financieros en conju nto y cmo los relacionar con el nivel de riesgo de auditora.

2.2.9

Determinacin de la relacin del riesgo de control y deteccin

67

El riesgo inherente tiene u na estrecha relacin con el riesgo d e control, p u esto qu e d ep end er d e la p osicin d e la ad m inistracin tom e ante d eterm inad os asu ntos d e control y la visin general d e control qu e tenga, y la form a d e reaccionar a estas situ aciones (am biente d e control-relacin riesgo inherente) qu e d eterm inar y d isear sistem as d e contabilid ad y d e control interno efectivos seg n su s p ercep ciones, p ara p revenir, d etectar y corregir representaciones errneas, (riesgo de control) situacin por lo que el auditor debe evalu ar los riesgos inherente y d e control en conju nto y teniend o en cu enta la relacin directa entre los factores que lo componen. Por otro lad o el nivel d e riesgo d e d eteccin se relaciona d irectam ente con los p roced im ientos su stantivos d el au d itor. La evalu acin d el au d itor d el riesgo d e control, junto con la evaluacin del riesgo inherente, influye en la naturaleza, oportunidad y alcance d e los p roced im ientos su stantivos qu e d eben d esem p earse p ara red u cir el riesgo d e d eteccin, y p or tanto el riesgo d e au d itora, a u n nivel acep tablem ente bajo. Alg n riesgo d e d eteccin estara siem p re p resente a n si un au d itor exam inara 100 p or ciento d el sald o d e u na cu enta o clase d e transacciones p orqu e la m ayor p arte d e la evid encia d e au d itora es persuasiva y no conclusiva. El au d itor d ebera consid erar los niveles evalu ad os d e riesgos inherentes y d e control al d eterm inar la natu raleza, op ortu nid ad y alcance d e los p roced im ientos sustantivos requeridos para reducir el riesgo de auditora a un nivel aceptable. H ay u na relacin inversa entre riesgo d e d eteccin y el nivel com binad o d e riesgos inherente y d e control. Por ejem p lo, cu and o los riesgos inherente y d e control son altos, el riesgo d e d eteccin acep table necesita estar bajo p ara red u cir el riesgo d e au d itora a u n nivel acep tablem ente bajo. Por otra p arte, cu and o los riesgos inherente y d e control son bajos, u n aud itor p u ed e acep tar u n riesgo d e d eteccin m s alto y a n as red u cir el riesgo de auditora a un nivel aceptablemente bajo. El cu ad ro sigu iente esqu em atiza la relacin inversam ente p rop orcional qu e el au d itor d ebe establecer en su riesgo d e au d itora p ara gestionar ad ecu ad am ente los riesgos inherente y de control combinados:

68

RELACION RIESGOS DE CONTROL Y EVALUACION Riesgo de Control evaluado por el auditor: Alto Medio Bajo La ms baja Ms baja Media Ms baja Media Media Ms alta Ms alta La ms alta

La evaluacin del Auditor Del riesgo inherente

Alto Medio Bajo

Las reas som bread as en esta tabla se refieren al riesgo d e d eteccin. Por ejem p lo, cu and o los riesgos inherente y d e control son altos, los niveles acep tables d el riesgo d e d eteccin necesitan ser bajos p ara red u cir el riesgo d e au d itora a u n nivel acep tablem ente bajo. Por otra p arte, cu and o los riesgos inherente y d e control son bajos, u n au d itor p u ed e acep tar u n riesgo d e d eteccin m s alto y a n as red u cir el riesgo d e au d itora a u n nivel aceptablemente bajo.(Fuente: 18:235).

2.2.10 Consideraciones para el plan de auditoria Al conclu ir y analizar el resu ltad o d e la evalu acin d el sistem a d e control interno, el au d itor p od r d eterm inar si existe p robabilid ad d e qu e haya errores im p ortantes en los estad os financieros. Seg n el m anu al d el Proceso d e Au d itoria d e Delloitte Tou ch Ross

Al d eterm inar si los errores p otenciales son im p ortantes se d ebe consid erar su m agnitu d , direccin, frecuencia y posibilidad de que ocurran(27:220). Esta determinacin es crtica y es la base p ara la p laneacin d e la op ortu nid ad y alcance d e la sustantiva. Al final d e la evalu acin d el control interno el p roceso lleva a d os conclusiones potenciales que afectarn el plan de auditora: fase d e evalu acin

69

A. Evaluar el riesgo de deteccin con nivel bajo (Se confirma la confiabilidad aparente del sistema de control interno) La evalu acin final d el sistem a d e control interno y el riesgo inherente y d e control relacionad o, sigu e siend o acep table, es d ecir, se han evalu ad o con u na confiabilid ad alta qu e p erm ita increm entar el riesgo d e au d itara o d eteccin a u n nivel bajo. La p laneacin d e p roced im ientos sustantivos pod r establecerse al m nim o y red u cir su alcance y naturaleza. El p rrafo 45 d e la N orm a 400 sobre evalu acin d e control interno ind ica lo sigu iente: Los niveles evalu ad os d e riesgos inherente y d e control no p u ed en ser su ficientem ente bajos p ara elim inar la necesid ad p ara el au d itor d e d esem p ear alg n procedim iento su stantivo esto qu iere d ecir qu e au nqu e el alcance d e los p roced imientos sustantivos se reduce ms no se elimina en su totalidad. B. Evaluar el riesgo de deteccin con un nivel alto (La confiabilidad sobre el sistema de control interno debe ser modificada e incrementarse los procedimientos sustantivos) Si no se confirm a la confiabilid ad esp erad a en la evalu acin p relim inar entonces el au d itor d eber obtener evid encia d e au d itora m ed iante el d esem p eo d e p roced im ientos sustantivos. Adicionalmente d eber evalu arse en este m om ento si d e acu erd o con las

circunstancias los p roced im ientos su stantivos efectivam ente p od ran p rop orcionar la evid encia ap rop iad a p ara red u cir el riesgo d e d eteccin a u n nivel acep tablem ente bajo p u esto qu e si a su ju icio se consid era qu e p ara el sald o d e u na cu enta o clase d e transacciones d e im p ortancia relativa, no p u ed e ser red u cid o a u n nivel acep tablem ente bajo, ya el au d itor p od r analizar y exp resar u na op inin calificad a o u na abstencin d e opinin. El plan de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos d e au d itora p lanificad os. El esqu em a tp ico d e u n p lan d e au d itora incluye lo siguiente: Tema de auditora: donde se identifica el rea a ser auditada. Objetivos d e Au d itora: d ond e se ind ica el p rop sito d el trabajo d e au d itora a realizar.

70

Alcances d e au d itora: aqu se id entifica los sistem as especficos o u nid ad es d e organizacin qu e se han d e inclu ir en la revisin en u n p erod o d e tiem p o determinado. Planificacin p revia: d ond e se id entifican los recu rsos y d estrezas qu e se necesitan p ara realizar el trabajo, as com o las fu entes d e inform acin p ara p ru ebas o revisin y lugares fsicos o instalaciones donde se va auditar. Proced im ientos d e au d itora: p ara recop ilacin d e d atos, id entificacin d e lista d e p ersonas a entrevistar, id entificacin y seleccin d el enfoqu e d el trabajo, id entificacin y obtencin d e p olticas, norm as y d irectivas, d esarrollo d e herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.

2.3 2.3.1

El efecto de los sistemas informticos en el control interno de la empresa El riesgo informtico y tecnolgico Uno d e los efectos d e los sistem as inform ticos p ara la entid ad au d itad a y su

sistem a d e control interno, es la ad icin d e nu evas am enazas relacionad as con el control y la segu rid ad d e los sistem as d e inform acin y los activos m anejad os a travs d e stos. Au nqu e existen d iversas d efiniciones sobre riesgo, cu and o se habla d e tecnologa d e inform acin y sistem as es m u y com n referirse a la d efinicin general d e riesgo establecid a p or las Directrices p ara la Ad m inistracin d e Segu rid ad d e Tecnologas d e Inform acin p u blicad as p or la Organizacin Internacional d e Estand arizacin ISO: El p otencial d e qu e u na am enaza d eterm inad a exp lote las vu lnerabilid ad es d e u n activo o gru p o d e activos ocasionand o p rd id a o d ao d e los activos. El im p acto o relativa severid ad d el riesgo es p rop orcional al valor p ara el negocio d e la p rd id a o d ao y a la frecu encia estim ad a d e la amenaza(16:43). El riesgo bajo este concepto general constituye cualquier amenaza sobre d eterm inad o activo o p roceso relacionad o, p or lo qu e se consid era qu e al d eterm inar u n concep to d e riesgo inform tico y tecnolgico, d icho p roceso o activo est enfocad o a

71

m enu d o en asu ntos d e alto riesgo relacionad os con la confid encialid ad , d isp onibilid ad e integridad d e inform acin sensitiva y crtica, y con los sistem as y p rocesos d e inform acin que generan, manipulan y almacenan dicha informacin. El riesgo tecnolgico su rge d e d eficiencias p otenciales en la segu rid ad d e los sistem as, su confiabilid ad , d isp onibilid ad e integrid ad . En u n am biente d e sistem as d e

inform acin y p rocesam iento electrnico d e d atos, tod os los u su arios tienen d erechos d e acceso p red efinid os al sistem a, p or lo qu e cu alqu ier brecha en el acceso d e los u su arios y su au tenticacin crea u n nivel d e riesgo en la segu rid ad d el sistem a. Si el sistem a no est d isead o, im p lem entad o y m antenid o (actu alizad o) p rop iam ente, o bien los riesgos d el negocio no estn ad ecu ad am ente d efinid os y m anejad os a travs d el sistem a d e informacin, podran haber corte o interrupcin de las operaciones de la organizacin. Bajo u n esqu em a general, los riesgos tecnolgicos inclu yen cu atro asp ectos com o

sigue(22:30): ASPECTOS QUE INCLUYEN LOS RIESGOS TECNOLOGICOS RIESGOS Integridad NATURALEZA Errores en el sistem a qu e p u ed en p rovenir d e d iferentes fu entes y reas en u n sistem a inform tico: p roceso d e d esarrollo y d iseo, el ingreso d e d atos, u so inad ecu ad o d e los sistemas, mantenimientos, deficientes, etc. Los sistem as com p u tarizad os y la tecnologa d e inform acin, tienen su scep tibilid ad fu erte p ara ser utilizados para uso criminal mediante el robo de dinero, activos, propiedad intelectual, software y d atos. Normalmente los fraudes computarizados son una violacin a la exclusividad de los derechos de acceso. El fraude puede consistir desde un simple robo de equipo, acceso inautorizado o uso inadecuado de recursos, datos y equip o, hasta m od ificaciones no au torizad as, d ao o prdida total d e los servicios. As com o su relacin con el riesgo reputacional y de negocios que un fraude de este tipo puede ocasionar a la operacin de la empresa. de El im p acto d e la d iscontinu id ad d e op eraciones p u ed e ser muy im p ortante tanto p or el costo financiero qu e p u ed e ocasionar como el efecto en el riesgo reputacional de la entidad. Una contingente interrupcin de operaciones puede ocasionar dudas acerca de la organizacin y su capacidad como negocio en marcha.

Fraude:

Interrupcin Operaciones

72

RIESGOS Cumplimiento

NATURALEZA Relacionad o con violaciones y falta d e conform id ad con leyes y regu laciones d ebid o al u so d e tecnologa d e informacin en las transacciones del negocio. Este riesgo se refiere al grad o d e cu m p lim iento con regu laciones relacionad as con la segurid ad electrnica d e transacciones, convenios electrnicos, u so d e firm as d igitales, certificaciones de Internet.

Com o resu ltad o d e la m aterializacin d el riesgo tecnolgico en cu alqu iera d e su s asp ectos, genera p ara la com p aa am enazas d e tip o financiero, legal, p rd id a d e vu lnerabilid ad a esp ionaje ind u strial, revelacin d e

cred ibilid ad , com p etitivid ad ,

informacin confidencial y cierre de operaciones como riesgo mximo.

2.3.2

Implantacin de controles internos a travs de los sistemas informticos. Com o resu ltad o d e las caractersticas d el sistem a d e inform acin, se ven afectad os

tanto los objetivos, natu raleza y d ocu m entacin d e los controles internos ap licad os p ara asegu rar los objetivos d el control interno. Al u tilizar u n sistem a inform tico integrad o, el control interno se ver afectado por la forma y tipo de los controles que se establecen en los sistem as inform ticos. Por u na p arte tod a la segu rid ad global y el entorno d el sistem a d ep end ern d e qu e exista u n ad ecu ad o am biente d e control sobre los activos d e inform acin, p ara lo cu al se d isearn y ap licarn controles generales. Ad icionalm ente,

m u chos controles m anu ales son su stitu id os p or controles p rogram ad os d entro d el sistem a y las aplicaciones establecidas mediante controles de aplicacin.

A. Controles generales de TI Los controles generales segn se explica en la Dipa 1008 Evaluacin del Riesgo y el Control Interno - Caractersticas y Consid eraciones d el CIS(18:634), tiene com o objetivo asegurar la confiabilidad y seguridad sobre las activid ad es d e TI y p rop orcionar u n

nivel razonable de certeza de que se logran los objetivos globales del control interno.

73

Estos controles com p onen el am biente d e control y activid ad es d e organizacin y gobierno corporativo de las actividades de TI, e incluyen las reas qu e p resenta la fgu ra mostrando a continuacin:

Entorno de los Controles Generales Sobre los sistemas de informacin

Resguardo de Acceso Fsico

Organizacin y Administracin

Control General de actividad IT

Desarrollo, Mantenimiento y Adquisicin

Resguardo Ingreso de Datos

La organizacin y administracin: son las activid ad es qu e establecen u n m arco d e referencia organizacional sobre las activid ad es d e TI, estn relacionad as con las p olticas y p roced im ientos d e gobierno corp orativo d e tecnologa d e inform acin y segregacin apropiada de funciones incompatibles. D esarrollo, adquisicin y mantenimiento de sistemas de aplicacin: diseados p ara p rop orcionar certeza razonable d e qu e los sistem as se d esarrollan y m antienen d e manera eficiente y autorizada. Tambin estn diseados tpicamente para establecer control sobre: Pru ebas, conversin, im p lem entacin y d ocu m entacin d e sistem as nu evos o revisados.

74

Cambios a sistemas de aplicacin. Acceso a documentacin de sistemas. Adquisicin de sistemas de aplicacin con terceros. Adicionalmente, se inclu yen el p roceso d e control en la ad qu isicin y d esarrollo d e sistem as, en relacin con: Au torizacin, ap robacin, p ru ebas, im p lem entacin y

documentacin de software de sistemas nuevos y modificaciones del software de sistemas. Resguardo de Acceso Fsico: Diseados p ara controlar la op eracin d e los sistem as y p rop orcionar certeza razonable d e qu e los sistem as son u sad os p ara p rop sitos au torizad os nicam ente y el acceso a las op eraciones d e la com p u tad ora es restringid o a personal autorizado. Resguardo de Ingreso y operacin: Estos controles son diseados para que exista una estructura de autorizacin sobre el ingreso de operaciones al sistema, y el acceso a los datos y programas nicamente a personal autorizado. Planes de Contingencia: Ms qu e controles estas activid ad es bu scan salvagu ard ar a la entid ad sobre la continu id ad d el p rocesam iento d e TI. Inclu yen entre otros: Resp ald o d e datos y programas, procedimientos de recuperacin para u sarse en caso d e robo, p rd id a o destruccin intencional o accidental, planes de restablecimiento y procesamiento en caso de desastre. B. Controles de aplicacin de TI Estos controles tienen u na relacin d irecta con las aseveraciones d e los estad os financieros, p u esto qu e corresp ond en a ru tinas y p roced im ientos inm ersos en la op eracin d e los sistem as p ara asegu rar la totalid ad , exactitu d y valid ez d e la inform acin. El

m bito d e los controles d e ap licacin est relacionad o con el esqu em a bsico d e procesamiento de datos: entradas, proceso, salida Controles de entrada/origen: Su objetivo es asegu rar qu e tod a transaccin sea valid ad a y au torizad a p revio a su p rocesam iento. Estos controles bu scan asegu rar la totalid ad d e transacciones sean

registradas y qu transacciones incorrectas sean corregidas o rechazadas.

75

Controles sobre el procesamiento y archivos de datos Orientad os al ad ecu ad o p rocesam iento d e transacciones p or la com p u tad ora, asegu rand o lo qu e los d atos acu m u lad os p or el sistem a y p resentad os en la salid a estn completos y exactos y qu e los errores d e p rocesam iento si existe algu no sean id entificad os y corregidos oportunamente. Controles sobre los datos de salida Su objetivo es asegu rar qu e los d atos entregad os a los u su arios sean p resentad os, resu m id os, form atead os y entregad os en u na form a consistente y segu ra y qu e el acceso a los datos de salida est restringido a personal autorizado.

2.3.3

Naturaleza de las fuentes de evidencia de controles y procedimientos Las caractersticas d e los sistem as inform ticos tienen u n efecto en la evid encia y

natu raleza d e los p roced im ientos d e control, esto d ebid o a la natu raleza d el sistem a y el nivel de automatizacin e integracin: En u n am biente d e bases d e d atos relacionales con p rocesam iento en lnea, la d ocu m entacin d e los controles no siem p re p od ra encontrarse d ocu m entad a (m ed iante u n medio escrito). Los rep ortes d e excep cin p u ed e no estar d isead o p ara p rop orcionar inform es im p resos y solo nicam ente pantallazos en el m om ento en qu e se generan los errores, p ero que al ser corregidos, no queda evidencia del mismo. De conform id ad con la m etod ologa d e la au d itoria con enfoqu e basad o es riesgos, el trabajo princip al d e au d itoria es asegu rar qu e el control interno establecid o p or la administracin reduce a un nivel aceptable el riesgo de que la informacin financiera no sea confiable. Debido a la complejidad y naturaleza del sistema informtico ERP, el cual dentro d e su estru ctu ra conlleva p rocesos au tom ticos d e control y registro contable se hace necesario p revio a la p laneacion d efinitiva d el trabajo d e au d itoria, obtener u n conocim iento com p leto d e las interiorid ad es d el sistem a, el nivel d e segu rid ad y los controles internos incru stad os en el m ism o, qu e asegu ran la mitigacin d e los riesgos identificados. A travs d e la evalu acin d el sistem a d e control interno, el au d itor estar en

76

condiciones de determinar y afinar su plan global de auditoria, de tal forma que se adecue a los riesgos p rincip ales qu e p od ran d aar el objetivo y au d itoria d e estad os financieros. a los objetivos globales d e la

Es p or esto, qu e la evalu acin d e control interno se

consid era el eje central d e la p laneacion d e u na au d itoria con enfoqu e basad o en riesgos en u na com p aa qu e u tiliza u n sistem a inform tico tip o ERP, p orqu e solo a travs d e esta evalu acin es p osible d eterm inar la natu raleza, op ortu nid ad y alcance d e los

p roced im ientos d e au d itoria qu e necesitan ser ap licad os p ara lograr los objetivos esperados.

77

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

CAPITULO III CONSIDERACIONES SOBRE LOS SISTEMAS INFORMATICOS INTEGRADOS TIPO ENTERPRISE RESOURCE PLANNING -ERP- (PLANEACIN DE RECURSOS EMPRESARIALES) CON APLICACIONES ORACLE UTILIZADOS POR LA ENTIDAD

3.1 Informtica Al referir el trm ino inform tica es recu rrente qu e se relacione con los concep tos d e inform acin, au tom atizacin, tecnologa y com p u tad oras, lo cu al es correcto seg n se puede observar en las definiciones siguientes: La p alabra inform tica p roviene d el francs informatique y se d efine com o el conju nto d e conocim ientos cientficos y tcnicas qu e hacen p osible el tratam iento automtico de la informacin por medio de ordenadores(32:1). En ocasiones, se califica a la inform tica com o "Inform tica es el conju nto d e tcnicas y m tod os cientficos qu e se ocu p a d el tratam iento au tom tico d e la inform acin, entend id a sta com o el sop orte d e los conocim ientos d el hom bre y d e la com u nicacin d e los mismos (32:1). Con base en las definiciones citadas anteriormente, se puede entender la informtica com o el conju nto d e tcnicas, p roced im ientos y m tod os (ciencia) qu e trata sobre el p roceso d e la transform acin d e los d atos en inform acin significativa u tilizand o tecnologas y m qu inas p ara realizar d icho p roceso. Cu and o se trata d e estad os

financieros la inform tica ha tenid o u n alto d esarrollo y efecto en la form a en cm o las em p resas u tilizan estas tcnicas y herram ientas p ara p rop orcionar inform acin financiera y administrativa que soporte el proceso de valoracin de riesgos y de toma de decisiones.

78

3.2 Sistemas y tecnologa de Informacin Seg n Lu is Johannes Agu ilar en su obra Fu nd am entos d e Program acin, u n sistem a de informacin se define como un conjunto de componentes conectados e interactivos, que tienen u n p rop sito y u na u nid ad total qu e consiste en transform ar d atos bru tos e inform acin organizad a, significativa y til. La tecnologa es u na herram ienta d el sistem a de informacin. La d efinicin citad a im p lica qu e u n sistem a d e inform acin en trm inos generales es u n conju nto d e recu rsos tcnicos, m ateriales y hu m anos organizad os y estru ctu rad os p ara ejecu tar u n p roceso qu e consiste en recabar y/ u op erar d atos con los cu ales m ed iante el resu m en, ord enam iento, clasificacin, registro, verificacin d e integrid ad ye valid ez, revisin, transm isin, agru p am iento, com p aracin y clcu los, d ep u ra y sintetiza los

resu ltad os y los p resenta con base en u n objetivo d eterm inad o a fin d e conocer las caractersticas significativas d e u n fenm eno, qu e p erm ita tom ar acciones u op ciones a su respecto, u tilizand o p ara esto u n m ed io d e alm acenam iento y p rocesam iento,

recuperacin, retroalimentacin y actualizacin, reportes y comunicacin de resultados. Bajo este concep to el sistem a d e inform acin no necesariam ente lim ita a los sistem as que utilizan el computador para el procesamiento de transacciones. El entorno d e sistem as d e inform acin d e cm p u to (CIS) se d efine en la N orm a Internacional d e Au d itora (N IA) 401, "Au d itora en un Entorno d e Sistem as d e Inform acin p or Com p u tad ora" com o sigu e: Para los fines d e las N orm as Internacionales d e Au d itora, existe u n entorno d e Sistem as d e Inform acin d e Cm p u to cu and o hay im p licad a u na com p u tad ora d e cu alqu ier tip o o tam ao en el p rocesam iento p or p arte d e la entid ad d e inform acin financiera d e im p ortancia p ara la au d itora, ya sea qu e la com p u tad ora sea op erad a p or la entid ad o p or u n tercero. Debe consid erarse qu e este concep to es d e ap licacin lim itad a al p roceso d e u na Au d itoria d e Estad os Financieros. Adicionalmente, en ste norm a se establece qu e el au d itor d ebe evalu ar el efecto qu e tiene la utilizacin de una computadora en el proceso de la informacin financiera.

79

3.3 Caractersticas de los sistemas de informacin computarizados Para tratar las caractersticas d e los sistem as d e inform acin es conveniente tener en cu enta qu e stos han id o evolu cionand o en el tiem p o y qu e p u ed en consid erarse qu e existen fu nd am entalm ente tres clases, cad a u na con su s p ecu liarid ad es.(37:1) Los sistem as d e inform acin qu e logran la au tom atizacin d e p rocesos op erativos d entro d e u na organizacin, son llam ad os frecu entem ente Sistem as Transaccionales, ya qu e su fu ncin p rim ord ial consiste en p rocesar transacciones tales com o p agos, cobros, p lizas, entradas, salidas, etc. Por otra parte, los sistemas de informacin que apoyan el proceso de tom a d e d ecisiones son los Sistem as d e Sop orte a la Tom a d e Decisiones, sistem as para la tom a d e d ecisin d e gru p o, sistem as exp ertos d e sop orte a la tom a d e d ecisiones y sistem a de informacin para ejecutivos. El tercer tipo de sistema, de acuerdo con su uso u objetivos qu e cu m p len, es el d e los sistem as estratgicos, los cu ales se d esarrollan en las organizaciones con el fin d e lograr ventajas com p etitivas, a travs d el u so d e la tecnologa de informacin. A continu acin se m encionan las p rincip ales caractersticas d e estos tip os d e Sistemas de Informacin.

Sistemas Transaccionales. Sus principales caractersticas son: A travs de stos suelen lograrse ahorros significativos de mano de obra, debido a que automatizan tareas operativas de la organizacin. Con frecuencia son el primer tipo de Sistemas de Informacin que se implanta en las organizaciones. Se empieza apoyando las tareas a nivel operativo de la organizacin. Son intensivos en entrada y salida de informacin; sus clculos y procesos suelen ser simples y poco sofisticados. Tienen la propiedad de ser recolectores de informacin, es decir, a travs de estos sistemas se cargan las grandes bases de informacin para su explotacin posterior. Son fciles de justificar ante la direccin general, ya que sus beneficios son visibles y palpables.

80

Sistemas de Apoyo de las Decisiones. Las principales caractersticas de stos son: Suelen introducirse despus de haber implantado los Sistemas Transaccionales ms relevantes de la empresa, ya que estos ltimos constituyen su plataforma de informacin. La informacin que generan sirve de apoyo a los mandos intermedios y a la alta administracin en el proceso de toma de decisiones. Suelen ser intensivos en clculos y escasos en entradas y salidas de informacin. As, por ejemplo, un modelo de planeacin financiera requiere poca informacin de entrada, genera poca informacin como resultado, pero puede realizar muchos clculos durante su proceso. No suelen ahorrar mano de obra. Debido a ello, la justificacin econmica para el desarrollo de estos sistemas es difcil, ya que no se conocen los ingresos del proyecto de inversin. Suelen ser Sistemas de Informacin interactivos y amigables, con altos estndares de diseo grfico y visual, ya que estn dirigidos al usuario final. Apoyan la toma de decisiones que, por su misma naturaleza son repetitivos y de decisiones no estructuradas que no suelen repetirse. Por ejemplo, un Sistema de Compra de Materiales que indique cundo debe hacerse un pedido al proveedor o un Sistema de Simulacin de Negocios que apoye la decisin de introducir un nuevo producto al mercado. Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participacin operativa de los analistas y programadores del rea de informtica. Este tipo de sistemas puede incluir la programacin de la produccin, compra de materiales, flujo de fondos, proyecciones financieras, modelos de simulacin de negocios, modelos de inventarios, etc.

81

Sistemas Estratgicos. Sus principales caractersticas son: Su fu ncin p rim ord ial no es ap oyar la au tom atizacin d e p rocesos op erativos ni proporcionar informacin para apoyar la toma de decisiones. Su elen d esarrollarse in house, es d ecir, d entro d e la organizacin, p or lo tanto no pueden adaptarse fcilmente a paquetes disponibles en el mercado. Tp icam ente su form a d e d esarrollo es a base d e increm entos y a travs d e su evolu cin d entro d e la organizacin. Se inicia con u n p roceso o fu ncin en particular y a partir de ah se van agregando nuevas funciones o procesos. Su fu ncin es lograr ventajas qu e los com p etid ores no p osean, tales com o ventajas en costos y servicios d iferenciad os con clientes y p roveed ores. En este contexto, los Sistem a Estratgicos son cread ores d e barreras d e entrad a al negocio. Por ejem p lo, el u so d e cajeros au tom ticos en los bancos es u n Sistem a Estratgico, ya qu e brind a ventaja sobre u n banco qu e no p osee tal servicio. Si u n banco nu evo d ecid e abrir sus puertas al pblico, tendr que dar este servicio para tener un nivel similar al de sus competidores. Ap oyan el p roceso d e innovacin d e p rod u ctos y p roceso d entro d e la em p resa d ebid o a qu e bu scan ventajas resp ecto a los com p etid ores y u na form a d e hacerlo es innovando o creando productos y procesos. Un ejem p lo d e estos Sistem as d e Inform acin d entro d e la em p resa p u ed e ser u n sistem a MRP (M anufacturing Resoure Planning) enfocad o a red u cir su stancialm ente el d esp erd icio en el p roceso p rod u ctivo, o bien, u n Centro d e Inform acin qu e proporcione tod o tip o d e inform acin; com o situ acin d e crd itos, em barqu es, tiem p os d e entrega, etc. En este contexto los ejem p los anteriores constitu yen u n Sistem a d e Inform acin Estratgico s y slo s, ap oyan o d an form a a la estru ctu ra competitiva de la empresa 3.4 Componentes bsicos de un sistema de informacin computarizado. El sistema de informacin est integrado por los datos, el hardware, el software y el recurso humano.

82

Datos. Se refieren a la rep resentacin d e alg n hecho, concep to o entid ad real, p u eden tom ar d iferentes form as, p or ejem p lo, p alabras, n m eros o d ibu jos. procesados se transforman en informacin organizada, significativa y til. Cu and o son

H ard w are: Es el conju nto d e com p onentes fsico.

Inclu ye las u nid ad es centrales d e

p roceso, la m em oria central, los d isp ositivos d e alm acenam iento secu nd ario y los perifricos o dispositivos de entrada y salida.

Softw are: Es el conju nto d e p rogram as qu e controlan el fu ncionam iento d el equ ip o d e cmputo.

Recu rso H u m ano.

Este com p onente constitu ye la p arte m s im p ortante d el sistem a,

inclu ye a tres gru p os d e p ersonas. El p rim ero conform ad o p or tod as aqu ellas p ersonas que se hacen cargo de ingresar los datos que debern ser procesados. El segundo incluye a las p ersonas qu e se hacen cargo d e d ar el sop orte tcnico necesario y d e la ad m inistracin d el sistem a. El tercero sta integrad o p or las p ersonas qu e son los u su arios d el sistem a, es decir, aquellos que harn uso de la informacin generada.

3.5 Sistemas informticos integrados Com o antes se anot, los sistem as d e inform acin nacieron inicialm ente con fines esp ecficos, p rim ero la p reocu p acin fu e la asignacin d e recu rsos en la m anu factu ra, lu ego la facilitacin d e la tom a d e d ecisiones y finalm ente se ha bu scad o ap oyar en la planificacin estratgica de la empresa. Para cada una de estas finalidades, se acostumbr crear sistem as p articu lares, sin em bargo, la com p lejid ad d e la finalid ad hace qu e se tenga qu e d esarrollar op ciones qu e p erm itan ad m inistrar la inform acin d e tod o el qu e hacer d e la em p resa, inclu yend o lo qu e ocu rre en el m ercad o en qu e se p articip a. H oy los

sistem as estn llam ad os a cu m p lir tres fu nciones: au tom atizacin d e p rocesos op erativos, p rop orcionar inform acin qu e sirva d e ap oyo al p roceso d e tom a d e d ecisiones y p roveer de ventajas competitivas a travs de su implementacin y uso.

83

Para lograr cu m p lir esas finalid ad es se necesita d e Sistem as d e Inform acin Integrad os los cu ales son aqu ellos qu e integra tod as las reas d e u na em p resa (Com o contabilid ad , com p ras, o inventarios), m ed iante p rocesos transp arentes y en tiem p o real en bases d e d atos relacionales y centralizad as. (Fu ente:

http://es.wikipedia.org/wiki/Sistema_de_planificaci%C3%B3n_de_recursos).

3.6

Sistemas

Ent erprise

Resource

Planning

ERP-

(Planeacin

de

recursos

empresariales)

con aplicaciones Oracle

Los sist emas de planeacin de recursos empresariales (ERP, enterprise resource planning, en ingls) son sistem as d e inform acin qu e integran ap licaciones inform ticas p ara gestionar tod os los d ep artam entos y fu nciones d e u na em presa: contabilid ad financiera y analtica, finanzas, p rod u ccin, m antenim iento, logstica, recu rsos hu m anos, m ateriales, gestin d e activos, com p ras y p agos, ventas y cobros, bancos y efectos, tesorera, cartera, gestin de proyectos, etc.(37:1). Los ERP son sistem as d e gestin d e inform acin qu e integran y au tom atizan m u chas d e las p rcticas d e negocio asociad as con los asp ectos op erativos o p rod u ctivos de u na em p resa. Se caracterizan p or estar com p u estos p or d iferentes p artes integrad as en u na nica ap licacin. Estas p artes son d e d iferente u so, p or ejem p lo: p rod u ccin, ventas, com p ras, logstica, contabilid ad (d e varios tip os), gestin d e p royectos, GIS (sistem a d e inform acin geogrfica), inventarios y control d e alm acenes, p ed id os, nm inas, etc. Slo se puede definir un ERP como la integracin de todas estas partes. Lo contrario sera como querer considerar un simple programa de facturacin como un ERP por el simple hecho de que una empresa integre nicamente esa parte. Esta es la diferencia fundamental entre un ERP y otra ap licacin d e gestin. El ERP integra tod o lo necesario p ara el fu ncionam iento d e los p rocesos d e negocio d e la em p resa. N o se p u ed e hablar d e ERP en el m om ento qu e tan slo se integra u no o u na p equ ea p arte d e los p rocesos d e negocio. La p rop ia d efinicin d e ERP ind ica la necesid ad d e qu e la inform acin m anejad a sea y este disponible para todo el mundo en tiempo real.

