Gua de Control Interno

Fase 2: Evaluacin de los Procesos

Clave. Ver 1.0

www.auditool.org
Red de Conocimientos en Auditora y
Control Interno
26/10/2011

Tabla de contenido
1.

Conceptos Fundamentales ............................................. 3

2. Metodologa para la Evaluacin de los Procesos ........ 13

1. Conceptos Fundamentales
Responsabilidad de establecer y mantener controles eficaces
Establecer y mantener controles eficaces es una responsabilidad importante de la
gerencia. Para proveer seguridad razonable de que los objetivos de una empresa se
logran, su sistema de control interno debe estar bajo una supervisin continua de la
gerencia, verificando que opera conforme a lo planeado y que se modifica
apropiadamente para cambios en condiciones.

El informe COSO indica que un sistema de control interno, sin importar que tan bien se
haya concebido y puesto en operacin, solamente puede proveer seguridad razonable -y
no absoluta- a la gerencia, a la junta directiva y al comit de auditora acerca del logro de
los objetivos de la empresa. El informe tambin indica que las probabilidades de logro de
estos objetivos, se ven afectadas por las limitaciones inherentes a todos los sistemas de
control interno. Luego, indica que uno de los factores de limitacin consiste en que el
diseo de un sistema de control interno debe reflejar el hecho de que existen restricciones
de recursos, y que los beneficios de los controles deben juzgarse relativamente a su
costo.

Polticas y procedimientos

Las polticas y procedimientos en relacin con autorizacin, salvaguardia de activos,

responsabilidad sobre activos y segregacin de funciones son establecidos por la
gerencia para poder proveer una seguridad razonable con relacin a que:
Los activos son adquiridos, custodiados y usados, y los pasivos son incurridos y
liberados conforme a las decisiones de la gerencia.
La informacin financiera es mantenida correctamente en los libros y registros con
respecto a activos y pasivos resultantes de dichas decisiones.
Estas polticas y procedimientos son parte integral de un sistema de control interno y se
relacionan bsicamente con el control de la gerencia sobre la disposicin de los activos

y pasivos de la empresa y, nicamente de manera indirecta, con los controles sobre el

procesamiento de datos, los cuales se ocupan con la contabilizacin correcta, puntual y
completa de las transacciones. Sin embargo, la ausencia de dichos controles podra
incrementar el riesgo de errores de importancia en la informacin financiera incluida en los
libros y registros de la empresa.

En vista de que las polticas y procedimientos frecuentemente toman la forma de

controles, la ausencia de polticas y procedimientos adecuados sobre cualquiera
de estas reas puede afectar la forma en que el equipo a cargo del proyecto juzgue la
eficacia de controles especficos sobre los procesos.

Autorizacin

Los niveles general y especfico de autorizacin y aprobacin y los procedimientos

diseados para asegurar que las transacciones y actividades se ejecutan de conformidad
con las intenciones de la gerencia.
Salvaguardia de los activos

Restricciones diseadas para evitar la prdida de activos, el acceso y uso de activos y

registros, incluyendo el acceso fsico y acceso indirecto mediante la preparacin y
procesamiento de datos que autoricen o faciliten el uso o disposicin de activos.
Responsabilidad sobre activos

Procedimientos para comparar los activos registrados con los activos en existencia fsica
y para tomar las acciones apropiadas cuando se identifican diferencias. Tales
procedimientos ayudan a establecer una seguridad razonable de que se siguen los
procedimientos relativos a autorizacin de uso y acceso a los activos.
Segregacin de funciones
La prevencin que una sola persona lleve a cabo funciones que no son compatibles o que
una aplicacin de Tecnologa de Informacin permita acceso inapropiado o excesivo de
los usuarios a las funciones. Por ejemplo, si una persona est en posicin de cometer

errores y a la vez ocultarlos dentro del curso normal de sus propias funciones.

Efectos de la Tecnologa de Informacin

En ms aplicaciones complejas automatizadas, los controles identificados por la gerencia
muchas veces pueden involucrar tecnologa de informacin (IT). Los controles de IT
incluyen controles de aplicacin y controles generales de IT. Estos controles ayudan a
proveer una seguridad razonable de que las transacciones son vlidas y estn
debidamente autorizadas y procesadas de manera completa y precisa.
Controles de Aplicacin

Los controles de aplicacin corresponden al procesamiento de transacciones individuales

y pueden consistir en procedimientos programados (ej., programas especficos
para procesar o editar una transaccin) o controles no programados (ej., balanceo manual
de informacin producida por IT). Existen frecuentemente controles programados, que
pueden ser procedimientos de control programados (ej., editar, comparar o conciliar) o
procesos de IT (ej., clculos, asientos on line o interfaces automticas entre sistemas)
en los cuales la gerencia confa para asegurar la exactitud e integridad de la informacin
generada por las aplicaciones automatizadas. Por ejemplo, para asegurar que los precios
en todas las facturas a los clientes son correctos, la gerencia puede confiar en una editora
automatizada para identificar transacciones de fijacin de precios que no cumplen con los
criterios establecidos en combinacin con un software de control de acceso para restringir
el acceso al archivo maestro de precios. En forma similar, la gerencia puede otorgar
confianza a un proceso de IT como la extensin automatizada de las facturas de venta
para asegurarse de que todas las ventas han sido valuadas apropiadamente.

Se pueden encontrar controles programados a diferentes niveles de procesamiento de

datos. Los siguientes son algunos ejemplos:
Entradas (input)
Existen controles para asegurar la validez e integridad de los datos de entrada
(input) (ej., resumen de las transacciones generadas en las sucursales). Puede
haber varias validaciones para evitar la entrada (input) de datos errneos.

 Procesamiento
Tambin existen controles para proporcionar valuacin y contabilizacin correctas.
Los procesos pueden ejecutar clculos sencillos o complejos (ej., de precios de
productos, de valuacin de opciones). La administracin del procesamiento de
instrucciones y parmetros tambin constituye un asunto clave de control.

Salidas (output)
Controles especiales pueden estar en funcionamiento cuando las salidas de datos
generan pagos (ej., la validacin de la identificacin de proveedores antes de
procesar el pago).
Un control programado por si mismo no puede ser suficiente para asegurar que la
aplicacin previene la ocurrencia de errores o para detectar y corregir errores que hayan
ocurrido durante el procesamiento. Sin embargo, un control programado, en combinacin
con controles generales eficaces de IT puede proporcionar el nivel de control deseado.

Evaluar la Eficacia General

El paso final en la evaluacin de los controles internos es hacer una evaluacin general del diseo
y la operacin de los controles con base en los resultados de las evaluaciones detalladas que se
hicieron previamente a nivel de procesos.
Determinar si los controles, tal como fueron diseados, son eficaces:
La determinacin si los controles tal como fueron diseados, son eficaces, debe ser hecha por un
revisor en capacidad de supervisin (por ejemplo el contralor de la divisin o el tesorero de la
subsidiaria) o por un miembro del equipo a cargo del proyecto. Al hacer esta evaluacin, el revisor
debe considerar:

Caractersticas de las cuentas relacionadas (tamao, susceptibilidad a errores o

manipulacin) eficacia del control interno a nivel de empresa

Conclusiones relacionadas con los procesos de tecnologa de informacin (IT)

