Está en la página 1de 26

CONTENIDO

INTRODUCCION 1.CONCEPTOS GENERALES 1.1. Tipos de Riesgos

Pg. 3 4 5 7 8 8 10 12 13 16 27

2. EVALUACIN DEL RIESGO DE AUDITORA 3.CLASIFICACIN DE RIESGOS 3.1.Riesgos Financieros 3.2. Riesgo Operativo 3.3.Riesgos de la Informacin Financiera 3.4.Riesgos Informtico 3.5.Riesgos de PED CIBERGRAFIA

INTRODUCCION

La auditora es un proceso de acumulacin de evidencias que permiten emitir una opinin, la evidencia se alcanza realizando pruebas de auditora, las pruebas a realizar se seleccionan teniendo en cuenta el riesgo y la importancia relativa.

El siguiente trabajo tiene como objetivo presentar un resumen de la investigacin realizada sobre el riesgo en la auditoria, sus conceptos generales, sus tipos, su clasificacin, financiera operativa, informtica, etc.

EL RIESGO

1.

CONCEPTOS GENERALES(1)

Es el potencial de prdida o la disminucin de la oportunidad de ganancia causada por factores que pueden afectar adversamente el logro de los objetivos de la empresa En The Institute of Internal Auditors (The IIA) define al riesgo como: La posibilidad de que ocurra un acontecimiento que tenga un impacto en la consecucin o logro de los objetivos. El riesgo se mide en trminos de impacto y probabilidad. El riesgo global de auditora es el resultado de la conjuncin de: Aspectos aplicables exclusivamente al negocio o actividad independientemente de los sistemas de control desarrollados. Aspectos atribuibles a los sistemas de control. Aspectos originados en la naturaleza, alcance procedimientos de auditora de un trabajo en particular. y oportunidad de los del ente,

Riesgo de auditora segn las NIA: NIA 200: Objetivo y principios generales que gobiernan una auditora de estados financieros. Prrafos 22 a 32 (Riesgo de auditora e importancia relativa). En estos prrafos se mencionan que: las entidades siguen estrategias para lograr sus objetivos y, de acuerdo con la naturaleza de sus operaciones e industria, el entorno de regulacin en que operan, as como su tamao y complejidad, se enfrentan a una diversidad de riesgos de negocios.
(1) Administracin de riesgos de negocio, DFK International, septiembre 2009

En el prrafo 23 se define al riego de auditora como el riesgo de que el auditor exprese una opinin de auditora inapropiada cuando los estados financieros estn representados errneamente. 1.1. TIPOS DE RIESGOS

La NIA analiza el riesgo de auditora a travs de sus tres componentes o tipos: Riesgo Inherente: Es la susceptibilidad de los estados financieros a la existencia de errores o irregularidades significativos, antes de considerar la efectividad de los sistemas de control. Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacin errnea que pudiera ser de importancia relativa, individualmente o cuando se agrega con representaciones errneas en otras cuentas o clases, asumiendo que no hubo controles internos relacionados. Por ejemplo, en una empresa de alta tecnologa el riesgo inherente de la afirmacin realizacin de los inventarios de existencia, ser mayor que el nivel de riesgo que se determine en la revisin de una auditora para una empresa productora de bienes con tecnologa estndar. Esto es as por el riesgo implcito de obsolescencia que es relevante para este tipos de industrias.

El riesgo inherente est totalmente fuera de control por parte del auditor. Difcilmente se puedan tomar acciones que tiendan a eliminarlo, porque es propia de la operatoria del ente.

Riesgo de Control: Es el riesgo de que los sistemas de control estn incapacitados para detectar o evitar errores o irregularidades significativos en forma oportuna. Es el riesgo de que una representacin errnea que pudiera ocurrir en el saldo de cuenta o clase de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega con representaciones errneas en otros