84

3.6.1

Caractersticas Las caractersticas qu e d istingu en a los ERP d e cu alqu ier otro sistem a em p resarial,

es que deben ser sistemas integrales, con modularidad y adaptables Integrales, p orqu e p erm iten controlar los d iferentes p rocesos d e la com p aa entendiendo que todos los departamentos de una empresa se relacionan entre s, es d ecir, qu e el resu ltad o d e u n p roceso es p u nto d e inicio d el sigu iente. Por ejem p lo, en u na com p aa, el qu e u n cliente haga u n ped id o rep resenta qu e se cree u na ord en d e venta qu e d esencad ena el p roceso d e p rod u ccin, d e control d e inventarios, d e p laneacin d e d istribu cin d el p rod u cto, cobranza, y p or su p u esto su s resp ectivos m ovim ientos contables. Si la em p resa no u sa u n ERP, necesitar tener varios p rogram as qu e controlen tod os los p rocesos m encionad os, con la desventaja de que al no estar integrados, la informacin se duplica, crece el margen d e contam inacin en la inform acin (sobre tod o p or errores d e cap tu ra) y se crea u n escenario favorable p ara m alversaciones. Con u n ERP, el op erad or simplemente cap tu ra el p ed id o y el sistem a se encarga d e tod o lo d em s, p or lo qu e la informacin no se manipula y se encuentra protegida. Modulares. Los ERP entiend en qu e u na em p resa es u n conju nto d e d ep artam entos qu e se encu entran interrelacionad os p or la inform acin qu e com p arten y qu e se genera a p artir d e su s p rocesos. Una ventaja d e los ERP, tanto econm ica com o tcnicam ente es qu e la fu ncionalid ad se encu entra d ivid id a en m d u los, los cu ales p u ed en instalarse d e acu erd o con los requ erim ientos d el cliente. Ejem p lo: Ventas, Materiales, Finanzas, Control de Almacn, etc. Adaptables. Los ERP estn cread os p ara ad ap tarse a la id iosincrasia d e cad a em p resa. Esto se logra p or m ed io d e la configu racin o p aram etrizacin d e los p rocesos d e acu erd o con las salid as qu e se necesiten d e cad a u no. Por ejem p lo, p ara controlar inventarios, es p osible qu e u na em p resa necesite m anejar la p articin d e lotes p ero otra em p resa no. Los ERP m s avanzad os su elen incorp orar herram ientas d e p rogram acin d e 4 Generacin p ara el d esarrollo rp id o d e nu evos p rocesos. La p aram etrizacin es el valor aad id o fu nd am ental qu e se d ebe

85

hacer con cu alqu ier ERP p ara ad ap tarlo a las necesid ad es concretas d e cad a empresa. Otras caractersticas destacables de los sistemas ERP son: Base de datos centralizada. Los componentes del ERP interactan entre s consolidando todas las operaciones. En un sistema ERP los datos se ingresan slo una vez y deben ser consistentes, completos y comunes. Las em p resas qu e lo im p lanten su elen tener qu e m od ificar algu no d e su s p rocesos p ara alinearlos con los d el sistem a ERP. Este proceso se conoce com o Reingeniera de Procesos, aunque no siempre es necesario. Au nqu e el ERP p u ed a tener m en s m od u lares configu rables seg n los roles d e cad a u su ario, es u n tod o. Esto es: es u n nico p rogram a (con m u ltip licid ad d e libreras, eso si) con acceso a u na base d e d atos centralizad a. N o d ebem os confundir en este punto la definicin de un ERP con la de una suite de gestin. La tend encia actu al es a ofrecer ap licaciones esp ecializad as p ara d eterm inad as em p resas. Es lo qu e se d enom ina versiones sectoriales o ap licaciones sectoriales esp ecialm ente ind icad as o p rep arad as p ara d eterm inad os p rocesos d e negocio d e un sector (los ms utilizados).

3.6.2

Arquitectura y procesos Los ERP p resentan u na arqu itectu ra d e tecnologa d e inform acin com n

altam ente acop lad a e integrad a qu e p u ed e acop larse con cu alqu ier ap licacin d e sistem as heredados. La arqu itectu ra es d el tip o cliente-servid or, es d ecir, im p lica el m anejo d e u na base d e d atos centralizad a qu e p rovee inform acin a p ersonas d e d iferentes d ep artam entos y

86

con fu nciones y m isiones d istintas pero qu e en el trabajo conju nto contribu yen al logro d e la visin del negocio. Las caractersticas antes anotadas son las que permiten considerar la posibilidad de implementar un ERP de manera evolutiva, tomando inicialmente algunos mdulos. Los principales componentes de su arquitectura son el sistema operativo, la base de datos, la plataforma de hardware y la red de comunicacin.

Sistemas operativos. Cu and o se habla d el m ejor sistem a op erativo - qu e p u ed e ser ap licad o a la infraestructura como un todo - para trabajar con una solucin de ERP, surgen tres palabras com o las m s im p ortantes: costo, cu ltu ra y d isp onibilid ad . El costo d ebe ser encarad o com o la necesid ad d e p reservar la inversin realizad a o d im ensionar aqu ello qu e ser necesario hacer; la cu ltu ra se refiere a la historia y a las exp eriencias d e la corp oracin con ste o aqu el sistem a; m ientras qu e la d isp onibilid ad se refiere a aqu ello qu e el sistem a operativo puede ofrecer frente al ERP. En general, la ind icacin d e u n sistem a op erativo p ara fu ncionar con el ERP es u na cu estin estratgica d e la corp oracin y sigu e la orientacin d e los equ ip am ientos elegid os y d e aqu ellos ya instalad os. Sin em bargo, la exp eriencia d e la corp oracin p u ed e y d ebe ser enfatizad o, y la cu estin d e la generacin d e costos no p u ed e ser d esp reciad a, el sistema operativo debe ser encarado como un soporte al ERP y no lo contrario. Para algu nos, el p aqu ete d e gestin no d ebe influ ir en la ad op cin d e u n sistem a op erativo p ero s d ebe ad ecu arse al qu e la corp oracin ya u sa. N o obstante, u n anlisis d el requ erim iento d el sistem a d e ERP d ep end e d el p rop io tam ao d e la com p aa y d e la am p litu d d el p royecto - con u na estrecha relacin con el n m ero d e m d u los (p artes d el sistem a d e gestin) y con el n m ero d e p ersonas qu e van a acced er al sistem a. Si este estudio, por ejemplo, apunta hacia varias plataformas, sta ser la mejor orientacin. Trad icionalm ente, el sistem a op erativo p referid o en la instalacin d e p aqu etes d e gestin era Unix, esp ecialm ente cu and o Wind ow s N T tod ava no era lo su ficientemente robu sto com o p ara encarar u n p rocesam iento qu e involu crase m qu inas d e m ayor p orte,

87

d e la m ism a form a qu e Linu x, u n p rim o m s accesible d e Unix. Con d iversos sabores o versiones d e acu erd o a los p roveed ores, el m u nd o Unix p rop orciona m s segu rid ad y p rocesam iento en larga escala con m enos fallas, id eal p ara qu ien u sa sistem as con mltiples operaciones o accesos, como ocurre con el ERP.

Muchos proveedores de sistemas de gestin, inclusive por la proximidad y relacin de negocios con Microsoft, han apostado con fuerza en NT. Es un hecho que despus de la versin 2000 el sistem a evolu cion y est m s ad ecu ad o a las exigencias d e p rocesam iento y d e red u ccin d e p roblem as d e continu id ad en el p rocesam iento, p ero d ebe realizarse u na evalu acin m inu ciosa d el sistem a op erativo teniend o en cu enta la p lataform a d e hardware ms indicada para la corporacin. Prim o o m ed io herm ano d e Unix, el sistem a d e d esarrollo abierto Linu x - lo qu e significa qu e las p ersonas d e tod o el m u nd o p articip an d e su elaboracin y no existe u n d u eo d el sistem a - evolu cion m u cho en d esem p eo llegand o a ser hoy evalu ad o com o op cin p ara el p rocesam iento d e ap licativos inclu sive en grand es em presas. El am biente no slo creci en volu m en d e op eraciones qu e p u ed en ser realizad as sino tam bin en la d ism inu cin d e la frecu encia d e fallas y p roblem as. El asp ecto p ositivo m s evid ente es la red u ccin d e costos d e las licencias. Por su caracterstica, no obstante, el sop orte - hecho p or p ocas em p resas especializad as en el sistem a - no tiene la am p litu d y la exp eriencia d e las compaas que trabajan con Unix o con Windows NT.

Bases de datos Com o su ced e con los sistem as operativos, la base d e d atos m s ind icad a p ara op erar con ERP d ep end e m u cho m s d el gu sto d el cliente qu e d e u na com p atibilid ad o adherencia entre los sistemas. Los fabricantes ms importantes en el mercado de base de datos - Oracle, Microsoft e IBM - tienen com p atibilid ad garantizad a con tod os los sistem as ERP, lo qu e asegu ra am bientes con bu ena cap acid ad d e ad herencia. Com o regla d e sobrevivencia, es m s interesante aprovechar y adecuar las bases de datos al paquete de gestin que a la inversa.

88

Lo qu e d eterm ina el d esem p eo d e la base d e d atos es la m anera com o el ERP acced e a las inform aciones all gu ard ad as. En d efinitiva, com o concep to, los sistem as d e gestin p u ed en ser trad u cid os com o la estand arizacin y u niversalizacin d e las informaciones, y para que esto ocurra es importante que la base de datos acte en conjunto con el sistema, permitiendo que las informaciones le sean introducidas una nica vez y, en tiem p o real, p u ed an ser d istribu id as p ara tod as las p artes d el sistem a con las cu ales est relacionad o. Con esta base com n se elim inan tanto la red u nd ancia com o la reescritu ra (entendindose esto como redigitalizacin, "tipearlo" nuevamente). N orm alm ente, u n sistem a ERP se constru ye, se u tiliza y est integrad o a u na base d e d atos relacional, qu e p u ed e ser entend id a com o el establecim iento d e vncu los d e inform acin entre d iferentes d atos. Un ejem p lo d e la integracin entre los sistem as es cu and o u na ord en d e com p ra - qu e es inclu id a u na sola vez traslad a inform acin p ara otros m d u los y bases d e d atos tales com o stock d e p iezas, m anu factu ra, logstica, etc., y aqu ella ord en es seguid a y acom p aad a en tod a su extensin, hasta qu e finaliza, norm alm ente, con el p ago d e la factu ra. Tod o sin red u nd ancia o su p erp osicin d e informacin.

Plataforma de hardware La plataforma - configuracin y homologacin (formatacin) de las mquinas - ms recom end ad a p or esp ecialistas en ERP p ara p rocesar ap licativos d e gestin integrad a - es la p lataform a cliente/ servid or. Com o cliente entind ase u na com p u tad ora u tilizad a p or el u su ario p ara acced er a las inform aciones en otra m qu ina d el m ism o p erfil p ero con configu raciones m s altas qu e hosped a los m d u los d e gestin y/ o bases d e d atos. Al contrario d e los mainframes, qu e centralizan los d atos y lim itan el n m ero d e u su arios sim u ltneos y la interaccin d e qu ien los u tiliza, esta configu racin p erm ite el u so d e diversos equipamientos que conversan entre s con informaciones distribuidas. Para sop ortar el n m ero d e p ersonas qu e acced an a los d atos d el p aqu ete d e gestin y la cantid ad d e inform acin qu e transita p or la red , la recom end acin es d e servid ores con, p or lo m enos, d os p rocesad ores. Las m qu inas d eben tener 1 GB o m s d e

89

RAM - la m em oria qu e trabaja con el p rocesam iento -, ad em s, claro est, d e d iscos con alta cap acid ad d e alm acenam iento y m ecanism os d e backu p , sea p or m ed io d e otras u nid ad es d e d isco d entro o fu era d e la m qu ina o p or el envo d e d atos p ara u n socio qu e trabaje con almacenamiento externo como un datacenter. Entre las opciones d e arqu itectu ra existentes, encontram os los m u nd os Risc e Intel. La p rim era m qu ina Risc su rgi en 1975, en IBM, p ero fu e lanzad a com ercialm ente recin en 1981. En la d cad a d el 80 y p rim era m itad d e los aos 90 fu e d om inante en el am biente de ERP, invariablemente vendida con el sistema operativo Unix. Valorizaba su desempeo d e p rocesam iento en m qu inas com o Alp ha - d e Digital, com p rad a p or Com p aq qu e p or su parte fue adquirida por Hewlett-Packard - con instrucciones simplificadas, disminucin del nmero de transistores y por lo tanto del calor producido. H oy en d a, no p oseen

tanto esp acio en el m ercad o, su p recio es su p erior y su d esem p eo y velocid ad d e procesamiento equivalen a las plataformas de Intel. Con Itaniu m , Intel consolid su ascensin entre las corp oraciones, ya verificad a en la p oca d e Pentiu m . Una seal latente es la socied ad en d esarrollo d e Itaniu m con H P, antes, d efensora exclu siva d e la p lataform a Risc p ara servid ores corp orativos. El m ayor esp acio en el m u nd o d e los p aqu etes d e gestin se d ebe fu nd am entalm ente al increm ento p erm anente d e la velocid ad y calid ad d e su s chip s y a su constante d ism inu cin d e precios. Cu and o la corp oracin p iensa en TCO (Total Cu st of Ow nership ) o costo total d e p rop ied ad , qu e su m a los gastos al equ ip am iento y los valores d e su m antenim iento, el precio hace la diferencia.

Red de comunicacin Una red d e com p u tad oras est lista p ara op erar con u n ERP d esp u s d e u n extenso relevo d e los u su arios, d e los n m eros y localizacin d e los p u ntos qu e van a involu crarse con el sistem a d e gestin. Probablem ente, el trfico qu e ser generad o es m ayor qu e la velocid ad d e band a contratad a, p ero slo u n cap acity p lanning - com o son llam ad os esos informes - podr decirlo con seguridad. A n frente a u na rad iografa qu e ind ica cam bios en las red es locales y en la infraestru ctu ra d e com u nicacin d e larga d istancia - u tilizad a cu and o la em p resa p osee

90

instalaciones d istribu id as en ed ificios, ciu d ad es, p rovincias o p ases d iferentes -, la inversin ad icional d ebe ser efectu ad a d e acu erd o a la im p lem entacin d el p aqu ete d e gestin. Com o el p roceso es llevad o a cabo en la secu encia d e los m d u los, (p ed azos d el sistem a global d e ERP), es p osible econom izar recu rsos d e acu erd o a la d em and a d e entrada de los usuarios y localidades.

3.6.3

Aplicaciones Las ap licaciones d e los ERP estn d eterm inad as p or el m d u lo qu e se d esea

trabajar. siguiente:

Los m d u los m s im p ortantes son los qu e estn id entificad os en la fgu ra

MODULOS IMPORTANTES DE UN ERP

FINANZAS

BASE DE DATOS CENTRALIZADA ERPPRODUCCION VENTAS

CONTABILIDAD

91

Ad em s d e los cu atro m d u los m s im p ortantes se tienen los d e ad m inistracin d e recursos humanos y el de inventarios. Las aplicaciones que se utilizan en cada uno son: En comercial. Ventas, servicios, devoluciones, embarques, precios y costos, vales y atencin a clientes En finanzas. Tesorera, cu entas p or cobrar, cu entas p or p agar, com isiones y

destajos; y, gastos En Inventarios. Inventarios, activos fijos, com p ras, im p ortaciones, control d e

calidad y atencin a proveedores. En manufacturas. Planeacin de rdenes, produccin y proyectos. En recu rsos hu m anos. N m inas, control d e accesos, asistencia, atencin al

personal y servicios internos Contabilidad. El registro de operaciones contables y todo lo referente al tema.

3.6.4

Procesos Los p rocesos qu e se d esarrollan d entro d el ERP d ep end en d e la entid ad qu e est

m ontand o el sistem a.

Debe tenerse p resente qu e el ERP es u na herram ienta qu e lo qu e

bu sca es hacer qu e los p rocesos d e la em p resa sean m s eficientes, p ara el efecto, se hace u n estu d io d e los m ism os, se establecen las relaciones corresp ond ientes y se hace u na integracin horizontal. Esto p erm ite qu e se p u ed a op tar p or im p lem entarlo

gradualmente, considerando primero alguno de los mdulos ms importantes.

3.7 Aspectos del sistema contable dentro de un ambiente Enterprise Resource Planning -ERP- (Sistema de Planeacin de Recursos Empresariales) Algu nas caractersticas d el sistem a contable afectad as p or el ERP se d etallan a continuacin:

Plan contable p red efinid o y am p liable. Ofrece el p lan contable a 4 d gitos, con p osibilid ad d e alcanzar hasta los 16 p or cu enta, hasta 8 niveles jerrqu icos. Esto

92

p erm ite d iversid ad d e d efinicin en las relaciones con el resto d e estru ctu ras contables, (Centros d e costos, con o sin d istribu cin p red eterm inad a, centros au xiliares, p royectos, em p resas d el gru p o, cu entas corrientes d e cliente, p roveed or o banco, etc.).

Entrad a d e asientos integrad a y au tom atizad a. La m ayora d e los asientos se generan au tom ticam ente en los d iferentes m d u los d el sistem a. El sistem a

permite trabajar con asientos predefinidos (ej.: Nminas) y permite la contrapartida au tom tica d e varias lneas seleccionad as d el asiento, gestin au tom tica d e las d iferencias d e cam bio, p rod u cid as p or la op erativa en d iferentes m oned as, im p u tacin a tod as las estru ctu ras contables (Centros d e coste, Proyectos, Cu entas Corrientes d e Clientes, Proveed ores y Bancos, Em p resas d el gru p o, Centros Auxiliares, IVA, Cartera, etc.)

Asientos entre em p resas d el gru p o. Posibilid ad d e relacionar las em p resas d el gru p o qu e p articip an en u n asiento contable, p ara u n p osterior tratam iento en comn como son agrupaciones, listados, etc.

Consu lta d e asientos p or cu alqu ier concep to. B squ ed a d e los asientos contables realizad os p or m u ltitu d d e concep tos, (p or ejercicio, d iario, asiento, fecha, cu enta, importe, moneda, perodo, documento, texto, etc.).

Conciliacin d e cu entas contables. El sistem a p erm ite la conciliacin m anu al d e los apuntes realizados sobre una cuenta contable.

Proceso d e au d itoria y cu ad re d e la base d e d atos. Revisa d e form a au tom tica la coherencia de todos los datos contables.

Cierre y ap ertu ra au tom ticos d el ejercicio, con la p osibilid ad d e retroced er el cierre del ejercicio.

93

Obtencin de grficas de la evolucin de los saldos contables. A partir de los saldos d e las cu entas contables, el sistem a elabora d e form a au tom tica las grficas d e su evolucin, en las diferentes monedas asignadas al ejercicio.

Listad os contables (Balances, Mayores, Extractos, etc.), con form atos variables y parametrizables por el usuario.

10

Inform es p red efinid os. El u su ario p u ed e d isear d esd e la ap licacin su s p rop ios inform es p ara el anlisis d e la situ acin financiera. El sistem a inclu ye los inform es predefinidos (Prdidas y Ganancias, Balance de Situacin, etc.).

3.8 Consideraciones especficas del Sistema a ser considerados en una auditoria Las cu atro reas m s im p ortantes d e la au d itoria qu e se vern afectad as p or el ERP, sern las consideraciones de: La interaccin de los flujos de informacin y trabajo de la entidad. Elementos de la integridad y procesamiento de datos. Controles y seguridad sobre los datos y los sistemas. Habilidades y Capacitacin requeridas para la auditoria. El constante incremento en la implementacin de ERP d e d istinto nivel a nivel d el am biente d e negocios ha requ erid o qu e el au d itor m ejore su s conocim ientos acerca d e la auditara d e sistem as y d e p rocesos d e inform acin. El enfoqu e d e auditara cam bia d e

u n alcance d e p ru ebas su stantivas d e los libros contables y au xiliares, al entend im iento y evalu acin a d etalle d e los p rocesos d e negocio, riesgos y controles inm ersos, p ru eba d e los controles generales y d e ap licacin inm ersos en el sistem a, as com o los controles sobre el acceso al sistema y la seguridad informtica. La com p lejid ad tcnica sobre la tecnologa y arqu itectu ra d e los sistem as ERP, requ ieren qu e el au d itor tenga u n am p lio conocim iento sobre tecnologa d e inform acin y que se consid ere el u so d e esp ecialistas p ara planear la au d itoria en form a efectiva. Por esto, es qu e en u na au d itoria d e estad os financieros, en u na entid ad qu e u tilice u n sistem a

94

ERP, el au d itor d eber p rim ero realizar u na evalu acin d el sistem a, consid erand o p ara el efecto: La arqu itectu ra d e la base d e d atos ORACLE y la estru ctu ra d e las relaciones con los componentes de hardware y software implementados. El inventario de redes y usuarios conectados entre si (Mapeo de la Red e inventario de recursos). Recu rsos d e Program acin programacin. Estructura de Seguridad, firewalls, programas antivirus y otras aplicaciones. Escalas m od u lares ap licad as p rincip alm ente id entificar los mdulos y la op eracin entre si, qu e se encu entran instalad os: algu nos sistem as p u ed en tener nicamente los mdulos bsicos y otros estar en proceso de desarrollo. y ap licaciones im p lem entad as y lengu aje d e

95

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

CAPITULO IV

PROCEDIMIENTOS DE AUDITORA DE SISTEMAS Y TECNOLOGIA DE INFORMACIN APLICABLES EN LA PLANEACION Y EJECUCION DE UNA AUDITORA DE ESTADOS FINANCIEROS CON ENFOQUE BASADO EN EL ANLISIS DE RIESGOS

4.1 Auditora de sistemas y tecnologa de informacin Derivad o d e qu e a la fecha m u chas entid ad es u tilizan en m enor o m ayor escala los recu rsos d e la tecnologa d e inform acin p ara el control y ejecu cin d e su s op eraciones, se hace necesario qu e se evalu la efectivid ad d e los sistem as inform ticos con el objetivo d e d eterm inar su ad ecu acin con las activid ad es d el N egocio as com o la ad ecu ad a ad m inistracin d e riesgos a los cu ales p u ed en estar su jetas. Esta activid ad d e evalu acin sobre los sistem as d e inform acin com p u tarizad os ha recibid o d iversas d efiniciones: En

algu nos casos se nom ina com o auditora d e sistem as d e inform acin qu e es el exam en o revisin d e carcter objetivo (ind ep end iente), crtico (evid encia), sistem tico (norm as), selectivo (m u estras) de las polticas, norm as, p rcticas, fu nciones, procesos,

p roced im ientos e inform es relacionad os con los sistem as d e inform acin com p u tarizad os, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos La Asociacin de Auditora y Control de sistemas de informacin (ISACA) define a la Auditora d e sistem as d e inform acin com o cu alqu ier p roceso d e auditora qu e abarca la revisin y evalu acin d e tod os lo asp ectos (o d e cu alqu ier p orcin d e ellos) d e los sistem as au tom ticos d e p rocesam iento d e inform acin, inclu id os los p roced im ientos no automticos relacionados con ellos y las interfaces correspondientes(30:1). Algu nos au tores d efinen ad em s el concep to d e auditora d e Tecnologa d e Informacin- Information Technology IT AUDIT, com o u na auditora qu e se enfoca en los asp ectos com p u tarizad os (computer-based) d el sistem a d e inform acin d e u na

96

organizacin. Esto inclu ye el asegu ram iento d e la ad ecu ad a im p lem entacin, op eracin, y control de los recursos computarizados. Otro term ino qu e se d efine cu and o se habla d e auditora y sistem as d e inform acin, es Auditora Inform tica: com o u na activid ad p rofesional esp ecializad a ap oyad a en tcnicas y procedimientos para revisar, evaluar y supervisar cada uno de los procesos que generan inform acin, d esd e su inicio hasta su trm ino, as com o tam bin establecer y evalu ar los controles d e acu erd o a los objetivos y p olticas d e la em p resa consid erand o al m ism o tiem p o los asp ectos fu ncionales y organizacionales d e qu ienes d esarrollan la activid ad inform tica, sin p erd er d e vista la evalu acin tcnica d e los recu rsos p ara qu e al finalizar su activid ad , em ita u n inform e sobre las carencias d etectad as qu e se p resentan a la direccin para proceder a la toma de decisiones(5:39) Del anlisis d e los concep tos anteriores se d ed u ce qu e existe sinonim ia entre am bos concep tos y qu e consecu entem ente se les p u ed e d efinir com o u n tip o d e auditora esp ecfico qu e esta orientad o a verificar la eficiencia d e los sistem as d e inform acin, consid ernd olos com o u n tod o e inclu yend o los p rocesos realizad os m ed iante tecnologa d e inform acin, u so d el com p u tad or, com o los p rocesos no realizad os a travs d e ste. Los conceptos se complementan entre s y que excepto por algunas excepciones relativas a la d efinicin d el alcance, el concep to d e auditora d e sistem as d e inform acin tiene u n alcance mayor que la auditora informtica.

4.1.1 Objetivos y Alcance Los p rincip ales objetivos d e la auditora siguientes aspectos: Evaluar la actividad de control de la funcin informtica. Anlisis de la eficiencia de los Sistemas Informticos. Verificacin del cumplimiento de la normativa general de la empresa en este mbito. Revisin de la eficaz gestin de los recursos materiales y humanos. informtica, se enfocan en valid ar los

97

El au d itor d ebe velar p or la correcta u tilizacin d e los recu rsos qu e la em p resa p one en ju ego p ara d isp oner d e u n eficiente y eficaz Sistem a d e Inform acin. La im p ortancia d e verificar el adecuado logro de estos objetivos se manifiesta en aspectos como: Riesgos de Espionaje Industrial y/o Terrorismo. Inad ecu ad a Op eracin d e Program as y Sistem as qu e se trad u cen en d atos incom p letos o errneos, qu e d istorsionan la inform acin y qu e p u ed en originar inad ecu ad a tom a de decisiones. Los p rocesos d e negocios p resentan m ayor d ep end encia d e la com p u tad ora, ejecu tand o clcu los y op eraciones cad a vez m s com p lejos, lo qu e la hace vu lnerable en caso de falla. Algu nos au tores coincid en en d ivid ir la auditora d e sistem as d e acuerd o con el rea su jeta a exam en y los objetivos bu scad os, bajo este esqu em a se clasifica la au d itora d e sistem as nom brnd ola en fu ncin d el rea qu e ser exam inad a, p or ejem p lo: Auditora d e Segu rid ad Inform tica, Auditora d e Ap licaciones, Auditora d e Red es e Sin em bargo el alcance d e la auditora d e sistem as

Infraestru ctu ra d e Com u nicacin, etc.

de informacin depender de los objetivos que se persiguen. 4.1.2 Metodologa y Proceso General La Metod ologa d e Auditora es u n conju nto d e p roced im ientos d ocu m entad os d e auditora d isead os p ara alcanzar los objetivos d e auditora p lanead os. Su s com p onentes inclu yen el alcance d e la auditora, los objetivos, y los p rogram as d e trabajo (Fu ente: Manual de preparacin CISA 16:18). La metodologa de auditora de sistemas y tecnologa d e inform acin variara en fu ncin d e la natu raleza d e la auditora y los objetivos qu e se estn realizand o. Esto d eterm inar al final las herram ientas y p roced im ientos a realizar. Sin em bargo la m etod ologa d ebe d efinir claram ente el p roceso general qu e se ap licara en el estu d io. La auditora d e sistem as y tecnologa d e inform acin cu enta con fases clave sim ilares a las d e la auditora general d e estad os financieros, d e u na form a grfica p u ed e resumirse as: FASES DE UNA AUDITORA DE SISTEMAS

98

Fase I. Planeacin de la auditora. Esta activid ad consiste en d efinir las activid ad es necesarias p ara llevar a cabo la auditora. En esta fase se d eterm inan asp ectos com o la justificacin, objetivos, m tod os, p roced im ientos y tcnicas qu e sern u tilizad os en la ejecu cin y cu lm ina con la elaboracin d el p lan general d e auditora y los p rogram as d e trabajo a d etalle qu e se esp era ejecu tar. Para hacer u na ad ecu ad a p laneacin d e aud itora se realizan algu nos p asos qu e p erm itirn d im ensionar el tam ao y caractersticas d el rea a au d itar, su s sistem as, organizacin y equ ip o. La p laneacin d e u na auditora inclu ye la definicin de los siguientes aspectos: Identificar claramente la justificacin y el objetivo de auditora. Reconocimiento Preliminar Delimitar los objetivos generales y especficos Determinar los riesgos crticos que sern evaluados Identificar los puntos clave a evaluar Elaborar el plan y programas a detalle. Definir las herramientas de evaluacin, mtodos, instrumentos y tcnicos a utilizar. Asignar recursos y personal

Fase II.

Investigacin y ejecucin.

Desp u s d e d efinir tod os los asp ectos d e la

planeacin, el siguiente paso es iniciar la ejecucin de auditora en forma sistemtica. La ejecu cin d e la auditora estar d eterm inad a p or las caractersticas concretas, los p u ntos y requ erim ientos qu e se estim aron en la p laneacin. La recop ilacin d e m aterial d e

evid encia es u n p aso clave en el p roceso d e la au d itora, el au d itor d e sistem as d ebe tener

99

conocim iento d e cm o p u ed e recop ilar la evid encia exam inad a. Los p u ntos m s im p ortantes, d e acu erd o a las caractersticas especficas d e la auditora d e qu e se trate, se consideran: Ejecutar las acciones programadas segn fueron diseadas y en el orden previsto. Aplicar los instrumentos y herramientas. Conforme la gua cronolgica. Ejecu tar los p roced im ientos d e auditora p ara evalu ar la conform id ad d e la ad m inistracin d e los sistem as d e inform acin con la m etod ologa y p oltica establecida. Recopilar la documentacin y evidencia de auditora. Evalu ar e id entificar eventos d esfavorables y d esviaciones con resp ecto a lo esperado. Elaborar resumen de eventos observados y presentarlos a discusin. En esta p arte d e evalu acin d e d ebilid ad es y fortalezas tam bin se d ebe elegir o d eterm inar la m aterialid ad d e las observaciones o hallazgos d e au d itora. El au d itor d e sistem as d ebe ju zgar cu ales observaciones son im p ortantes p ara cad a nivel d e gerencia, para informar de acuerdo a ello.

Fase III. Presentacin de resultados. Los inform es d e au d itora son el p rod u cto final d el trabajo d el au d itor d e sistem as, este inform e es u tilizad o p ara ind icar las observaciones y recom end aciones a la gerencia, aqu tam bin se exp one la op inin sobre lo ad ecu ad o o lo inad ecu ad o d e los controles o p roced im ientos revisad os d u rante la au d itora, no existe u n form ato esp ecfico p ara exp oner u n inform e d e au d itora d e sistem as d e inform acin, p ero generalmente tiene la siguiente estructura o contenido: Introd u ccin al inform e, d ond e se exp resara los objetivos d e la au d itora, el p erod o o alcance cu bierto p or la m ism a, y u na exp resin general sobre la naturaleza o extensin de los procedimientos de auditora realizados. Observaciones detalladas y recomendaciones de auditora.

100

Resp u estas d e la gerencia a las observaciones con resp ecto a las acciones correctivas. Conclu sin global d el au d itor exp resand o u na op inin sobre los controles y procedimientos revisados. Esta fase incluye normalmente los siguientes pasos: Preparar resumen de hallazgos y recomendaciones observadas y preparar bosquejo preliminar de informe. Comentar los hallazgos con la administracin para obtener sus puntos de vista. Realizar las modificaciones necesarias al borrador del informe. Elaborar el Dictamen final Presentar el informe al directivo que solicito la auditora.

4.1.3 N ormas

generales

para la prctica de

una auditora de

sistemas

de

informacin En el am biente internacional la activid ad d e auditora d e sistem as d e inform acin es abord ad a y regu lad a p rincip alm ente p or la Asociacin d e Au d itora y Control d e Sistem as d e Inform acin, ISACA. Este rgano fu e fu nd ad o en 1976 originalm ente con fines tcnicos y educativos, p ara consolid ar conocim ientos y p rom over la investigacin en el campo del control y administracin de la tecnologa de informacin. Desd e ju lio 1997, ISACA ha em itid o once (11) N orm as las cu ales cu bren reas bsicas ap licables a la Au d itora d e Sistem as d e Inform acin y tienen com o objetivos inform ar a los au d itores d el nivel m nim o d e rend im iento acep table p ara satisfacer las resp onsabilid ad es p rofesionales y servir d e gu a y d irectriz d e observancia obligatoria p ara los au d itores inscritos com o Au d itor Certificad o d e Sistem as d e Inform acin-CISA ante la Asociacin. Ad icionalm ente, ISACA ha p rom u lgad o u n m arco d e estnd ares d e

auditora, que presenta varios niveles: A. Estndares o N ormas: qu e d efinen requ erim ientos obligatorios p ara la auditora e informes de Sistemas de informacin.

101

B.

D irectrices o guas: qu e brind an u na gu a p ara ap licar los estnd ares o norm as, las cu ales el au d itor d ebe consid erar p ara im p lem entar los estnd ares y usar su ju icio profesional al aplicarlas.

C.

Procedimientos: comprenden ejem p los a d etalle d e p roced im ientos qu e el au d itor d ebe segu ir en u na asignacin esp ecifica d e au d itora. Estos d ocu m entos brind an una gua, sin embargo no son obligatorios. Este m arco ju nto con el Cd igo d e Etica establecid o p or ISACA, constitu yen u na referencia tcnica y com p lem entaria p ara realizar u na auditora d e sistem as de informacin. A continuacin se incluye el ndice de Normas con referencia a sus gu as y Proced im ientos d e Auditora d e Sistem as em itid os p or la ISACA hasta diciembre 2,003:

NORMAS GENERALES PARA LOS SISTEMAS DE AUDITORA DE LA INFORMACIN

S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11

Estatuto Independencia tica y normas profesionales Competencia profesional Planeacin Realizacin de labores de auditora Reporte Actividades de seguimiento Irregularidades y acciones ilegales Gobernabilidad de TI Uso de la evaluacin de riesgos en la planeacin de auditora

Fu ente: Pagina d e Internet d e la Information Systems A udit and Control A ssociation ISACA , www.isaca.org

102

4.2 Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la Fase de Planeacin y Anlisis preliminar de la auditora A continu acin se p resenta la d escrip cin d e algu nas tcnicas y p roced im ientos

esp ecficos u tilizad os en u na auditora d e sistem as d e inform acin, los cu ales se consid era, que d ebid o a la com p lejid ad d el sistem a inform tico ERP, son ap licables p ara realizar el reconocim iento p relim inar d el sistem a contable, la estru ctu ra d e organizacin d el am biente d e sistem as y la segu rid ad inform tica d e la com p aa, lo qu e es la base p ara asegu rar la confiabilid ad d e los estad os financieros en este tip o d e am bientes. Estas

tecnicas ap oyaran la p laneacin y analisis p relim inar d e u na au d itoria d e estad os financieros con enfoqu e basad o en el anlisis d e riesgos p ara obtener el conocim iento d e los sistemas informticos y su efecto en el control interno y el nivel de riesgo de auditora. 4.2.1 Reconocimiento y evaluacin de riesgos En la p laneacin d e u na auditora financiera, en u na entid ad qu e u tiliza u n sistem a inform tico integrad o p ara el p rocesam iento d e su s transacciones, es m u y im p ortante qu e se eval e d entro d el anlisis d e riesgos, la evalu acin d e los riesgos d e tecnologa d e inform acin. El p roceso d e anlisis d el riesgo inform tico y la m etod ologa especfica ap licable es m u y sim ilar a u n p roceso d e evalu acin d e riesgos d e cu alqu ier asp ecto d e la entidad (Ver cap tu lo II). La id entificacin d e las d ebilid ad es y las am enazas sobre los recursos clave d e inform acin, u tilizad os p or la Organizacin en el logro d e su s objetivos d el negocio, es fu nd am ental p ara d ecid ir qu e m ed id as tom ar, si hu biera algu na, y p ara d eterm inar y red u cir el nivel d e riesgo, hasta u n nivel acep table basad o en el valor d e los recursos de informacin. El reconocimiento y administracin optima de los riesgos es lo que impulsa todo el esfu erzo d e ad m inistracin d el riesgo y, en u n contexto d e TI, tiene u n im p acto sobre las inversiones fu tu ras en tecnologa, el grad o en el qu e los activos son p rotegid os y el nivel d e garanta requ erid o, ad em s p ara efectos d e u na au d itoria d e estad os financieros, su impacto p rincip al esta en el grad o d e confiabilid ad qu e p erm ite m antener sobre la informacin. La ad m inistracin d el riesgo abarca ad em s d e la id entificacin, el anlisis, la evalu acin, el manejo, el m onitoreo y la com u nicacin d el im p acto d el riesgo sobre los proceso de TI.