El diseo de control en si

La sensibilidad del control

Polticas y procedimientos en relacin con autorizacin, custodia de activos, control

confiable de los activos y segregacin de funciones

Determinar si los controles logran un objetivo especfico requiere con frecuencia de juicio
considerable. La pregunta clave es si los controles esenciales podran prevenir y/o detectar un
error o irregularidad.
Si los controles existentes no son eficaces para ese propsito (o no hay controles), podra ser
necesario establecer controles adicionales ya sean programados o manuales. Sin embargo, antes
de instalar procedimientos nuevos, la empresa debera llevar a cabo un estudio de costo-beneficio
para determinar si el costo excedera los beneficios.
Determinar si los controles funcionan tal como se disearon
La gerencia debe tener una seguridad razonable que los controles funcionan tal como se
disearon. Un paso inicial en ese proceso es que el revisor ejecute el recorrido de una transaccin
para verificar que lo que l entiende sobre el funcionamiento deseado del proceso y de sus
controles es correcto. Despus que este recorrido ha sido ejecutado, puede comenzar la prueba de
la eficacia de los controles.
Las pruebas para verificar si los controles funcionan tal como se disearon, pueden hacerse
mediante indagacin a las personas responsables del control y examen de la evidencia (ej. revisin
de las conciliaciones bancarias) de que el control fue ejecutado y fue eficaz. Tambin puede
hacerse si el revisor analiza una transaccin y repite la operacin (por ejemplo los clculos en una
factura usada como muestra). En otros casos se puede obtener una seguridad del buen
funcionamiento de un control, observando a los empleados mientras llevan a cabo sus funciones, y
mediante entrevistas con el personal para determinar si entienden lo que deben hacer si se
identifica un error durante la ejecucin de sus funciones.
En los casos de transacciones procesadas por el sistema IT, adems de seguir el flujo fsico de
documentos y formas, el revisor tambin sigue el flujo de datos y de informacin de archivos a
travs de procesos automatizados en la aplicacin (a nivel de sistema y no a nivel de lgica
detallada). Esto puede involucrar procedimientos tales como preguntas a personal independiente
pero con conocimiento de la materia, revisin de manuales del usuario, observacin de un usuario
cuando procesa transacciones en una terminal, en el caso de una aplicacin on line, y revisin de
documentacin tal como reportes de salida (output).

Al concluir esta tarea, el revisor debe documentar si los controles manuales y programados
funcionan conforme a lo diseado e incluir otros comentarios pertinentes que puedan ayudar al
equipo del proyecto.

Identificar Asuntos que Requieren Mejoras

En un ambiente de negocio dinmico, los controles requieren una modificacin cada cierto tiempo.
Ciertos sistemas pueden requerir mejoras en sus controles para responder a nuevos productos en
el mercado o debido a riesgos emergentes. La automatizacin de algunos controles manuales
puede mejorar la eficiencia y el cumplimiento con las polticas de la gerencia. En otras reas la
evaluacin puede indicar controles redundantes u otros procedimientos que ya no son necesarios.
En tales casos la compaa puede mantener un nivel aceptable de controles y mejorar sus
resultados mediante los cambios apropiados.
En el caso de que se identifiquen reas en donde los controles son insuficientes para producir una
seguridad razonable de que el riesgo de errores disminuye a un nivel aceptable, el equipo a cargo
del proyecto debe recomendar mejoras. En todas las recomendaciones hay que tener presente el
concepto de seguridad razonable.
Tanto los textos de auditora como el informe COSO enfatizan en que el control interno no tiene
que estar completamente libre de riesgos si la eliminacin total de stos tuviese un costo superior
al beneficio esperado. Por lo tanto, cuando el revisor o el equipo a cargo del proyecto identifican un
riesgo, es necesario tomar una decisin de costo-beneficio respecto a si los costos de instalacin
y mantenimiento de un control que reduzca o elimine el riesgo exceden los beneficios esperados.
Generalmente, los controles solamente pueden reducir, no eliminar por completo, un riesgo.
Adems, se pueden usar los anlisis de costo-beneficio para determinar si los controles existentes
deben conservarse.
Frecuentemente existe ms de un curso de accin que reducir un riesgo determinado. Adems,
los controles de una empresa en un rea especfica pueden ser desviados u omitidos. Por
consiguiente, debe determinarse el mejor curso de accin, segn las circunstancias. Esto puede
requerir el anlisis de costos y beneficios en ms de un control.

Aplicar el concepto de costo-beneficio

Es ms fcil citar que aplicar el principio de que la omisin de reducir un riesgo se justifica cuando
los costos exceden los beneficios. En muchos casos encontraremos grandes dificultades para
aplicar la razn de costo-beneficio porque la identificacin y medida precisa de los costos y los

beneficios sern imposibles. Tambin ser difcil cuantificar el riesgo a ser eliminado; el beneficio a
obtener podra ser la eliminacin de un riesgo imposible de cuantificar, y el costo puede incluir
intangibles tales como la moral deteriorada de un empleado o el crdito mercantil (goodwill) de un
cliente.
Por consiguiente, cualquier decisin de costo-beneficio tomada para determinar la implantacin de
un control debe depender en gran parte de juicios. De esta manera, cuando un anlisis de costobeneficio deja una duda de si el costo del control es ms grande que el beneficio, normalmente es
prudente implantar el control o retenerlo.
Adems, hay situaciones que son tan claramente inaceptables que deben ser modificadas casi a
cualquier costo, por lo que la pregunta de costo-beneficio se vuelve meramente acadmica. Por
ejemplo si existe una debilidad material, los controles necesarios para corregir la situacin deben
implantarse sin importar el costo. Los textos de auditora definen una debilidad material como una
situacin en la cual:
... el diseo o el funcionamiento de uno o ms de los componentes del control interno no reducen
a un nivel relativamente bajo el riesgo de que aseveracin equvoca causada por error o fraude, en
cantidades que seran materiales en relacin con los estados financieros que se estn
examinando, pueda ocurrir y no ser detectado dentro de un perodo razonable por los empleados
en el desempeo de sus funciones.
Las condiciones que indican la existencia de debilidades materiales incluyen:

La compaa no tiene seguridad razonable de que su control interno permite la preparacin

de estados financieros en conformidad con principios contables generalmente aceptados
(GAAP)

Los auditores independientes no pueden de una forma prctica concluir la auditora

La empresa emite estados financieros interinos que proporciona a terceros pero no tiene
una seguridad razonable (reconociendo la relativamente importante imprecisin en estados
financieros interinos) de que su control interno le permitir la preparacin de estados
financieros interinos conforme a principios de contabilidad generalmente aceptados
(GAAP)

La empresa no tiene una seguridad razonable que todos los activos de cantidades
significativas estn adecuadamente custodiados (i.e., el acceso a los activos es apropiado)

Todos los aspectos de control interno estn sujetos al juicio costo-beneficio, incluyendo:

Procedimientos rutinarios (ej., comparando facturas con reportes de recibo)

Monitoreo peridico (ej., pruebas de controles, verificacin de porciones del sistema,

actualizacin de estudios anteriores sobre costo-beneficio). Esto incluye decisiones sobre
el tipo de monitoreo (ej., por auditores internos) y la frecuencia del monitoreo (ej.,
trimestral, anual, etc.)

Documentacin relacionada con:

Transacciones
Sistema de control
Actividades de monitoreo
Decisiones costo-beneficio

Polticas y prcticas para reportar:

Funcionamiento inadecuado de controles o controles circunvenidos
Cambios en las circunstancias que originan riesgos adicionales o nuevos, o reducen o
eliminan riesgos existentes

Polticas y prcticas para tomar oportunamente acciones correctivas

En muchos casos, o posiblemente en la mayora de ellos, el anlisis formal de costo-beneficio sera

difcil o costoso innecesario. Por ejemplo, las personas que efectan el anlisis, despus del
segundo paso pueden reconocer que costo exceder los beneficios. Por otra parte, quienes llevan
a cabo el anlisis pueden llegar a la conclusin de que el costo de reducir el riesgo ser mnimo y
que puede ser prctico instalar el control.
Sin embargo, en aquellos casos donde tiene sentido un anlisis formal de costo-beneficio, puede
ser til tomar en consideracin lo siguiente:
1. Listar todas las alternativas razonables (incluyendo controles) que puedan adoptarse para
reducir o eliminar los riesgos y si stas no han sido identificadas listar todos los riesgos
que podran ser reducidos o eliminados con cada alternativa.
2. Listar o identificar las partidas relevantes de costo a incurrir en cada alternativa.
3. Determinar los costos y riesgos que son cuantificables.
4. Cuantificar esos costos y riesgos.
5. Estimar la probabilidad de que una prdida ocurrir por falta de corregir la debilidad, y con
qu frecuencia puede ocurrir ese evento.

10

6. Para estimar en cada alternativa la probabilidad (si existe) de que pueda ocurrir una
prdida si el control es instalado, y con cuanta frecuencia podra ocurrir (si es el caso).
7. Desarrollar la mejor estimacin de los beneficios que podra haber al eliminar o reducir el
riesgo (ej., multiplicando en cada alternativa el riesgo cuantificado por la reduccin en la
probabilidad de que una prdida pudiera ocurrir y luego por la reduccin en la frecuencia
de ocurrencias).
8. Decidir si los costos por corregir la debilidad podran exceder los beneficios, o viceversa,
con base en una comparacin de costos (cuantificables y no cuantificables) con los
beneficios (cuantificables y no cuantificables).