saldos o clases, no sea prevenido o detectado y corregido con oportunidad por los sistemas de contabilidad y de control interno. Por ejemplo, dentro del componente de Ingresos por ventas y Cuentas a cobrar, distinto ser el nivel de riesgo de control de una empresa con un complejo sistema de verificacin de crditos a los clientes antes de continuar las operaciones de venta que el de otra que no realiza estos controles y, por lo tanto, est mas expuesta a que sus cuentas a cobrar puedan ser consideradas incobrables. Este tipo de riesgo tambin est fuera del control de los auditores. Aunque la existencia de bajos niveles de riesgo de control, lo que implica la existencia de buenos procedimientos en los sistemas de informacin, contabilidad y control puede ayudar a mitigar el nivel de riesgo inherente evaluado en una etapa anterior. Riesgo de Deteccin: Es el riesgo de que los procedimientos de auditora seleccionados no detecten errores o irregularidades existentes en los estados contables. Es el riesgo de que los procedimientos sustantivos de un auditor no detecten una representacin errnea que existe en un saldo de una cuenta o clase de transacciones que podra ser de importancia relativa, individualmente o cuando se agrega con representaciones errneas en otros saldos o clases. Por ejemplo, errores en la definicin de una muestra en la circularizacin de saldos de proveedores, o en la definicin del perodo de anlisis de pagos posteriores pueden implicar conclusiones errneas en cuanto a la validez de la integridad de las cuentas a pagar.

El riesgo de deteccin es controlable por la labor del auditor y dependen exclusivamente de la forma en que se diseen y lleven a cabo los procedimientos de auditora.

El riesgo de deteccin es la ltima y nica posibilidad de mitigar altos niveles de riesgos inherentes y de control.

2. EVALUACIN DEL RIESGO DE AUDITORA(2) El nivel de riesgo de auditora suele medirse en cuatro grados posibles: - Mnimo - Bajo - Medio - Alto La tarea de evaluacin est presente en dos momentos de la planificacin de auditora: Planificacin estratgica: En esta etapa se evala el riesgo global de auditora relacionado con el conjunto de los estados contables y adems, se evala el riesgo inherente y de control de cada componente en particular. Planificacin detallada: En esta etapa se evala el riesgo inherente y de control especfico para cada afirmacin en particular; dentro de cada componente.

(2)Los riegos en el proceso de auditoria, http://www.auditool.org/

Relacin riesgo auditora y enfoque de auditora: La evaluacin del riesgo de auditora est directamente relacionada con la naturaleza, oportunidad y alcance de los procedimientos de auditora a aplicar. Dicho de otra manera, de la evaluacin de los niveles de riesgo depende la cantidad y calidad de la satisfaccin de auditora necesaria. 3. CLASIFICACIN DE RIESGOS

3.1.

RIESGOS FINANCIEROS(3)

El riesgo es la probabilidad de un evento adverso y sus consecuencias. El riesgo financiero se refiere a la probabilidad de ocurrencia de un evento que tenga consecuencias financieras negativas para una organizacin.

El concepto debe entenderse en sentido amplio, incluyendo la posibilidad de que los resultados financieros sean mayores o menores de los esperados. De hecho, habida la posibilidad de que los inversores realicen apuestas financieras en contra del mercado, movimientos de stos en una u otra direccin pueden generar tanto ganancias o prdidas en funcin de la estrategia de inversin.

Tipos de riesgos financieros

Riesgo de mercado, asociado a las fluctuaciones de los mercados financieros, y en el que se distinguen:

Riesgo de cambio, consecuencia de la volatilidad del mercado de divisas.

(3) Riesgo Financiero, http://es.wikipedia.org/wiki/Riesgo_financiero

Riesgo de tipo de inters, consecuencia de la volatilidad de los tipos de inters.

Riesgo de mercado (en acepcin restringida), que se refiere especficamente a la volatilidad de los mercados de instrumentos financieros tales como acciones, deuda, derivados.

Riesgo de crdito, consecuencia de la posibilidad de que una de las partes de un contrato financiero no asuma sus obligaciones.

Riesgo de liquidez o de financiacin, y que se refiere al hecho de que una de las partes de un contrato financiero no pueda obtener la liquidez necesaria para asumir sus obligaciones a pesar de disponer de los activos que no puede vender con la suficiente rapidez y al precio adecuado y la voluntad de hacerlo.

Riesgo operativo, que es entendido como la posibilidad de ocurrencia de prdidas financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnologa, y en la presencia de eventos externos imprevistos.

Riesgo pas o riesgo soberano.

Riesgo sistmico.

3.2. RIESGO OPERATIVO (4)

El riesgo operativo es la posibilidad de ocurrencia de prdidas financieras, originadas por fallas o insuficiencias de procesos, personas, sistemas internos, tecnologa, y en la presencia de eventos externos imprevistos.