103

Dep end iend o d e tip o d e riesgo y su im p ortancia p ara el negocio, la ad m inistracin puede optar por evitar, mitigar, transferir, aceptar o eliminar el mismo. El d esarrollo d el p rogram a d e ad m inistracin d el riesgo im p lica establecer el propsito d e este y d esignar a los resp onsables d el d esarrollo e im p lem entacin respectiva. El proceso de administracin de riesgo implica los pasos siguientes: Se id entifican y clasifican los recu rsos qu e necesitan p roteccin p orqu e son vu lnerables a las am enazas. Estos p u ed en ser la inform acin y los d atos, el

hardware, el software, los servicios, los documentos y el personal. Se estu d ian las am enazas y vu lnerabilid ad es asociad as con los recu rsos y la p robabilid ad d e qu e ocu rran. Las am enazas m s com u nes son los errores, el d ao o ataqu e intencional, el frau d e, el robo y la falta d e equ ip am iento. Las am enazas ocu rren p or cau sa d e las vu lnerabilid ad es y estas p u ed en ser: la falta d e conocim ientos d el u su ario, la falta d e fu ncionalid ad d e la segu rid ad , la eleccin d eficiente d e contraseas, la tecnologa no p robad a y la transm isin p or com u nicaciones no p rotegid as. El resu ltad o d e cu alqu iera d e estas am enazas se d enom ina im p acto y p u ed e tener com o consecu encia u na p rd id a d e d istintos tip os (en d inero, violacin a la legislacin, p erd id a d e rep u tacin, p eligro p ara el p ersonal, violacin a la confianza, p rd id a d e op ortu nid ad es, red u ccin en la eficiencia, interrupcin de actividades). Una vez qu e se han establecid o los elem entos d e riesgo, stos se com binan p ara form ar u na visin general d e riesgo. Para calcu lar el im p acto se consid era la probabilidad d e qu e se p resente la am enaza m u ltip licad a p or el valor d el recu rso afectado. Identificados los riesgos, se puede evaluar los controles existentes o disear nuevos p ara red u cir la vu lnerabilid ad . La fortaleza d e u n control p u ed e ser m ed id a en

trm inos d e su fortaleza inherente o d e d iseo y d e la p robabilid ad d e su efectividad.

104

Se d eterm ina el riesgo resid u al. Una vez qu e los controles han sid o ap licad os, qued a u n rem anente d e riesgo al qu e se le d enom ina riesgo resid u al. La gerencia puede establecer una meta para ste. La acep tacin final d e los riesgos resid u ales. Esta d ep end e d e las p olticas

organizacionales, d e la id entificacin y la m ed icin d el riesgo, d e la incertid u m bre incorp orad a en el m tod o de estu d io d el riesgo y d el costo y efectivid ad d e la implementacin. Efecto en la Auditoria de Estados Financieros: La conclu sin final realizad a p or el au d itor, al evalu ar los riesgos inform ticos d e la entid ad , servir d e base p ara la p laneacin d e la au d itoria. Debid o a la im p ortancia que el sistema ERP tiene en la preparacin de los estados financieros y el registro de las transacciones qu e le d an origen a los m ism os, el au d itor u sar d icha tcnica en la d eterm inacin d el riesgo d e control y d e au d itoria, ya qu e este u ltim o d ep end e en gran m ed id a d e los riesgos inform ticos relacionad os con la com p lejid ad d el sistem a y la segu rid ad inform tica qu e d ara confiabilid ad a la inform acin, en esp ecifico los estados financieros sujetos a auditoria. 4.2.2 Evaluacin de la funcin informtica en las operaciones N u m erosas fu nciones financieras y op erativas son sistem atizad as con el fin d e m ejorar la eficiencia y d e au m entar la confiabilid ad d e la inform acin. En u n entorno

integrad o d e ap licacin, los controles estn em bebid os y d isead os en la ap licacin qu e soporta los procesos. El objetivo d e estos p roced im ientos es d eterm inar el volu m en e im p ortancia d e los sistem as inform ticos y su s fu nciones y su efecto en las op eraciones d e la entid ad y en el p roceso d e inform acin financiera. Para d eterm inar el im p acto qu e tiene la fu ncin

informtica en la p rep aracin d e inform acin financiera, el au d itor d ebe d eterm inar algunos aspectos sobre el sistema informtico: Complejidad de los clculos y operaciones. Volumen de operaciones. N aturaleza del proceso

105

Diseo y nivel del procesamiento. Transacciones automatizadas. Intercambio de transacciones. Esta evaluacin utiliza algunas herramientas, las cuales se describen a continuacin: Esquemas generales de la estructura de sistemas de informacin y sus componentes: Este esqu em a p erm itir al au d itor tener u na visu alizacin global d el sistem a d e inform acin y su s com p onentes com o u n tod o a fin d e id entificar las ap licaciones importantes del sistema informtico, sus componentes y el nivel de importancia que tienen stos en el procesamiento de las operaciones. Dentro d e este esqu em a el au d itor tiene com o p rincip al tarea, id entificar los sistem as involu crad os en el p rocesam iento d e transacciones im p ortantes hacia el sistem a d e inform acin contable. Las m etod ologas p ara generar estos esqu em as varan en

funcin del nivel de detalle que se requiera. Evaluacin de la documentacin general del ciclo de vida del sistema: Consiste en el p roceso llevad o a cabo d esd e la concep cin d el sistem a hasta su im p lem entacin, este p roceso conlleva u na serie d e p asos y d ocu m entacin qu e el equ ip o d e im p lem entacin ejecut, qu e p erm iten al au d itor obtener inform acin general sobre el sistem a y su integralid ad en el negocio, com o: estru ctu ra, anlisis, d iseos, d iagram as, m tod os y tcnicas d e d esarrollo u tilizad as, estru ctu ras, p rocesos d e p ru eba y anlisis llevad os a cabo. La evalu acin d el au d itor d e esta d ocu m entacin lo fam iliarizara con el entorno en el que fue desarrollado y es mantenido el sistema.

Para efectos d e u na au d itoria financiera, estas tcnicas p erm itirn qu e el au d itor entiend a p rincip alm ente la lgica original y el d iseo d el m od u lo contable, la estru ctu ra d e d atos y la lnea qu e sigu en las transacciones d esd e su registro hasta su resu m en en los estad os financieros.

Diagrama Modular:

106

Este esqu em a m u estra la inform acin d e u n sistem a, m ed iante m d u los organizad os jerrqu icam ente qu e esqu em atizan las activid ad es, op eraciones o entid ad es qu e

p articip an en el p roceso d el sistem a. La ventaja d e u tilizar este d iagram a m od u lar es qu e se p u ed e p resentar tod o el p rocesam iento d el sistem a en u na sola grafica lo qu e p erm ite al au d itor id entificar el contexto general d el sistem a, y a nivel d e cad a u no d e los m d u los que lo integra. Efecto en Auditoria de Estados Financieros: Desp u s d e realizar el anlisis d e estos esqu em as, el au d itor financiero ha obtenid o informacin suficiente sobre el tamao de las operaciones, lo que le permitir dimensionar la natu raleza y m agnitu d d e im p ortancia qu e d eber establecer. Una herram ienta clave

p ara el conocim iento p relim inar y la d eterm inacin d el rea critica d e la au d itoria d e sistemas que deber ser llevada a cabo como parte de la auditoria financiera. 4.2.3 Evaluacin de objetivos de control de los sistemas informticos Los objetivos d e control son valid os p ara cu alqu ier rea, ya sean m anu ales o au tom atizad as, sin em bargo, las caractersticas d el control son d iferentes y eso hace qu e d eban ser encarad os d e u na form a esp ecfica. Los objetivos d e control d e sistem as d e informacin incluyen: Salvagu ard as d e activos. La inform acin en los sistem as au tom atizad os est

protegida contra accesos inadecuados y se la mantiene actualizada. Asegurar la integrid ad d e los am bientes d e sistem as op erativos en general, incluyendo la administracin y operaciones de la red. Asegu rar la integrid ad d e los am bientes d e sistem as d e ap licacin sensitivos y crticos, inclu yend o inform acin contable financiera y gerencial (objetivos d e informacin) a travs de: o Au torizacin p ara el ingreso d e d atos. Cad a transaccin es au torizad a e introducida una sola vez. o Exactitu d e integrid ad d el p rocesam iento d e transacciones. Tod as las

transacciones son registrad as e ingresad as en la com p u tad ora en el p erod o correcto.

107

Confiabilid ad d e las activid ad es d e p rocesam iento d e inform acin en general.

o o

Exactitud, integridad y seguridad de la informacin de salida. Integridad de la base de datos.

Asegu ram iento d e la eficiencia y efectivid ad en las op eraciones (objetivos operativos). Cu m p lim iento con los requ erim ientos d e los u su arios, con las p olticas y p roced im ientos organizacionales y con las leyes y reglam entaciones ap licables (objetivos de cumplimiento). Desarrollo de planes de continuidad del negocio y de recuperacin de desastres. Desarrollo de un plan de respuesta y manejo de incidentes. Efecto en Auditoria de Estados Financieros: La evalu acin general qu e el au d itor realiza p ara efectos d e u na auditora financiera, consistir en evalu ar los esfu erzos d e la ad m inistracin p ara asegu rar el logro d e estos objetivos, los m tod os d e d efinicin, im p ortancia y m onitoreo u tilizad os, y d eterm inar el efecto que u na falla en estos objetivos (riesgo m aterializad o), p u ed a tener en los p rocesos d e negocios y en los estad os financieros. Desd e esa p ersp ectiva, la

evalu acin se d irigir con m ayor nfasis a los objetivos d e asegu ram iento y confiabilid ad sobre la inform acin, esta evalu acin, estar relacionad a con la evalu acin d e riesgo inform tico referid o anteriorm ente, con el p arm etro p rincip al d e identificar y contestar m ed iante la m atriz d e riesgo-control: Cm o los riesgos relativos a estos objetivos, estn siend o m anejad os y ad m inistrad os? Y Si estos riesgos, estan siend o gestionados

ad ecu ad am ente, entonces sop ortan su ficientem ente la inform acin contenid a en los estados financieros? 4.2.4 Tcnicas de anlisis del riesgo informtico a travs de metodologa COBIT El Institu to d e Gobierno d e Tecnologa d e la Inform acin (ITGI) p u blica u n m arco de gobierno y control de la tecnologa de la informacin que incorpora buenas prcticas de administracin Objetivos d e Control p ara la Inform acin y Tecnologas Relacionad as (CobiT)-.

108

CobiT est d irigid o a la d ireccin y al p ersonal qu e p rovee servicios d e informacin, departamentos de control, funciones de auditora y lo que es ms importante, a los p rop ietarios d e los p rocesos d e negocio qu e u san los p roceso d e TI p ara garantizar la confidencialidad, la integridad y la disponibilidad de informacin sensitiva y critica. CobiT contiene 34 objetivos d e control d e alto nivel rep resentand o p rocesos d e Tecnologa d e la Inform acin TI- agru p ad os en cu atro d om inios: p laneacin y organizacin; ad qu isicin e im p lem entacin; entrega y sop orte; y, m onitoreo y evalu acin. Al tom ar en cu enta estos 34 objetivos d e control d e alto nivel, las organizaciones p u ed en asegu rar qu e cu entan con u na estru ctu ra ad ecu ad a d e gobierno y control p ara su entorno d e TI. Resp ald and o estos p rocesos d e TI existen m s d e 200 objetivos d etallad os d e

control necesarios p ara u na im p lem entacin efectiva. Los 34 objetivos d e CobiT 4.0 se presentan en la figura siguiente: OBJETIVOS COBIT 4.0 Dominio Planificar y organizar Proceso P01 Definir un Plan Estratgico de IT P02 Definir la arquitectura de informacin P03 Determinar la direccin tecnolgica P04 Definir los proceso, la organizacin y las relaciones de TI P05 Administrar la inversin de TI P06 Com unicar los objetivos y la orientacin d e la administracin P07 Administrar recursos humanos de TI P08 Administrar la calidad P09 Evaluar y manejar los riesgos de TI P10 Administrar proyectos Adquirir e implementar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software de aplicacin AI3 Adquirir y mantener infraestructura de tecnologa AI4 Asegurar la operacin y el uso AI5 Procurar recursos de TI AI6 Manejar cambios AI7 Instalar y acreditar soluciones y cambios Entregar y dar soporte DS1 Definir y administrar niveles de servicio DS2 Manejar servicios de terceros DS3 Manejar el desempeo y la capacidad DS4 Asegurar servicio continuo DS5 Asegurar seguridad de sistemas DS6 Identificar y asignar costos DS7 Educar y capacitar usuarios

109

Monitoreo y evaluar

DS8 Manejar la oficina de servicios y los incidentes DS9 Manejar la configuracin DS10 Manejar problemas DS11 Manejar datos DS12 Manejar el entorno fsico DS13 Manejar operaciones M1 Monitorear y evaluar el desempeo M2 Monitorear y evaluar el control interno M3 Asegurar el cumplimiento de las regulaciones M4 Proveer gobierno de TI

El p roceso d e evalu ar y m anejar los riesgos d e TI (P09)( ver 6:32), im p lica el com p rom iso d e la organizacin en la id entificacin d e los riesgos TI y en el anlisis d e los im p actos, encerrand o fu nciones m u ltid iscip linarias y m id iend o el costo y efectivid ad d e la m itigacin d e riesgos. Esto im p lica tom ar en consid eracin la ad m inistracin d e riesgos; id entificar las d iferentes clases d e riesgos (tecnolgicos, segu rid ad , continu id ad , regu lacin, etc.); d efinicin y com u nicacin d el p erfil d e riesgo tolerable; anlisis d e las cau sas y riesgos m ed iante u na sesin d e llu via d e id eas; la m ed icin cu alitativa y/ o cu antitativa d el riesgo; la m etod ologa d e asegu ram iento d el riesgo; la elaboracin d el plan de accin de riesgo y el reaseguramiento oportuno. Ad icionalm ente COBIT p resenta un conju nto d e gu as d e auditora p ara asistir al au d itor d e sistem as d e inform acin en la revisin d e los d iferentes asp ectos d e control d e sistem as d e inform acin, los cu ales estn concatenad os con los objetivos d e control y el marco referido. Efecto en Auditoria de Estados Financieros: El au d itor financiero p u ed e u tilizar el m arco d e referencia d e objetivos d e control COBIT p ara d efinir el riesgo inform tico y op erativo d erivad o d e los sistem as y su efecto en los estad os financieros. COBIT es m u y am p lio al resp ecto, y el riesgo se eval a a nivel d e tod as los p rism as relacionad os con la TI, sin em bargo p ara efectos d e u na auditora financiera, nicam ente se d ebern evalu ar com o se estn asegu rand o los objetivos relacionad os con la segu rid ad y confiabilid ad d e la inform acin, au nqu e sin d ejar d e revisar los riesgos relacionad os a la op eracin d e los sistem as qu e p u ed an afectar los estados financieros.

110

4.2.5

Inventario de Software y Utileras del sistema Para tener u n p anoram a general d el sistem a d e inform acin y su s com p onentes,

con el fin d e d eterm inar la im p ortancia y com p lejid ad d el sistem a, el au d itor d eber conocer los componentes de software que componen la estructura fsica-lgica del sistema informtico. En general el inventario de software estar compuesto de programas para: Control de acceso. Comunicaciones de datos administracin de las bases de datos (DBMS) Administradores para Bibliotecas de programas administracin de Dispositivos de Almacenamiento administracin de la Red Programacin de tareas Programas Utilitarios Sistemas Operativos

El anlisis d el inventario d e softw are requ iere el anlisis d e los com p onentes seg n el recu ento fsico y lgico preparado p or el rea d e sistem as, valid arlo y com p ararlo, p ara id entificar los com p onentes qu e lo integran, com p rend er su configu racin bsica y

caractersticas. Esta herram ienta p rop orcionar al au d itor d e u n listad o d e los p rogram as u tilizad os p or la entid ad , su versin, licenciam iento, caractersticas com o la integrid ad y conexin que podran afectar la seguridad de la informacin. Efecto en Auditoria de Estados Financieros: El anlisis y conocim iento p relim inar d el inventario d e softw are u tilizad o p ara efectos d e auditora financiera, se realiza con el objetivo d e id entificar: asp ectos sobre integrid ad y conexin d el softw are, controles generales ap licables en su op eracin, y asp ectos d e segu rid ad

d eterm inar contingencias p or licenciam ientos inad ecu ad os informtica. 4.2.6

Reconocimiento del hardware y dispositivos de seguridad

111

El hard w are es el com p onente fsico d e los sistem as d e cm p u to. Estos inclu yen componentes difererentes e interdependientes que realizan funciones de procesamiento, y de entrada y salida. Para realizar u n reconocim iento d el hard w are y d isp ositivos d e conexin y segu rid ad , el au d itor p u ed e valerse d e algu nas herram ientas d e d iseo y evalu acin d e arquitectura de hardware y redes utilizados en ingeniera de sistemas de informacin en el proceso d e im p lem entacin d e infraestru ctu ra y d e inventarios d e softw are y hard w are realizados por la unidad de sistemas de la entidad. Inventario y Clasificacin de Activos de informacin: u na p rctica d e control com n d e segu rid ad d e sistem as es establecer u n inventario d e activos d e inform acin, este mtodo de recopilacin de informacin muestra el nivel de gestin administrativa del rea, ap rovecham iento, cu stod ia y control d e los bienes inform ticos qu e existen. Los d atos qu e inclu yan el inventario y la recu rrencia d e su valid acin d ep end ern d el rea d e sistem as, sin em bargo d ebe d ocu m entar com o m nim o, las caractersticas, u so ad ecu ad o, resguardo, estado y aprovechamiento de los componentes fsicos del sistema. La clasificacin de los activos: es u na tcnica qu e consiste en d efinir p arm etros p ara clasificar los activos d e inform acin com nm ente con base a su s grad os d e sensibilid ad y la criticid ad qu e im p lica p ara el negocio. Estas p rcticas en la evalu acin

p relim inar y p lanificacin, p erm ite al au d itor contar con u n d etalle general d e los com p onentes y p erifricos qu e com p onen el sistem a d e inform acin p ara d eterm inar el tamao y volumen de los usuarios, reas de ingreso de datos, ubicaciones fsicas y acceso a los activos, qu e d ebieran analizarse d esd e la p ersp ectiva d e controles generales de informacin. D iseos de Evaluacin y anlisis de Arquitectura Fsica de D ispositivos y Redes: N orm alm ente d ocu m entad os en los p lanes d e d esarrollo y ad qu isicin d e softw are e infraestru ctu ra o en los m anu ales d el sistem a. Consisten en la d ocu m entacin d e las la segu rid ad d e los

evalu aciones realizad as p or la ad m inistracin al consid erar el d iseo original d el sistem a, su s d isp ositivos y la conectivid ad entre el hard w are y softw are im p lem entad o p ara la entidad. Efecto en Auditoria de Estados Financieros:

112

El au d itor p u ed e revisar estos d ocu m entos con el objetivo d e obtener m ejor conocim iento d e la estru ctu ra d el hard w are u tilizad o p or la com p aa, y asu ntos qu e p od ran afectar la cap acid ad p ara p rop orcionar inform acin financiera confiable, tales com o: necesid ad es d e m antenim iento, m onitoreo d el u so y d isp onibilid ad d e recu rsos, y p royecciones p ara ad m inistracin d e la cap acid ad d e la infraestru ctu ra, y las interconexiones con la estructura de seguridad. 4.2.7 Evaluacin de la seguridad informtica En general, la segu rid ad inform tica im p lica u na d e las reas m as im p ortantes d e los controles generales d e sistem as d efinid os en el cap itu lo II y u na d e las reas criticas qu e el au d itor financiero d ebe asegu rar en u n am biente d e sistem as integrad os, p or su relacin directa con la confiabilidad de los estados financieros. El avance tecnolgico hace qu e el factor m s crtico p ara p roteger los activos d e inform acin y la p rivacid ad sea el establecim iento d e las bases p ara u na ad m inistracin efectiva d e la segu rid ad d e la inform acin. incluyen: Asegurar la continua disponibilidad de sus sistemas de informacin. Asegurar la integridad de la informacin almacenada en sus sistemas informticos. Preservar la confidencialidad de los datos sensibles. Asegurar el cumplimiento de las leyes, regulaciones y estndares aplicables. Asegu rar el cu m p lim ento con la confianza d epositad a y con las obligaciones en relacin a cu alqu ier inform acin relativa a u na p ersona id entificad a o Los objetivos d e segu rid ad p ara satisfacer los requ erim ientos d el negocio

inid entificable (es d ecir, su jeto d e d atos) en conform id ad con su p oltica d e privacidad o leyes y regulaciones de privacidad aplicables. Preservar la confidencialidad de los datos sensitivos almacenados y en transito.

Estructura de Seguridad de Informacin Cuando se revisa la estructura de seguridad de informacin, se debe considerar: Polticas, p roced im ientos y estnd ares escritos. Proveen la estru ctu ra y las

directrices para mantener la debida operacin y control?.

113

Polticas de seguridad de acceso lgico. Realmente limitan el acceso?. Conciencia y entrenam iento form al d e segu rid ad . La segu rid ad d ep end e d e las p ersonas, es efectiva si los em p lead os saben qu se esp era d e ellos y cu ales son su s resp onsabilid ad es. Proveer la conciencia d e la segu rid ad es u n control p reventivo. Tam bin es u na m ed id a d e d ireccin p orqu e estim u la a la gente a id entificar y rep ortar las p osibles violaciones a la segu rid ad . El entrenam iento d ebe com enzar desde la induccin y ser continuo. El auditor deber entrevistarse con un muestreo d e em p lead os y confirm ar si realm ente estn fu ncionand o el p rogram a d e concientizacin. Prop ied ad d e los d atos. Los d atos d eben estar d ebid am ente clasificad os y

asignad os con resp onsabilid ad p ara qu e p u ed a establecerse la im p u tabilid ad . El auditor debe determinar si los empleados son concientes de esto. Prop ietarios d e los d atos. Los p rop ietarios son los gerentes y d irectivos, son

resp onsables d e la segu rid ad y d e au torizar el acceso y d e asegurarse d e la actualizacin de las reglas respectivas. Los custodios de los datos. Son responsables del almacenamiento y salvaguarda. El ad m inistrad or d e segu rid ad . El resp onsable d e p roveer la segu rid ad fsica y lgica d e los p rogram as d el sistem a d e inform acin, los d atos y el equ ip o. La seguridad fsica puede ser manejada por alguien ms. Los nu evos u su arios. Estos d eben firm ar u n d ocu m ento qu e contenga su s

principales obligaciones, tales como leer y acordar segn las polticas de seguridad; mantener en secreto los nombres y contraseas; bloquear sus pantallas de Terminal cu and o no estn en u so; rep ortar violaciones d e segu rid ad qu e se sosp echen; mantener buena seguridad fsica, y; ajustarse a las leyes y regulaciones aplicables. Los u su arios d e los d atos. Mu chas veces no es solam ente la com u nid ad interna sino tambin la externa. El acceso de estos debe estar bien controlado. Au torizaciones d ocu m entad as. Debe id entificarse al au torizad o y sealarle el tip o de acceso que tendr. El auditor debe revisar esta documentacin.

114

Acceso d e em p lead os qu e term inan su relacin laboral. Debe tenerse control p ara qu e al term inar u na relacin laboral no se p onga en riesgo la segu rid ad informtica. Estnd ares d e acceso. El au d itor d ebe revisar las norm as d e acceso p ara asegu rar que se cumplen los objetivos y que se separan las funciones respectivas para evitar el fraude o el error. Controles de Acceso Lgico Cuando se evalan los controles de acceso lgico, el auditor debe: Obtener u n entend im iento general d e los riesgos d e segu rid ad qu e enfrenta el p rocesam iento d e la inform acin a travs d e u na revisin d e a d ocu m entacin relevante, la consu lta, la observacin, la estim acin d el riesgo y las tcnicas d e evaluacin. Documentar y evalu ar los controles sobre las vas p otenciales d e acceso al sistem a p ara d eterm inar si son ad ecu ad os, eficientes y efectivos revisand o las fu nciones ap rop iad as d e segu rid ad d el hard w are y d el softw are e id entificand o cu alqu ier deficiencia o redundancia. Probar los controles sobre las vas d e acceso p ara d eterm inar qu e estn funcionando y que son efectivas aplicando las tcnicas apropiadas de auditora. Evalu ar el am biente d e control d e acceso p ara d eterm inar si se logran los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditora. Evalu ar el am biente d e segu rid ad p ara d eterm inar si es ad ecu ad o revisand o las p olticas escritas, observand o las p rcticas y los p roced im ientos y com p arnd olas con las norm as ap rop iad as d e segu rid ad o con las p rcticas y los p roced im ientos que usan otras organizaciones. Efecto en la Auditoria de Estados Financieros: La evalu acin sobre la Segu rid ad Informtica p erm itir al au d itor financiero, evalu ar el grad o d e confiabilid ad y segu rid ad d el am biente en el qu e se p rocesan las transacciones op erativas y contables. En u n am biente ERP, el au d itor d eber evalu ar

115

y d eterm inar si confa en este sistem a contable, en la form a en qu e esta siend o ad m inistrad o y asegu rad o contra intru sos, ataqu es, fallas y robos y si esta siend o ad m inistrad o, sobre bu enas p racticas d e control, qu e asegu ren o lim iten la p osibilid ad d e m anip u lacin d el sistem a y la inform acin. De esta form a p od r sop ortar su s conclu siones sobre el sistem a d e control interno y eventu alm ente su op inin sobre el Dictamen. 4.2.8. Tcnicas de auditora asistidas por el computador- TAACs Las Tcnicas d e Auditora asistid as p or el Com p u tad or p erm iten qu e el au d itor d e m anera ind ep end iente, p u ed a obtener evid encia su ficiente, relevante y til p ara lograr d e m anera efectiva los objetivos d e la au d itora. Inclu yen varios tip os d e herram ientas, entre las m as im p ortantes se p u ed e m ensionar: software generalizado d e au d itora, sim u lacin de procesos y clculos, pruebas integradas de datos, software de utilera, entre otros. Se reconocen tres m arcos generales p ara la ap licacin d e tcnicas d e auditora asistidas por el computador: Auditora Alrededor del Computador Consiste en verificar la confiabilid ad d e la inform acin generad a p or la computad ora a travs d e realizar clcu los ind ep end ientes d el p roceso y lu ego com p arar dichos resultados con los resultados vertidos por el sistema. Si estos datos son seguros y vlid os es asu m id o qu e los sistem as d e control son efectivos y qu e estn op erando propiamente. Este m arco ofrece ventajas y d esventajas. Dentro d e las p rim eras estn, qu e no

requ iere d e m ayor conocim iento d e sistem as com p u tarizad os; y qu e es ad ecu ad o a ap licaciones y sistem as sim p les y estticas. Dentro d e las segu nd as estn el riesgo d e

qu e la inform acin p rop orcionad a y u tilizad a p ara las p ru ebas, haya sid o m anip u lad a o contenga error d e m u estreo, p or lo qu e p u ed e contener errores y estos no d etectarse op ortu nam ente; no d eterm ina o no revisa si la lgica d el p rogram a es correcta; tener u n alcance qu e no revela com o los controles au tom ticos resp ond en a u na gran varied ad d e transacciones, entre las cuales pueden haber transacciones u operaciones no vlidas. Auditora con el Computador

116

Este marco corresponde a realizar las pruebas de auditora utilizando cualquiera de los com p onentes d e u n com p u tad or, softw are y hard w are, estas tcnicas tam bien se conocen como tcnicas de auditora asistidas por el computador. Este m arco tam bin tiene su s ventajas y su s d esventajas. Dentro d e las p rim eras se tiene el increm ento d e la cap acid ad y efectivid ad d el trabajo d el au d itor, contar con u n m ejor alcance d e auditora, p od er u sarse p ara p ru ebas d e control y su stantivas y ser id eales p ara la verificacin d e clcu los com p lejos y form u las au tom ticas. Dentro d e las segu nd as se tiene el requ erim iento d e cierto grad o d e habilid ad es y conocim iento, p rincip alm ente en la aplicacin y u tilizacin d e softw are esp ecializad o d e auditora; y el requerimiento que los datos correctos se encuentren a la fecha de la auditora. Auditora a travs del computador Estas tcnicas se enfocan en la revisin y anlisis d el fu ncionam iento d e los controles au tom ticos, los p asos d e p rocesam iento, lgica d e p rogram acin y ru tinas d e ed icin. Descansan bajo el su p u esto d e qu e si se p ru eba los p rocesos lgicos y controles d el sistem a inform tico (cu alqu ier form a qu e este revista), d ebid o a qu e los sistem as son ad ecu ad am ente d esarrollad os y cu entan con los controles p rogram ad os y generales necesarios, el riesgo d e errores e irregu larid ad es no d etectad os se d ism inu ye. Si los programas y controles funcionan eficientemente, tal y como fueron diseados, los procesos y rep ortes obtenid os son razonablem ente acep tables. Para efectos d e u na au d itoria d e estad os financieros, si se cu enta con u n ad ecu ad o sistem a inform tico ad m inistrativo financiero, y d isead o a las necesid ad es y objetivos d e la institu cin, y si los controles y fu nciones p rogram ad as op eran correctam ente, es m s confiable qu e la inform acin (reportes, estad os financieros, estad sticas) obtenid a d e ste, ser razonablem ente confiable. Las TAACs se p u ed en u tilizar p ara realizar varios p roced im ientos d e au d itora p ara soportar la opinin sobre los estados financieros, incluyendo: Prueba de los detalles de operaciones y saldos Procedimientos de revisin analticos Pruebas de cumplimiento de los controles generales de sistemas de informacin Pruebas de cumplimiento de los controles de aplicacin

117

Cu and o se p lanifica la au d itora en u n am biente integrad o tip o ERP, el au d itor d ebe consid erar u na com binacin ap rop iad a d e las tcnicas m anu ales y las tcnicas d e auditora asistidas por computador. Consideraciones para la aplicacin de TAACS Los factores sigu ientes, d eben ser consid erad os p reviam ente en la p laneacin d e una auditoria, para determinar si se utiliza TAACs: Conocim ientos com p u tacionales, p ericia y exp eriencia d el au d itor d e sistem as d e informacin. Disponibilidad de las TAACs y de los sistemas de informacin. Eficiencia y efectividad de utilizar las TAACs en lugar de las tcnicas manuales. Restricciones de tiempo. Pasos para la planificacin de las TAACs. Procedimientos para aplicacin de TAACS Los pasos ms importantes que el auditor debe considerar cuando prepara la aplicacin de las TAACs seleccionadas son los siguientes: Establecer los objetivos de auditora que se espera obtener con TAACs. Determ inar accesibilid ad y d isp onibilid ad d e los sistem as d e inform acin, los programas/sistemas y datos de la organizacin. Definir los p roced im ientos a segu ir (p or ejem p lo: u na m u estra estad stica, reclculo, confirmacin, etc.). Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados Obtener acceso a las facilid ad es d e los sistem as d e inform acin d e la organizacin, sus programas/sistemas y sus datos.