Monitoreo
Finalmente, como se mencion anteriormente, el control interno debera ser automonitoreable y
autocorregible. Quiere decir que una empresa debe establecer mecanismos para monitorear
continuamente y mantener el sistema de control interno y tomar la accin correctiva
oportunamente, cuando sea necesario.
Generalmente, la responsabilidad para convertir el sistema de control interno en automonitoreable y autocorregible no debe ser asignada exclusivamente a un solo grupo. En un
sentido amplio, el sistema de control interno es integral y completo. Involucra a personal de toda la
organizacin, incluyendo a muchas personas que no se consideran con responsabilidades
contables o de control.
Muchas personas deben compartir la responsabilidad de asegurar que el sistema de control interno
sea automonitoreable y auto-corregible. Estas personas incluyen a aquellas que establecen,
emiten y monitorean las polticas y los procedimientos contables: contralores de divisin, auditores
internos, el contralor corporativo, el director de finanzas (CFO), otros miembros de la alta gerencia,
miembros del comit de auditora y miembros de la junta directiva. Todos ellos deben preocuparse,
con distintos grados de detalle, de que el sistema de control interno est bajo control. Para
lograrlo, son necesarias lneas apropiadas de comunicacin y retroalimentacin adecuada, tanto
cuando el sistema est bajo control como cuando surgen problemas.
El equipo a cargo del proyecto no debe considerar que su labor est completa, hasta cuando:
Est satisfecho que los mecanismos apropiados de automonitoreo y auto-correccin estn
en su lugar.
Se presente recomendaciones razonablemente especficas para establecer dichos
mecanismos.

11

Las recomendaciones podrn abarcar los siguientes asuntos, si es necesario:

Establecer la responsabilidad de emitir polticas y procedimientos en uno o varios grupos
existentes o nuevos.
Establecer la actividad de auditora interna.
Reportar observaciones resultantes del monitoreo a un nivel gerencial apropiado.
Acciones a tomar cuando los empleados no siguen los controles establecidos.
Participar continuamente con la junta directiva o el comit de auditora.
Una vez implantadas las principales recomendaciones, se habr establecido una lnea bsica para
actualizaciones anuales de las evaluaciones de la gerencia que le permita reportar sobre la eficacia
de los controles. Esto no significa que las evaluaciones no continuarn. Por el contrario, significa
que las evaluaciones se convertirn en una parte de los procesos continuos y repetitivos de la
empresa y, por lo tanto, una parte importante del control interno de la empresa. Despus de su
implantacin, la empresa puede esperar que cualesquier debilidades (algunas surgirn
inevitablemente) sern corregidas dentro de un tiempo razonable.

12

2. Metodologa para la evaluacin de los procesos

En el trabajo realizado en la evaluacin del modelo de la organizacin, identificamos:

Transacciones significativas y los procesos que las inician, procesan y registran

Riesgos de negocio que tienen implicaciones significativas en los estados financieros

Riesgos de fraude

Para cada uno de estos tres puntos, el equipo a cargo del proyecto debe entrar a evaluar los
procesos que los administran.
2.1 Evaluacin de Procesos que Administran Transacciones Significativas

Una vez que el equipo a cargo del proyecto haya identificado las principales clases de
transacciones, ser necesario obtener una visin ms detallada de los procesos
para comprender el flujo de cada clase mayor de transacciones. El objetivo de este paso
es la identificacin de los registros, documentos y procedimientos bsicos en uso para
identificar en dnde pueden ocurrir errores. La mayora de los procesos involucran una
serie de actividades tales como la validacin y edicin de entrada de datos, fusin y
sorteo (sorting) de datos, clculos, actualizacin de archivos maestros y de transacciones,
y resumen e informacin de datos.

Los procedimientos de proceso ms importantes y que son necesarios para efectos de

identificar dnde pueden ocurrir errores son las actividades que se requieren para iniciar;
registrar; procesar o reportar las clases mayores de transacciones. Estos incluyen
procedimientos para corregir y reprocesar transacciones previamente rechazadas y
procedimientos para corregir transacciones errneas mediante asientos de ajuste.

Sin importar cul categora de transaccin mayor afecta una cuenta, debemos
comprender el flujo y la naturaleza de la informacin; analizar los tipos de errores que
pueden ocurrir en la iniciacin, registro, proceso y reporte de las transacciones, y
considerar las polticas y procedimientos de control interno relevantes.

Si bien la documentacin de la comprensin y evaluacin variar segn la categora de la

transaccin (ej., usar flujogramas para documentar procesos para transacciones
rutinarias y memorandos para documentar procesos para transacciones no rutinarias y de
estimacin), los objetivos de registrar informacin contable son consistentes.

13

Proceso de Reporte de Informacin Financiera

El equipo a cargo del proyecto debe incluir en su comprensin y evaluacin del control
interno el proceso para producir reportes financieros. La comprensin de los
procesos significativos de la compaa y su interrelacin con el proceso especfico de
producir informacin financiera proporcionar al equipo a cargo del proyecto una base
para conocer la informacin requerida para el proceso de informacin financiera.
Tpicamente ste incluir:
Los procedimientos para registrar los totales de las transacciones en el Libro
mayor.
Los procedimientos para iniciar, registrar y procesar asientos de diario en el Libro
mayor.
Otros procedimientos usados para registrar ajustes recurrentes y no-recurrentes
en los estados financieros, tales como ajustes de consolidacin, combinaciones y
reclasificaciones.
Procedimientos para preparar proyectos de estados financieros y notas a los
estados financieros.
Preparacin del anlisis de la gerencia en cuanto a logros financieros y operativos
del negocio.
Procedimientos al evaluar procesos que administran transacciones significativas

Recordemos, una transaccin significativa se refiere a los movimientos contables

reflejados en los estados financieros que surgen por intercambio de valor entre la entidad
y un ente externo. Ejemplo, ventas.

Para un mejor entendimiento las clasificamos y agrupamos por procesos:

14

Proceso que administra las transacciones

Cuentas afectadas en los estados

significativas

financieros

Proceso de ventas, cuentas por cobrar y

Ventas, Cuentas por Cobrar, Impuestos y

recaudos

Disponible

Proceso de compras, cuentas por pagar y

Inventarios, Gastos, Cuentas por pagar,

pagos

impuestos y Disponible

Proceso de administracin de inventarios y

Inventarios, costo de ventas, propiedad, planta y

propiedad, planta y equipo

equipo y depreciacin.

Proceso de nmina

Gastos de personal, nmina por pagar,

impuestos y disponible

Las siguientes son las fuentes en donde el equipo a cargo del proyecto puede encontrar
informacin para documentar los procesos:
-

Organigramas que identifiquen los puestos y responsabilidades

Entrevistas con los dueos de los procesos

Manuales de procedimientos

Polticas relacionadas con el proceso

Observacin de las actividades del proceso

Inspeccin de informacin producida por el proceso

Informes de auditoras internas y/o externas (ayuda a que el Auditor identifique debilidades
y riesgos del proceso)

Revisin de las cartas de recomendaciones del Auditor del ao anterior

Para el logro de nuestro anlisis de los procesos, consideraremos el desarrollo de las siguientes
actividades, as:
a. Entendimiento del proceso
b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas de relativas a la eficacia operativa de controles

15

a. Entendimiento del proceso

Es indispensable que el equipo entienda y documente las actividades que inician, procesan y
registran las transacciones significativas. Ejemplo:
Transaccin significativa:
Proceso de ventas, cuentas por cobrar y recaudos
Actividades (Cada actividad se debe describir de forma resumida)
-

Recibo de la orden del cliente

Extraccin de los artculos del inventario

Envo de la mercanca al cliente y la generacin del informe de ventas

Facturacin al cliente

Registro de los asientos en el libro mayor general

b. Identificacin de los riesgos y controles del proceso

Del buen entendimiento del proceso depender la identificacin de riesgos y los controles que los
mitigan. En la identificacin de riesgos es importante que considere los factores que pueden
incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtencin
de objetivos, complejidad de una actividad, distribucin geogrfica de las actividades, entre otras.
Ejemplos de factores que pueden incrementar la probabilidad de ocurrencia de los riesgos de los
procesos:

La vinculacin de personal, no competitivo frente a los retos de la organizacin, as como

la falta de efectividad de mtodos de entrenamiento y motivacin que puedan influir en el
nivel de conciencia del auto-control en la entidad

Fallas en el procesamiento de los sistemas de informacin, que afectan las operaciones de

la entidad

Cambios en las responsabilidades asignadas de la administracin, que afecten la

ejecucin de algunos controles

16

Indebida aplicacin de las polticas de la organizacin.