118

Docu m entar las TAACs a u tilizar inclu yend o los objetivos, flu jogram as d e alto nivel y las instrucciones a ejecutar. Acu erd o con el cliente (au d itad o). Los archivos d e d atos, tanto com o los archivos d e op eracin d etallad os (transaccionales, p or ejem p lo), a m enu d o son gu ard ad os slo p or u n p erod o corto, p or lo tanto, el au d itor d e sistem as d e inform acin d ebe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora. Organizar el acceso a los sistem as d e inform acin d e la organizacin, p rogram as/ sistem as y d atos con anticip acin p ara m inim izar el efecto en el ambiente productivo de la organizacin. El au d itor d e sistem as d e inform acin d ebe evalu ar el efecto qu e los cam bios a los p rogram as/ sistem as d e p rod u ccin p u ed an tener en el u so d e las TAACs. Cu and o el au d itor d e sistem as d e inform acin lo hace, d ebe consid erar el efecto d e estos cambios en la integridad y utilidad de las TAACss, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor. Probar las TAACs. El au d itor d ebe obtener u na garanta razonable d e la

integrid ad , confiabilid ad , u tilid ad y segu rid ad d e las TAACs p or m ed io d e u na p lanificacin, d iseo, p ru eba, p rocesam iento y revisin ad ecu ad os d e la d ocu m entacin. Esto d ebe ser hecho antes d e d ep end er d e las TAACs. La natu raleza, el tiem p o y extensin d e las p ru ebas d ep end e d e la d isp onibilid ad y la estabilidad de las TAACs. La segu rid ad d e los d atos y d e las TAACs. Las TAACs p u ed en ser u tilizad os p ara extraer inform acin d e program as/ sistem as y d atos d e p rod u ccin confid enciales. El auditor debe salvaguardar la informacin de los programas/sistemas y los datos d e p rod u ccin con u n nivel ap rop iad o d e confid encialid ad y segu rid ad . Al hacerlo el au d itor d ebe consid erar el nivel d e confid encialid ad y segu rid ad qu e exige la organizacin a la cu al p ertenecen los d atos. El au d itor d ebe u tilizar y d ocu m entar los resu ltad os d e los p roced im ientos ap licad os p ara asegu rar la integrid ad , confiabilid ad , u tilid ad y segu rid ad p erm anentes d e las TAACs. Por ejem p lo, d ebe inclu ir u na revisin d el m antenim iento d e los p rogram as y controles d e los

119

cam bios d e p rogram a d e au d itora p ara d eterm inar qu e slo se hacen los cam bios autorizados. Cu and o las TAACs estn en u n am biente qu e no est bajo el control d el au d itor. Un nivel d e control ap rop iad o d ebe ser im p lem entad o p ara id entificar los cam bios a las TAACs. Cu and o se hacen cam bios a las TAACs el au d itor d ebe asegu rarse d e su integrid ad , confiabilid ad , u tilid ad y segu rid ad p or m ed io d e u na p lanificacin, d iseo, p ru eba, p rocesam iento y revisin ap rop iad os d e la d ocu m entacin, antes de confiar en ellos. Efecto en la Auditoria de Estados Financieros: En la fase d e p lanificacin, las TAACs sern tiles p ara el au d itor en la recabacin d e inform acin necesaria p ara com p rend er el sistem a inform tico. En esta etap a, se pu ed en u tilizar herram ientas d e u n sistem a d e softw are generalizad o d e au d itoria, qu e p erm ite conectarse d irectam ente con las tablas d el sistem a inform tico, y esqu em atizar los d iccionarios d e d atos o estru ctu ra d e las tablas, as com o su u bicacin y nom bre, p ara poder realizar su trabajo de planificacin. 4.2.9 Identificacin de controles y deficiencias Una vez se ha realizad o la evalu acin y anlisis p relim inar sobre el sistem a y la segu rid ad inform tica d iscu tid a anteriorm ente, se esta en cond iciones d e d eterm inar las d eficiencias y controles relevantes en relacin con los asp ectos inform ticos. Estos

pueden ser d ocu m entad os m ed iante las m atrices d e riesgo/ control exp licad as en el cap itu lo II, o bien m ed iante u n form ato d e situ aciones encontrad as u tilizad o en Sistem as, que recopila las condiciones, causa, efecto, riesgo, y solucin: FORMATO DE SITUACION ENCONTRADA

120

EMPRESA PROCESO DE TECNOLOGIA DE INFORMACION REF. PROCESO AREA AUDITADA

INDICE ELABORO: REVISO:

OBJETIVO RIESGO REF. DE CONTROL ASOCIADO

SITUACION/ CONDICION

CAUSA

EFECTO

MATERIALIDAD PLAN DE ACCION

RESPONSABLE

Efecto en Auditoria de Estados Financieros: El p roceso d e recop ilacin y anlisis d e d eficiencias y controles relacionad os, se d ocu m enta en form a sim ilar qu e en u na auditora d e p ropsito general, sin em bargo en la evalu acin d e los resu ltad os obtenid os, el factor clave a evalu ar d e cad a d eficiencia y control en el am biente d el sistem a inform tico, ser la m agnitu d y efecto d e la m ism a sobre la confiabilidad y razonabilidad de los estados financieros. 4.2.10. Anlisis de procesos internos Cu and o se au d itan estad os financieros p rep arad os a travs d e sistem as inform ticos integrad os com o ERP, u n rea m u y im p ortante sern los p rocesos internos realizad os au tom ticam ente p or el sistem a, com o el flu jo d e d atos, la estru ctu ra d e las bases d e d atos relacionales, la exactitu d d el p rogram a d e ap licacin, la integrid ad d el software, etc.. Un procedimiento aplicable para este anlisis es: la Diagramacin y modelo d e sistem as, qu e consisten en herram ientas p ara esqu em atizar grficam ente los p rocesos internos del sistema(24:537). Algunos esquemas utilizados se resumen a continuacin: D iagramas Entidad/Relacin. interrelacionan. Describe los d atos d e u n sistem a y com o se

Se p u ed e u tilizar com o u na herram ienta d e anlisis d e

requ erim ientos p ara lograr entend er los d atos qu e u n sistem a necesita obtener y ad m inistrar. En este caso el ERP rep resenta u n m od elo lgico d e d atos. Tam bin p u ed e u tilizarse p osteriorm ente en el ciclo d e d esarrollo com o u na herram ienta d e d iseo qu e ayu d a a d ocu m entar el esqu em a real d e la base d e d atos qu e ser im p lem entad a. Las entid ad es son agru p am ientos d e elem entos e instancias

121

sim ilares d e d atos qu e p u ed en rep resentar objetos fsicos reales o constru cciones lgicas. Diccionario de Datos. Este cuadro presenta el esquema de una base de datos y sus tablas relativas, inclu ye inform acin sobre los cam p os, tip os y natu raleza d e la informacin d e las tablas. Esta tcnica es m u y u tilizad a p ara efectos d e planear pruebas d e ap licacin en el reconocim iento d e los d atos alm acenad os p or el sistema. D iagrama de estado transicin. Este d iagram a p resenta el flu jo d e inform acin qu e se sigu e en u na relacin d e p rogram acin estru ctu rad a, a fin d e visu alizar el p roceso qu e se sigu e p ara el d esarrollo d e las activid ad es d el p rogram a. Por lo general las entid ad es se exp resan con el nom bre d el resp onsable d el p roceso y las flechas sealan el p roceso d el p rogram a. Med iante este tip o d e d iagram as el

auditor puede evaluar si el procedimiento utilizado por el diseador es acorde a las necesidades de los usuarios, la lgica del sistema y la programacin utilizada. D iagramas de contexto y flujo de datos. Este sistem a perm ite id entificar las

op eraciones activid ad es, p articip antes, y el flu jo d e inform acin y las alternativas qu e se sigu en d u rante el p roceso, contem p land o visu alm ente tod as las caractersticas, procedimientos y flujos que llevan los datos desde su inicio hasta su term inacin, as com o los cam bios d e d ireccionam iento p or m ed io d e d ecisiones. Este sistem a p u ed e esqu em atizarse con sim bologas estnd ar IBM, H IPO o bien con simbologa especifica diseada por el Programador. Efecto en la Auditoria de Estados Financieros: A travs d e estos p roced im ientos en la etap a d e estu d io y anlisis p relim inar d el sistem a, el au d itor financiero, p u ed e id entificar las d istintas relaciones lgicas d isead as y p rogram ad as en el sistem a. Los p rocesos internos d e seleccin,

clasificacin, parametrizacin y estndares establecidos en el sistema, que dan la base a los controles internos. Con este anlisis, el au d itor financiero, p od r d e m ejor form a conocer y entend er el sistem a ERP, p ara d eterm inar los controles y p rocesos internos d el sistem a, qu e requ erirn ser evalu ad os m ed iante p ru ebas d e control, p ara su stentar su opinin.

122

4.3

Procedimientos

de

auditora

de

sistemas

tecnologa

de

informacin

aplicables en la fase de evaluacin del sistema de control interno En la evalu acin d el sistem a d e control interno, u na vez se ha realizad o la p lanificacin y anlisis p relim inar se consid era qu e la p rincip al ap licacin d e las tcnicas de auditora d e sistem as y tecnologa d e inform acin, es p rincip alm ente en d os reas: a) Com o sop orte d e la ejecu cin d e p ru ebas d e control a travs d e TAACs y b) u tilizad as p ara evalu ar la confiabilid ad d e los sistem as d e ap licaciones y su s procesos internos. Algunas tcnicas aplicables a estos dos procesos son: 4.3.1 Uso de software de auditora. El Softw are estnd ar d e auditora es u n p rogram a d e com p u tad ora o u na serie d e ellos qu e estn d isead os p ara realizar ciertas fu nciones au tom atizad as. Estas fu nciones inclu yen entre otras lectu ra d e archivos d e com p u tad ora, seleccin d e d atos,

m anip u lacin d e d atos, ord enam iento, su m arizaciones, elaboracin d e clcu los o verificacin de los mismos, selecciones de muestreo e impresin de reportes. El u so d el softw are estnd ar d e au d itora im p lica cu m p lir con los p rerrequ isitos siguientes: 1. Conectivid ad y acceso a los d atos. Una d e las fases m as d ifciles p ara iniciar el u so d e softw are d e auditora corresp ond e al acceso a los d atos originales, algu nas veces p or falta de existencia, 2. Conocimiento y entendimiento de la aplicacin y la estructura de los datos. El auditora d ebe obtener conocim ientos tcnicos sobre: tip o d e Plataform a en la qu e est d esarrollad a la ap licacin y estru ctu ra d e las Bases d e Datos y su s tablas, d escrip cin d e tablas, p arm etros d e los d atos, tip o d e d ato qu e alm acena cad a cam p o d e d atos, d escrip cin d el cd igo fu ente, p rocesos qu e realiza el sistem a, controles p rogram ad os. Y cond iciones generales de la aplicacin 3. H abilid ad es d e Auditora p ara id entificacin d e los asu ntos d e au d itora. El

conocim iento d el negocio, d e las ap licaciones y la exp eriencia en el u so d e softw are sern fundamentales para el xito de la auditora. El u so d e Softw are de Auditora ofrece la ventaja d e p erm itir qu e se alcance el 100% d e aplicacin y ahorro d e tiem p o. Lo p rim ero im p lica qu e com o consecu encia d e

123

las facilid ad es qu e se obtienen con el u so d e las com p u tad oras p ara el p rocesam iento, la u tilizacin d el softw are ap lica los p roced im ientos al total d e las transacciones qu e se consid eran crticas. Lo segu nd o im p lica qu e los anlisis p ara d eterm inad os tipos d e

transacciones se hacen ms fciles y permite obtener una ventaja en el tiempo de ejecucin. 4.3.2 Simulacin de procesos y clculos. El m od elo d e sim u lacin es u na herram ienta u tilizad a p ara el anlisis y d iseo d e sistemas, til p ara la evalu acin d e sistem as com p u tacionales, ya qu e m ed iante el u so d e u n m od elo, concep tu al o fsico se esqu em atiza el com p ortam iento d e u n sistem a com p u tacional, d e u n p rogram a, base d e d atos, d e u na op eracin, activid ad o cu alqu ier tarea d e sistem as qu e tenga qu e ser revisad a. sim u lacin consiste en la Seg n Mu oz Razo: Un m od elo d e

im itacin form al d el sistem a com p u tacional, en cu anto al

fu ncionam iento d e su s com p onentes, se rep resentan su s princip ales caractersticas d e operacin del sistema original con el propsito de estudiar el comportamiento y evaluar su funcionamiento real(22:494). 4.3.3 Pruebas de datos Son transacciones sim u lad as qu e p u ed en ser u sad as p ara p robar p rocesos lgicos, clcu los, p rocesos op eracionales, la interactivid ad es d e los archivos d e d atos, analizar el trabajo d e registro d e los d atos y controles realm ente p rogram ad os en las ap licaciones d el comp u tad or. Los p rogram as ind ivid u ales o el sistem a com p leto p u ed en ser p robad os. Esta tcnica inclu ye Integrated test facilities ventajas ad icionales d e p ru ebas integrad as y Base Cases System Evaluations (BCES) 4.3.4 Uso de software de utileras. Este es u n su bconju nto d e herram ientas d e softw are, com o p or ejem p lo los generad ores d e inform es d e sistem as d e ad m inistracin d e la base d e d atos, qu e p roveen evidencia a los auditores sobre la efectividad de los controles del sistema. Se conocen tam bin com o sistem as esp ecializad os d e auditora, sop ortan la decisin o experiencia para asistir al Auditor en el proceso de toma de decisiones a travs d e au tom atizar el conocim iento d e algu nos exp ertos en cad a cam p o. Esta tcnica inclu ye sistem as au tom ticos d e anlisis d e riesgo, p aqu etes d e objetivos d e control

sistematizados y software para usos especiales como anlisis de relaciones financieras.

124

4.3.5

Evaluacin de sistemas de aplicaciones Las ap licaciones p ara la transm isin y el m ap eo d e d atos (Application tracing and

Mapping) consiste en herram ientas esp ecializad as qu e p u ed en ser u sad as p ara analizar el flu jo d e los d atos a travs d el p rocesam iento lgico d el softw are d e ap licacin y d ocu m entar la lgica, las ru tas, las cond iciones d e control y secu encias d e p roceso, as com o la arqu itectu ra d e los com and os p rogram ad os o los trabajos d e control esta tcnica incluye el mapeo, la transmisin de datos, controles de memoria, simulaciones en paralelo y com p araciones d e cd igos fu ente. Esta tcnica p erm itir evalu ar el fu ncionam iento en vivo del sistema y sus procesos lgicos internos. 4.3.6 Pruebas de Control a travs de software de auditora En un sistem a integrad o tip o ERP, los controles son m ayoritariam ente

au tom atizad os y estn inm ersos en los p rocesos logicos p rogram ad os d el sistem a, o lo qu e se llam a controles d e ap licaciones o (A pplication Controls), los cu ales se encu entran relacionad os con el reconocim iento d e transacciones, el ingreso, p roceso d e los d atos d e cad a sistem a, y su form ato especfico, seg n el requ erim iento d e cad a ap licacin. Los objetivos d e los controles d e ap licacin p u ed en ser en form a m anu al o p rogram ad a y bu scan asegu rar la exactitu d e integrid ad d e los registros y la valid acin d e los ingresos hechos com o resu ltad o d el p roceso m anu al y p rogram ad o. Entre estos se encu entran p ru ebas d e valid acin d e d atos, com p araciones d e totales en lotes, y encrip tad o d e los datos al ser transmitidos. En general estos controles y los resu ltad os qu e em itan, p u ed en ser u tilizad os p or el Auditor, p ara evalu ar su fu ncionam iento seg n los objetivos p lanead os. Para evalu ar estos controles, norm alm ente se hacen com binaciones d e las tcnicas ya d escritas anteriormente segn el objetivo pretendido. Efecto en la Auditoria Financiera: Al u sar u na o la com binacin d e las herram ientas referid as anteriormente, p rincip alm ente en d os reas: La evaluacin d e la segu rid ad d el sistem a y su s controles lgicos internos y ap oyar la ap licacin d e p ru ebas d e control transaccionales, el au d itor tiene u na base confiable sobre el sistem a contable qu e es p arte d el control interno, asegu ra o conclu ye sobre la efectivid ad d e los controles d e ap licacin, p ara asegu rar la confiabilid ad d e la inform acin qu e se esta p rep arand o en el sistem a, p rincip alm ente la inform acin d e tipo

125

financiero. Ad icionalm ente, el ap licar con el sop orte d e estas tcnicas pru ebas d e control, esto p erm ite tener m ayor eficiencia, ahorro en tiem p o y si se requ iere, contar con m ayor alcance o hasta el 100 por ciento en reas criticas. 4.4 Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la ejecucin de pruebas sustantivas de auditora 4.4.1 Tcnicas de auditora asistidas por el computador TAAC's Las TAACs p u ed en ser ap licad as tanto a p robar la efectivid ad d el control interno (p ru ebas d e cu m p lim iento) com o a realizar p ru ebas su stantivas. im p ortante d e TAACs en la ejecu cin d e p ru ebas su stantivas evid encia sobre las aseveraciones d e los estad os financieros La ap licacin m as consiste en obtener

a travs d el anlisis y

recalculo d e inform acin, es d ecir u tilizar las TAACS p ara ap licar los p roced im ientos generales de auditoria que de otra forma se realizaran manuales. RELACION DE TAACS CON OBJETIVOS DE AUDITORA FINANCIERA
TECNICAS DE AUDITORIA ASISTIDAS POR EL COMPUTADOR RELACION CON LOS OBJETIVOS Y ASEVERACIONES DE AUDITORIA PROCEDIMIENTOS Analisis de Aseveraciones Totalidad e Integridad Exactitud Existencia Ocurrencia Valuacion Derechos y Obligaciones Presentacion y Revelacion x x x x x Stratificacion y Resumen y Comparacion Comparacion x x x x x x Resumen y Reportes

R Tendencias Recalculo
x x

Muestreo x x x x x x

x x x

El uso de TAACs en la ejecucin de pruebas sustantivas, como puede observarse en el cu ad ro anterior, ser variad o seg n los objetivos y aseveraciones qu e se esp era p robar. Algu nos asp ectos d ebern ser controlad os p or el au d itor p ara asegu rar razonablem ente qu e se cu m p le con los objetivos d e la au d itora y las esp ecificaciones d etallad as d e las TAACs. Prim ero se d ebe realizar u na conciliacin d e los totales d e control, p ara asegu rar qu e se esta valid and o inform acin consistente; Realizar u na revisin ind ep end iente d e la lgica d e las TAACs y esto se d ebe com binar con la revisin d e controles generales y d e

126

ap licacin d el sistem a d e inform acin, qu e asegu re la integrid ad d e las TAACs, ind icad os en prrafos anteriores de este mismo capitulo. Software de Auditoria Generalizado En ocasiones, este trabajo se basa en la u tilizacin d e u na herram ienta esp ecfica qu e p erm ite ejecu tar varias tcnicas a la vez, d enom inad o softw are d e au d itora generalizado. Cu and o se u tiliza este tipo d e sistem as, se d eber consid erar, las

cond iciones p ara acced er a los d atos d e p rod u ccin, tom ar las m ed id as ap rop iad as p ara p roteger la integrid ad d e los d atos d e la organizacin., y el aud itor d eber estar fam iliarizad o con el d iseo d el sistem a y las tcnicas qu e se u tilizaron p ara el d esarrollo y mantenimiento de los programas/sistemas de aplicacin de la organizacin. Software utilitario del sistema Esta tcnica se refiere a u tilizar las u tilerias d e inform acin y analisis contenid as en el sistem a esp ecifico. Los sistem as ERP cu entan con su p rop io rep ortead or, esta u tileria p u ed e ser u tilizad a d e base p ara hacer p ru ebas analiticas y su stantivas en esta fase. Cu and o el au d itor d e sistem as d e inform acin u tiliza el softw are u tilitario d ebe confirm ar qu e no tu vieron lu gar ningu na intervencin no p lanificad a d u rante el p rocesam iento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin d e la consola d el sistem a o d e la inform acin d e contabilid ad d el sistem a. El au d itor d ebe tom ar las m ed id as ap rop iad as p ara p roteger la integrid ad d el sistem a y p rogram as d e la organizacin, p u esto qu e estos u tilitarios p od ran fcilm ente d aar el sistema y sus archivos. Una d escrip cin d el trabajo realizad o, segu im iento y las conclu siones acerca d e los resu ltad os d e las TAACs d eben estar registrad os en los p apeles d e trabajo d e la au d itora. Las conclu siones acerca d el fu ncionam iento d el sistem a d e inform acin y d e la confiabilidad de los datos deben estar registradas en los papeles de trabajo de la auditora. El p roceso p aso a p aso d e las TAACs d ebe estar d ocu m entad o ad ecu ad am ente para p erm itir qu e el p roceso se m antenga y se rep ita p or otro au d itor d e sistem as d e inform acin. Esp ecficam ente los p ap eles d e trabajo d eben contener la d ocu m entacin su ficiente p ara d escribir la ap licacin d e las TAACs, p or ejem p lo: En la p laneacin, la

127

d ocu m entacin d ebe inclu ir los objetivos d e las TAACs,

las TAACs a u tilizar, los

controles a implementar, el personal involucrado, el tiempo que tomar y los costos. En la ejecu cin, la d ocu m entacin d ebe inclu ir los p roced im ientos d e la p rep aracin y la p ru eba d e las TAACs y los controles relacionad os; los d etalles d e las pru ebas realizad as por las TAACs; los d etalles d e los input (ejem p lo: los d atos u tilizad os, esqu em a d e archivos), el p rocesam iento (ejem p lo: los flu jogram as d e alto nivel d e las TAACs, la lgica) y los outputs (ejem p lo: archivos log, rep ortes); evid encia d e au d itora. La

d ocu m entacin d ebe inclu ir el ou tp u t p rod u cid o, u na d escrip cin d el trabajo d e anlisis de auditora que se realiz para el output, resultado, conclusiones y recomendaciones de la auditora Efecto en la Auditoria de Estados Financieros: Al ap oyarse en estas tecnicas p ara u na au d itoria d e estad os financieros, el au d itor tend ra op ortu nid ad d e realizar p ru ebas su stantivas criticas hasta el 100% d e alcance, con m enor tiem p o y esfu erzo. En el anexo II, se ad ju nta u n listad o com p leto d e las pru ebas analticas y sustantivas que pueden ser ejecutadas mediante estas tcnicas y herramientas. 4.5 Procedimientos de auditora de sistemas y tecnologa de informacin aplicables en la fase final de auditoria Emisin del Informe Para efectos de la fase de emisin del informe, algunos procedimientos de auditoria d e sistem as d e inform acin, tienen ap licacin en la Carta d e recom end aciones. Por

ejem p lo: Proced im ientos com o el Softw are generalizad o d e au d itoria, es m u y fu ncional, p ara extraer inform acin y ord enarla d e form as d iversas, lo qu e p erm ite qu e el au d itor p u ed a p resentar analisis m as d etallad os qu e sop orten su s conclu siones y recom end acione vertidas en el informe de auditoria.

4.6

Ventajas y D esventajas de la utilizacin de procedimientos de auditoria de sistemas en una auditoria financiera La ap licacin d e estos p roced im ientos y/ o tcnicas en las tres fases d e au d itoria

TAACs tend r el efecto en la efectivid ad y costo d e la auditora, d ebid o a qu e p erm iten realizar actividades con mayor o mejor alcance. Algunas ventajas que ofrecen son:

128

Nivel reducido de riesgo de la auditora. Mayor independencia respecto al auditado Cobertura de auditora ms amplia y ms consistente Disponibilidad de la informacin con mayor rapidez Identificacin mejorada de las excepciones Mayor flexibilidad en tiempo de ejecucin de programas Mayor oportunidad para cuantificar las debilidades del control interno Muestreo mejorado Ahorro en costos por tiempos Desventajas: Com o cu alqu ier p roceso, se d ebieran consid erar la relacin costo beneficio d e la ap licacin d e los m ism os, antes d e invertir recu rsos en com p rarlos o d esarrollarlos. Algunos aspectos a considerar en la utilizacin son: Se requ iere tener u n conocim iento esp ecializad o p or p arte d el au d itor sobre el sistem a d e inform acin, la base d e d atos y las conexiones d el sistem a a fin d e realizar una adecuada implementacin. Deben realizarse algu nos arreglos esp ecficos a fin d e contar con el acceso y disponibilidad de los datos y evidencias en el sistema computarizado que permitan su aplicacin. Flexibilid ad d e u so y requ erim iento d e entrenam iento esp ecifico p ara el p ersonal de auditora. Requ erim ientos d e instalacin. Requ ieren tiem p o ad icional p ara d eterm inar la p laneacin d e su im p lem entacin y u so, el cu al d eber com p ensarse con el beneficio que se obtenga. Algu nos son p aqu etes qu e tienen u n costo d e licencia relacionad o, a los cu ales no todos los auditores tienen acceso

129

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

CAPITULO V CASO PRCTICO PLANEACIN Y EJECUCIN DE LA AUDITORA DE ESTADOS FINANCIEROS CON ENFOQUE BASADO EN ANLISIS DE RIESGOS, EN UN AMBIENTE DE SISTEMAS INTEGRADOS TIPO ENTERPRISE RESOURCE PLANNING -ERP(PLANEACIN DE RECURSOS EMPRESARIALES) CON APLICACIONES ORACLE. El p resente cap itu lo se d ivid e en d os p artes p rincip ales, las cdulas d e planeacin de la auditora y las cdulas de ejecucin.

5.1 Planeacin de la auditora En esta rea se p resenta el p roceso d e p laneacin d e la auditora financiera con enfoqu e basad o en riesgos d el negocio ap licad o a la Com paa CORPORACION CASO PRACTICO, S. A., entid ad qu e u tiliza u n sistem a d e inform acin gerencial tip o Enterprise Resource Planning-ERP. Se inclu yen las p rincip ales cdulas d e trabajo u tilizad as p ara d ocu m entar las conclusiones preliminares que apoyaron la planeacin global de auditora.

5.2 Fase de ejecucin de la auditora Segn la planeacin p resentad a en la fase anterior, se inclu yen las cdulas principales d e trabajo, qu e d ocu m entan parcialmente la ejecu cin d e auditora, en esp ecial la evid encia d e ap licacin d e las tcnicas p rop ias d e auditora d e sistem as con enfoque basado en la evalu acin d e riesgos. Para efectos d e p resentacin los

procedimientos fueron enfocados hacia el proceso de cuentas por cobrar.

Las cdulas preparadas, se inclu yen p ara referencia d el lector, sin em bargo las m ism as no p retend en ser u n legajo com p leto d e auditora financiera, sino la ejemplificacin de la aplicacin de las Tcnicas de Auditora de Sistemas aplicables a la auditora financiera con enfoque basado en riesgos.

130

DESPACHO DE AUDITORES, SC INDICE DE CDULAS PRESENTADAS

REFERENCIA. PT-S

PLANEACIN DE AUDITORA
Conocimiento del Cliente (INFORMACION GENERAL) Evaluacin del riesgo general del negocio y su efecto en los estados financieros y objetivos de auditora Plan general de auditora

P15 P30 P40

EJECUCION DE AUDITORA
EVALUACION D EL CON TROL IN TERN O Y SISTEMAS INFORMATICOS Evaluacin general del sistema informtico ERP Evaluacin de Riesgos y Controles Generales y de Aplicacin del Sistema Informtico. Pruebas de Cumplimiento a controles generales y de aplicacin mediante software IDEA (ejemplos) Identificacin de procesos y subprocesos significativos y ponderacin de factores de los estados financieros Evaluacin control interno enfoque COSO Proceso de Cuentas por Cobrar Matriz de Riesgo/Control Proceso de Cuentas por Cobrar Matriz General de Evaluacin del Control Interno, Riesgo de Auditora por Cuentas y Procesos clave AUDITORA SUSTANTIVA Aplicacin de Softw are de Auditora ID EA a Pruebas sustantivas en Cuentas por Cobrar Aplicacin de Softw are de Auditora ID EA a Pruebas sustantivas en Inventarios

E/C20 E/C30 E/C40 E/C50 E/C60 E/C70 E/C 80 B-15 C-15

131

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Compaa: CORPORACION CASO PRACTICO, S. A. Ao de Auditora: 2003

In s t r u ccion es : E s te for m u la r io s e d eb e a ctu a liza r a n u a lm en te. Tien e com o p r op s it o p r oveer u n m ejor con ocim ien t o d el clien te m s a ll d e la in for m a cin fin a n cier a . E s a p r op ia d o h a cer r efer en cia a m a t er ia l impreso que proporciona a l clien te o a m a t er ia l qu e s e en cu en t r a en el a r ch ivo p er m a n en te. Ad ju n t a r Organigrama.

A.

INFORMACIN GENERAL: Nombre de la Empresa: CORPORACION CAS O PRACTICO, S . A. Domicilio: Telfonos y Fax: NIT: Otras Localidades: Av. Reforma 8-60 zona 9 23327045 23327086 1482445.6 Oficina nica

B.

ACTIVIDAD PRINCIPAL:

Dis t r ib u cin y Com er cia liza cin d e Por t a folio d e Pr od u ct os y Marcas Internacion a les a Dis t r ib u id or es p or m a yor y m en or en la Regin Centroamericana. La em p r es a p os ee la r ep r es en t a cin exclusiva para Gu a t em a la y la Regin Cen t r oa m er ica n a d e Ma r ca s de Productos de consumo masivo a nivel internacional.

C.

PRINCIPALES ACCIONISTAS:

In t er es es In t er n a cion a les y Ca p it a l Gu a t em a lt eco. No s e t ien e u n detalle del Inters Minoritario. Lic. Xm in io S a r m ien t os , Pr es id en t e del Consejo de Administracin.

D.

PRINCIPALES FUNCIONARIOS:

Lic. Roberto Rodrigo Abad

Presidente Ejecutivo

132

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Ing. Erick Fernando Marciano Lic. Cristian Oswaldo Mndez B. Lic. Jaime Adolfo Ara gn Lic. Jeffrey Andre Ochoa Lic. Rubn Cruz Roche Lic. Daniel Estuardo Cajas Lic. Manuel de Jess lvarez

Gerente de Operaciones Director de Asuntos Jurdicos Director de Finanzas Director de Rec. Humanos Director de Auditora Interna Contralor General Gerente de Contabilidad

ABOGADOS Y OTROS ASESORES: Despacho Velsquez Acostin Calle de la Prera, Zona 10 Guatemala. E. PRODUCTOS/ SERVICIOS PRINCIPALES: La d is t r ib u cin p r in cip a l d e p r od u ct os d e con s u m o m a s ivo realizado por la com p a a , cu en t a con 3 ln ea s p r in cip a les d e productos: Alim en t os a Gr a n el: qu e s e d is t r ib u yen a n ivel gen er a l en distribuidores principales, alimentos como aceites, grasas vegetales para la industria y consumo directo, lcteos. Alim en t os en va s a d os com es t ib les : Vegetales, Lcteos, Granos y Cereales. Ha r in a s , Aceit es , Ma r ga r in a s

Pr od u ct os en va s a d os p a r a lim p ieza gen er a l y p er s on a l: Des in fect a n t es , Cer a s , J a b on es , Per fu m er a , La va n d er a , Cu id a d o d e Casa y Jardn. Se manejan un total de 150 sub-lneas de marcas internacionales, que hacen alrededor de 3000 productos distintos y 5000 presentaciones. Siendo las principales JyJ, XY, TTH, PYG, EXXA y Carmuy. F. ESTRATEGIA DE VENTAS Y CANALES DE DISTRIBUCIN:

La com p a a d is t r ib u ye p r in cip a lm en t e a grandes d istribuidores en el m er ca d o n a cion a l y a lgu n os clien t es m a yor es com o ca d en a s d e s u p er m er ca d os , y d is t r ib u id or es a m ediana es ca la . Los Ca n a les d e Dis t r ib u cin s e r ea liza n m ed ia n t e es t r a t egia s d efin id a s con gr a n d es distribuidores con convenios de comisiones y margen de ventas.

133

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Para la lnea industrial se cuenta con una fuerza de ventas quienes promueven y hacen la relacin directa con los clientes. La logs t ica d e d is t r ib u cin p r in cip a l u t iliza u n s is t em a d e J u s t in Tim e m ed ia n t e el cu a l los p ed id os im p or t a d os s on r ecib id os d es d e el Pr oveed or a l Clien t e d ir ect a m en t e, gen er a n d o b a jos m r gen es d e existencias en bodega. La s p olt ica s d e cr d it os cor r es p on d en a con ven ios d e p a go es p ecfico p or clien t e, y u n a p olt ica gen er a l d e 3 0 a 6 0 d a s d e fin a n cia m ien t o, despus de la fecha de recepcin de pedido. G. CLIENTES PRINCIPALES:

Los clien t es p r in cip a les p or ln ea d e p r od u ct os d e con s u m o masivo, s on la s p r in cip a les ca d en a s d e s u p er m er ca d os en la Regin , r ep r es en t a d os p or Gr u p o XX, S . A., Gr u p o yy, d el S a lva d or , y Gr u p o CCC, de Costa Rica. E l gr u p o d e d is tr ib u id or es p r in cip a les s e h a ya in t egr a d o p or : Gr yp ed is t r ib u t or s , Cit ycom , y Ch a s et en Dis t r ib u it or s , S . A., qu e op er a n en Guatemala y la Regin. H. COMPETIDORES PRINCIPALES:

A n ivel d e ln ea s y m a r ca s m u n d ia les , s e t ien e el con ven io d e r ep r es en t a cin exclu s iva , p or lo qu e s e con s id er a qu e n o s e t ien e com p et en cia . E xis t en ot r a s d is t r ib u id or a s m en or es d e m a r ca s s u s t it u t a s d e a lgu n os p r od u ct os es p ecficos en el m er ca d o, los cu a les s e con s id er a n d en t r o d e la es t r a t egia d e m er ca d eo y d is t r ib u cin d e la compaa.

I.

PROVEEDORES PRINCIPALES

La em p r es a p os ee con ven ios d e r ep r es en t a cin exclu s iva p a r a Gu a t em a la y la Regin Cen t r oa m er ica n a d e Ma r ca s d e Pr od u ct os de consumo masivo a nivel internacional.

134

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Se manejan un total de 150 sub-lneas de marcas internacionales, qu e h a cen a lr ed ed or d e 3 0 0 0 p r od u ct os d is t in t os y 5 0 0 0 p r es en t a cion es . S ien d o la s p r in cip a les p r oveed or es d J yJ , XY, TTH, PYG, EXXA y Carmuy. J. FORMA DE REALIZAR LAS COMPRAS S e u t iliza u n s is t em a d e com p r a s y a b a s t ecim ien t o J u s t in Tim e con t r ola d o a t r a vs d el s is t em a E RP, CRM, E DI Y E FTI. Los p ed id os a p r od u ct or es s on coloca d os en t iem p o p r u d en cia l d e con for m id a d con la p r ogr a m a cin es p ecifica r equ er id a p or los clien t es , p a r a p er iod os b is em a n a les , d e for m a qu e la s exis t en cia s de inventarios sean mnimas. K. OPERACIONES INTERCOMPAAS La estructura de nter compaas y su relacin se presenta: Transporta y Logstica, S . A. Tr a n s p or t e y en t r ega d el Pr od u ct o y carga a distribuidores. Ad m in is t r a cin Personal. Ad m in is t r a cin Distribucin. de r ela cion es de

CORPRH, S. A

LOGISTIC, S. A.

de

Logs t ica

Distribuye, S. A.

Ad m in is t r a la s Rela cion es Distribuidor es y Con ven ios Clientes.

con con

L.

La s r ela cion es s on fa ct u r a cin d e op er a cion es r ela cion a d a s m ed ia n t e con t r a t os d e s er vicios y com is ion es en t r e com p a a s . La es t r u ct u r a d e cos t os y p r ecios s e d es cr ib e en d ocu m en t o confidencial (Ver plan de asocio adjunto en Legajo Permanente). PARTES RELACIONADAS

No s e especficas.

t ien e

con ocim ien t o

qu e

exis t a n

p a r t es

r ela cionadas

135

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

M.

PAGO DE REGALAS Y ASISTENCIA TCNICA

S e t ien e a lgu n os con ven ios d e r ega la s s ob r e la s m a r ca s d e d is t r ib u cin a n ivel d el m a r gen d e ven t a y d is t r ib u cin gen er a d a . No importante para los montos administrados. N. ASPECTOS LABORALES

La s r ela cion es la b or a les d e la com p a a s e realizan m ed ia n t e u n a empres a r ela cion a d a en ca r ga d a d el p r oces o d e Ad m in is t r a cin d e Personal. El costo de personal se registra mediante facturacin mensual d el cos t o m s p r es t a cion es la b or a les a p lica d a s p or la Com p a a relacionada. La Com p a a r ela cion a d a CORPRH, S . A., qu e a d m in is t r a la s r ela cion es la b or a les , m a n eja u n a p la n illa d e 3 0 0 em p lea d os en el r ea operacional y una planilla confidencial de 23 ejecutivos. E l p la n d e p r es t a cion es in clu ye a d em s d e los in cen t ivos d e Ley. (IGS S , B1 4 , AGUINALDO, VACACIONE S , Y BONIFICACION INCE NTIVO) un paquete de seguro de vida, medico y dental para el personal. O. S ITUACIN FINANCIERA APALANCAMIENTO, ETC.) (PROBLEMAS DE LIQUIDEZ,

Segn el r es u lt a d o d e la s p r u eb a s a n a lt ica s r ea liza d a s a los ndices y estados financieros, la em p r es a p r es en t a u n es qu em a gen er a l aceptable, comparado con el benchmarking del mercado. P. AVALES OTORGADOS Y OTRAS CONTINGENCIAS

S eg n la con fir m a cin p r elim in a r r ecib id a d e la a d m in is t r a cin y los Ab oga d os d e la com p a a , n o s e h a n es t a b lecid o a va les a ot r a s com p a a s a ca r go d e la em p r es a , y excep t o p or u n os ju icios la b or a les d e m en or cu a n t a , n o s e con oce n in g n even t o con t in gen t e qu e p u ed a afectar a la entidad. (Esto se confirmar para validacin). E n cu a n t o a p r s t a m os : la com p a a t ien e a ctu a lm en t e d os p r s t a m os

136

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

ENTIDAD

MONTO ORIGINAL 10,000,000 5,000,000

SALDO 8,000,000 2,300,000

TASA FECHA INTERES VENCIMIENTO 15% 12% 15/08/2010 31/10/2007

BANCO REFORMADOR, S. A.

BANCO DEL CAF, S. A.

Q.

DES CRIPCIN DE LA INFORMACIN FINANCIERA PERIDICA

E l gr u p o t ien e com o p olt ica r ea liza r u n a p r es en t a cin d e la s it u a cin fin a n cier a a l Concejo d e Dir ect or es ca d a d os m es es . E n es t e in for m e s e p r es en t a los p r in cip a les a s p ect os y t en d en cia s d e la em p r es a d es d e el en foqu e fin a n cier o. S e p r ep a r a n es t a d os fin a n cier os m en s u a lm en t e con s u s in t egr a cion es y con cilia cion es r es p ect iva s . Ca d a d ifer en cia en u n a cu en t a es in ves t iga d a p er id ica m en t e con el objetivo de disminuir ajustes en el cierre del ejercicio. E l es t a d o fin a n cier o a n u a l a u d it a d o es en via d o a los s ocios d e Estados Unidos, quienes monitorean el desarrollo de la compaa. R. PROBLEMAS DE AUDITORA DE AOS ANTERIORES

Deb id o a qu e sta es la p r im er a auditora d e n u es t r a oficin a , n o existen asuntos importantes que anotar. El dictamen del ao anterior de ot r os a u d it or es Des p a ch o Mu ch os Au d it or es , S . C. in d ica u n a op in in estndar s ob r e los es t a d os fin a n cier os , con a lgu n a s r ecom en d a cion es im p or t a n t es a l s is t em a d e con t r ol in t er n o, r ela cion a d os p r in cip a lm en t e con los procesos de cobros y facturacin. I. SISTEMA CONTABLE E INFORMATICO La em p r es a u t iliza u n s is t em a t ip o E RP p a r a el p r oces a m ien t o d e s u s op er a cion es , a ct u a lm en t e s e cu en t a con u n a es t r u ct u r a d e 2 0 0 u s u a r ios con ect a d os d ir ect a m en t e en Ln ea . Ma yor in for m a cin s e p r es en t a en cdula n a r r a t iva d e eva lu a cin d el s is t em a m od u la r con t a b le E RP, r ea liza d a con la t cn ica d el a n lis is m od u la r d e la b a s e de datos (Presentada a continuacin)

137

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

EMPRESA: CORPORACION NARRATIVA/ RESUMEN DE ANALISIS CASO PRATICO , S. A. PROCESO: ANALISIS DEL ELABORADO REVISADO DISEO DEL POR: POR: SISTEMA ERP AREA SM HAG FINANCIERA AREAS DIRECCION D E FECHA: FECHA: RESPONSABLES: TEGNOLOGIA 15/04/04 20/04/04 DE INFORMACION El rea Financiera del sistema est compuesta por una serie de mdulos que permiten controlar y analizar con total seguridad y fiabilidad toda la informacin financiera de la compaa. Los mdulos generales relacionados con esta rea son: Contabilidad General. Cuentas por Cobrar Cuentas por Pagar Proceso de Emisin de Estados Financieros Adquisiciones y Control de Inventarios Facturacin y Ventas A continuacin se detallan las caractersticas del sistema contable afectadas por el ERP, que se consideran caractersticas clave a ser analizadas en la auditora: Plan contable predefinido y ampliable. El plan contable esta definido a 4 dgitos, con posibilidad de alcanzar hasta los 16 por cuenta, lo que permite definir cuentas por responsabilidad, centro de costo y tipo de actividad. Hasta 8 niveles jerrquicos. Esto permite diversidad de definicin en las relaciones con el resto de estructuras contables, (centros de costos, con o sin distribucin predeterminada, centros auxiliares, proyectos, empresas del grupo, cuentas corrientes de clientes, proveedor o banco, etc.). Entrada de asientos integrada y automatizada. La mayora de los asientos se generan automticamente en los diferentes mdulos del sistema. El sistema permite trabajar con asientos predefinidos (ejemplo: N minas, D epreciaciones, movimientos de inventario y costo de ventas) y permite la contrapartida automtica de varias lneas seleccionadas del asiento. Adicionalmente permite la gestin automtica de las diferencias de cambio, producidas por la operativa en diferentes monedas. Imputacin a todas las estructuras contables (Centros de Coste, Proyectos, Cuentas Corrientes de Clientes, Proveedores y Bancos, Compaas Relacionadas, Centros

138

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Auxiliares, IVA, Cartera, etc.) Asientos entre empresas del grupo. Posibilidad de relacionar las empresas del grupo que participan en un asiento contable, para un posterior tratamiento en comn como son agrupaciones, listados, etc. Consulta de asientos por cualquier concepto. Bsqueda de los asientos contables realizados por multitud de conceptos, (por ejercicio, diario, asiento, fecha, cuenta, importe, moneda, perodo, documento, texto, etc.). Conciliacin de cuentas contables. El sistema permite la conciliacin manual de los apuntes realizados sobre una cuenta contable. Proceso de auditora y cuadre de la base de datos. Revisa de forma automtica la coherencia de todos los datos contables. Cierre y apertura automticos del ejercicio. Con la posibilidad de retroceder el cierre del ejercicio. Obtencin de grficas de la evolucin de los saldos contables. A partir de los saldos de las cuentas contables, el sistema elabora de forma automtica las grficas de su evolucin, en las diferentes monedas asignadas al ejercicio. Listados contables (Balances, Mayores, Extractos, etc.), con formatos variables y parametrizables por el usuario. Informes predefinidos. El usuario puede disear desde la aplicacin sus propios informes para el anlisis de la situacin financiera. El sistema incluye los informes predefinidos (Prdidas y Ganancias, Balance de Situacin, etc.). SE ID EN TIFICARON ALGUN AS CARACTERISTICAS D EL SISTEMA QUE FACILITAN EL CON TROL Y QUE POD RIAN SER UTILIZAD AS EN LA AUDITORA Contabilidad Presupuestaria y de Gestin N mero indefinido de partidas presupuestarias. Hasta 16 dgitos. Reparto mensual del presupuesto anual, por ingreso manual o por reparto segn diferentes distribuciones mensuales definibles a travs de curvas preestablecidas (Estacinales, uniformes, etc.). Control presupuestario. Control presupuestario por mes con grficos comparativos con respecto al real. Obtencin de informes comparativos

139

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

entre real y presupuestado. N mero indefinido de centros de gestin. Hasta 16 dgitos por centro con 8 niveles de definicin. Estructura vinculada al ejercicio contable. Imputacin directa. Imputacin directa a cada centro de coste o reparto entre varios centros (ya sea por porcentajes o por importes). Informes analticos. Obtencin de informes (Cuenta de resultados, Informes de gestin, etc.) para cada uno de los centros. Informes Auxiliares. Extracto y mayor por cuentas, auxiliares y balances. Gestin de proyectos Con independencia del ejercicio, permite el control de los proyectos durante toda su vida til (ej.: Construccin de un nuevo edificio, ampliacin de unas oficinas, etc.). Asignacin de uno o varios Presupuestos a un mismo Proyecto. Automatizacin de los costes del proyecto. Imputacin directa de partidas a un proyecto desde la entrada de asientos. Listados y consultas. Diario y extracto de proyectos. LA CON EXIN D EL SISTEMA CON TABLE CON OTROS MOD ULOS SE PRESENTA A CONTINUACION A. GESTIN DE CUENTAS CORRIENTES DE CLIENTES / PROVEEDORES El sistema permite realizar aspectos como: A travs del sistema se controlan los cdigos de Clientes/Proveedores. Hasta 8 caracteres en cada entidad. Control de saldos activos de clientes y proveedores. Conciliacin automtica o manual de los movimientos de terceros. Listados y consultas. Sumas y Saldos de Clientes / Proveedores. Extracto de movimientos del Cliente/Proveedor por cdigo y/o NIT, Mayor y Diario.

140

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Gestin de cuentas corrientes y relacin de Bancos. Listados y consultas. Gestin de sumas y saldos, extractos. B. GESTIN DE CARTERA DE COBROS Y PAGOS En este mdulo se definen y controlan los siguientes aspectos: Carteras. Definibles y accesibles por usuarios. Hasta 10.000 diferentes. Estados de cada cartera configurables. Posibilidad de parametrizar los diferentes estados con los que se desea trabajar. D efinicin de las relaciones que existen entre los diferentes estados iniciales y finales de cada documento por cobrar. Sirve para particularizar la manera de gestionar la cartera de cobros o pagos. Entrada de cobros, pagos e impagos. Procesos que permite la gestin de documentos en cualquier moneda, gestionndose de forma conveniente los cambios de moneda oportunos. Proporciona varios tipos de contabilizaciones predefinidas. Gestin de pagos, ya sean completos o parciales, cobrados o pagados en banco o en caja, tratamiento de las fechas de vencimientos, compensacin de cargos y abonos, etc. Pagos parciales en diferentes monedas. Creacin de remesas y relaciones. Calcula y optimiza de un modo automtico los gastos bancarios. Agrupacin de los efectos de cartera para su gestin conjunta. Anlisis de situacin. Los diferentes listados de la cartera permiten un anlisis completo de su situacin (das promedio de cobro/pago, riesgo de bancos, antigedad de la deuda, etc.). Esto permite realizar el control real de los das reales versus tericos de pago. Agrupacin y desglose de instrumentos financieros. Procesos que desglosan un documento en varios y que agrupan varios efectos en uno solo si sus condiciones generales lo permiten. Soporte magntico. Generacin de remesas y relaciones en soporte magntico en diferentes monedas del ejercicio. Impresin formatos. Impresin de talones, cartas de transferencias, cartas de impagados, cartas parametrizables, pagars, etc.

141

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

Impresin de cartas a clientes. Permite escoger entre 9 modelos de formatos de texto distintos y en tres idiomas diferentes, la empresa hace estas confirmaciones trimestralmente. Comparativas saldos cartera y contabilidad. D atos comparativos entre los resultados de cartera y de contabilidad. C. GESTIN DE CAJA Las opciones que se consideran importantes en el rea de gestin de disponibles son: Identificacin y definicin de los puntos de cobro de la empresa. Gestin de todos los movimientos de Caja, ya sea en efectivo, tarjeta de crdito o talones, utilizndose para el arqueo de Caja y su posterior contabilizacin. Gestin de vales internos de Caja. Gestin de Recibos de Caja (ingreso, impago y consulta). Integrado y relacionado al mdulo de cartera. D. GESTIN DE ACTIVOS FIJOS (INMOVILIZADO). Definicin de elementos y grupos de activos fijos de la empresa. Gestin del circuito y clculo de depreciaciones y amortizaciones de los activos definidos. Contabilizacin generadas. automtica de las depreciaciones/ amortizaciones

Adems, se analiz la relacin y volumen del sistema contable dentro del ERP utilizando las tcnicas de modelado de sistemas, segn el esquema de

entidad/relacin del diseo, presentado en la Cdula siguiente.

142

DESPACHO DE AUDITORES, SC CDULA DE CONOCIMIENTO DEL CLIENTE

PLANEACIN

PT.

P15

DIAGRAMA DE DISEO DEL ERP EN AREA FINANCIERA

143

DESPACHO DE AUDITORES, SC CDULA ANALISIS DE RIESGO GLOBAL

I. Objetivo:

PLANEACIN

PT.

P30

Determ inar e id entificar la form a en qu e el m arco global d e riesgos d e la entidad, impactan al nivel d e riesgo inherente y d e control, as com o el

consecuente efecto sobre el riesgo de auditora.

II. Procedimientos aplicados: Se realiz u n anlisis d e los factores d e riesgo general d el negocio u tilizand o una escala estndar para el ranqueo de factores identificados mediante la tcnica d e au to evalu acin d e control sobre los riesgos consid erad os im p ortantes p or la administracin. Para la m ed icin d e los factores se u tiliz la sigu iente tabla d e medicin: TABLA DE MEDICION DE IMPACTO Y PROBABILIDAD PROBABILIDAD Bajo Medio Alto IMPACTO Bajo Medio Alto Menor hasta 5 Mayor a 5 y Menor a 7 Mayor a 7 Menor hasta 4 Mayor a 4 y Menor a 6 Mayor a 6

El resu ltad o d el taller d e au to evalu acin d e control sobre los factores generales de riesgo del negocio, se presenta en la matriz en la siguiente cdula.

III. MATRIZ DE RIESGOS GLOBALES IDENTIFICADOS

CORPORACION CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

144

DESPACHO DE AUDITORES, SC CDULA ANALISIS DE RIESGO GLOBAL

PLANEACIN

PT.

P30

CORPORACION CASO PRACTICO, S. A. MODELO DE RIESGO GLOBAL DEL NEGOCIO POR CATEGORIAS DEFINIDAS POR LA ADMINISTRACION CATEGORIAS DE RIESGO REF. CLASIFICACION FACTOR RIESGOS ESTRATEGICOS IMP. PROB. REF. CLASIFICACION Finanzas y Tesoreria Clientela y Mercado Ambiente Competitivo Accionistas y Mercados de Capital Economia Cambios Regulatorios y Legales Tendencias de Consumo de Clientes Internos 7 8 9 10 11 Riesgo de Reputacin Riesgo de Enfoque Estratgico Penetracin en el Mercado Confianza del Inversionista Presin para la Obtencin de Metas 7.40 7.60 6.60 6.00 6.20 4.60 3.80 4.20 3.80 3.20 8.20 7.20 7.00 6.80 6.20 5.40 3.60 3.20 5.20 3.40 24 25 26 Tasa de Inters Moneda Extranjera Disponibilidade Capital 6.8 5.4 7.6 3.6 3.6 3.8 FACTOR RIESGOS FINANCIEROS IMP. PROB.

Externos 1 2 3 4 5 6

Crediticio 27 28 29 30 31 Comercial 32 33 Precio de las Materia Prima y Mercaderias Riesgo de Medicin 7.40 6.00 3.60 3.20 Riesgo de Capacidad Riesgo de Realizacin de la Inversin Riesgos de Contrapartes Riesgo de Concentracin Riesgo Inherente 7.80 6.20 7.80 6.60 3.80 3.20 3.80 4.20

CORPORACION CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

145

DESPACHO DE AUDITORES, SC CDULA ANALISIS DE RIESGO GLOBAL

PLANEACIN

PT.

P30

MODELO DE RIESGO GLOBAL DEL NEGOCIO POR CATEGORIAS DEFINIDAS POR LA ADMINISTRACION CATEGORIAS DE RIESGO IMP. PROB. REF. CLASIFICACION

REF. CLASIFICACION Informacion Financiera 12 13 14

FACTOR RIESGOS DE INFORMACION

FACTOR RIESGOS EN LAS OPERACIONES

IMP. PROB.

Proceso Riesgo en la Informacion Contable Presupuestos Cumplimientos con aspectos Fiscales 7.00 6.80 6.60 3.60 4.20 3.20 34 35 36 37 38 39 40 41 42 43 44 Control de Calidad en el Proceso Productivo Calidad en el Proceso Productivo Calidad en la Prestacin del Servicio Calidad en el servicio al cliente. Ineficiencias y Desaprovechamiento Procesos engorrosos Falta de Automatizacin Duplicidad de Procesos Desperdicios y Mermas a niveles extraordinario Riesgo de Satisfaccion del Cliente Riesgo del Proceso de Ejecucion

7.00 6.80 4.30 5.00 6.40 6.80 6.20 8.00 9.00 5.00

3.60 4.20 9.00 5.00 3.60 3.40 3.80 5.00 4.00 5.00

Informacion Operacional 15 16 17 Establecimiento de Precios Medicion del Desempeo Portafolio 7.00 6.80 6.60 3.40 3.00 3.80

Riesgo Informatico y Tegnologia 18 19 20 21 22 23 Infraestructura de Sistemas 7.20 Acceso a Sistemas e Informacion (Seguridad Informatica) 7.00 Integridad de los Datos 6.40 Interrupcin de Sistemas y Negocios 6.80 6.20 Obsolescencia de Maquinaria y Procesos 8.00 Calidad y Confiabilidad de los Datos 4.20 4.40 3.60 3.40 3.80 5.00

45 Cumplimiento 46 47 48 Personal 49

Riesgo de Ambiente Riesgo Regulatorio Riesgo de Politicas y Procedimientos Recursos Humanos Incentivo al Desempeo

4.30 6.00 2.00 4.50 3.40

4.50 6.60 2.00 4.00 5.60

CORPORACION CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

146

DESPACHO DE AUDITORES, SC CDULA ANALISIS DE RIESGO GLOBAL

IV. MAPAS DE RIESGOS

PLANEACIN

PT.

P30

V. ANALISIS Y CONCLUSIONES: Com o p u ed e observarse en el m ap a d e riesgo anterior, los riesgos generales que para la administracin tienen mayor relevancia, son los nmeros: 13,18,19 y 22, d e los cu ales consid eram os crticos el nu m ero (18) Infraestructura de sistemas, y el (19) Acceso a sistemas de informacin/Seguridad Informtica, porque se consid era qu e p od ran tener un efecto potencial en los estados financieros y los objetivos de auditora, por lo que sern analizados como crticos en la evaluacin general de auditora. Esto queda documentado como parte del Plan General de Auditoria.

CORPORACION CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

147

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

A. OBJETIVOS Y ALCANCE (PRINCIPALES REQUERIMIENTOS DE LA REVISIN):

El objetivo principal de nuestro trabajo consiste en dictaminar los estados financieros bsicos de la compaa por el perodo comprendido del 1 de enero al 31 de diciembre del 2003. Se tiene como objetivo principal emitir una opinin basado en Normas de Auditora Generalmente Aceptadas para determinar su razonabilidad en trminos generales con el marco contable aplicable (Normas Internacionales de Informacin Financiera Normas Internacionales de Contabilidad). Como resultado del trabajo, la compaa espera recibir un informe corto de auditora. Emitir un informe con enfoque gerencial conteniendo nuestras observaciones y recomendaciones relacionadas con: (a) La estructura de control interno y su operacin, incluyendo los sistemas procesados en el computador y subsistemas utilizados. (b) Lo adecuado de los informes financieros y el sistema de procesamiento y polticas contables. (c) Mtodos administrativos para aumentar la eficiencia. (d) Cumplimiento con leyes y regulaciones aplicables. (e) Cualquier transaccin sustancial y/o no usual que consideremos importante. (f) Evaluacin de los sistemas informticos con nfasis en la seguridad y confiabilidad. Adicionalmente la com p aa requ iere qu e se haga u na revisin d el ad ecu ad o cu m p lim iento con Leyes y Obligaciones Tribu tarias aplicables.
B. REVISIN DE CORRESPONDENCIA Y PAPELES DE TRABAJO DEL AO ANTERIOR (LISTAR LOS HALLAZGOS RELEVANTES) No existe informacin anterior, derivado de que sta es la primera auditora. C. CONOCIMIENTO DEL NEGOCIO CONOCIMIENTO DEL CLIENTE) (LLENAR O ACTUALIZAR FORMULARIO DE

Corporacin CASO PRACTICO, S. A. es una entidad de capital extranjero y guatemalteco, establecida en Guatemala bajo las leyes y regulaciones aplicables en octubre de 1991, su principal actividad es la distribucin y comercializacin de un Portafolio de productos y marcas internacionales a Distribuidores por Mayor y Menor en la Regin Centroamericana. La empresa posee la representacin exclusiva para Guatemala y la Regin Centroamericana de Marcas de Productos de consumo masivo a nivel internacional. Factores econmicos generales y condiciones de la industria que afectan al 148

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

negocio de la

entidad.

Las condiciones del pas se encuentran en este momento aceptables para una empresa comercial del giro de la compaa CORPORACION CASO PRACTICO, S. A. Los ndices de inflacin y una poltica de tipo de cambio relativamente estable generan un buen clima para las operaciones de la compaa en especial su relacin con proveedores principales que principalmente se pagan en dlares y euros.
Mayor informacin se encuentra referenciada en Conocimiento del cliente, que se adjunta para referencia. D. RIESGO INHERENTE DEL NEGOCIO A continuacin se incluyen aquellos factores identificados en el proceso de conocimiento del cliente que a nuestro criterio tienen influencia significativa en el nivel de riesgo inherente del negocio. Factor Signifi cativo cdula

P-15

de

Riesgo Inherente Puro

Comentarios

1.

Involucramiento de los accionistas en la No administracin.

2. 3. 4.

Posicin financiera de la Compaa Liquidez de la Compaa Restricciones en Contratos de Crdito

No No No

5.

Integridad de la administracin

No

6.

Usuarios de los estados financieros

Si

Existe un proceso de involucramiento medio de los accionistas en el Gobierno Corporativo, pero sin formar parte de la administracin directa. La posicin de la compaa se encuentra normal y aceptable para el tipo de negocio. La compaa no presenta problemas de liquidez. Los contratos de crdito con que cuenta la compaa nicamente estn sujetos a una garanta hipotecaria sobre la propiedad de la compaa, sin mayor efecto que la revelacin suficiente. Mediante el cuestionario de Control Selfassessment realizado a diversos niveles de la administracin se determin que en general el personal de la entidad percibe a los lideres como personas integras, ticas, orientados a objetivos y con altos niveles de motivacin. Es un factor a considerar puesto que los estados financieros a dictaminar son para presentar a los accionistas extranjeros de la compaa, que verifican el resultado de su inversin a travs de este informe.

149

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa

PT. P40

7.

8.

CORPORACION CASO PRACTICO, S. A. Ao de Auditora: 2003 Factor Riesgo Ambiental Signifi Comentarios cativo Evaluacin del Control Circundante o medio No Segn la evaluacin preliminar realizada, ambiente de control se percibe un ambiente de control adecuado a las actividades de la compaa. El proceso de implementacin del sistema de control interno y estilos gerenciales de la compaa promueve y son base consecuente de un adecuado ambiente de control. Complejidad de los procedimientos de Si En efecto este es el factor que se registro de las operaciones considera con mayor efecto en la auditora, la entidad utiliza un sistema informtico tipo ERP para el registro de sus transacciones, esta evaluacin se encuentran documentado mediante la cdula

P-15

conocimiento

del

cliente adjunta, la principal complejidad

del sistema consiste en que las transacciones se registran automticamente en contabilidad desde las reas operativas. Adicionalmente, el sistema registra diversas partidas contables en forma automtica, con base en los parmetros programados por el Departamento Informtico, por lo que tendremos que realizar un trabajo orientado a los sistemas, observando el control circundante de los sistemas, y los controles de las aplicaciones principales, y por otra va revisin mediante CAATS para realizar pruebas sustantivas. 9. Supervisin del proceso contable No Debido a la naturaleza del sistema informtico, la supervisin de la Contralora de la empresa consiste inicialmente en: supervisin y revisin mediante conciliaciones de las principales cuentas con registros auxiliares administrados por otros departamentos y revisin de determinado nivel de plizas que sobrepasan el monto mximo permitido. Existen algunas partidas de ejercicios anteriores, principalmente con la adecuacin de los estados financieros a la adopcin con las Normas Internacionales de Contabilidad.

10. Ajustes de auditora de ejercicios anteriores Si

Basado en las consideraciones anteriores, el grado de riesgo inherente del negocio se considera:

150

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa Bajo CORPORACION CASO PRACTICO, S. A. Medio X

PT. P40
Ao de Auditora: 2003 Alto

E. IMPORTANCIA RELATIVA
Segn el anlisis siguiente se determinar el nivel de importancia relativa a utilizar en la auditora, para considerar si un asunto debe ser revelado o ajustado en los estados financieros y que se utiliza para determinar las reas crticas de auditoria, as como el intervalo de muestreo para pruebas sustantivas.

Monto Base Monto Base (anotar los importes en cada rengln) Utilidad antes de impuestos (anualizada) Capital contable

Nivel de Importancia Relativa

Q. 50,340,820 Q. 110,000,000

5% 3%

Q. Q.

2,517,041.00 3,300,000.00

Activos totales Q. 194,020,325 1% Nivel de Importancia Relativa a Utilizar Q. 2, 000,000

Q. 1,940,203.25

Base de Seleccin (explicar las razones para seleccionar el monto base): Debido a la materialidad de las cifras en los estados financieros, segn la tabla presentada anteriormente y el nivel de la relacin que existe entre los activos y la utilidad antes de impuestos consideramos conveniente considerar como monto base el 1% de los activos puesto que representa un monto conservador para la determinacin de ajustes que en conjunto puedan afectar la presentacin y confiabilidad de la informacin financiera.

F. CONFIANZA EN LA REVISIN ANALTICA (EXTENSA, LIMITADA, O NINGUNA EXPLICAR PORQU)

Se realizarn pruebas analticas a nivel limitado en algunas cuentas, esto ser revisado en la ejecucin de auditora.
G. OBJETIVOS CRTICOS DE AUDITORA (DEFINIR LOS OBJETIVOS CRTICOS DE AUDITORA, EXPLICANDO PORQU SE LES CONSIDERA CRTICOS Y LOS PRINCIPALES PROCEDIMIENTOS A APLICAR)

El objetivo principal de auditora es expresar una opinin sobre los estados financieros, informar sobre lo adecuado de los controles internos y expresar opinin sobre el cumplimiento con las leyes y regulaciones aplicables a la actividad. Objetivos Especficos: A. Se examinarn los estados financieros de la entidad por el ejercicio contable comprendido del 1 de enero al 31 de diciembre 2003. Los estados financieros bsicos a auditar son: Estado de Situacin Patrimonial (Balance General) 151

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

Estado de Resultados y Patrimonio Estados de Flujos de Efectivo Notas a los Estados Financieros Esta evaluacin incluir entre otros: Evaluacin y Anlisis de la estructura de Control Interno con base al informe COSO, a fin de planificar la oportunidad y alcance de los procedimientos analticos y sustantivos a realizar, as como obtener juicios crticos sobre la adecuada coordinacin de las actividades y esfuerzos para el logro de los objetivos de la entidad, la salvaguarda de los activos, la confiabilidad financiera y el cumplimiento de las leyes y regulaciones aplicables, as como sus polticas internas. Anlisis y evaluacin de los procedimientos utilizados por la entidad para la recopilacin, resumen, conciliacin, y presentacin de informacin financiera, administrativa y gerencial -estadstica. Esta evaluacin se realizar desde dos perspectivas, la Confiabilidad y Seguridad de los distintos Sistemas y Subsistemas, y la adecuacin a las necesidades de informacin y objetivos de control de la entidad, tomando como referencia la Normativa y Metodologa establecida por COSO, la Asociacin de Auditora y Control de Sistemas de informacin ISACA y el marco del IT Governance Institute COBIT-. Analizar y determinar procedimientos efectivos de auditora aplicables en las circunstancias, que nos permitan obtener certeza razonable sobre los estados financieros y la ausencia de errores importantes; Examinar la evidencia que soporta las cantidades y revelaciones presentadas, as como las estimaciones realizadas y su presentacin en conjunto de acuerdo con la normativa contable aplicable. Considerando el resultado y las conclusiones de la evaluacin del sistema de control interno y del proceso de informacin, se determinarn pruebas sustantivas y de cumplimiento que permitan obtener evidencia de que los datos e informacin producidos por el Sistema Contable son confiables, incluyendo entre otras: Confirm aciones con terceros sobre los Activos, Pasivos y Resu ltad os presentados en los Estados Financieros. Evaluacin de los procedimientos de control general sobre los Activos, en cuanto a su valuacin, existencia, propiedad, salvaguarda y registro contable. Pruebas sustantivas utilizando el software de auditora de sistemas IDEA que permite comunicarse directamente a las tablas de datos y realizar pruebas en lnea y modelos de simulacin para una comparacin y conciliacin efectiva de la evidencia de auditora. 152

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

Nuestra auditora se efectuar con base en las Normas Generalmente Aceptadas emitidas por el Instituto Guatemalteco de Contadores Pblicos y Auditores, y en lo que resulte aplicable utilizaremos de referencia las Normas Internacionales de Auditora emitidas por la Federacin Internacional de Contadores (IFAC), las cuales consideran nuestro entendimiento de la estructura del control interno, incluyendo el ambiente de control establecido por la gerencia. Basados en esta consideracin nosotros diseamos nuestra auditora para proveer una seguridad razonable para detectar errores e irregularidades que son importantes en los estados financieros. Sin embargo, debido a las caractersticas de las irregularidades, particularmente aquellas relacionadas con la falsificacin y colusin, una auditora diseada de acuerdo con Normas de Auditora no podra detectar tales irregularidades. Una auditora incluye un examen, sobre la base de pruebas selectivas, evidenciando y soportando los saldos y revelaciones en los estados financieros. Una auditora incluye tambin evaluar los Principios de Contabilidad Generalmente Aceptados utilizados y las estimaciones significativas hechas por la administracin, as como la evaluacin de la presentacin de los estados financieros en conjunto. Debido a que el objetivo principal de nuestra auditora ser emitir una opinin sobre la razonabilidad de los estados financieros, nuestra habilidad para expresar dicha opinin y la redaccin de la misma depender de los hechos y circunstancias encontrados. En caso nuestra opinin requiera modificaciones, las razones debern ser discutidas oportunamente con la administracin previo a su emisin. B. Evaluacin del Sistema de Control Interno, segn lo requieren las Normas Internacionales de Auditora. Para esta actividad se realizar una evaluacin del control interno desde dos perspectivas: I. Evaluaciones de Riesgo y Control Interno, (segn la establece la Seccin 400 de las NIAS) orientada especficamente a facilitar la determinacin tcnica y eficiente de la naturaleza, oportunidad y alcance de los procedimientos de auditora para efectos de opinar en los estados financieros. II. En forma complementaria se realizar una evaluacin especial orientada a los procesos sustantivos de la entidad, as: Anlisis y Evaluacin General de la Estructura de Control Interno bajo el marco del esquema y metodologa del Informe COSO. Desarrollando una evaluacin global de los 5 componentes principales: Entorno de Control, Evaluacin de Riesgos, Actividades de Control, Comunicacin y Monitoreo. Conocimiento y evaluacin mediante Procedimientos de 153 Control que

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

permitan evaluar la seguridad y buen funcionamiento de los procedimientos de Cuentas por Cobrar e Inventarios, identificados en el anlisis preliminar de riesgos como reas criticas tanto a nivel de su materialidad, como el impacto para los objetivos de auditoria. Reconocimiento, anlisis y evaluacin que permita asegurar la confiabilidad y eficiencia del procedimiento de evaluacion de riesgos de negocio y operativos que puedan afectar el registro de partidas principales. C. Verificar la seguridad y confiabilidad de los procesos electrnicos de informacin, como base de la evaluacin del sistema de control interno y la administracin de los riesgos de informacin de la entidad: Esta revisin se considera necesaria por la importancia del sistema informtico ERP utilizado por la administracin para el procesamiento de las operaciones de la empresa. Esta auditora ser realizada de forma integral con base en la metodologa de evaluacin para auditora y control de Tecnologa y Sistemas de Informacin de la Asociacin de Auditora y Control de Sistemas de Informacin ISACA- y considerando los aspectos de objetivos de Control establecidos en la Metodologa COBIT. D. Examinar la ejecucin del Presupuesto de Ingresos y Gastos para el periodo objeto de revisin. Revisin en forma selectiva de la adecuada clasificacin, documentacin y presentacin de los renglones presupuestarios. E. Evaluacin y Revisin del Cumplimiento con la Normativa Legal aplicable alas operaciones de la entidad, incluyendo: Ley del Impuesto al Valor Agregado y su Reglamento Ley del Impuesto sobre la Renta y su Reglamento Otras leyes y regulaciones aplicables
H. MUESTREO A REALIZAR (INDIQUE EN QUE CUENTAS SE PRETENDE UTILIZAR MUESTREO Y PORQU)

Derivado de la naturaleza del sistema informtico y el presupuesto de trabajo asignado, se considera que para algunos procesos- cuentas clave, y las pruebas de control a realizar, se aplicarn CAATS, por lo que debido a la factibilidad de auditar el 100% sin mayor costo y tiempo, sern aplicadas con un alcance mayor y no ser necesario aplicar procedimientos selectivos. Por otra parte para cuentas como ingresos, gastos, valuacin y toma de inventarios se utilizar un plan de muestreo para cada cuenta importante basada en los niveles de riego inherente y de control determinados para cada cuenta, as como el universo de la misma, utilizando el siguiente esquema:

154

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A. Riesgo Revisin Inherente Analtica Bajo Extensa Mediano Limitada Alto Ninguna

PT. P40
Ao de Auditora: 2003 Riesgo Multiplicar de Control Por Bajo 2.0 Mediano 1.5 Alto 1.0

Este anlisis ser registrado en la cdula de ndices de materialidad utilizada para el efecto. I. TRATAMIENTOS DE CONTABILIDAD POCO USUALES (EXPLICAR EN QUE CONSISTEN Y NUESTRA CONCLUSIN AL RESPECTO) No se observan tratamientos poco usuales, los registros contables son partidas normales para una empresa comercial de distribucin como es el caso de CORPORACIN CASO PRACTICO, S. A.