Ejemplos de riesgos de procesos:

Transaccin significativa:
Proceso de ventas, cuentas por cobrar y recaudos
Riesgos

Que se efecten ventas a clientes ficticios

Que se registren ventas y no se enve la mercanca

Que se enve la mercanca y no se registre el ingreso.

Que las transacciones se registren en un monto incorrecto.

Que las transacciones no se clasifiquen correctamente.

Cuando hemos identificado los riesgos del proceso, procedemos a identificar los controles que los
mitigan. La forma ms fcil de identificar si se trata de un control es verificar si lo que se est
evaluando corresponde a revisin, verificacin, aseguramiento a travs de sistemas, reconciliacin,
contraseas, reportes de error, mapeo de cuentas, etc.
Identificacin de Controles
Los controles se clasifican en tres tipos:
Automtico: lo realiza de principio a fin un sistema de informacin.
Semiautomtico: es ejecutado de manera parcial por una persona, pero con la colaboracin de un
sistema de informacin.
Manual: lo ejerce en su totalidad una persona, sin la colaboracin de un sistema de informacin.
Los controles pueden ser preventivos, detectivos o correctivos:
Control Preventivo: Su objetivo es anticiparse a los eventos no deseados, actuando sobre las
causas del riesgo, as como evitando la generacin de errores o eventos fraudulentos.
Control Detectivo: Identifica todos aquellos eventos en el momento en que ocurren, as como
advierte sobre la presencia de riesgos.
Control Correctivo: Se orienta a la implementacin de las acciones correctivas una vez se ha
identificado un evento no deseado. Su implementacin se realiza cuando los controles preventivos
y detectivos no han funcionado, lo cual representa que su implementacin sea ms costosa, pues
actan cuando ya se han materializado eventos de prdida para la organizacin.

17

Los siguientes son los tipos de controles ms comunes:

Categora de

Tipo de

control

control

Descripcin

La aprobacin de
transacciones ejecutadas de
Autorizacin

Manual

acuerdo con las polticas y

Ejemplos

Aprobacin manual
designada
Lmites de Autorizacin
Documentacin Soporte

los procedimientos generales

o especficos de la gerencia.
Revisar reportes del sistema
para monitorear errores o

Reportes de
Excepcin /

Manual

Edicin

Indicadores
Clave de

Manual

Desempeo

Revisin
Gerencial

Manual

entradas y seguimiento a su
resolucin.

Anlisis de interrelaciones,

tendencias, y revisin de
desempeo de indicadores

Involucramiento de la

gerencia en revisin de

transacciones y supervisin

Revisar todas las

ediciones hechas por
empleados a archivos
maestros.
Revisar ventas que
excedan el lmite de
crdito de los clientes.
Anlisis de Presupuesto
vs real
Reportes Gerenciales
Mtricas y anlisis de
tendencias
Revisin por un segundo
empleado o gerente
Inclusin en la
informacin a Junta

de staff.
Comparacin de diferentes
Reconciliacin

Manual

grupos de datos, destacar

diferencias y su

Reconciliacin de
Bancos
Reconciliacin estado
de proveedores.

correspondiente seguimiento.
Segregacin

Separacin de funciones y

de Funciones

responsabilidades para
autorizacin de
Manual

transacciones, registro de
transacciones, y

El Procesador de
facturas de gastos es
diferente al de pagos.
El aprobador de
trminos de Crdito es
diferente del aprobador
de nuevos clientes.

mantenimiento de custodia.

Configuracin
y Mapeo de

18

Grupo de Switches para

Automtico

asegurar los datos contra

Grupos de Autorizacin
Facturas asignadas al
libro mayor solo si esta
tiene un nmero de

Categora de

Tipo de

control

control

Cuentas.

Descripcin

Ejemplos

proyecto asignado

procesamiento
inadecuado.Switches
relacionados
direccionamiento de
transacciones al libro mayor.

Interface

Acceso al
Sistema

Automtico

Automtico

una base de datos a otra.

Auxiliares a Libro Mayor

Nmina a Libro Mayor

Derechos de acceso

El acceso al sistema de

Transferencia de datos de

otorgados a un usuario

nmina est limitado a

individual dentro de un

empleados de nmina.

ambiente de procesamiento
de IT.

19

c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
Para el desarrollo de las pruebas a los controles se debern identificar los controles relevantes,
esta seleccin se deber hacer teniendo en cuenta que el conjunto de los controles seleccionados
permiten prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso, como de la
evaluacin aplicada. Teniendo en cuenta que las compaas normalmente cuentan con un gran
nmero de controles, nosotros procedemos a seleccionar los controles que consideramos tienen
las siguientes caractersticas:

Los ms eficientes de probar

Los que mitigan ms nmero de riesgos.

Los que cubren un mayor nmero de aseveraciones

Si se trata de un cliente recurrente se debe tener en cuenta la evaluacin de los aos

anteriores.

d.

Evaluacin de los controles

Verificacin de la implementacin:

Antes de iniciar la evaluacin de los controles seleccionados, debemos verificar que el proceso
funciona de acuerdo con lo documentado por nosotros, teniendo presente de verificar que TODOS
los controles con los que cuenta el proceso realmente existen, para esto tomamos una transaccin
y efectuamos el recorrido desde su inicio hasta su registro en los estados financieros, verificando la
existencia de los controles. En este paso nicamente inspeccionamos la existencia de los
controles.
Ejemplos:
Para el proceso de ventas, cuentas por cobrar y recaudos, tomamos un pedido de un cliente y
verificamos todo el proceso desde el recibo de la orden del cliente hasta su registro en el libro
mayor y posteriormente desde el recibo del pago de la factura hasta su registro en el libro mayor,
observando la existencia de los controles de autorizacin, revisin, conciliacin, segregacin de
funciones, etc.
Documentacin: El equipo a cargo de la evaluacin debe dejar evidencia de la existencia de cada
control, documentando en que soportes verific la existencia del control. Ejemplo. Se verific la
autorizacin del pedido por parte del departamento de cartera en la orden de compra Nmero 2214
del 20 de agosto de 2009. Finalizado esto procedemos a realizar las actualizaciones respectivas.

20

Ej. Identificamos que ciertos controles no se estn ejecutando entonces los eliminamos de nuestra
documentacin y emitimos una carta de recomendaciones si lo consideramos necesario.
Los controles identificados en el punto c (Seleccin de los controles relevantes a los que se les
realizarn las pruebas), los probamos as:
Verificacin del diseo:
Documentamos y evaluamos los siguientes aspectos con el propsito de concluir sobre el
adecuado diseo:
- Cmo se ejecuta
- Con qu frecuencia
- La competencia, es decir la experiencia de la persona que lo desempea (si es un control
manual)
- Enfoque del control (prevencin, deteccin o correccin)
- Si su aplicacin requiere un componente de sistemas
- Riesgos que contribuye a mitigar
Esta documentacin se hace para verificar si el esquema del control establecido dentro del proceso
es realmente efectivo para prevenir, detectar o corregir un error relevante en el desarrollo del
proceso.
Los resultados de estas pruebas de diseo se utilizan como una evaluacin preliminar del riesgo
de que ocurran errores e irregularidades significativas.
Dentro de las pruebas que se utilizan para evaluar dentro el diseo de los controles tenemos:

Inspeccin u observacin de documentos y registros

Indagacin con el personal adecuado de la entidad

La experiencia previa con la entidad

Si se concluye por medio de la prueba de diseo, que el control aplicado no es el apropiado, se

debe tomar otro control para someter a la prueba, as como recomendar la evaluacin del diseo
del control que no paso las pruebas.
Verificacin de la eficacia operativa:
La probamos mediante una muestra determinada con base en la frecuencia del control y la
calificacin del riesgo inherente e igualmente concluimos sobre la misma.