Las polticas contables adoptadas por la entidad son consistentes con las del ejercicio anterior. Y para este ejercicio, no se considera que existan pronunciamientos nuevos de contabilidad que le sean aplicables a la auditora.
J. EFECTO DE LA TECNOLOGA DE INFORMACIN SOBRE LA AUDITORA. El asunto que es conveniente remarcar es la naturaleza de los registros automticos, realizados por el sistema informtico, por lo que se utilizarn algunas tcnicas de auditora asistidas por el computador para analizar las principales caractersticas del sistema informtico, las cuales sern la base de la planificacin de la auditora sustantiva y de control. De acuerdo con el anlisis del Inventario de software realizado se presenta un sistema informtico ERP complejo, alto nmero de terminales conectadas en lnea, que permiten registrar operaciones contables desde la generacin de un documento fuente a cada partida entrelazada. Segn el analisis preliminar realizado, considerando: la naturaleza del sistema, el volumen de transacciones que se procesan, su efecto en los componentes del sistema de control interno, y la importancia del mismo para la operacin de la empresa; Se concluye que el sistema de informacin tiene un efecto importante en el desarrollo y preparacin de la informacin financiera, por lo que se realizar un enfoque de auditora basado en riesgos, aplicando tcnicas de auditora asistidas por el computador. K. ENFOQUE DE AUDITORA PLANEADO Derivado de la naturaleza de los sistemas informticos con que cuenta la compaa se considera necesario aplicar una auditora enfocada en los sistemas de informacin, utilizando tcnicas de auditora especializadas (CAATs), a fin de que se logren en forma efectiva nuestros objetivos. Aplicaremos las siguientes tcnicas: I. Analisis del Proceso de Gestion de Riesgos a nivel global:

155

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

PT. P40

Compaa CORPORACION CASO PRACTICO, S. A. Ao de Auditora: 2003 Inicialmente se realizar un estudio de riesgos a nivel global de la entidad para determinar como stos pueden afectar la situacin financiera del negocio y el registro contable de las operaciones principales. Asi como su efecto en la estructura de control interno. II. Evaluacin del Sistema Informtico: Para la identificacin y anlisis de operaciones del sistema informtico, que es la base del registro de las operaciones contables, utilizaremos la tcnica del anlisis de los diagramas de desarrollo del sistema para analizar las relaciones y estructuras lgicas en el sistema que permiten el registro contable de las operaciones en lnea y la administracin de recursos. Se considera critico que se realice inicialmente una evaluacin completa del sistema ERP en cuanto a su seguridad informtica, controles generales del sistema y controles de aplicacin crticos para los objetivos de los estados financieros que permitan determinar la magnitud de los riesgos que puedan afectar nuestra opinin de auditora. Se realizar un inventario de software para determinar las licencias en uso y si el tamao de la red de usuarios combina con el diagrama de red presentado por la administracin. Se analizar si la estructura de seguridad y control de la tecnologa de la informacin y el ambiente de control general sobre los sistemas cumple con las mejores prcticas y requisitos necesarios establecidos en el marco de referencia de COBIT. Se evaluar el proceso de administracin y gestin de riesgos en el rea informtica con el fin de determinar las reas crticas y como stos afectan a los estados financieros. Esta matriz ser la base para dirigir las pruebas de control aplicadas al sistema informtico. Revisaremos el proceso de controles generales del centro de cmputo, con el objetivo de verificar la seguridad y confiabilidad de los procesos de control en cuanto a administracin del sistema, control de cambios, programacin y desarrollo de aplicaciones, diseo y anlisis de los sistemas y controles generales ambientales del centro de cmputo que mitiguen los riesgos ms importantes en esta rea. Se realizar una verificacin de la plataforma de red, usuarios y controles generales del sistema ERP para evaluar si la misma es adecuada al nivel de complejidad y tamao de sus operaciones y la magnitud de un riesgo de inconsistencia. Mediante los Diagramas de Entidad Relacin del Diseo del Sistema, estableceremos las principales relaciones y los controles a travs del sistema, a fin de identificar los controles del sistema de informacin que sern considerados crticos para los objetivos de auditora, en relacin con la confiabilidad, exactitud y validez de la informacin. Estos controles identificados sern clasificados con base a la magnitud y probabilidad del riesgo relacionado y el objetivo de informacin que soportan. Con base en esto sern determinadas las pruebas de control de las aplicaciones. Aplicacin de Pruebas de Control para asegurar la confiabilidad y funcionalidad de los controles clave inmersos en las aplicaciones y bases de datos.

156

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

PT. P40

Compaa CORPORACION CASO PRACTICO, S. A. Ao de Auditora: 2003 Una vez est probado el sistema, este anlisis permitir realizar la planeacion de las pruebas sustantivas que sern realizadas para probar los saldos contables.

III.

Evaluacin del sistema de control interno con base a la metodologa de riesgos de COSO/ERM A la vez que se analicen los riesgos relacionados con el sistema informtico se realizar una identificacin y aseguramiento de los riesgos de control de los procesos-cuentas clave de los estados financieros. Para esto realizaremos el esquema de divisin de procesos de la metodologa COSO ERM, en cada cuenta se levantar mediante flujo gramas y diagramas de flujos de datos un esquema del proceso de registro, identificando los riesgos en el proceso y los controles fuera del sistema que apoyan la mitigacin de los riesgos, los cuales sern documentados mediante una Matriz Riesgo/Control, para llegar a determinar todas aquellas reas que requieran evacuacin especial. Una vez identificados los controles clave de los ciclos importantes de transacciones, se considerarn la naturaleza y extensin de las pruebas de control. Para este efecto se est considerando una confiabilidad preliminar del sistema de control interno alta, debido a que el ambiente de control, el proceso de ERM llevado a cabo por la administracin, y los sistemas informticos aparentan fomentar un marco de control adecuado a la entidad. Esta evaluacin de confiabilidad deber ser analizada nuevamente, despus del proceso de evaluacin del sistema de control interno. Para estos procesos se levantarn los procedimientos mediante el esquema de flujo diagramacin y matrices de riesgo control. Segn el anlisis de procesos clave preliminar realizado, se consideran como procesos clave y obligatorios, los siguientes: Ventas y Cobranza: Las pruebas planeadas para esta rea, estarn orientadas a pruebas analticas sobre tendencias e indices de desempeo sobre la venta y cobranza de la operacin, as como algunas pruebas sustantivas para lo cual se utilizar el Interactive Data Extaction and Analysis software IDEA-, mediante la cual se van a probar los clculos y valuaciones de las ventas y las cuentas por cobrar relacionadas. Se realizar una confirmacin de saldos positiva a un porcentaje muestra (para esto tambin se utilizar IDEA). Activos Fijos: Por la magnitud e importancia de la cuenta, se realizar una validacin de las principales adquisiciones y existencias de activos fijos de la entidad, para validar su proceso de custodia y salvaguarda. Se revisar la valuacin adecuada y depreciacin registrada en el ejercicio, en comparacin de su desgaste final, estas pruebas tambin sern realizadas mediante IDEA. Inventarios y Abastecimientos:

157

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

PT. P40

Compaa CORPORACION CASO PRACTICO, S. A. Ao de Auditora: 2003 Por la naturaleza e importancia del rea de inventarios y abastecimientos, se realizar una evaluacin exhaustiva a probar los saldos de inventarios finales, la valuacin y monto del costo de ventas y distribucin, estas pruebas sern realizadas sobre las bases de datos del sistema mediante IDEA y aplicaciones de Query del Sistema.

IV. Procedimientos sustantivos de auditora: De conformidad con la evaluacin inicial y el nivel esperado de riesgo despus de la evaluacin de los riesgos de control y auditora establecidos en la evaluacin del sistema de control interno, se realizarn pruebas sustantivas de confirmacin de saldos y verificacin de clculos mediante la aplicacin del sistema IDEA. Mediante la cual se analizarn posibles errores en la informacin financiera. Inicialmente se define un nivel de confiabilidad alto para el control interno, por lo que se espera reducir las pruebas sustantivas de la fase de ejecucin. Las reas de auditora importantes se consideran: los saldos de cuentas por cobrar, la valuacin de la propiedad planta y equipo y el saldo y valuacin correcta del inventario, por considerarse las cuentas con mayor relevancia dentro de los estados financieros segn presentado a continuacin:
PONDERACION DE LOS ESTADOS FINANCIEROS
Empresa Caso Prctico, S. A. Seleccin de Procesos Importantes y Materialidad (Cifras en Miles de Quetzales) Al 31 de diciembre 2003

CONCEPTO

MONTO

PONDERACION

Procesos

ACTIVO
ACTIVO CIRCULANTE: CAJA Y BANCOS INVERSIONES EN VALORES CUENTAS POR COBRAR FILIALES CUENTAS POR COBRAR CLIENTES DIRECTOS CTAS. POR COBRAR CLIENTES DISTRIBUCION ESTIMACION DE CUENTAS INCOBRABLES ANTICIPO A PROVEEDORES INVENTARIOS MERCANCIAS EN TRANSITO ACTIVO FIJO: PROPIEDAD, PLANTA Y EQUIPO DEPRECIACION ACUMULADA PLANTA Y EQUIPO NETO ACTIVO DIFERIDO: DIVERSOS TOTAL ACTIVO 143,033.7 16,891.2 14,397.9 1,473.8 21,118.0 43,079.8 (4,959.0) 646.1 50,325.0 61.0 120,355.5 (71,131.7) 49,223.8 1,762.8 1,762.8 194,020.3 9% 7% 1% 11% 22% -3% 0% 26% 0% 0% 62% -37% 25% 1% 1% 100%

Se considerarn con especial cuidado los saldos relacionados a los procesos de cobranza y determinacin de los clculos de comisiones sobre ventas, depreciaciones y amortizaciones, estimaciones para futuras contingencias y costo de ventas, los cuales sern evaluados mediante verificacin de calculo y matemtica, mediante la tcnica de auditora SIMULACION, debido a que estos clculos complejos son realizados directamente por los parmetros programados por el sistema ERP. 158

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A. ASPECTOS ADMINISTRATIVOS

PT. P40
Ao de Auditora: 2003

L. PRESUPUESTO GLOBAL DE AUDITORA: Socio 40 horas Gerente 100 horas Encargado 160 horas Asistentes 320 horas Especialistas 80 horas Total Presupuesto en Horas: 700 horas Debido a la naturaleza de los sistemas ERP y de los procedimientos de auditora especializados que se tiene planeado realizar, se espera utilizar el trabajo de dos especialistas en sistemas de informacin, para que nos apoyen en el desarrollo y evaluacin en el nivel adecuado que el sistema requiere. El personal a asignar sern auditores con alguna experiencia en la aplicacin de pruebas de auditora asistidas por computadora.

M. Equipo de Auditora (se requiere la firma como prueba de haber ledo/aprobado la planeacin inicial de la auditora) Socio Daniel Emilio Lazcarraga J. Gerente Guillermo Israel Acosta V. Encargado Sofie Alejandra Velsquez Martnez Ayudante Leopoldo Francisco Jimnez G. Ayudante Marie Pilar Gonzlez Jurez Esp. I Daniel Fernando Daz Jimnez Esp.II Alex Gabriel Ochoa Loarca Firma Firma Firma Firma Firma Firma Firma Fecha Fecha Fecha Fecha Fecha Fecha Fecha 23-09-2003 23-09-2003 23-09-2003 23-09-2003 23-09-2003 23-09-2003 23-09-2003

N. CALENDARIO DE ACTIVIDADES: Fecha de inicio de la revisin preliminar 10-10-2003 Fecha del inventario fsico 30-12-2003 (8:00 am) Fecha de inicio de la revisin final 12-01-2004 Fecha de entrega de estados financieros 15-02-2004 . TIPOS DE INFORMES DE AUDITORA A EMITIR: Se requiere realizar un informe largo de auditora que incluya adems del dictamen de auditora y los estados financieros, un anlisis financiero de las principales variables financieras presentadas por la entidad y una explicacin sobre la normalidad de los mismos. O. OTROS ASUNTOS:

Existe posibilidad de problemas de negocio en marcha

SI

NO

Explique:

En general no se consideran ningn factor que hayamos conocido que pueda hacernos evaluar la capacidad de la empresa como negocio en marcha. Condiciones que requieren atencin especial: Ninguna. Existe algn aspecto que pueda afectar y comprometer los trminos del trabajo y cualesquiera responsabilidades estatutarias: Ninguno

159

DESPACHO AUDITORES, SC

PLANEACION

PLAN GENERAL DE AUDITORA

Compaa CORPORACION CASO PRACTICO, S. A.

PT. P40
Ao de Auditora: 2003

Consideracin sobre el trabajo de auditora interna: No existe Departamento de Auditora Interna.

P. CAMBIOS SIGNIFICATIVOS EN LA PLANEACIN INICIAL NINGUNO

HECHO POR:

SMH

REVISADO POR: AGC

APROBADO: FA

160

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

I.

EVA/CONTROL

PT. E/C20

ESTRUCTURA GENERAL DEL SISTEMA ERP

A. OBJETIVO GENERAL: Determ inar el nivel d e au tom atizacin y com p lejid ad d el sistem a inform tico, p ara reconocer las reas y p u ntos crticos d e riesgo y su efecto en la Auditoria. B. PROCEDIMIENTOS APLICADOS: B.1 ANALISIS DEL ESQUEMA DE LA ARQUITECTURA DEL SOFTWARE A continu acin se p resenta el m od elo d e sim u lacin d e la arqu itectu ra del sistema. Como puede observarse se trata de una estructura tpica de ERP.
ANALISIS DE LA ARQUITECTURA DEL SISTEMA ERP/ COMPONENTES

SISTEMAS DE VENTAJA COMPETITIVA (SISTEMAS

CONFIGURACION Y SISTEMAS DE ORACLE FINNACIALS-DEVELOPER

ERP:

SISTEMA DE ADMINISTRACION DE LA BASE DE DATOS: ORACLE/FINNACIALS

SISTEMA OPERATIVO: WINDOS XP

PLATAFORMA; AMBIENTE REDES

Anlisis:
Como p u ed e observarse la estru ctu ra informtica d el sistem a com p rend e u n sistema tpico d e ERP. La p lataform a d e red es p erm ite la com u nicacin clienteservid or qu e es requ erid a en u n am biente d e p rocesam iento en lnea, se p u ed e observar qu e se est u sand o las utileras d e WXP p ara los servicios d e sistem a op erativo d e red es y la base d e d atos esta m ontad a en u n sistem a ORACLE FINNACIALS.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

161

EXTERNOS CRM, ETI,EFI)

MODULOS DE APLICACIONES ERP: CXC, INVENTARIOS, ADQUISICIONES, CXP (ESTRUCTURA NORMAL)

INTERNOS)

INFRAESTRUCTURA DE NEGOCIOS (SISTEMAS

PROTOCOLOS DE COMUNICACIN WEB,

INFRAESTRUCTURA SERVER

TECNICA:

CLIENT-

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C20

B.2 INVENTARIOS DE SOFTWARE, REDES Y USUARIOS: Objetivo y Procedimiento aplicado: Reconocer la estru ctu ra d e softw are, hardware y equ ip os d e la entid ad . Cu antificar el tam ao d e la Red d e Usu arios y la im p ortancia d el sistem a p ara las operaciones. Procedimientos aplicados: Se realizaron inventarios au tom ticos d e activos inform ticos a travs d el sistema p ara Inventarios d e Softw are y Red es au tom atizad as DISCOVERY 2005. a continu acin se p resenta la pantalla d e resu ltad os (salid as) d el sistem a Discovery2005, d ond e m u estra el estad o total d e tod as las conexiones d e red y los dispositivos de software.

Conclusin: DiscoveryDashboard ofrece u na visibilid ad com p leta e instantnea sobre los recu rsos inform ticos y los p rincip ales ind icad ores d e estad o. Se observaron los licenciam ientos d e la com p aa constatnd ose qu e se encu entran vigentes y por las cantidades adecuadas. B.3 ANALISIS DE LOS DIAGRAMAS DE RED: Objetivo: Determ inar la estru ctu ra p rincip al y la topologa d e la RED, p ara asegu rar la confiabilid ad d e los controles generales d e com u nicacin y segu rid ad implementados en el sistema.
EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04 Valid: FA 10-04-04

162

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C20

Procedimientos aplicados:: En el d iagram a bsico d e red se p ued e observar y d ocu m entar los p rincip ales componentes, usuarios y dispositivos de hardware que comprenden u na estructura de red normal o bsica. Meditante la tcnica de diseo de sistemas se realiz la id entificacin d e los d isp ositivos bsicos qu e d ebieran existir en u na RED y los anlisis d el d iseo y d isp ositivos d e segu rid ad im p lem entad os en la RED de la compaa. DIAGRAMA BASICO DE RED

B.4

ANALISIS DE LOS ESQUEMAS DE PROCESAMIENTO DE DATOS: Objetivo: Com p rend er la estru ctu ra d e Program acin d el sistem a y las estru ctu ras d e d atos y bases relacionales, qu e servirn en la p laneacin d e p ru ebas esp ecificas de cumplimiento y sustantivas. Procedimientos aplicados: Mediante el anlisis d e los Diagramas de Flujo de datos, se id entificaron las p rincip ales fu nciones d e p roceso d el sistem a, las transformaciones que debe llevar a cabo el sistema, y la relacin de entradas y salidas. La com p aa u tiliz el esqu em a general d e d iagram a d e d atos para la concep tu alizacin y d iseo d e la base d e d atos y su s estru ctu ras lgicas. Se

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

163

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C20

estu d iaron tod os los d iagram as d e las tablas d e d atos consid erad as p rincip ales como: de Inventarios, Cartera y Tesorera. Conclusin: Com o se ve en el sigu iente d iagram a d e d atos, en el sistem a ERP objeto d e estu d io existe u na relacin norm al p ara el rea d e cu entas p or cobrar y facturacin. Puede observarse la relacin directa de la base de clientes con sus tablas de datos com o: Ped id os factu ras clientes rep resentad as con los rectngu los o lneas paralelas, los eventos: com o Tom a d e Ped id o y Factu racin, rep resentad os con los crcu los y las transacciones y cam bios d e inform acin rep resentad as p or las flechas o flujos.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

164

DESPACHO DE AUDITORES, SC

EVA/CONTROL

EVALUACION SISTEMA INFORMATICO EVALUACION DE RIESGOS Y CONTROLES GENERALES DE PROCESAMIENTO Y APLICACION

II. EVALACION DE CONTROLES GENERALES Y DE APLICACIONES

PT. E/C30

Objetivo: Determ inar el nivel d e confiabilid ad y efectivid ad d e controles generales d el am biente d e p rocesam iento d e d atos y el efecto p otencial en la confiabilid ad d el sistem a consid erand o el im p acto p otencial en los estados financieros. Procedimientos aplicados:
La evalu acin d el p roceso d e CON TROLES GEN ERALES DE APLICACIN se realizo u tilizand o las tcnicas d e evalu acin a travs d e los Objetivos d e Control establecid os p or COBIT, se evalu aron en total 34 categoras d e riesgo relacionad os con los cu atro am bientes p rincip ales d e los controles generales. Esta evalu acin se d ocu m ento mediante la matriz de riesgo/control/Objetivos adjuntas. Anlisis y Conclusiones: Com o se p u ed e observar en la m atriz d e riesgo sobre el sistem a inform tico qu e se p resenta ad ju nta, existen controles clave relacionad os con p rocesos esp ecficos realizad os p or el sistem a, d e la qu e se conclu ye qu e la confiabilidad del ambiente general del procesamiento de datos y del sistema, es satisfactoria.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

165

DESPACHO DE AUDITORES, SC

EVA/CONTROL

EVALUACION SISTEMA INFORMATICO EVALUACION DE RIESGOS Y CONTROLES GENERALES DE PROCESAMIENTO Y APLICACION

LISTADO DE CATEGORIAS DE RIESGO DE CONTROLES GENERALES EVALUADAS
RE DE S P TEM A O IS E R A C I

PT. E/C30

REF

REF

REF

1 2

Sistemas no diseados con arreglo a las necesidades del X usuario o no adecuadamente implementados. Desarrollo, diseo y modificacin de sistemas de X informacin que no cumpla las necesidades del usuario. Ausencia de documentacin tcnica o de usuario sin la cual no se cuenta con una guia o referencia para X modificacion y/o operacin de las aplicaciones. Inadecuada operacin de sistemas de informacin. X

12 13

Los programas estn sujetos a cambios X no autorizados. Las operaciones informticas no utilizan los programas, archivos y procedimientos adecuados. Deficiencias operativas en la ejecucin de actividades de produccin. Ejecucin de procesos sin conocimiento del usuario. Informacin inexistente para dar continuidad a la ejecucin de tareas. Procedimientos deficientes para copias de seguridad y recuperacin de informacin. Contingencia no contemplada que interrumpa la operacin. Incremento en el tiempo de respuesta ante contingencias. Afectacin intencional de la funcionalidad del plan de continuidad TI. No garantizar la operaciones de TI. continuidad de

24 X 25

Acceso a informacin no acorde a las funciones del personal. Proceso de autenticacin de usuarios inexistente o con debilidades. Falta de depuracin y control sobre accesos autorizados generandose exponen la informacin a algn dao. Desconocimiento de eventos de violacin a la seguridad. Obtencin y manipulacin de informacin sensitiva. Daos irreversibles a los recursos de TI. Ataque a los recursos internos de la organizacin. Exposicin de las instalaciones de procesamiento a personal no autorizado. Fallas en el equipo de procesamiento. Fallas o desabasto de energa que propicien afectacin en la operacin. Conexiones remotas a las redes de la organizacin por parte personal no autorizado

14

26

4 5 6 7 8

15 16 17 18 19

X X X X X

27 28 29 30 31

Sistemas de informacin no cumplen los objetivos y X requerimientos de la Cia. Proyectos entregados fuera de tiempo, mayor inversin de recursos, fases de proyectos no aprobadas y/o X revisadas. Realizar modificaciones a sistemas sin requisicin autorizada de cambio. Modificaciones a sistemas que afecten su funcionalidad y operacin. X

Software que una vez instalado presente fallas y/o no est X distribuido en el lugar correcto. X

20

32

10 Bajo o nulo rendimiento del sistema de informacin.

21

33

11 Alteraciones no autorizadas y errores.

22

Los archivos de datos estn sujetos a acceso no autorizado. Deficiente identificacin de riesgos reales y potenciales en los recursos de tecnologas de Informacin.

34

23

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

166

DESARR OLLO Y SO FTW A RE DE S IS E R A C I OP TEM A ON DEL CENTRO DE S E G U R ID AD DE

DESARR OLLO Y M A N TTO . SO FTW A RE DE S IS T E M A OPERACI ON DEL CENTRO S E G U R ID AD DE ACCESO

DESARR OLLO Y MAN TA S O F TTW O .

ON DEL CENTRO S E G U R ID AD DE

FACTOR DE RIESGO

AMBITO DE CONTROLES DE

FACTOR DE RIESGO

AMBITO DE CONTROLES DE

FACTOR DE RIESGO

AMBITO DE CONTROLES DE

X X

X X X X X

DESPACHO DE AUDITORES, SC

EVA/CONTROL

EVALUACION SISTEMA INFORMATICO EVALUACION DE RIESGOS Y CONTROLES GENERALES DE PROCESAMIENTO Y APLICACION

EVALUACIN DE RIESGO/CON TROL OBJETIVO DE CON TROLES DE APLICACIN (Presentacin parcial matriz controles

PT. E/C30

AMBITO DE CONTROLES
DESARROLLO Y MANTTO. DE LAS APLICACIONES OPERACION DEL ACCESO DATOS REF

FACTOR DE RIESGO

SEGURIDAD DE

SOFTWARE DE SISTEMAS

PROCESO DE

CENTRO DE

REF

ACTIVIDAD DE MITIGACION DE RIESGO

OBJETIVO O DESCRIPCIN DEL CONTROL

23

Deficiente identificacin de riesgos reales y potenciales en los recursos de tecnologas de Informacin.

Clasificar los recursos de tecnologa de informacin por tipo y clase de activos sensibles, y para cada uno de ellos: 1.Amenazas potenciales 23 2.Necesidades de proteccin 3.Responsabilidades sobre stos por parte de: Direccin Administracin de seguridad P Establecer procedimientos orientados a: 1.Conceder accesos 2.Establecer privilegios de usuario 24 y de acceso 3.Definir autorizaciones necesarias 4.Supervisar la seguridad -COSOImplementar mecanismos de autenticacin de usuarios y 25 conservar su efectividad. -COBIT-

Identificar y dimensionar los riesgos a los que estn expuestos los recursos de tecnologa de informacin (aplicaciones, datos, software de sistemas, instalaciones y recurso humano).

24

Acceso a informacin no acorde a las funciones del personal.

Garantizar que los datos sean accesados solo por personal autorizado y que los accesos estn basados en las funciones y responsabilidades de los usuarios.

25

Proceso de autenticacin de usuarios inexistente o con debilidades.

Contar con una primera lnea de defensa para el acceso no autorizado.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

167

DESPACHO DE AUDITORES, SC

EVA/CONTROL

EVALUACION SISTEMA INFORMATICO EVALUACION DE RIESGOS Y CONTROLES GENERALES DE PROCESAMIENTO Y APLICACION

CON TIN UACIN D E LA MATRIZ D E RIESGO/CON TROL, RESUMEN D E RESULTAD OS D E PRUEBAS D E CUMPLIMIEN TO EJECUTAD AS (Se presenta el plan de pruebas aplicado para evaluar los controles descritos en cdula anterior).
PRUEBA DEL CONTROL DEFICIENCI A DE CONTROL

PT. E/C30

REF DESCRIPCION ALCANCE RESULTADO

OPERACIN DISEO

25

Configuracin de las polticas del controlador de Domino y mecanismo Parcial de autenticacin de La aplicacin contable tiene mecanismos de autenticacin, pero Verific que la aplicacin cuente con los controles MODULO CONTABLE. estos cumplen solo parcialmente los controles definidos en el automticos de administracin de cuentas definido en el "Manual de seguridad de sistemas". manual de seguridad: Pruebas de inclusin - La extensin mnima de contraseas debe ser de 8 caracter errnea de contraseas. Verificar la existencia de mecanismo de autenticacin de usuarios Documentacin del procedimiento de "Bajas de Usuario y Cuentas de Insatisfactorio Acceso" Se identific una desviacin donde el responsable designado en la hoja de control de bajas difiere del administrador responsable en el Verificar la existencia de notificaciones de Recursos Humanos Notificaciones va correo formulario de bajas. de bajas de personal o cambios de puestos. electrnico de recursos A partir de las pruebas de verificacin de la baja de usuarios en el humanos. sistema (Ver Verificar que los formularios de bajas cuenten con su respecti Formularios de bajas de un mes. Diagramas de Red Verificar la documentacin del procedimiento: "Bajas de Usuario y Cuentas de Acceso" Revisar los diagramas de la red e identificar la localizacin apropiada de los detectores de intrusos. Configuracin de IDS y Sistemas de monitoreo Procedimientos de revisin de bitcoras de los sistemas I Semestre, 2005 Diagramas de Red Verificacin de la utilizacin de VPNs Parcial LA ENTIDAD cuenta con un sistema de deteccin de intrusos en la red perimetral y en los servidores. Sin embargo, hace falta definir y disear un proceso formal de atencin y escalamiento de incidentes de seguridad, asi es necesario desarrollo de procedimientos de verificacin.

26

27

Discutir con los administradores de sistemas acerca del uso de procedimientos de revisin bitcoras de eventos de la aplicaciones y del sistema, siste

28

Revisar los diagramas de la red e identificar las comunicaciones de datos a travs de redes no confiables, y los mecanismos de encriptacin utilizados. Discutir con el administrador de sistemas los mecanismos de encriptacin y transporte de datos utiliza

Parcial Corporacin Caso Practico, S. A., no cuenta con una clasificacin para determinar cual informacin es sensitiva y debe encontrarse encriptada. Sin embargo, existen iniciativas como la implantacin de VPNs para el establecimiento de

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

168

DESPACHO DE AUDITORES, SC

EVA/CONTROL

EVALUACION SISTEMA INFORMATICO EVALUACION DE RIESGOS Y CONTROLES GENERALES DE PROCESAMIENTO Y APLICACION

PT. E/C30

CONCLUSION EVALUACION GLOBAL DE CONTROLES GENERALES DEL SISTEMA: Seg n el resu ltad o d e nu estra evalu acin a los controles generales d el sistem a, se conclu ye qu e la confiabilid ad d el am biente general d el sistem a es satisfactoria, p or lo qu e se consid era qu e no existen efectos m ateriales a las ap licaciones d el sistem a. Y Se p u ed e confiar en qu e el sistem a op era en u n am biente d e segu rid ad , estru ctu ra, acceso, y operacin razonables y adecuadas a la magnitud de sus operaciones. Se evaluaron en total 34 categoras de riesgo, seleccionadas en los cuatro mbitos principales que establece el marco COBIT: 1. DESARROLLO Y MANTTO. DE LAS APLICACIONES. 2. CONTROL GENERAL SOBRE SOFTWARE DE SISTEMAS. 3. OPERACION DEL CENTRO DE PROCESO DE DATOS 4. SEGURIDAD DE ACCESO

Sobre la base d e este anlisis conclu im os qu e los controles generales son razonables p ara las op eraciones d e la entid ad , lo qu e brind a u n m enor riesgo d e au d itoria p ara efectos d e los estad os financieros qu e son p rocesad os a travs d el sistem a inform tico ERP, p or lo qu e en la sigu iente fase nicam ente se realizarn algu nas p ru ebas d e control con SOFTWARE DE AUDITORIA SOFTWARE GEN ERALIZADO DE AUDITORIA, p ara valid ar la integridad de las bases de datos almacenadas en el sistema informtico..

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

169

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C40

PRUEBAS DE CONTROLES GENERALES DE APLICACIN Objetivo Global sobre Controles de Aplicacin: A. Verificar y validar la seguridad de los Controles de generales de aplicacin establecidos en el sistema. B. Pruebas de cumplimiento de los controles dentro del sistema. C. Verificar los controles d e ed icin e integrid ad d e las bases d e d atos inclu id as en el sistem a, p ara valid ar los controles d e acceso, segu rid ad e integrid ad d e los d atos seg n la inform acin evalu ad a en la m atriz d e riesgo control. Procedimientos aplicados: Utilizand o softw are generalizad o d e au d itoria SOFTWARE GEN ERALIZADO DE AUDITORIA, se realiz el siguiente trabajo en dos reas principales: A. PRUEBAS D E CORRELATIVID AD Y D UPLICID AD PARA VALID AR INTEGRIDAD. Mediante SOFTWARE GEN ERALIZADO DE AUDITORIA se realiz verificacin de Duplicidad y Correlatividad en la totalidad de tablas que cuentan con u na llave p rim aria d e correlativid ad y cronologa. A continu acin se ad ju nta m uestra d e resu ltad os p resentad os p or SOFTWARE GEN ERALIZADO DE AUDITORIA En la tabla d e factu ras. (El resto d e archivos fu e d ocu m entad o en medio magntico).
PANTALLA DE SOFTWARE SOFTWARE GENERALIZADO DE AUDITORIA PREVIO A PRUEBA DE ANLISIS DE CORRELATIVIDAD EN EL REGISTRO DE FACTURAS.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

170

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C40

PRUEBAS DE CONTROLES GENERALES DE APLICACIN

CONCLUSION: El resu ltad o d e la p ru eba d e au d itoria ap licad a, otorga resu ltad os satisfactorios d ebid o a qu e nicam ente se observan d os casos d e p erd id as d e correlativid ad , com o se muestra en la pantalla de la computadora siguiente:

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

171

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C40

PRUEBAS DE CONTROLES GENERALES DE APLICACIN

B.

SIMULACION DE PROCESOS INTERNOS DEL SISTEMA Descripcin de la Prueba: Se requ iere p robar los controles d e ap licacin com p u tarizad os (inm ersos en el sistem a) m ed iante la sim u lacin d e los procesos lgicos y clculos qu e el sistema realiza. Se aplicaron diversas pruebas orientadas a validar los calculos realizados por el sistem a, a continu acin se p resentan los resu ltad os d e la evalu acin en la cu enta p or cobrar, sobre el Riesgo N o.3 d e la m atriz d e riesgo/ Control d e cuentas por cobrar Error en el Cdigo aplicado. El control p rincip al d e valid acin y ed icin d e d atos (Control d e Entrad a) es la u tilizacin d e u n d igito verificad or qu e asegu ra qu e ning n cd igo es ap licad o en form a incorrecta. La p ru eba consiste entonces en sim u lar mediante SOFTWARE GEN ERALIZADO DE AUDITORIA la fu ncin d e generacin d el d igito verificad or d el cliente, y com p ararlo con los cd igos ingresad os en la base d e d atos p ara verificar la confiabilid ad d el clcu lo, lu ego com p arar este d igito verificad or contra el listad o d e transacciones operadas en el periodo, en bsqueda de inconsistencias en su aplicacin. VISUALIZACIN DE RESULTADOS DE SIMULACIN PROCESO DE CLCULO DE DIGITO VERIFICADOR MEDIANTE SOFTWARE GENERALIZADO DE AUDITORIA

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

172

DESPACHO DE AUDITORES, SC EVALUACION SISTEMA INFORMATICO

EVA/CONTROL

PT. E/C40

PRUEBAS DE CONTROLES GENERALES DE APLICACIN

CONCLUSION PRUEBA SIMULACION: Com o se pu ed e observar en la colu m na titu lad a Calcu lo_Au d i, gu ard a el resu ltad o d e la sim u lacin y calcu lo d el d igito verificad or p ara com p robar el algoritm o qu e esta ap licand o el sistem a, sin haberse encontrad o d iferencias entre los m ism os. Por lo que se concluye que el control de aplicacin esta funcionando correctamente. CON CLUSION GLOBAL: d espu s d e analizar el resu ltad o d e nu estras p ru ebas d e au d itoria, consid eram os qu e los controles d e ap licacin d el sistem a funcionan razonablemente.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

173

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS I. OBJETIVO GENERAL: La evaluacin del sistema de control interno ser realizada para identificar los procesos de la estructura de control interno que se consideren tengan un impacto importante sobre las aseveraciones de los estados financieros. II. METODOLOGIA APLICADA Como fue planeado, se utiliz la metodologa de procesos COSO, que permite identificar las reas clave para asegurar los objetivos de presentacin de informacin confiable y razonable. II. 1 Inicialm ente se u tiliz la tcnica d e m od elacin d e sistem as como base

para evalu ar el entorno d e la com p aa a travs d el enfoqu e COSO d e Control Interno, utilizando el siguiente esquema:
MODELO GENERAL DE EMPRESA PARA ESTABLECIMIENTO DE OBJETIVOS DEFINIDO POR INFORME COSO PROCESOS IDENTIFICADOS POR AREA VALOR AGREGADO RELACIONES CON COMPRADORES Y DISTRIBUIDORES Recepcion de Mercancias Operaciones Expedicion de Mercancias Mercadeo y Ventas Servicio al Cliente

SOPORTE ADMINISTRATIVO SOPORTE DE LAS RELACIONES DE LA EMPRESA CON INTERNOS Y EXTERNOS Gestion de la Empresa Recursos Humanos Desarrollo de Tecnologia Aprovisionamientos (Compras y Almacenamiento) GESTION ESTRATEGICA ESTABLECIMIENTO DE ESTRATEGIA GENERAL Y OBJETIVOS DEL NEGOCIO Establecimiento de Objetivos Planificacion Estrategica Factores del Entorno de Control Gestion y Evaluacion de Riesgos (Identificacion, analisis y administracion) Direccion de las actividades de Gestion Informacion y Comunicacin de Supervision y Monitoreo

El esqu em a general d e relacin d e p rocesos, su bp rocesos, activid ad es y participantes se muestra mediante el siguiente esquema (Fuente: COSO):

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

174

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS

ESQUEMA DE ACTIVIDADES DEL PROCESO ADMINISTRATIVO SEGN COSO

Med iante este esqu em a general seg n COSO, se id entificaron las activid ad es y relaciones clave d e la em p resa. Com o se trata d e u na au d itoria financiera, se enfoc el trabajo en las activid ad es d e Gestin (Administracin) las cu ales son esquematizadas en el siguiente cuadro:

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

175

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS

ESQUEMA GENERAL DE L PROCESO DE GESTION DE LA EMPRESA

Con este esquema se identificaron los subprocesos de la Gestion Financiera de la compaa asi:
EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

176

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS

Activos Fijos

ESQUEMA BASICO DE LAS ACTIVIDADES DE GESTION FINANCIERA

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

177

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS

EMPRESA CASO PRACTICO, S. A. I M MATRIZ DE PROCESOS Y SUBPROCESOS DE GESTION FINANCIERA P PONDERADO CON FACTORES DE RIESGO Y OBJETIVOS PARA ANALISIS DE A PLANEACION C T O Importancia SUBPROCESO PROCESO Relativa % No 1 ACTIVO FIJOS Balance/ER Propiedad Planta Y Equipo 25% Proceso De Cierre Contable 2 INFORMES FINANCIEROS Y N/A Consolidacion De Estados CIERRE CONTABLE N/A Financieros Conversion De Estados Financieros N/A A La Matriz 3 CUENTA CLIENTES POR COBRAR Gestin Y Recuperacin De Cartera Autorizacion y Validacin Crediticia Conciliacion Saldos Sistema Y Saldo Contable Corporativo Cargos a Cuentas Por Cobrar Cartera De Clientes - Tiendas Cargos a Cuentas Por Cobrar Cartera De Clientes - Distribuidores Otros ajustes y relaciones 4 CUENTAS POR PROVEEDORES PAGAR Cuentas Por Pagar Acreedores Varios Cuentas Por Pagar Proveedores Adquisicion y Compras Concilicion de cuentas Por Pagar Proveedores Y Confirmacin De Saldos Aplicacin De Pagos Registro Y Conciliacin De Ingresos Recepcion De Pagos en Tiendas 6 7 ESTIMACIONES CONTABLES Estimaciones Contables CUMPLIMIENTO DE Calculo De Impuesto Diferido OBLIGACIONES TRIBUTARIAS Activos Intangibles Pago De Impuestos: ISR, IVA, IETAAP, Importacin Corporativa Caso Practico, S. A. 1% 2%

33%

20%

TESORERIA

8%

Hecho por: SM 30-3-04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

178

DESPACHO DE AUDITORES, SC EVALUACION

EVA/CONTROL

E/C50

DE CONTROL INTERNO: IDENTIFICACION DE PROCESOS SIGNIFICATIVOS

EMPRESA CASO PRACTICO, S. A. I M MATRIZ DE PROCESOS Y SUBPROCESOS DE GESTION FINANCIERA P PONDERADO CON FACTORES DE RIESGO Y OBJETIVOS PARA ANALISIS DE A PLANEACION C T O Importancia SUBPROCESO PROCESO Relativa % No Venta y Comercializacion Directa 8 INGRESOS 25% Venta De Distribuidores Inventario De Bodega Materiales 9 INVENTARIOS 26% Inventarios Bodega De Producto Inventarios de tienda 10 MEDIOS DE FINANCIAMIENTO Prestamos 10% Elaboracin De Nminas 11 NOMINAS 15% Prestaciones Laborales Registro Contable De Nminas Y Prestaciones Laborales 12 OPERACIONES CON FILIALES Contratacin, Confirmacin Transacciones Relacionadas 13 SALIDAS DE EFECTIVO Inversiones En Acciones Y/O Certificados De Depsitos Pago A Proveedores Transferencias Entre Cuentas Bancarias 14 CAPITAL CONTABLE Capital Contable 15% Y Facturacin, Conciliacin, Entre Cas. 7%

N/A

CONCLUSION: Como p u ed e observarse d el anlisis d e p rocesos seg n el enfoqu e COSO y su relacin con el p eso p orcentu al (IMPACTO) d e los estad os financieros, los riesgos generales d el negocio y el bosqu ejo d e p rocesos clave, p resentad os anteriorm ente, se d ed u ce qu e las reas criticas d e au d itoria a nivel d e Balance General y Estad o d e Resu ltad os, son: Cuentas por Pagar.
Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04 Valid: FA 10-04-04

Cu enta p or Cobrar y los p rocesos d e Ingresos, Inventarios y

179

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO COSO

PROCESO DE CUENTAS POR COBRAR

EVA/CONTROL

PT. E/C60
D EL PROCESO DE

EVALUACION

D EL EN TORN O

GLOBAL

CUENTAS POR COBRAR

A. IDENTIFICACION DE OBJETIVOS OBJETIVOS CLAVE La com p aa tiene su s objetivos estratgicos d efinid os d e m anera form al. Med iante la tcnica d e las 4 d iscip linas, la organizacin ha transm itid o a tod os los niveles d ichos objetivos y ha p rom ovid o la form acin d e equ ip os d e trabajo p ara alinear tod a la gestin a los m ism os. Sin em bargo, los objetivos op eracionales no estn d efinid os con clarid ad . Se han

p resentad o algu nos cam bios en su estru ctu ra organizativa y la m ayora d e posiciones clave en el rea de finanzas son de reciente ingreso. Desp u s d e realizar u na encu esta entre los p rincip ales ejecu tivos se lleg a la conclu sin d e d efinir los sigu ientes objetivos op eracionales y estratgicos por rea: 1. Contabilidad Asegu rar qu e los sald os d e cu entas p or cobrar p resentan cifras razonables y rep resentan sald os cobrables. Red u cir la em isin d e notas d e crd ito p or aju stes a sald os d e cu entas p or cobrar a transacciones qu e se consid eren norm ales bajo u n criterio d e sentid o com n (p or ejemplo: descuentos por pronto pago). Indicadores: a) Balance d e cu entas p or cobrar y Anlisis d e antig ed ad d e sald os analizado en forma mensual. b) Reporte mensual de notas de crdito emitidas durante el mes.

2. Cobranza

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

180

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO COSO

PROCESO DE CUENTAS POR COBRAR

EVA/CONTROL

PT. E/C60

Lim itar los niveles d e m orosid ad a u n 10% d el sald o d e la cartera. Indicador: a) Tasa de morosidad mensual, sistema Camel.

3. Crdito Red u cir los retiros p or cu entas irrecu p erables, a u n m xim o d e Q50,000 anuales. Indicador: a) Porcentaje m ensu al y m onto d e retiros (ajustes) p or cu entas incobrables. 4. Relaciones con Clientes Respond er con p rontitu d y eficiencia las consu ltas d e clientes relacionadas con saldos de cartera, para mantener relaciones

p ositivas qu e p rop icien u n inters d e p arte d el cliente p or com p rar nuevamente con la Entidad. Indicador: a) Encu esta sem estral d e tele m arketing, p ara m ed ir nivel d e satisfaccin de los clientes. 5. Personal Cap acitar a los em p lead os relacionad os con el rea d e cartera, para que puedan desempear con eficiencia las relacionad as con el d ep artam ento. tareas p ara crear

Estim u larlos

oportunidades de crecimiento para

d esem p earse en otras reas

d e la organizacin y p rom over actu aciones ntegras en tod as las relaciones internas y externas.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

181

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO COSO

PROCESO DE CUENTAS POR COBRAR

EVA/CONTROL

PT. E/C60

Indicador: a) b) Informe mensual de capacitacin al personal. Au to evalu acin d e m ejora en las actitu d es d el p ersonal a la calidad total y medicin de situaciones de error.

B. BARRERAS O FACTORES DE RIESGO IDENTIFICADAS Con base a u n anlisis d e au to evalu acin d e control realizad a p or la Administracin y el personal involu crad o en el p roceso d e Gestin d e Cu entas p or cobrar, la administracin id entific y cu antific el efecto d e los siguientes factores de riesgo: 1. Ventas qu e no son registrad as op ortu nam ente, y qu e no son incluidas en los saldos de fin de mes 2. Ventas rep ortad as qu e no corresp ond en a transacciones reales y que sern anuladas en el mes siguiente. 3. Ventas rep ortad as con errores (N o. N IT, nom bre, N o. De chasis, color) las cuales demandaran posteriormente la la factura. 4. 5. Precios anotados en la factura con errores Factu ras registrad as con errores en el sistem a. Pagos ap licad os a un cliente que no corresponde 6. 7. Transacciones registradas en el sistema sin autorizacin. Cam bios a las cifras registrad as en el sistem a d esp u s d el corte de fin de mes. 8. Errores o m anip u lacin d e los d atos en el clcu lo d e la morosidad de saldos. 9. Recu p eraciones de cu entas atrasad as no op erad as anu lacin d e

oportunamente en el sistema. 10. 11. Saldos que no coinciden con los reportados por contabilidad. Cambios a la base de datos, sin una transaccin que la respalde
Valid: FA 10-04-04

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

182

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO COSO

PROCESO DE CUENTAS POR COBRAR 12.

EVA/CONTROL

PT. E/C60

Personal que registra transacciones en el sistema sin un adecuado entrenamiento.

13.

Incentivos d e rend im ientos qu e no m otivan ad ecu ad am ente a los empleados en la ejecucin de las tareas.

14.

Ventas

al crd ito

au torizad as

sin

cu m p lir

con

p olticas

establecidas. 15. Descu entos p or p ronto p ago op erad os sin la au torizacin adecuada. 16. Personal qu e tiene acceso en el sistem a a ru tinas qu e no le corresponden a su rol de usuario 17. Personal con conocim ientos esp ecializad os en inform tica, qu e tiene acceso a la base de datos del sistema 18. Ventas al crd ito con alto riesgo d e em igrar d el p as o em igrar hacia otras regiones, lo cual dificulta su localizacin 19. Cu entas atrasad as a las cu ales no se les d a u n ad ecu ad o seguimiento de cobro 20. N o se consid eran o no se com u nican ad ecu ad am ente trm inos alternativos para clientes que afrontan problemas con sus pagos 21. Cu entas acep tad as com o incobrables con facilid ad , sin agotar todas las instancias 22. 23. 24. Personal que realiza los cobros sin un entrenamiento adecuado Cobros efectuados y no reportados. Incentivos inad ecu ad os p ara fom entar cuentas morosas. 25. Personal d e cobranzas qu e no esta ad ecu ad am ente entrenad o para tratar clientes con atraso en el pago de cuotas 26. Incentivos d e rend im iento qu e no m otivan a los em p lead os a proporcionar una buena atencin a los clientes.
EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

p ara cu m p lir

la recu p eracin d e

Valid: FA 10-04-04

183

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO COSO

PROCESO DE CUENTAS POR COBRAR

EVA/CONTROL

PT. E/C60

C. MAPA DE RIESGOS DE LA GESTION DE CUENTAS POR COBRAR POR IMPACTO Y PROBABILIDAD

17
Alto

10

6
Impacto

8
9 15 22 19 23 20 8 14 24 25

12
Moderado

16

18

3
4
Bajo

21 1

26 2 3 13

11
Bajo

1
Moderado Probabilidad

2
Alto

ANALISIS: El m ap a d e riesgos anterior, m u estra los riesgos crticos (im p acto y probabilid ad alta) p ara los objetivos d e la ad m inistracin, riesgos

id entificad os con los n m eros: 10, 8, 14, 24, 25,26. Por lo qu e d ichos riesgos se han p riorizad o en el anlisis d e au d itoria p ara d eterm inar su efecto potencial sobre los estados financieros y el respectivo objetivo de auditoria.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3-04 Revisado por: HAG 02-04-04

Valid: FA 10-04-04

184

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO

PROCESODE CUENTAS POR COBRAR FACTOR DE RIESGO

EVA/CONTROL

PT. E/C60
OBJETIVO INFORMA FINANCIERA AFECTADO Valuacin Clasificacin NIVEL DE EFECTO EN RIESGO DE AUDITORIA Alto

EFECTO EN ESTADOS FINANCIEROS

1.

Errores o m anip u lacin d e los d atos en el clcu lo d e la m orosid ad de saldos.

10. Sald os qu e no coincid en con los reportados por contabilidad.

14. Ventas al crd ito au torizad as sin cumplir con polticas establecidas.

24. Incentivos inad ecu ad os p ara fom entar la recu p eracin d e cuentas morosas. 25. Personal d e cobranzas qu e no esta ad ecu ad am ente entrenad o p ara tratar clientes con atraso en el pago. 26. Incentivos d e rend im iento qu e no m otivan a los em p lead os a p rop orcionar u na bu ena atencin a los clientes

La confirm acin d e este riesgo, trae un efecto im p ortante en cu anto a la valu acin d e la cartera en los EF y su Integridad. Refleja errores en el sistem a y su s controles d e ap licacin. Lo qu e contrad ice el anlisis p relim inar realizad o sobre el sistema. Op eraciones d e Cartera e Ingresos Invlid os y no realizables, trad u cind ose en prdidas no reportadas. N o se p rom u eve la labor d e cobro, generand o cu entas morosas. Realizacin d e las cu entas p or cobrar p u ed e verse afectad a. Prd id a de Clientes. N o se p rom u eve la labor d e cobro, generand o cu entas morosas.

Integridad Validez de la informacin.

Medio

Existencia, Valid ez y Valuacin de la Cartera.

Alto

Valuacin de Cartera

Bajo

No afecta financieramente.

No afecta financieramente

Valuacin de Cartera

Medio

Hecho por: SM 30-3 -04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

De esta forma se analizan tod os los riesgos d e negocio y su relacin con cad a AREA CRITICA DE AUDITORIA, id entificand o con este anlisis el efecto del riesgo operacional en los estados financieros para efectos de ser considerados en las pruebas de control.

185

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO

EVA/CONTROL

PT. E/C70
CASO PRACTICO, S. A. GESTION FINANCIERA GESTION DE CUENTAS POR COBRAR Y FACTURACION
CONTROLES DE APLICACIN DE TI
CUM PLIM IENTOLEYES Y NO AS RM

PROCESO DE CUENTAS POR COBRAR MATRIZ DE RIESGO CONTROL FINANCIERO Y PRUEBAS CUMPLIMIENTO
EMPRESA PROCESO DE NEGOCIO PROCESO DE GESTION:
EFICIENCIA ASEVERACIN EF FIABILIDAD IF Y EFICA OP
VALUACION/ASIG NACIN DERECHOS Y OBLIGACIONES EXISTENCIA/OCU RRENCIA INTEGRIDAD/TOT ALIDAD RENDIMIENTO/R ENTAB

REF

SALVAGUARDA

RIESGO (FACTOR DE LA BARRERA)

PRESENTACION/ REVELACION

REF

ACTIVIDAD DE CONTROL

OBJETIVO O DESCRIPCIN DEL CONTROL

10.0 REGISTRO Y APLICACIN DE COBROS Documentacin de ingresos diarios incompletos y existencia de diferencias entre lo reportado en el R1 resumen y los documentos fsicos.

Se revisa que la documentacin adjunta est completa y que coincida en valores con el resumen de la operadora de cuentas por cobrar. Si hay C1 diferencias se llama a la operadora de cuentas por cobrar para que verifiquen en donde est el error, se corrija y se enve nuevamente el resumen o se complete la Diariamente se registra en un control por la operadora de cuentas por cobrar y por da el C2 resumen ingresado, marcando con una X en el cuadro del da que corresponde. Con base en los reportes de aplicacin de pagos TI se determina el ingreso por cobranza. Se utilizan controles de edicion y verificacion de los C3 datos previo a su ingreso. Para el codigo de clientes, se utiliza un digito verificador que permita identificar

Garantizar que la informacin proporcionada por la operadora de cuentas por cobrar est completa y libre de errores al momento de ingresarla al sistema.

R2

Error en la recepcin y grabacin de resmenes de cobros.

Asegurar que no se registre algn resumen de ingresos de alguna de las la operadora de cuentas por cobrars. Garantizar la exactitud en el saldo de cuentas por cobrar.

Cobros aplicados incorrectos.

codigos

R3

Saldos por cobro realizado contabilizado y registrado cartera.

no en

R4

"Conciliacin entre lo reportado por ingresos TI diarios por la operadora de cuentas por cobrar, contra lo aplicado por Gestion de Tesoreria" El flujo de datos propios del sistema ERP, supone que toda transaccion de ingreso es registrada C4 directamente desde el registro del deposito

Asegurar la exactitud del registro diario por ingresos.

Hecho por: SM 30-3 -04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

Se presenta la matriz de riesgo/control para los riesgos del subproceso relacionado: APLICACIN DE COBROS. Se prepar una matriz para ca d a u n o d e los p r oces os y s u b p r oces os r ela cion a d os con la s r ea s cr it ica s id en t ifica d a s . E s t a m a t r iz a p oya la d ocu m en t a cin d e la eva lu a cin y pruebas sobre el sistema de control interno.

186

DESPACHO DE AUDITORES, SC EVALUACION CONTROL INTERNO

EVA/CONTROL

PT. E/C70

PROCESO DE CUENTAS POR COBRAR MATRIZ DE RIESGO CONTROL FINANCIERO Y PRUEBAS CUMPLIMIENTO
SUB PROCESO CLAVE AREA RESPONSABLE: PERIODO
TIPO DE CONTROL
MANUAL

-ACTIVIDAD CUENTAS POR COBRAR / APLI CACI N

DE ABONOS DE CLI ENTES
DIRECCION FINANCIERA

RC01

PROCESO
PERIODO

CUENTAS POR COBRAR / APLI CACI ON DE ABONOS DE CLI ENTES

31/12/2003

31/12/2003 DEFICIENCIA PLAN DE REMEDIACIN DE CONTROL DE OPERACIN DE DISEO RESULTADO DESCRIPCIN DE LA ACCIN CORRECTIVA

OPERACIN DEL CONTROL RESPONSABLE DE SU EJECUCIN RESPONSABLE DE SU AUTORIZACIN CONTROL CLAVE REF DESCRIPCION

PRUEBA DEL CONTROL

REF

AUTOMATIZ

DETECTIVO

ANTIFRAUD E PREVENTIV

EVIDENCIA

FRECUENCIA

ALCANCE

10.0 REGISTRO Y APLICACIN DE COBROS Resumen de ingresos diarios Diario por batch de aplicacin de operador y documentacin de soporte de cuadre del R1 sistema informatico.

Asistente Financiero

Coordinador rea de Ctas por Cobrar

Comparacion tablas Mediante IDEA de cobros aplicados y cobros en efectivo realizado. Verificar muestra de cuadros 20

100%

Satisfactorio

R2

Hoja de cuadro de control marcado.

Diario

Asistente Financiero

Coordinador rea de Ctas por Cobrar Coordinador rea de Ctas por Cobrar

casos, Satisfactorio (solo se encontro

muestra autorizados y marcados sistematica de Tablas selectivas

Sistema realiza cuadre de DIGITO VERIFICADOR al momento del ingreso al sistema R3

Constante

Sistema /Asistente Financiero

Simulacion verificador

digito Prueba

una distorsion, y fue explicada) Satisfactorio

Conciliacin realizada entre ingresos registrados por Contabilidad y aplicados por Operadores de Cuentas por Cobrar. R4

Diario

Asistente Financiero

Coordinador rea de Ctas por Cobrar

Actualmente no existe un procedimientos que permita comprobar que el saldo reportado en la cuenta bancaria sea correcto. "Control en implementacin"

A partir de Julio se implement que el cuadre que anteriormente era mensual se haga en forma diaria, tomando de base los reportes de aplicacin. Esto permitir monitorear con mayor oportunidad las posibles diferencias.

Pr

Hecho por: SM 30-3 -04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

Se presenta la matriz de riesgo/control para los riesgos del subproceso relacionado: APLICACIN DE COBROS. Se prepar una matriz para ca d a u n o d e los p r oces os y s u b p r oces os r ela cion a d os con la s r ea s cr it ica s id en t ifica d a s . E s t a m a t r iz a p oya la d ocu m en t a cin d e la eva lu a cin y pruebas sobre el sistema de control interno.

187

DESPACHO DE AUDITORES, SC

EVALUACION CONTROL INTERNO

PT. E/C80

MATRIZ GENERAL DE EVALUACION DEL RIESGO GENERAL DE AUDITORIA POR CUENTAS Y PROCESOS
EMPRESA CASO PRACTICO, S. A. MATRIZ DE PROCESOS Y SUBPROCESOS DE GESTION FINANCIERA PONDERADO CON FACTORES DE RIESGO Y OBJETIVOS PONDERADO CON FACTORES DE RIESGO Y OBJETIVOS I M P A C T O SUBPROCESO PROCESO No 1 2 ACTIVO FIJOS INFORMES FINANCIEROS CIERRE CONTABLE Propiedad Planta Y Equipo Y Proceso De Cierre Contable Consolidacion De Estados Financieros Conversion De Estados Financieros A La Matriz Gestin Y Recuperacin De Cartera Autorizacion y Validacin Crediticia Conciliacion Saldos Sistema Y Saldo Contable Corporativo Cargos a Cuentas Por Cobrar Cartera De Clientes Cargos a Cuentas Por Cobrar Cartera De Clientes - Distribuidores Otros ajustes y relaciones PAGAR Cuentas Por Pagar Acreedores Varios Cuentas Por Pagar Proveedores Adquisicion y Compras Concilicion de cuentas Por Pagar Proveedores Y Confirmacin De Saldos Aplicacin De Pagos Registro Y Conciliacin De Ingresos Recepcion De Pagos. Importancia Relativa % 25% N/A N/A N/A 1 1 1 1 1 1 1 33% 3 3 3 5 5 5 5 3 3 3 3 3 3 3 5 5 5 5 5 5 5 1 1 1 3 3 1 1 3 5 1 3 1 1 5 3 3 3 3 3 3 3 5 5 5 5 5 5 5 3 4 3 - 4 4 3 4 ALTO ALTO MEDIO ALTO ALTO ALTO ALTO BAJO BAJO BAJO BAJO BAJO BAJO BAJO 3 1 1 1 3 3 1 5 1 1 5 1 3 5 1 5 5 5 1 3 1 5 5 5 5 1 5 3 3 1 1 1 1 3 3 5 1 5 5 1 5 5 3 2 3 3 - 1 3 3

PROBABILIDAD DE ERRORES POTENCIALES A CADA OBJETIVO

TO TA LI DA OP D E OR TU INT E NI EX DA GRI IS DA D TE D NC Y C OR CL I TE AS A Y OC IF PE IC RI AC URR VA OD IO EN LU O N CI AC Y IO RE A DE N SU RE Y AS ME CH IG OS VA NA N Y LI OB CIO DE N LI Z GA CI RE ON SU ES ME N TO TA L

Riesgo de

Margen Error Riesgo Deteccion

Riesgo Ponderado

Control Evaluado

ALTO BAJO BAJO ALTO BAJO ALTO BAJO

BAJO ALTO ALTO BAJO ALTO BAJO ALTO

CUENTA CLIENTES

POR

COBRAR

CUENTAS POR PROVEEDORES

20%

TESORERIA

8%

1 3 5

1 3 3

5 5 5

1 1 1

1 1 1

3 3 1

5 5 1

2 3 2

BAJO BAJO MEDIO BAJO

ALTO ALTO BAJO ALTO

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

188

DESPACHO DE AUDITORES, SC

EVALUACION CONTROL INTERNO

PT. E/C80

MATRIZ GENERAL DE EVALUACION DEL RIESGO GENERAL DE AUDITORIA POR CUENTAS Y PROCESOS
EMPRESA CASO PRACTICO, S. A. MATRIZ DE PROCESOS Y SUBPROCESOS DE GESTION FINANCIERA PONDERADO CON FACTORES DE RIESGO Y OBJETIVOS I M P A C T O SUBPROCESO PROCESO No 6 7 Importancia Relativa % ESTIMACIONES CONTABLES Estimaciones Contables CUMPLIMIENTO DE Calculo De Impuesto Diferido OBLIGACIONES TRIBUTARIAS Activos Intangibles Pago De Impuestos: ISR, IVA, IETAAP, Importacin Corporativa Telgua Proceso de Venta y Distribucin INGRESOS Directa INVENTARIOS Venta De Distribuidores Inventario De Bodega Materiales Inventarios Bodega De Producto Inventarios de tienda Prestamos Elaboracin De Nminas Prestaciones Laborales Registro Contable De Nminas Y Prestaciones Laborales Contratacin, Facturacin, Confirmacin Y Conciliacin, Transacciones Entre Cas. Relacionadas Inversiones En Acciones Y/O Certificados De Depsitos Pago A Proveedores Transferencias Entre Cuentas Bancarias 14 CAPITAL CONTABLE Capital Contable 15% 1 1 3 1 5 3 1 1% 2% 1 5 5 1 1 1 3 3 3 5 3 3 3 3 3 1 1 3 3 3 1 1 1 1 1 1 1 1 2 3 3 2 BAJO BAJO BAJO BAJO ALTO ALTO ALTO ALTO

PROBABILIDAD DE ERRORES POTENCIALES A CADA OBJETIVO

TO TA LI DA OP D E OR IN TU TE NI GR EX DA ID IS D AD TE Y NC CO CL IA RT AS Y E OC IF PE IC RI AC URR VA OD EN IO LU O N CI AC Y A IO RE DE N SU Y RE AS ME CH IG OS NA N VA Y LI OB CIO DE N LI Z GA CI RE ON SU ES ME N TO TA L

Riesgo de

Margen Error Riesgo Deteccion

Riesgo Ponderado

Control Evaluado

25%

3 3 5 1 1 1 1 1 1 5

3 3 3 1 1 1 1 1 1 3

5 3 5 3 3 3 3 3 3 3

1 1 3 3 3 1 1 1 1 1

3 5 3 1 1 1 3 3 1 3

3 3 3 3 3 3 3 3 3 3

1 1 1 1 1 1 1 1 1 1

3 3 3 2 2 2 2 2 2 3

BAJO BAJO ALTO BAJO BAJO BAJO BAJO BAJO BAJO BAJO

ALTO ALTO BAJO ALTO ALTO ALTO ALTO ALTO ALTO ALTO

26%

10 MEDIOS DE FINANCIAMIENTO 11 NOMINAS

10% 15%

12 OPERACIONES CON FILIALES

7% N/A 1 1 1 3 1 1 3 3 3 1 1 1 5 1 5 3 3 3 1 1 1 2 2 2 2 BAJO BAJO BAJO BAJO BAJO BAJO ALTO ALTO ALTO ALTO ALTO ALTO

13 SALIDAS DE EFECTIVO

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04

Revisado por: HAG 02-04-04

Valid: FA 10-04-04

189

DESPACHO DE AUDITORES, SC

LEGAJO CORRIENTE

PT. B-15

CUENTAS POR COBRAR - PRUEBAS SUSTANTIVAS SOFTWARE GENERALIZADO DE AUDITORIA A. PRUEBA DE COBROS POSTERIORES OBJETIVO: Valid ar el riesgo d e valu acin e integrid ad d e la cu entas p or cobrar al cierre d el ejercicio. PROCEDIMIENTOS APLICADOS: Med iante SOFTWARE SOFTWARE GEN ERALIZADO DE AUDITORIA, la p ru eba consisti en u tilizar la tabla d e abonos ap licad os a los sald os d e cierre, hasta la fecha de auditoria. 1. Se obtiene el reporte de cobros por cliente de fecha posterior. 2. Se realiza u n resu m en p or cliente y se com p ara contra integracin d e sald os d e clientes al cierre. Esto p erm ite d eterm inar sald os qu e no hayan tenid o movimiento posteriormente, saldos morosos, y cobros de facturas no registradas. 3. Se analiza la interfase de relacin entre las dos tablas presentadas, para determinar cu al es la ap licacin d e p agos p osteriores y d eterm inar el sald o d e cu entas p or cobrar sin cobro a la fecha de auditora. 4. La figu ra siguiente p resenta el resu ltad o final despus d e la relacin d e am bas tablas, com o se observa nace u na tercera tabla d e anlisis, qu e tiene la m ezcla d e los d os anteriores, y p resenta la ap licacin d el cobro, el sald o original y el nu evo saldo despus de aplicacin.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04 190

Valid: FA 10-04-04

DESPACHO DE AUDITORES, SC

LEGAJO CORRIENTE

PT. B-15

CUENTAS POR COBRAR - PRUEBAS SUSTANTIVAS SOFTWARE GENERALIZADO DE AUDITORIA

Base de Saldos

Base Cobros Posteriores

ANALISIS DE RESULTADOS: Dos situ aciones esp ecficas llam an la atencin: Observar qu e existe 1 sald o im p ortante sin m ayor abono a la fecha, y observar qu e p ara el registro 90, con u n sald o total m enor a Q.1000, hay u n error en la ap licacin d e p agos posteriores, qu e p u ed e ind icar u n error im p ortante en d icho sald o. Es positivo consid era qu e este asunto no podra haber sido identificado a travs de una prueba de cobros posteriores manual, puesto que por muestreo este saldo no habra sido analizado. El error en la ap licacin d e sald os fu e analizad o con la ad m inistracin, en la cu al se d em ostr, qu e corresp ond e au n caso aislad o, d erivad o d e u n cam bio en el cd igo original d e este cliente (El cliente cam bio d e razn social) p or lo qu e se gener este error, sald o qu e fu e corregid o p or la ad m inistracin. Consid eram os razonable la explicacin del asunto. La administracin registr el ajuste respectivo.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04 191

Valid: FA 10-04-04

DESPACHO DE AUDITORES, SC

LEGAJO CORRIENTE

PT. B-15

CUENTAS POR COBRAR - PRUEBAS SUSTANTIVAS SOFTWARE GENERALIZADO DE AUDITORIA

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04 192

Valid: FA 10-04-04

A. VALUACIN DE INVENTARIO Y REVISIN DE CLCULOS ARITMTICOS OBJETIVO: Verificar y valid ar los clcu los d e costo p rom ed io realizad os p or el sistem a y qu e son base de la valuacin final de los inventarios al cierre. PROCEDIMIENTOS APLICADOS: Mediante SOFTWARE GEN ERALIZADO DE AUDITORIA se realiz u na variante d e la p ru eba d e clculo d e costo d e m ercad o o p rom ed io, p ara com p arar con el costo d e valuacin d el inventario, p ara verificar si cu m p le la condicin d e costo o m ercad o m enor o valor de realizacin. En SOFTWARE GEN ERALIZADO DE AUDITORIA esta p ru eba se realiza m ed iante 2 tablas: a) Las Com p ras d el Period o, las cu ales se resu m en p or p rod u cto, a fin d e determinar un costo promedio de las compras realizadas en el ejercicio. b) El inventario valuado al cierre. 1. Para revisar los clculos aritmticos SOFTWARE GEN ERALIZADO DE AUDITORIA tiene la facilid ad p ara crear celd as qu e p erm iten realizar u na simulacin d el calcu lo, p or ejem p lo en este caso (Unid ad es * Costo d e Valuacin) y esto se compara contra el saldo de inventario registrado. 2. Para revisar y com p arar el costo p rom ed io o d e m ercad o con el costo d e valu acin, se realiza p rim ero u na estratificacin d e las com p ras realizad as en el p eriod o, p ara pod er sacar u n p rom ed io d e costo u nitario. Posteriorm ente este costo p rom ed io se com p ara con el costo d e valuacin d el inventario final, a nivel u nitario com o total, p ara d eterm inar el m onto total d e variaciones y d eterm inar la ad ecu ad a valuacin del Inventario. Prueba de clculos aritmticos en SOFTWARE GENERALIZADO DE AUDITORIA.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04 Valid: FA 10-04-04 193

PRUEBA DE VALUACIN DE COMPRAS DEL EJERCICIO.

COMPARACIN DE COSTO MEDIO CON COSTO DE VALUACIN, LA CEDULA PRESENTA LA COMPARACIN REALIZADA.

CONCLUSION: Como puede observarse en la pantalla de resultados anterior, existe variacin sin embargo a nivel total no se considera significativa.

EMPRESA CASO PRACTICO, S. A. Hecho por: SM 30-3 -04 Revisado por: HAG 02-04-04 Valid: FA 10-04-04 194

5.5

INFORME DE AUDITORIA Y PRESENTACION DE RESULTADOS

CONTEXTO (Tomado del Memorando de Cierre de Auditoria preparado para revisin final del Informe de Audtora). A continuacin se presenta el dictamen de Auditoria referente al trabajo realizado en una empresa comercial que utiliza un sistema integrado tipo ERP para el procesamiento de sus transacciones administrativas y contables. Como resultado del trabajo realizado, y esquematizado en cedulas precedentes, aunque se confirmaron algunos riesgos, no todos confirmaron exposiciones negativas importantes que puedan afectar los estados financieros, segn los ndices de materialidad propuestos en la planeacion, por lo que no se consideran efectos importantes que puedan llevarnos a calificar la Opinin sobre los estados financieros y se esta emitiendo una opinin estndar. A nivel del rea de Control Interno, nicamente se observ una desviacin en la Cartera de Cuentas por Cobrar por inadecuada aplicacin de pagos a un saldo de un cliente, pero que despus del seguimiento y anlisis respectivo realizado, resulto ser nicamente un error aislado dentro de una prueba al 100% realizada en computadora. . Segn se mostr en la Cdula B15. Por lo qu e a continu acin se inclu ye el Dictam en esp ecifico sobre los estad os financieros y una parte del Memorando de Control Interno respectivo.