21

El objetivo de aplicar la prueba de operacin de los controles es comprobar cmo se aplicaron los
controles, el grado de consistencia con que se aplicaron durante el perodo y quienes lo aplicaron.
Para demostrar la eficacia operativa se considera:

Las tcnicas que se usan para obtener evidencia

La naturaleza de las pruebas

El alcance de las pruebas

El momento oportuno de las pruebas, es decir evidencia de que se efectu regular y

debidamente durante todo el ao.

Se utilizan diferentes tcnicas, que permiten verificar en el desarrollo de la evaluacin, la eficacia

de la operacin de los controles que son:
Observacin: Se observa el desempeo del control, un ejemplo es observa el conteo del
inventario fsico
Indagacin: Se le solicita a varias personas informadas y competentes, que nos
proporcione informacin acerca del funcionamiento del control.
Inspeccin: Se analizan los registros o documentos que soporten el funcionamiento del
control. Por ejemplo se inspecciona la conciliacin bancaria, con respecto a evidencia de
un desempeo eficaz.
Repeticin: Se puede repetir el funcionamiento de un control para determinar que se
desempea correctamente. Por ejemplo se puede repetir el anlisis del archivo de crdito.
Evaluacin de Conocimientos: El equipo de asignado combina tcnicas de indagacin,
inspeccin y repeticin que le permitan comprobar los conocimientos de los individuos
sobre un tema o su competencia para el desempeo de un control.
Indagacin Corroborativa: El equipo asignado corrobora el desempeo de un control por
medio de confirmacin con otros miembros de la organizacin, es decir se confirma la
validez y consistencia de la aplicacin del control, como una prueba de eficacia operativa.
Indagacin del Sistema: El equipo asignado prueba que los controles automatizados
dentro de una aplicacin de Tecnologa de la Informacin, funcionan segn lo esperado.
Dentro de estos ejemplos tenemos:

Que el sistema logre identificar correctamente una excepcin predefinida, en

donde la excepcin puede estar relacionada con los principios de integridad y/o
exactitud de un insumo y procesamiento y producto de la aplicacin.

22

Que la configuracin de acceso dentro de la aplicacin se encuentre estructurada

de tal forma que distribuya las obligaciones a los usuarios, as como la autorizacin
de transacciones, segn el perfil asignado a cada usuario.

En todos los casos, es importante mencionar que las pruebas de diseo, y eficacia operativa deben
ser realizadas en orden. Por ejemplo, si se concluye que un control no est adecuadamente
diseado no se deben hacer las pruebas de eficacia y si est bien diseado pero la
implementacin no es adecuada, no se debe hacer la prueba de eficacia operativa.
Las debilidades detectadas en la evaluacin del diseo y la efectividad de los controles las
debemos informar a la gerencia.
2.2. Evaluacin de Procesos que Administran Riesgos de Negocio y/o Fraude
Los riesgos de negocio son aquellos riesgos que pueden llegar a impedir que la compaa cumpla
con sus objetivos y se generan en tres ambientes:
a) Ambiente externo de la organizacin
b) Ambiente de la industria de la organizacin
c) Ambiente interno de la organizacin
Los riesgos identificados se califican segn su probabilidad de ocurrencia y su impacto en los
estados financieros y se deben seleccionar los riesgos significativos
Para cada uno de los riesgos significativos se debe identificar la respuesta que tiene la
administracin de la compaa para mitigarlos. Las acciones que puede tomar la compaa para
mitigar los riesgos pueden ser:
a) Aceptar el riesgo (asume el impacto)
b) Intentar reducir el riesgo (implementa controles)
c) Transferir el riesgo (utiliza seguros)
d) Evitar el riesgo (se retira del ambiente que le genera el riesgo)
Existen dos objetivos a los que el equipo evaluador debe apuntar cuando se revisa un proceso
que administra un riesgo de negocio:
a) Obtener evidencia suficiente y adecuada que le permita al equipo concluir que la compaa
cuenta con procedimientos adecuados para mitigar los riesgos de negocio.
b) Obtener evidencia suficiente y adecuada que le permita al equipo concluir que los estados
financieros reflejan el impacto de los riesgos de negocio.(*)

23

(*) Las implicaciones de los riesgos de negocio en los estados financieros estn
relacionadas con estimaciones en los estados financieros, revelaciones y/o una
calificacin de la opinin del equipo de trabajo.
Para el logro de estos objetivos, los miembros del equipo de trabajo deben seguir los siguientes
pasos:
a. Entendimiento del proceso
b. Identificacin de los riesgos y controles del proceso
c. Seleccin de los controles relevantes a los que se les realizarn las pruebas
d. Evaluacin de los controles
e. Diseo de las pruebas relativas a la eficacia operativa de controles
a)

Entendimiento del proceso

Se debe comprender la forma como la gerencia de la compaa administra este riesgo. Los
esfuerzos se deben enfocar principalmente a entender las actividades que permiten mitigar el
riesgo.

b)

Identificacin de los riesgos y controles del proceso

Una forma sencilla para identificar riesgos de procesos es preguntar: Qu puede impedir que el
proceso logre sus objetivos?
Pueden existir casos en donde la administracin de la Compaa no cuente con controles que
mitiguen los riesgos o los controles identificados no sean efectivos, casos en los cuales se debe
emitir una carta de recomendaciones. Adicionalmente, se debe identificar las implicaciones del
riesgo en los estados financieros. Ejemplo, provisiones de cuentas por cobrar.

c)

Seleccin de los controles relevantes a los que se les realizarn las pruebas

Para el desarrollo de las pruebas a los controles se debern identificar los controles relevantes.
Esta seleccin se deber hacer teniendo en cuenta que el conjunto de los controles seleccionados
permitan prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso. Teniendo
en cuenta que las compaas normalmente cuentan con un gran nmero de controles, se
seleccionan los controles que tengan las siguientes caractersticas:

24

Los ms eficientes de probar

Los que mitigan ms nmero de riesgos.

Si se trata de un cliente recurrente se debe tener en cuenta la evaluacin de los

aos anteriores.

d)

Evaluacin de los controles

Se debe verificar el diseo y la efectividad del control de acuerdo con lo comentado en

transacciones significativas.
Ejemplo de cmo evaluar los procesos que administran riesgos de negocio
Los ejemplos aqu enunciados no pretenden abarcar todas las situaciones, simplemente queremos
que sirvan de gua para facilitar el trabajo .

25

Caso:
Objeto de la Compaa evaluada: Compaa dedicada a la venta de puertas y ventanas.
Clientes: El 40% de las ventas son a crdito y se realizan a proyectos de construccin y el 60% se
realizan de contado y al detal.
Situacin actual del mercado: En el anlisis de las fuerzas externas observamos que la economa
entr en recesin lo que afectar el sector de la construccin.
Riesgo de negocio
Ventas a clientes insolventes:
Debido a la situacin de recesin por la que atraviesa la economa el sector de la construccin se
ver afectado al no poder vender sus proyectos en los tiempos estimados, lo que puede afectar a
la compaa teniendo en cuenta que el 40% de sus ventas son a crdito y realizadas a proyectos
de construccin.
Proceso que administra el riesgo de negocio
Crditos y Cartera
Objetivos del proceso dirigidos a mitigar el riesgo de negocio

Garantizar que los clientes a los que se los concede crdito sean solventes
Garantizar que la provisin de cartera se ajuste a la realidad.

Actividades dirigidas a mitigar el riesgo de negocio

1. Estudio y aceptacin del crdito de acuerdo con los procedimientos de la compaa
2. Monitoreo del comportamiento de la cartera
3. Monitoreo de los lmites de crdito
4. Monitoreo de la situacin financiera del cliente
5. Anlisis de la cartera mensual para determinar la provisin de cartera.

26

Riesgos y Controles del proceso

RIESGOS DEL PROCESO

Control 1 Control 2 Control 3

1) Que el estudio y aceptacin del crdito no se realice de

acuerdo con el manual de procedimientos.

2) Que no se haga un monitoreo permanente al

comportamiento de la cartera.