195

CARATULA E INDICE DEL CONTENIDO

CORPORACION CASO PRACTICO, S. A. ESTADOS FINANCIEROS Al 31 DE DICIEMBRE DEL 2003 (Con el Informe de los Auditores Independientes)

CORPORACION CASO PRACTICO, S. A. Informe de los Auditores Independientes ndice del Contenido Pgina Informe de los Auditores Independientes Xi

Balances de Situacin

Xii

Estados de Resultados Estados de Flujos de Efectivo Estados de Patrimonio de los Accionistas Notas a los Estados Financieros

Xiii Xiv Xv Xvi

196

Informe de los Auditores Independientes

A LOS ACCIONISTAS DE CORPORACION CASO PRCTICO, S. A. Presente Hem os efect u a d o la a u d it or ia d e los b a la n ces d e s it u a cin gen er a l d e CORPORACION CASO PRACTICO, S. A. al 31 de diciembre del 2003 y los es t a d os d e r es u lt a d os , d e p a tr im on io d e los a ccion is t a s y d e flu jos d e efect ivo p or el ejer cicio t er m in a d o el 3 1 d e d iciem b r e 2 0 0 3 . Dich os es t a d os fin a n cier os s on r es p on s a b ilid a d d e la a d m in is t r a cin d e la com p a a . Nu es t r a r es p on s a b ilid a d es exp r es a r u n a op in in s ob r e los m is m os con b a s e en nuestra Auditoria. Los es t a d os fin a n cier os d el ejer cicio t er m in a d o a l 3 1 d e d iciem b r e d el 2 0 0 2 , y que se incluyen nicamente para referencia del lector, fueron examinados por ot r os a u d it or es in d ep en d ien t es qu ien es em it ier on s u in for m e con fech a 3 1 d e marzo d el 2 0 0 4 , en la qu e in d ica n u n a op in in es t n d a r s ob r e los es t a d os financieros. E fect u a m os n u es t r a a u d it or ia d e a cu er d o con Nor m a s d e Au d it or ia Gen er a lm en t e Acep t a d a s . E s a s n or m a s r equ ier en qu e p la n ifiqu em os y r ea licem os la Au d it or ia d e t a l m a n er a qu e p od a m os ob t en er u n a s egu r id a d r a zon a b le a cer ca d e qu e los es t a d os fin a n cier os es t n lib r es d e er r or es s ign ifica t ivos . Un a Au d it or ia in clu ye exa m in a r , s ob r e u n a b a s e s elect iva , la evid en cia qu e r es p a ld a la s cifr a s y r evela cion es d e los es t a d os fin a n cier os ; la eva lu a cin d e los p r in cip ios d e con t a b ilid a d u t iliza d os y d e la s es t im a cion es s ign ifica t iva s efect u a d a s p or la a d m in is t r a cin . In clu ye t a m b in , la eva lu a cin d e la p r es en t a cin d e los es t a d os fin a n cier os t om a d os en con ju n t o. Con s id er a m os qu e n u es t r a Au d it or ia p r op or cion a u n a b a s e razonable para nuestra opinin. E n n u es t r a op in in , los es t a d os fin a n cier os a n t es m en cion a d os p r es en t a n r a zon a b lem en t e en t od os los a s p ect os im p or t a n t es , la s it u a cin fin a n cier a d e CORPORACION CAS O PRACTICO, S . A. a l 3 1 d e d iciem b r e d el 2 0 0 3 , los r es u lt a d os d e s u s op er a cion es y los flu jos d e efect ivo p or los p er od os t er m in a d os en es a fech a , d e con for m id a d con el m a r co d e la s Nor m a s Internacionales de Informacin Financiera. DESPACHO DE AUDITORES SC Lic. Joel Jos Sarmientos Roche Colegiado No.001

Guatemala, Abril 10, del 2004.

197

DESPACHO DE AUDITORES SC CORPORACION CASO PRACTICO, S. A. OPORTUNIDADES DE MEJORA A LOS PROCESOS DE CONTROL INTERNO Y RIESGOS NO MITIGADOS (INFORME PARA LA ADMINISTRACION) RIESGO NO MITIGADO IMPACTO PLAN DE ACCION PROPUESTO COMENTARIO DE LA ADMINISTRACION ACCION CORRECTIVA A SEGUIR

SALDOS POR COBRAR ERROR EN S ALDOS POR INADECUADA APLICACIN DE EN CODIGOS RESPECTIVOS S e ob s er v d es via cin en la a p lica cin d e cob r a n za s , d eb id o a u n a in a d ecu a d a a p lica cin d el cd igo d e clien t e No. 2 0 ,5 3 8 , en la t a b la d e Ca r t er a d e Cr d it os , gen er a n d o u n a d ifer en cia en Ca r t er a p or Q.1 2 4 ,7 8 0 p or er r or en el cdigo de aplicacin. CONTROL DE S e con s id er a qu e BAJO SEGUIMIENTO es t e er r or , m s qu e CONTROL DE u n a d is t or s in d el CAMBIOS EN s is t em a o fa llo en la Des p u s d e la INFORMACION s egu r id a d , ob ed ece a revisin ORIGINAL DEL u n a fa lla en el correspondiente, CLIENTE. proceso s e con s id er a qu e a d m in is t r a t ivo de se debi a un E l d ep a r t a m en t o d e codificacin de error aislado s is t em a s , d eb er clientes. Situacin ocasionado por ver ifica r es t a que ser corregida. un evento inconsistencia, extraordinario m ed ia n t e u n a r u t in a S e r egis t r el a ju s te (ca m b io en programada de correspondiente. cdigo original), seguimiento y sin embargo se conciliacin en estas requiere una posibles accin especifica distorsiones. para asegurar mayor confiabilidad.

E l d ep a r t a m en t o d e s is t em a s ha im p lem en t a d o ya u n a a p lica cin d e u t iler a a d icion a l qu e con cilia los ca m b ios en cd igo or igin a l de los clien t es , y p r es en t a distorsiones en con t r a d a s al administrador de consistencias, para que sean verificadas. Se revisaron los cambios respectivos y ltimos ca m b ios para asegurar dicho cambio.

198

CONCLUSIONES 1. En las entid ad es qu e u tilicen u n sistem a inform tico integrad o Enterprise Resource Planning, el Contad or P blico est llam ad o a consid erar el enfoqu e d e au d itora basad a en riesgos d el negocio y la evaluacin d el sistem a d e control interno d esd e esta p ersp ectiva. La auditora en u n ERP tiene su eje central en la evalu acin a

detalle del Sistema de Control Interno desde la perspectiva de los procesos clave de negocio, la gestin integral d e riesgos, los p rocesos estratgicos y d e gobierno corp orativo d e la entid ad . Adems, tiene su base en la evaluacin d e controles

generales y de aplicacin, y el esquema de seguridad informtica. 2. La com p lejid ad tcnica sobre la tecnologa y arqu itectu ra d e los sistem as ERP, requ ieren qu e el au d itor tenga u n am p lio conocim iento sobre tecnologa d e inform acin y qu e se consid ere el u so d e esp ecialistas p ara p lanear la au d itora en forma efectiva. 3. Los p roced im ientos d e auditora d e sistem as y tecnologa d e inform acin ap licables en la p laneacin y evalu acin d el efecto d el sistem a inform tico en las operaciones, su adecuacin y la seguridad informtica, son entre otras:

Evaluacin de la funcin informtica en las operaciones. Evaluacin de objetivos de control de los sistemas informticos. Inventario de software y utileras Reconocimiento de hardware y dispositivos de seguridad. Evaluacin de la seguridad informtica. Tcnicas de anlisis del riesgo informtico a travs de metodologa COBIT. Tcnicas de Auditora asistidas por el computador.

199

4. Tcnicas com o el Uso d e softw are d e Auditora, la sim u lacin d e p rocesos y clculos, las p ru ebas d e d atos y la evalu acin d e sistem as d e ap licaciones,

constitu yen p roced im ientos efectivos p ara ap oyar la fase d e ejecu cin d e la auditora financiera en relacin con el d iseo d e p ru ebas d e cu m p lim iento p ara la evalu acin d el sistem a d e control Interno, y la verificacin d e la fu ncionalid ad d e los controles internos de aplicacin y de integridad de transacciones. 5. La u tilizacin d e softw are interactivo d e anlisis d e d atos com o Interactive Data Extraction and analysis IDEA-, para la ejecu cin d e p ru ebas su stantivas y d e control, constitu ye m ejor evid encia d e auditora p ara su stentar la op inin d el CPA sobre los estados financieros. 6. Los riesgos relacionad os con la auditora d e estad os financieros en u n am biente ERP, p ersisten en cu anto a la confiabilid ad d e la informacin financiera, p ero cam bian con resp ecto al efecto d e los riesgos d el negocio qu e p u ed en afectar d irecta o ind irectam ente la informacin. Estos riesgos son su scep tibles d e

administrar a travs de un sistema inteligente de prevencin y medicin. 7. Con base en el estu d io anterior, y consid erand o las conclu siones alcanzad as m ed iante el anlisis d e la teora relacionad a y su ap licacin en el caso p rctico p resentad o, se consid era qu e se ha confirm ad o la hip tesis originalm ente p lantead a en el trabajo d e investigacin, resu m id a as: Una au d itora en u n sistem a inform tico integrad o tip o Enterp rise Resou rce Planning ERP-

(Planeacin d e Recu rsos Em p resariales) con ap licaciones Oracle, requ iere qu e se com binen p roced im ientos d e au d itora d e sistem as y tecnologa d e inform acin para lograr los objetivos de Auditora. En la Planeacin de Auditora, en la etapa d e conocim iento d el cliente y d escrip cin d el sistem a d e control interno, el au d itor p u ed e ap licar p roced im ientos d e reconocim iento y evalu acin u tilizad os p or la Au d itora d e Sistem as p ara evalu ar el efecto d el sistem a inform tico en su s Asim ism o, en la fase d e

op eraciones, su ad ecu acin y la segu rid ad inform tica. ejecu cin d e la au d itora,

los p roced im ientos d e sistem as y tecnologa d e

inform acin tend rn su ap licacin en el d iseo d e p ru ebas d e cu m p lim iento p ara la evaluacin del sistema de control Interno, especialmente en la verificacin de la

200

fu ncionalid ad d e los controles internos d e ap licacin d entro d el sistem a y d e integridad de transacciones. Med iante el caso p rctico y su com p aracin con las cond iciones bajo las cu ales hu biera sid o ap licad a la auditora d e no contar con las tcnicas esp eciales d e la Auditora Inform tica, se confirm qu e en consecu encia, en las entid ad es qu e u tilicen u n sistem a inform tico integrad o Enterp rise Resou rce Planning -ERP(Planeacin d e Recu rsos Em p resariales) con ap licaciones Oracle, d ond e el

Contad or P blico y Au d itor ap liqu e p roced im ientos d e auditora d e sistem as y tecnologa d e inform acin, d u rante la p laneacin y ejecu cin d e u na auditora d e estad os financieros, con enfoqu e basad o en el anlisis d e riesgos, se obtend r u na m ejor evalu acin d e las op eraciones, p od r d isear u n enfoqu e d e auditora efectivo, y ejecu tar p roced im ientos d e auditora id neos p ara el am biente en qu e se d esarrolla el trabajo. Se verifica d e m ejor form a la realizacin d el riesgo

inform tico y su correlacin con el riesgo d el negocio y d e auditora y es factible obtener evid encia ad ecu ad a y su ficiente p ara su stentar las conclusiones de auditora. Com o resu ltad o d e este anlisis, el Contad or P blico y Au d itor tiene la habilid ad d e p roporcionar u n servicio d e valor agregad o y satisfaccin p ara los usuarios de la informacin.

201

RECOMENDACIONES 1. En las entid ad es qu e u tilicen u n sistem a inform tico integrad o Enterprise Resource Planning -ERP- (Planeacin d e Recu rsos Em p resariales), el Contad or P blico y Au d itor d ebe ap licar la gu a d e evalu acin d el sistem a d e control interno con base en el anlisis d e p rocesos y riesgos em p resariales qu e se inclu yen en el Cap itu lo II. La m etod ologa p resentad a en este trabajo consiste en u na m ezcla d e d iversos enfoqu es ap licad os a nivel internacional, con el objetivo d e com p ilar u na

m etod ologa esp ecializad a p ara la evalu acin d e riesgos d el negocio p ara efecto d e la evaluacin del sistema de control interno en la auditora financiera. 2. El Contad or P blico y Au d itor qu e esp era p rop orcionar u n valor agregad o real a los clientes y u su arios d e su trabajo, d ebe consid erar en la p laneacion d e auditora enfoqu es m od ernos d e evalu acin y anlisis d e inform acin general, obtener las esp ecializaciones y habilid ad es necesarias p ara el entorno d e trabajo en el qu e se desenvuelve. Para realizar u na auditora d e estad os financieros con enfoqu e

basad o en el anlisis d e riesgos en u na entid ad qu e u tilice u n sistem a inform tico integrad o Enterprise Resource Planning -ERP(Planeacin de Recu rsos

Em p resariales),

se recom iend a qu e fortalezca las reas d e conocim iento con

relacin a: Tecnologa d e Inform acin, Ciclo d e Vid a d e Desarrollo d e Proyectos Inform ticos, N ociones Bsicas d e Program acin, Bases d e Datos Relacionales, Evalu acin d e Sistem as Inform ticos, Anlisis y Evalu acin d e Procesos d e N egocios, a fin d e qu e cu ente con las habilid ad es necesarias p ara su m ejor

desempeo profesional. 3. La Facu ltad d e Ciencias Econm icas y la Escu ela d e Auditora puede evaluar la p osibilid ad d e reestru ctu rar los cu rsos relacionad os con: Auditora Financiera y Organizacin y Mtodos, para ampliar temas orientados a los procesos de negocios y la m ejora continu a d e las op eraciones, con el fin d e p rep arar al Contad or P blico y Au d itor en el rol d e Consu ltor y Gestor d e Mejora d e Procesos qu e las nu evas corrientes d e Ad m inistracin requ ieren. La p osicin d el socio d e negocios en la

202

evalu acin d e riesgos y sistem as inform ticos son u n cam p o nu evo p ara el desempeo del Contador Pblico y Auditor. 4. El Institu to Gu atem alteco d e Contad ores Pblicos y Au d itores IGCPA- d ebe establecer contactos con otros Colegios Profesionales p ara prom over relaciones con esp ecialistas qu e a travs d e cap acitaciones y sem inarios p resenten su s servicios y cap acid ad ante los Contad ores P blicos y Au d itores, con el fin d e contar con esp ecialistas en otros cam p os qu e p u ed an asistir al CPA en el m ejor d esarrollo d e su trabajo. 5. El Contad or Pblico y Au d itor d ebe am p liar su s conocim ientos en relacin a las caractersticas d e los sistemas ERP com o u na herram ienta im p ortante d e gestin ad m inistrativa, inform acin im p ortante sobre las op eraciones d e la com p aa, y herram ienta p ara obtener evid encia d e auditora su ficiente y com p etente. Es

conveniente qu e se asocie a entid ad es com o Asociacin d e Auditora y Control d e Tecnologa d e Inform acin ISACA, entid ad a nivel m u nd ial esp ecializad a en auditora informtica y de tecnologa, a fin de contar con recursos y nuevas fuentes de conocimientos especializados. 6. Las prcticas, herram ientas y m od elos ap licad os p or los p rocesos d e Ciclo d e Vid a d e Proyectos Inform ticos, d esarrollad os p or la m etod ologa inform tica, son herram ientas d e anlisis qu e el Contad or P blico y Au d itor d ebe consu ltar com o fu ente d e nu evos enfoqu es d e auditora, visu alizacin d el contexto y evalu acin para la auditora de estados financieros.

203

BIBLIOGRAFIA 1. Am erican Institu te of Certified Accou ntants. AICPA- SAS N o. 94. El efecto d el Uso d e la Tecnologa d e Inform acin en la Evalu acin d e Control Interno. EE.UU. 2001. Am erican Institu te of Certifed Accou ntants. AICPA. Au d it and Accou nting Guide. Computer-assisted. Audit Techiniques EE.UU. 1995. 101. Pginas. Bailey Larry P. Gu a d e Au d itora Miller. H arcou rt Brace Internacional, Mad rid Espaa, 1998. 454. pginas. Bell, Dou glas y Mike Parr. Java p ara Estu d iantes. Editorial Prentice-Hall, 2003. 634. pginas. Tercera Ed icin. Mxico:

2.

3.

4.

5.

Berganza, H ild a d e Maria, Tesis d e Grad u acin Auditora inform tica d e u n Banco Privad o Gu atem alteco, USAC, Facu ltad d e Ciencias Econm icas, 2,000. 105 pginas. CobiT,ISACA Governance, Control and au d it. Technology. Marco Terico. 2003. 75 pginas. For Inform ation and Related

6.

7.

Com itee of Sp onsoring Organizations of the Tread w ay Com m ission COSO-, Inform e Coso ERM, resu m en ejecu tivo. 2004, 20 pginas. 1 Committee of Sponsoring
Organizations of the Treadway Commission COSO- (Comit de las Organizaciones Patrocinadoras de la Comisin Treadway), rgano tcnico formado por Profesionales provenientes de cinco de las instituciones con mayor reconocimiento a nivel contable financiero en los Estados Unidos de Norteamrica: AICPA, IIA, IFA, ACFA ) organizado para realizar un estudio especial sobre una muestra de empresas de los Estados Unidos, en 1,987.

8.

Coop ers & Lybrand , Los N u evos concep tos d e Control Interno, 1era. Ed icin. Espaa: Ediciones Diaz de Santos, S. A. 1997. 504 pginas. Coop ers & Lybrand e Institu to d e Au d itores Internos, Reporte COSO. Ed iciones Bravo, Madrid Espaa 1997. 525 pginas. Cham p lan, Jack. Au d iting Inform ation System s, A Com p rehensive Reference. EE.UU. 1998. 440 pginas. Cham p lan, Jack. Au d iting Inform ation System s Practice Booklet. EE.UU. 1998. 122 pginas. H all, Jam es. Inform ation System s Au d iting and Assu rance. EE.UU. 1999. 200 pginas.

9.

10.

11.

12.

204

13.

Gaston, S.J. Au d it of Sm all Com p u ter System s Inclu d ing LAN s. Canad : The Canadian Institute of Chartered Accountants. 1997, unica edicin. 85 pginas. H all, Jam es. Inform ation System s Au d iting and Assu rance. EE.UU. 1999. 200 pginas. Howard, Dario. Fraud 101 EE.UU. 1999. 550. pginas. Inform ation System s Au d it and Control Association ISACA. preparacin al examen CISA . 2006. 1725 pginas. Manu al d e

14.

15. 16.

17.

Institu to Mexicano d e Contad ores P blicos. Fed eracin Internacional d e Contad ores. Com ite Internacional d e Prcticas d e Au d itora Normas Internacionales d e Au d itora. Qu inta Ed icin. Equ u s Im p resores, S.A. Mxico, Agosto 2000. 603. pginas. International Fed eration or Accou ntants IFAC-, N orm as Internacionales d e Auditora, New York, USA, 2000. 825 pginas.
Instituto Guatemalteco de Contadores Pblicos y Auditores. Normas de Auditora Generalmente Aceptadas. Norma No. 14 Evaluacin de la Estructura de Control Interno, Guatemala.

18.

19.

20.

Le Grand , Charles. Use of com p u ter assited Au d it Tools. IT Au d it. Bu lletines. www.itaudit.org . 18 de octubre del 2001. 40. pginas. Mc. N am ee, David . Glosario d e Evalu acin d e Riesgo. www.mczconsulting.com . 22 de septiembre del 2001. 17 pginas. Moham Bathia. Au d iting in a Com p u terised Environm ent. Editorial Mc Graw-Hill, 2002. 653 pginas. Estad os Unid os:

21.

22.

23.

Monzn Garca, Sam u el Alfred o. Introd u ccin al Proceso d e Investigacin Cientfica. Editorial Oscar de Len Palacios. Guatemala, 2000. 232 pginas. Mu oz Razo, Carlos. Auditora en Sistem as Com p u tacionales. Mxico: Ed itorial Prentice-Hall, 2002. 796 pginas. Prattini, Mario. Au d iting Inform ation System s. H arcou rt. EE.UU. Ju lio 2000. 350 pginas. Rold an d e Morales, Esp eranza. Recop ilacin d e Au d itora p or Ciclos. Universid ad d e San Carlos d e Gu atem ala. Facu ltad d e Ciencias Econm icas, Escuela de Auditora, Guatemala 1997. 98. pginas. Tou ch Ross Internacional. El p roceso d e auditora Lara y Gonzlez, CPA, 253 pginas.

24.

25.

26.

27.

205

28.

Warren, Donald y Ed elson Linni W. H and book of IT Au d iting. Su p lem ento. EE.UU. 2001. 1500 pginas. Weber Ron. 1027pginas. Inform ation System s Control and Au d it. EE.UU. 1999.

29.

30.

Inform ation System s Au d it and Control http://www.isaca.org. 22 de septiembre del 2001.

Association

ISACA.

31.

McN am ee, David . Glosario de Evalu acion http://www.m2.consulting.com. 22 de septiembre del 2001. Real Academia Espaola. Diccionario. http://www.rae.es/

de

Riesgo.

32. 34. 35. 36. 37.

Reporte COSO-ERM, www.coso.org el nuevo marco de control interno.

www.publidirecta.com/dicc/diccionario-marketing_e.php http://ciberconta.unizar.es/LECCION/INTRODUC/450.HTM http://es.wikipedia.org/wiki/Sistema_de_planificaci%C3%B3n_de_recursos.

206

ANEXO I

ER-P____________ GUIA DE AUDITORA PARA EVALUAR EL PROCESO DE ERM I. Instrucciones: De la informacin obtenida en el plan general de riesgos y evaluacin general realizada con la Gerencia General de la Compaa y la evaluacin de autocontrol ejecutada, llene la siguiente gua de conclusiones. II. Objetivo: Documentar las conclusiones de la evaluacin sobre la efectividad de la administracin para asegurar los aspectos relativos al proceso de ERM en las siguientes reas. 2. Atributos Clave relacionados Evaluacin de Riesgos 3. Atributos Clave del Anlisis de Riesgos 4. Atributos Clave de Estrategias de Respuesta al Riesgo 5. Infraestructura de Riesgo y Mejora Continua del Proceso

1. Atributos clave de las bases para identificacin de Riesgos ERMINPUT

REFERENCIA GUIAS DE EVALUACION POR AREA

R.1

R.2

R.3

R.4

R.5

CONCLUSIONES POR AREA

Conclusin Global Proceso ERM y efecto en el plan de auditora propuesto:

R.1 _____IDENTIFICACION DE RIESGOS

Procedimiento a. Existe estrategia especifica para el proceso de ERM (i) Est claramente articulada y se conoce a nivel de la organizacin b. Existe un plan anual definido que incluya las metas y objetivos de la compaa y de cada departamento c. Estos objetivos y metas estn claramente alineados con la estrategia global de ERP de la entidad d. Existen parmetros de medicin adecuados para definir las tolerancias al riesgo e. Se han establecido niveles cuantificables de medicin: tendencias, limites, niveles de impacto financiero f. Existe una estructura formal de ERP dentro de la Organizacin, es decir, reporta a un nivel adecuado en la Organizacin, tienen un alcance y responsabilidades claramente definidas Existe apoyo de la gerencia g. Hay consistencia con la cultura del negocio Si/ No Comentarios Ref. PTs adicionales

R.2 _____ATRIBUTOS CLAVE DE EVALUACION DE RIESGOS

Procedimiento a. Se ha establecido un universo de riesgo completo, que incluya todos los riesgos clave (i) Como se han identificado los escenarios de riesgo. (ii) Se han creado suficientes reas y categoras de riesgo adecuado al universo de la entidad. Si/ No Comentarios Ref. PTs adicionales

b. Se ha asegurado formalmente el impacto y probabilidad de cada riesgo importante para la compaa (i) Se han definido las fronteras del riesgo, ms all del impacto financiero: ej. Estratgico, Reputacional, Seguridad, legal. (ii) Se utilizan escenarios y estadsticas para cuantificar el impacto potencial. (iii)Existe un estimado del efecto del impacto sobre la entidad y sus estados financieros. (iv) Cul es el nivel de probabilidad inherente o residual de cada factor de riesgo c. Se ha determinado la tolerancia relativa a cada riesgo y el nivel de exposicin aceptable Existe un aseguramiento de la tolerancia y la probabilidad definido claramente d. Los criterios utilizados para la evaluacin de los riesgos son adecuados y consistentes con relacin a otras metodologas de aseguramiento Identifique las principales debilidades.

R.3 _____ATRIBUTOS CLAVE ANALISIS DE RIESGOS

Procedimiento a. Se han identificado adecuadamente las causas externas e internas de cada factor de riesgo importante b. Existen mecanismos de control para verificar los detonadores del riesgo, para identificar cuando suceden en forma previa Si/ No Comentarios Ref. PTs adicionales

(Este cuestionario pretende ser un listado bsico de cuestiones para determinar la adecuacin del proceso de ERP de la entidad)

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

ANEXO II Pruebas de Auditoria Utilizando SOFTWARE GENERALIZADO DE AUDITORIA (Resumen-ejemplo de pruebas estndar de auditoria financiera utilizando SOFTWARE GENERALIZADO DE AUDITORIA por componente principal
INGRESOS O VENTAS: Las preocupaciones principales en las ventas son la integridad de las transacciones registradas, que los precios sean los correctos y el clculo de comisiones. Algunas de las pruebas en las que se puede aplicar SOFTWARE GENERALIZADO DE AUDITORIA son:
Clculos Reproducir resmenes y totales de ventas. Comprobar clculos de precios y descuentos en las facturas. Anlisis de Ventas y de cobros Analizar ventas por rea, vendedor, mes, o todos. Sumarizar cobros por tipo. Producir informacin analtica de revisin en las ventas por bandas de valor. Sumarizar las entradas en caja por la distribucin de cdigo de cuenta para la conciliacin con las notas en el libro mayor. Sumarizar las ventas por cliente. Excepciones de Ventas Valores de venta mayores de lo usual para un tipo de elemento. Precios de venta menores de lo esperado para un tipo de producto o descuentos grandes. Notas de crdito grandes. Ventas - Omisiones y Duplicados Prueba para nmeros de facturas de ventas perdidos. Prueba para nmeros de envos perdidos. Prueba para facturas duplicadas (nmeros de la factura, de envos o clientes duplicados). Pruebas de coincidencias cruzadas Coincidencias de pagos en caja apuntadas en el mayor de deudas. Identificar cualquier registro no coincidente. 1

CUENTAS POR COBRAR: Pruebas para Cuentas por Cobrar normalmente son de validacin. Los elementos a considerar entre otros son antigedad y seguimiento de facturas, deficiencias en el proceso de cobro y saldos de clientes altos. Todos estos elementos se recogen en pruebas de excepcin. Algunas pruebas tpicas son:
Clculos para Cuentas por Cobrar Ordenar el archivo. A menudo es til separar deudas y crditos. Efectuar un anlisis de antigedad de saldos. Revalorar deudas en moneda extranjera. Verificar totales de transacciones con los saldos de cada cuenta. Pruebas de Anlisis para Cuentas por Cobrar Perfilar los deudores usando estratificaciones para ver cuntas deudas grandes y qu proporcin del valor con respecto a los artculos de mayor valor. Lmites de crdito, y tendencias de cobrabilidad, morosidad y recuperacin de saldos. Pruebas de Excepcin para Cuentas por Cobrar Identificar saldos mayores ya sea por si mismos o comparados con el volumen de ventas. Seleccionar cuentas, para las que no se ha registrado ningn movimiento en un periodo de tiempo dado. Informes de saldos de crditos. Identificar crditos dinero en efectivo no coincidentes. Comparar saldos con lmites de crditos e informes de excepciones (por ejemplo, clientes con saldos que exceden de sus lmites de crdito o clientes sin lmites de crditos, etc.). Identificar pagos parciales de deudas. Identificar tipos de transacciones incorrectos. Duplicados u Omisiones en Facturas Pruebas para facturas duplicadas (cliente/cantidad y nmero de factura). Pruebas de Coincidencias con cobro de Facturas Comparar el saldo de un cliente con el volumen de venta. Muestreo en Pago de Cuentas Seleccionar muestras (al azar, o especficas) para pruebas funcionales y circularizacin (efectuar una circularizacin de cartas).

ANEXO II Pruebas de Auditoria Utilizando SOFTWARE GENERALIZADO DE AUDITORIA (Resumen-ejemplo de pruebas estndar de auditoria financiera utilizando SOFTWARE GENERALIZADO DE AUDITORIA por componente principal
COMPRAS: El objetivo principal es verificar la validez de las partidas. Esto abarca a los proveedores con sobreprecio, facturas incorrectas, fraudes de varios tipos, las duplicaciones accidentales o simplemente escoger los gastos fuera de control. Las pruebas Generales para Compras en las que se utiliza SOFTWARE GENERALIZADO DE AUDITORIA son:
Clculo de Compras Reproducir los anlisis de las compras y totales. Calcular el total de los pagos al contado. Sumarizar los pagos al contado por las respectivas cuentas de distribucin para la reconciliacin del libro mayor general de artculos. Anlisis de Compras Analizar compras o pagos por bandas de valor e identificar las tendencias inusuales. La prueba para divisin de facturas, particularmente para las que estn debajo de los niveles autorizados. Sumarizar por tipo de pago (cheque, transferencia, etc.). Pruebas de Excepcin Producir informes de excepcin para grandes artculos. Pruebas para nmeros de IVA vlidos. Identificar los principales proveedores. Identificar las notas de dbito y diarios. Artculos importantes debajo de los lmites mnimos. Omisiones y Duplicados Prueba para facturas o pagos duplicados (ya sea por nmero de la factura, proveedor, cantidad, nmero de orden de compra o una combinacin de stos). Prueba de detalles de proveedor duplicados en el archivo principal. Coincidencias Cruzadas de Compras Coincidencias cruzadas de beneficiarios de cheques con el archivo de empleados. Coincidencia de detalles de cuentas bancarias y archivos base de

CUENTAS POR PAGAR: Es importante establecer que las deudas no sean sub o sobre estimadas o suprimidas. SOFTWARE GENERALIZADO DE AUDITORIA puede ayudar de varias maneras:

Clculos de Cuentas por Pagar Reclculo y Valuacin de Saldos por Pagar en Moneda Extranjera. Clculo aritmtico de pasivos como: intereses, comisiones, salarios y beneficios. Anlisis de Cuentas por Pagar Estratificar los proveedores por volumen de compra. Estratificar saldos de proveedores. Sumarizar saldos por tipo de moneda. Pruebas de Excepciones de Cuentas por Pagar Pagos en exceso sobre los lmites establecidos. Saldos antiguos no pagaderos

Comparaciones y Coincidencias en Cuentas por Pagar Buscar coincidencias entre pagos de perodos subsiguientes y saldos para identificar pagos no coincidentes. Duplicados y Omisiones en Cuentas por Pagar Pruebas para facturas duplicadas.

ANEXO II Pruebas de Auditoria Utilizando SOFTWARE GENERALIZADO DE AUDITORIA (Resumen-ejemplo de pruebas estndar de auditoria financiera utilizando SOFTWARE GENERALIZADO DE AUDITORIA por componente principal
proveedores, inventarios y cuentas por pagar.

NMINA: El objetivo principal es la validez y las pruebas de existencia de empleados y exactitud de pagos. Hay muchas regulaciones e impuestos asociados con la nmina con los que se puede comprobar su conformidad. Las reas principales de las pruebas son:

ACTIVOS FIJOS: Los registros de Activos fij varan con el detalle de informacin y el volumen de registros. Sin embargo, SOFTWARE GENERALIZADO DE AUDITORIA puede ser utilizado en los siguientes procedimientos:

Clculos de Nmina Clculos de Activos Fijos Totalizar pagos brutos, pagos netos, deducciones y Totalizar el archivo proporcionando totales separados cualquier otro valor de campo. para costes, depreciacin y valores netos. Calcular Pagos Brutos. Clculo de Depreciaciones y Amortizaciones del Ejercicio Calcular Pagos Netos. Excepciones de Activos Fijos Revisin de Horas Extras Identificar elementos con un Valor Neto grande. Anlisis de Nmina Elementos donde la descripcin no coincide con la codificacin. Salarios por departamentos/categora etc. Elementos con valor negativo o invlido. Perfil del empleado por edad /ao de servicio para ayudar en la planificacin futura. Pruebas para Activos Fijos Duplicados Omisiones y Duplicados de Nminas Prueba para nmeros de referencia duplicados Empleados duplicados (Nmeros de Seguridad Social) en el archivo de nmina. Duplicados de los detalles de la cuentas bancarias. Comparaciones y Coincidencias de Nminas Comparacin del archivo de nmina en 2 fechas para determinar si los que empiezan y los que se van, (contratados y bajas) y cambios en el salario, etc, son los esperados. Determinar si hay empleados "fantasmas" en la nmina. Comparar adecuacin de polticas de estructura salarial con nmina de personal.

ANEXO II Pruebas de Auditoria Utilizando SOFTWARE GENERALIZADO DE AUDITORIA (Resumen-ejemplo de pruebas estndar de auditoria financiera utilizando SOFTWARE GENERALIZADO DE AUDITORIA por componente principal
ANALISIS GLOBAL DEL MAYOR GENERAL Y BALANCE DE INVENTARIOS (STOCKS): El inventario normalmente en una SALDOS: SOFTWARE GENERALIZADO DE AUDITORIA empresa comercial es el activo con mayor volumen en el balance puede usarse para analizar la consistencia y sumatoria de general. Algunas pruebas que se aplican mediante SOFTWARE los saldos del libro mayor y verificar la integridad del GENERALIZADO DE AUDITORIA son:

procesamiento del mayor general y balance de saldos al final del ejercicio. Algunas de las pruebas ms comunes son:
Clculos Totales de saldos iniciales para asegurarse que da cero. Nota: algunos mayores contienen memoria de cuentas por lo que deben excluirse. Sumarizar transacciones por cuenta para probar el proceso de balance. Realizar totalizaciones de cuentas para cuentas de gestin, cuentas financieras o consolidaciones. Anlisis Comparar saldos con los perodos anteriores, presupuestos o cuentas de gestin para ver variaciones y fluctuaciones Proporcionar totales de entradas generados por fuentes diferentes (por ejemplo, mayor de compras y de ventas, abonos diarios, etc.) para ver el volumen y el valor. Pruebas de Excepciones Prueba para transacciones con fechas fuera del ejercicio del mes o ao. Prueba para ejercicios duplicados. Proporcionar anlisis de detalles de cuentas seleccionadas. Muestreo Proporcionar muestras de ejercicios para verificaciones (el muestreo puede ser aleatorio, de excepciones o de entradas especificadas).
Clculos de inventarios Sumarizar el archivo, proporcionando subtotales de las categoras del inventario. Realizar cualquier clculo relacionado con las cantidades y valores finales del stock recibido. Realizar los clculos de los costos de materiales y mano de obra para ensamblaje de productos. Resumen de operacin de transacciones de Inventario Anlisis de inventarios Perodo de almacenamiento por fecha de recibo. Calcular el nmero de meses que se almacena cada artculo basndose en las ventas o en las compras. Realizar un resumen de esta informacin. Estratificar los balances por bandas de valor. Pruebas de excepcin de inventarios Identificar y totalizar el mantenimiento en exceso de niveles mnimos y mximos de stocks. Omisiones y Duplicados de Inventarios Pruebas para stocks con el nmero de etiqueta perdido. Pruebas para nmeros de transaccin perdidas. Identificar artculos de stock duplicados. Comparaciones y coincidencias de inventarios Comparar archivos en dos fechas para identificar las lneas de stock nuevas o borradas o para identificar fluctuaciones significantes en precios de coste o de venta. Comparar el precio de coste y el de venta e identificar artculos donde su coste exceda a su valor de realizacin neto.

ANEXO II Pruebas de Auditoria Utilizando SOFTWARE GENERALIZADO DE AUDITORIA (Resumen-ejemplo de pruebas estndar de auditoria financiera utilizando SOFTWARE GENERALIZADO DE AUDITORIA por componente principal