3) Que se sobrepasen los lmites de crdito sin autorizacin.

4) Que no se haga un monitoreo permanente a la situacin

financiera del cliente

5) Que la provisin de cartera est subestimada.

e)

Diseo de las pruebas relativas a la efectividad de los controles:

Para el caso de que el control mitigue riesgos de fraude o un riesgo inherente alto, diseamos
pruebas con el propsito de identificar si existe o no la evidencia de ejecucin del mismo.
La periodicidad sugerida ser:
Riesgo Inherente

Riesgo inherente

bajo

moderado o alto

(Veces a Probar)

(Veces a Probar)

Frecuencia del control

27

Anual Incluyendo la de fin de ao

Semestral Incluyendo la de fin de ao

Bimensual Incluyendo la de fin de ao

Mensual Incluyendo la de fin de ao

Quincenal

Semanal

10

Diario

25

30

Ms que diario

30

40

Evaluacin del Diseo y la Efectividad de los controles:

1)

Segregacin de funciones

2)

Autorizacin

3)

Conciliacin

4)

Indicadores Clave de Desempeo

5)

Acceso al Sistema, Configuracin y Mapeo de Cuentas.

28

1)

Segregacin de Funciones:

La segregacin de funciones es una de las principales actividades de control interno destinada a

prevenir o reducir el riesgo de errores o irregularidades, y en especial el fraude interno en las
organizaciones. Su funcin es la de asegurar que un individuo no pueda llevar a cabo todas las
fases de una operacin/transaccin, desde su autorizacin, pasando por la custodia de activos y el
mantenimiento de los registros maestros necesarios.

Evaluacin del diseo del Control

Evaluacin de la efectividad del Control

Para determinar un correcto diseo de la

Para determinar la efectividad de la

segregacin de funciones debemos responder a

segregacin de funciones debemos evaluar

las siguientes preguntas:

lo siguiente:

1.

1. Inspeccionar el manual de polticas y

Los manuales de procedimientos definen una

adecuada segregacin de funciones en el proceso

procedimientos del proceso analizado y

que estamos auditando?

observar que lo relacionado con

segregacin de funciones est claramente

2.

Estn definidos los controles de acceso al

documentado.

sistema que limitan la capacidad de los individuos

de desempear funciones de autorizacin,

2) Mediante la revisin de la estructura del

custodia de activos y mantenimiento de los

proceso y la verificacin de los accesos en el

registros al mismo tiempo?

sistema, verificar la adecuada segregacin

de funciones.

3.

En qu se basa la asignacin de

responsabilidades?
4.

Existen procedimientos de revisin de la

gerencia para garantizar que la segregacin de

funciones sea adecuada?.

29

2. Control de Autorizacin:
Identificamos dos tipos de autorizaciones:
1) Aprobacin de transacciones ejecutadas de acuerdo con las polticas y los procedimientos
de la Compaa.
2) Autorizacin para el acceso a activos y registros de acuerdo con las polticas y
procedimientos de la Compaa.
Evaluacin del diseo del Control

Evaluacin de la efectividad del Control

Las preguntas / acciones que se han de

Para determinar la efectividad del control de

considerar:

autorizacin debemos evaluar los siguientes

aspectos teniendo en cuenta la frecuencia del

1. Cmo se efecta la autorizacin

control:

(manualmente o en el sistema)?
2. Que evidencia se deja de la
autorizacin (firma, actas, etc.)

1.

Revisar la documentacin que

evidencie la autorizacin

3. Que busca prevenir la autorizacin?

4. Quien realiza la autorizacin?

2.

5. Que parmetros definen si la

sistema de informacin, efectuar una revisin

Si la autorizacin es generada por el

autorizacin es apropiada (ejemplo,

del sistema para determinar si el acceso al

manual de procedimientos)?

sistema prohbe el procesamiento no autorizado

6. La autorizacin se realizar de acuerdo

con el manual de procedimientos?

Si ocurre la revisin de la gerencia,

7. Que niveles de autorizacin existen?

considerar usar sus pruebas para obtener

8. Se autorizan todas las transacciones?

evidencia relacionada con la eficacia del control

9. Cmo se anula la autorizacin?

10. Cmo se detecta la anulacin de una
autorizacin?
11. Se deja evidencia de las anulaciones?
12. Existen procedimientos de revisin de la
gerencia que garanticen que la
autorizacin ocurra segn los planes ?

30

3.

3. Control de Conciliacin
El control de conciliacin se refiere a la comparacin de dos grupos de datos cuya fuente es
diferente.
Ejemplos:
Conciliacin bancaria: Se compara el auxiliar de bancos (fuente contabilidad) con el
extracto bancario (fuente banco)
Conciliacin cartera: Se compara el auxiliar de cartera (fuente contabilidad) con el reporte
del sistema de cartera (fuente cartera)
La conciliacin es un control de doble propsito porque por un lado ayuda a detectar errores o
irregularidades en los estados financieros y adicionalmente le ayuda a probar la razonabilidad del
saldo de contabilidad.
De la comparacin de los dos grupos de datos pueden surgir diferencias (partidas conciliatorias),
por lo cual se debe analizar el efecto de estas partidas en los estados financieros y si es necesario
proponer ajustes y/o emitir recomendaciones.
Que nos ayuda a detectar el control de conciliacin:
La conciliacin ayuda a asegurar la integridad, existencia y exactitud de la cuenta probada.
Factores que indican que el control no funciona correctamente:
a)

Partidas conciliatorias con antigedad superior a 60 das

b)

Diferencias no identificadas

c)

Partidas conciliatorias falsas (Nos puede indicar que la conciliacin no se ejecuta

correctamente. Normalmente, las partidas falsas se usan para CUADRAR las
conciliaciones)

d)

La persona que elabora la conciliacin puede realizar ajustes para modificar alguna de
las dos fuentes.

e)

Partidas conciliatorias significativas con efecto en los estados financieros Ejemplo:

Devoluciones y descuentos por contabilizar. Efecto: menor valor del ingreso y la cuenta
por cobrar.

f)

31

La conciliacin no es revisada por un nivel superior de la persona que la prepara.

Evaluacin del control de conciliacin

A continuacin, mostraremos los parmetros a tener en cuenta en la evaluacin del control de
conciliacin:
Evaluacin del diseo del Control

Evaluacin de la efectividad del Control

Para determinar un correcto diseo de este

Inspeccionar la conciliacin y determine la

control debemos responder a las siguientes

eficacia operativa del control, teniendo en

preguntas:

cuenta los siguientes aspectos bsicos:

1)

1)

En que consiste el proceso de

Los saldos de la conciliacin cruzan con

conciliacin?. Que fuentes utiliza?

los saldos de las fuentes?

2)

2)

Se prepara manualmente o la prepara el

sistema, o una combinacin de ambos?

Los soportes de las fuentes son

confiables? Ejemplo: extractos bancarios

originales, auxiliares bajados directamente del

3)

El cliente cmo se asegura que toda la

sistema etc.

informacin de base (ej., cuentas bancarias,

cuentas por cobrar, etc.) se ha capturado en el

3)

proceso de conciliacin?

conciliacin es oportuna?

4)

4)

Que busca prevenir o detectar este

control?

La fecha de preparacin de la

Las partidas conciliatorias existen? (esto

lo verificamos con el soporte de la partida

conciliatoria ej: Consignacin en extracto no en

5)

Con qu frecuencia se prepara el proceso

de conciliacin?

contabilidad revisamos que la partida

conciliatoria efectivamente aparece en el
extracto y no est en el auxiliar del banco).

6)

Quien realiza el proceso de conciliacin?.

La persona que realiza la conciliacin posee la

5)

competencia y el conocimiento?

efecto significativo en los estados financieros?

Se observan partidas conciliatorias con

Es necesario ajustarlas al cierre?

7)

La persona que prepara la conciliacin

puede realizar ajustes a las fuentes? (Ver

6)

control de segregacin de funciones)

antigedad superior a 60 das?

8)

7)

La conciliacin es revisada por un nivel

Se observan partidas conciliatorias con

Que gestin est realizando la compaa

superior de la persona que la prepara? La

para ajustar las partidas conciliatorias

persona que realiza la revisin posee la

significativas y antiguas?

competencia y el conocimiento?
8)
9)

32

Qu tipo de evidencia se deja del

Las conciliaciones estn revisadas por un

Evaluacin del diseo del Control

proceso de conciliacin?

Evaluacin de la efectividad del Control

nivel superior de la persona que las prepara

Cuntas conciliaciones debemos probar?

Para el diseo, con una conciliacin es suficiente. Para la efectividad debemos tener en cuenta la
tabla sugerida. Normalmente las conciliaciones son mensuales. Si es una conciliacin mensual la
debemos probar entre 3 y 5 veces al ao dependiendo la calificacin del riesgo inherente. Para
este caso sugerimos probar al precierre y al cierre, el resto, en los meses que el equipo considere;
cuando son varias las conciliaciones Ej. Cinco bancos, debemos probar el 100% de las
conciliaciones las veces sugeridas (entre 3 y 5).
4. Indicador clave de desempeo
Los indicadores clave del desempeo se refiere a las medidas cuantitativas, financieras y no
financieras, que la administracin de la Compaa genera para realizar seguimiento al progreso de
sus objetivos.
Buenas prcticas
En la actualidad existen dos herramientas que son utilizadas por grandes compaas para definir
sus indicadores claves de desempeo, el Balanced Scorecard y Benchmark.
Balanced Scorecard
Es la representacin en una estructura coherente, de la estrategia del negocio a travs de objetivos
claramente encadenados entre s, medidos con los indicadores de desempeo, sujetos al logro de
unos compromisos determinados y respaldados por un conjunto de iniciativas o proyectos. Los
componentes para un buen balanced scorecard son los siguientes:
a. Una cadena de relaciones de causa-efecto que expresen el conjunto de hiptesis de la
estrategia a travs de objetivos estratgicos. Ejemplo de la relacin causa - efecto
(Empleados calificados y motivados (causa), procesos eficientes y efectivos (efecto).
b. Un balance de indicadores de resultados e indicadores gua: Indicadores que reflejen las
cosas que se necesitan "hacer bien" para cumplir con el objetivo.
c. Mediciones que generen e impulsen el cambio: La medicin motiva determinados
comportamientos, asociados tanto al logro como a la comunicacin de los resultados
organizacionales.

33

d. Alineacin de iniciativas o proyectos con las estrategias a travs de los objetivos

estratgicos: Cada proyecto que exista debe relacionarse directamente con los logros
esperados para los diversos objetivos expresados por sus indicadores.
Perspectivas del Balanced Scorecard:
1)

Perspectiva de innovacin y aprendizaje

En esta perspectiva se analiza la capacidad que tiene la compaa de proporcionar los recursos y
la infraestructura apropiada para permitirle a otros procesos lograr sus objetivos. Clasifica los
activos relativos a la innovacin y aprendizaje en:

Capacidad y competencia de las personas (gestin de los empleados). Incluye indicadores

de satisfaccin de los empleados, productividad, necesidad de formacin...

Sistemas de informacin (sistemas que proveen informacin til para el trabajo).

Indicadores: bases de datos estratgicos, software propio, etc...

Cultura-clima-motivacin para el aprendizaje y la accin. Indicadores: iniciativa de las

personas y equipos, la capacidad de trabajar en equipo, el alineamiento con la visin de la
empresa.

2) Perspectiva interna de negocios

Analiza la adecuacin de los procesos internos de la empresa de cara a la obtencin de la
satisfaccin del cliente y conseguir altos niveles de rendimiento financiero. Para alcanzar este
objetivo se propone un anlisis de los procesos internos desde una perspectiva de negocio y una
predeterminacin de los procesos clave a travs de la cadena de valor. Se distinguen cuatro tipos
de procesos:

Procesos de Operaciones. Desarrollados a travs de los anlisis de calidad y reingeniera.

Los indicadores son los relativos a costos, calidad, tiempos o flexibilidad de los procesos.

Procesos de Gestin de Clientes. Indicadores: Seleccin de clientes, captacin de clientes,

retencin y crecimiento de clientes.

Procesos de Innovacin . Ejemplo de indicadores: % de productos nuevos, % productos

patentados, introduccin de nuevos productos en relacin a la competencia...

Procesos relacionados con el Medio Ambiente y la Comunidad. Indicadores tpicos de

Gestin Ambiental, Seguridad e Higiene y Responsabilidad Social Corporativa.

34

3) Perspectiva del cliente

Para lograr el desempeo financiero que una empresa desea, es fundamental que posea clientes
leales y satisfechos, con ese objetivo en esta perspectiva se miden las relaciones con los clientes y
las expectativas que los mismos tienen sobre los negocios. Adems, en esta perspectiva se toman
en cuenta los principales elementos que generan valor para los clientes, para poder as centrarse
en los procesos que para ellos son ms importantes y que ms los satisfacen.
Algunos Indicadores para medir la perspectiva del cliente son:

Participacin del mercado

Adquisicin de clientes

Retencin de clientes

Satisfaccin del cliente

4) Perspectiva Financiera
La perspectiva financiera tiene como objetivo el responder a las expectativas de los accionistas.
Esta perspectiva est particularmente centrada en la creacin de valor para el accionista, con altos
ndices de rendimiento y garanta de crecimiento y mantenimiento del negocio. Esto requerir
definir objetivos e indicadores que permitan responder a las expectativas del accionista en cuanto a
los parmetros financieros de: Rentabilidad, crecimiento, y valor al accionista. Algunos indicadores
tpicos de esta perspectiva son:

Valor Econmico Agregado (EVA)

Retorno sobre Capital Empleado (ROCE)

Margen de Operacin

Ingresos, Rotacin de Activos

Presupuesto

BENCHMARK
El Benchmark es un proceso continuo de medir productos, servicios y prcticas contra
competidores ms duros o aquellas compaas reconocidas como lderes en la industria.
El objetivo del Benchmark es construir sobre las ideas de otros para mejorar la actuacin futura de
la Compaa. La expectativa es que con esta comparacin de los procesos y las prcticas pueden
conseguirse mejoras mayores.

35

No debe considerarse hacer Benchmark externo que hasta que se hayan analizado sus
rendimientos internos y se ha establecido completamente un sistema eficaz de medida interior.
Que nos ayuda a detectar el control Indicador Clave de Desempeo:
Un Indicador Clave de Desempeo puede ayudar a asegurar la integridad y existencia de la cuenta
probada o a medir la gestin en la administracin de los riesgos de negocio.
Ejemplos: Presupuesto de ventas, una variacin importante entre las ventas presupuestadas y las
ventas reales nos puede dar indicios de sobrestimacin de ingresos.
Un indicador de cartera por edades nos puede dar indicios de la gestin de cobro realizada por la
compaa.
Factores que indican que el control no funciona correctamente:

Las bases sobre las cuales se prepara el indicador no son confiables. Ejemplo, un
presupuesto de ventas que se hace con base en el incremento del PAAG sin tener en
cuenta otros factores como, situacin actual del mercado, nuevos productos, nuevos
competidores etc.

La persona que prepara el indicador clave es la misma que evala el resultado

(Segregacin de funciones)

36

El indicador clave no es revisado por un nivel superior de la persona que lo prepara

A continuacin, mostraremos los parmetros a tener en cuenta en la evaluacin del control de

indicador clave de desempeo:
Evaluacin del diseo del Control

Evaluacin de la efectividad del Control

Para determinar un correcto diseo de este

control debemos responder a las siguientes
preguntas:

Inspeccionar la conciliacin y determine la

eficacia operativa del control, teniendo en
cuenta los siguientes aspectos bsicos:

1)
En que consiste el Indicador Clave de
Desempeo?

1) Inspeccionar la documentacin del indicador

clave del desempeo tomando en
consideracin:

2)
Cmo se elabora? Sobre qu bases? Son
confiables las bases? Se prepara manualmente
o la prepara el sistema, o una combinacin de
ambos?

3)
Cmo se establecen las bases de
referencia con que se compara el indicador

clave de desempeo (p.ej., presupuestos,

promedios de la industria, etc.)?

La base de comparacin es la aprobada por el

nivel superior? Ejemplo: Presupuesto aprobado
por la junta directiva.
La fecha de preparacin es oportuna?- Estn
documentadas las explicaciones de las
fluctuaciones extraordinarias?
Comprobar que coincida con los libros /
registros que estemos auditando.

4)

3) Verificar lo adecuado del seguimiento

Cual es el objetivo de Indicador?

5)
Con qu frecuencia se prepara este
indicador?

4) Usar la tcnica corroborativa de indagacin

con otras personas que realizan el seguimiento

6)
Quien elabora el indicador?. La persona
que elabora el indicador posee la competencia
y el conocimiento?

5) Analizar este indicador e identificar posibles

riesgos.

7)
El indicador es revisado por un nivel
superior de la persona que la prepara? La
persona que realiza la revisin posee la
competencia y el conocimiento?
8)
Qu tipo de evidencia se deja del
proceso de revisin?
9)
Qu medida se toma si la fluctuacin
esperada del revisor no guarda proporcin con
la fluctuacin real en el anlisis de indicadores
clave del desempeo? Resulta oportuna esa
medida?

37

6) Documentar nombres, fechas, resumen de la

entrevista y la medida de seguimiento tomada.

5.

Controles de un sistema de informacin

En los sistemas de informacin identificamos dos tipos de controles clave que pueden ser
evaluados:
1)

Acceso al Sistema

2)

Configuracin y Mapeo de Cuentas.

1) Acceso al sistema
Se refiere a la capacidad que tienen los usuarios de acceder al sistema de informacin de acuerdo
con las funciones asignadas.
Buenas prcticas:

El acceso a la aplicacin requiere de una autorizacin por parte de un nivel superior.

El acceso a la aplicacin se determina teniendo en cuenta una adecuada segregacin de

funciones (el control asegura que un individuo no pueda llevar a cabo todas las fases de
una operacin/transaccin, desde su autorizacin, pasando por la custodia de activos y el
mantenimiento de los registros maestros necesarios).

Existe un proceso de verificacin permanente por parte de la administracin de la

Compaa en donde se revisa que nicamente ingresan a la aplicacin las personas
autorizadas. En caso de existir excepciones se les realiza un adecuado seguimiento de la
causa y el efecto.

La aplicacin debe estar configurada de tal forma que le solicite al usuario cambiar su
contrasea de acceso peridicamente y no debe permitir que se

reemplace

por

contraseas usadas anteriormente.

La aplicacin debe estar configurada de tal forma que a ms de tres intentos fallidos para
ingresar a la aplicacin, el usuario es bloqueado y esta situacin se le informa al
administrador del sistema para que investigue la causa y el efecto.

Los manuales de procedimientos definen la forma como se estructuran los accesos al

sistema, las personas autorizadas para definir esta estructura y los procedimientos de
monitoreo para su cumplimiento.

38

Evaluacin del control:

Evaluacin del diseo del Control

Evaluacin de la efectividad del

Control

Para determinar un correcto diseo de este control

Inspeccione el control de acceso al

debemos responder a las siguientes preguntas:

sistema y determine la eficacia operativa

del control, teniendo en cuenta los
siguientes aspectos bsicos:

1.

En que consiste el control de acceso al sistema?

2.

Cmo se estableci ? (funciones,

responsabilidades, etc)
3.

Los manuales de procedimientos definen la

forma como se estructuran los accesos al sistema y

las personas autorizadas para definir esta estructura?
Evidenciar.
4.

La forma como est estructurado el control y las

autorizaciones para el acceso y modificaciones estn

de acuerdo con el manual de procedimientos?
5.

Quienes son las personas autorizadas para

realizar los cambios de configuracin de accesos al

sistema? Tienen la experiencia y el conocimiento? Se
deja evidencia de la autorizacin del cambio?

1.

Verifique en el sistema que los

niveles de acceso estn de acuerdo con

lo autorizado por la administracin.
2.

Solicite a Recursos Humanos el

reporte del personal que ha ingresado

durante el ao en curso y con apoyo del
administrador del sistema seleccione
aquellos que tienen acceso a la
aplicacin que estamos auditando.
Verifique que los accesos fueron
aprobados por los niveles adecuados.
3.

Solicite a Recursos Humanos el

reporte del personal que se ha retirado

de la compaa durante el ao en curso
y con apoyo del administrador del
sistema seleccione aquellos con acceso

6.

Tiene en cuenta una adecuada segregacin de

a la aplicacin que estamos auditando.

funciones este control? (Ver control de segregacin de

Verifique que los retiros de personal

funciones Boletn No 14)

fueron informados por el rea de

Recursos Humanos y autorizados por los

7.

Existen restricciones relacionadas con cambios a

niveles adecuados. Adicionalmente,

la configuracin del sistema? Identifica algn riesgo

verifique que estas personas fueron

importante?

dadas de baja de la aplicacin.

8.

4.

La administracin de la compaa monitorea que

Solicite al administrador de

el acceso al sistema se est realizando de acuerdo

sistemas la relacin de cambios de

con lo establecido en sus manuales de

perfiles ocurridos durante el ao y

39

Evaluacin del diseo del Control

Evaluacin de la efectividad del

Control

procedimientos? Cmo lo hace? Est documentado

verifique fueron autorizadas por los

y, si es as, puedo ver una copia? Quin es

niveles adecuados. Los cambios afectan

responsable y qu calificaciones tiene?

la segregacin de funciones?

9. Existe un proceso de verificacin permanente por

5.

parte de la administracin de la Compaa en donde

autorizados tengan acceso al mdulo que

se revisa que nicamente ingresan a la aplicacin las

se est verificando.

personas autorizadas?. En caso de existir excepciones

se les realiza un adecuado seguimiento de la causa y
el efecto?

40

Verifique que otros usuarios no

2)

Configuracin y mapeo del sistema

Definiciones:

Configuracin del sistema: Es la forma como est parametrizado un sistema de informacin

contable. Ejemplos: lmites de cupos de crdito, autorizaciones, lmites para realizar
desembolsos, lmites de acceso, etc.

Mapeo de cuentas: Se refiere a la forma como estn direccionadas las entradas de informacin
a una cuenta contable especifica.

En caso de no tener un apoyo de especialistas en tecnologa, se puede obtener evidencia

suficiente y adecuada que permita concluir que los cambios a los sistemas de informacin
fueron solicitados, autorizados, realizados, probados e implementados para el logro de los
objetivos de control de la aplicacin de la gerencia.
Riesgos que se pueden generar

Un mapeo herrado puede no mostrar las cuentas en los estados financieros o puede
que se muestren de forma herrada Ejemplo: Un gasto se registra como activo, un
pasivo como un ingreso etc.

Los controles de configuracin pueden desactivar las caractersticas de control de

seguridad. Por ejemplo, el hecho de no asignar cupos de crdito a los clientes,
desactivar la segregacin de funciones, etc.

Evaluacin del control:

Evaluacin del diseo del Control

Para determinar un correcto diseo de este control
debemos responder a las siguientes preguntas:

Evaluacin de la efectividad del

Control
En caso de identificar cambios
realizados a la configuracin y mapeo
del sistema dentro del ao auditado,
debemos verificar:

1. Cmo se realiza la configuracin del sistema?

2. Quien la realiza?

Revisar la documentacin del

cambio

Verificar que se realiz de acuerdo

con el manual de procedimientos

Verificar que el cambio fue revisado

3. Se efectuaron pruebas del establecimiento del

diseo inicial? Si fue as, estn
documentadas? Puedo ver evidencia?
4. Quien revisa y autoriza los cambios a la
configuracin del sistema?
5. Existen restricciones relacionadas con cambios
a la configuracin del sistema? Identifica algn

41

Evaluacin del diseo del Control

Evaluacin de la efectividad del

Control

riesgo importante?
6. Se han realizado cambios a la configuracin del
sistema en el ltimo ao existe
documentacin y puedo verla?

7. Qu existe que garantice la integridad de la

informacin?
8. Qu prcticas se observan para comprobar los
cambios a la configuracin?. Tienen
procedimientos documentados?. Puedo
verlos?

42

y autorizado por un nivel superior.

Verificar el cambio en el sistema.

Fuente: Normas Internacionales de Auditora emitidas por la IFAC www.ifac.org

Instituto Mexicano de Contadores Pblicos -

www.imcp.org.mx

COSO www.coso.org
Instituto Politcnico Nacional (Documento, Auditora Operacional Administrativa)
Mxico www.ipn.mx

43