Esta definicin incluye el riesgo legal, pero excluye los riesgos sistemticos y de reputacin, as tambin no se toma en cuenta las prdidas ocasionadas por cambios en el entorno poltico, econmico y social. Las prdidas asociadas a este tipo de riesgo pueden originarse en fallas de los procesos, en la tecnologa, en la actuacin de la gente, y tambin, debido a la ocurrencia de eventos extremos externos.

Evaluacin del riesgo operativo

Para evaluar el Riesgo Operativo generalmente se toma en cuenta dos variables: La frecuencia o probabilidad de suceso de un evento de riesgo, que consiste en el nmero de ocasiones en la que se detecta la presencia de eventos causales de riesgo.

La severidad, o importancia del impacto de los eventos de riesgo sobre los resultados o el patrimonio de la empresa.

Mediciones del Riesgo Operativo Suelen distinguirse tres metodologas para el clculo del Riesgo Operacional:

(4) Riesgo Operativo, http://es.wikipedia.org/wiki/Riesgo_operativo

10

Mtodo del Indicador Bsico

Para el caso del mtodo del indicador bsico, el clculo de la exigencia de capital se basa en una proporcin fijada por Basilea (factor alfa = 15%) del promedio de los ltimos tres aos de los ingresos brutos anuales positivos (lo que permite estimar el volumen de operaciones).

KBIA = [(GI1n x )]/n Donde: KBIA = la exigencia de capital en el Mtodo del Indicador Bsico GI = ingresos brutos anuales medios, cuando sean positivos, de los tres ltimos aos N = nmero de aos (entre los tres ltimos) en los que los ingresos brutos fueron positivos Mtodo Estndar

Bajo la metodologa estndar, las actividades de los bancos se dividen en lneas de negocio. Se calculan los ingresos brutos de cada lnea de negocio y a cada uno de estos se los multiplica por un factor (beta) que estima la exposicin que tiene cada lnea de negocio y permite calcular la provisin de capital para cada lnea de negocio (finanzas corporativas: 18%; negociacin y ventas: 18%; banca minorista: 12%, banca comercial: 12%; pagos y liquidacin: 18%; servicios de agencia: 15%; administracin de activos: 12%; intermediacin minorista: 12%).

Al final el requerimiento total de capital es la suma de los requerimientos de cada lnea.

Mtodos de medicin avanzada

Finalmente, con el enfoque de medicin avanzado (EMA), a travs de mecanismos que utilizan en especial la estimacin de funciones de distribucin de probabilidad, se logra una medicin del capital requerido mucho ms ajustado a la situacin particular de cada entidad.

11

3.3.

RIESGOS DE LA INFORMACIN FINANCIERA (5)

Riesgo de fallas o errores en las manifestaciones que hace la administracin en relacin con la integridad, validez, y exactitud de los estados financieros.

Riesgos en el procesamiento de la informacin financiera Las transacciones y eventos, as como revelaciones, no han ocurrido y no pertenecen a la entidad. Todas las transacciones y eventos y activos y pasivos que deben haberse registrado no se han registrado. Todas las revelaciones que debieron haberse incluido en los estados financieros no se han incluido. Montos y otros datos relacionados con las transacciones y eventos registrados no se han registrado apropiadamente. La informacin financiera y otra, no se revelan razonablemente. Las transacciones y eventos no se han registrado en el perodo correcto. Las transacciones y eventos no se han registrado en las cuentas apropiadas. La informacin financiera y otra, no se revelan razonablemente y en montos apropiados. La informacin financiera no se presenta y no se describe apropiadamente y las revelaciones no se expresan claramente. Los activos y pasivos no existen. La Entidad no mantiene o no controla los derechos a los activos y los pasivo, siendo obligaciones de la entidad. Activos y pasivos no se incluyen en montos adecuados y cualquier variacin resultante o ajustes de realizacin no se registran apropiadamente.

(5) La auditora Interna de los riesgos de informacin, Deloitte, Noviembre 2010

12

3.4.

RIESGOS INFORMTICO(6)

Incertidumbre existente por la posible realizacin de un suceso relacionado con la amenaza de dao respecto a los bienes o servicios informticos, como equipos informticos, perifricos, instalaciones, programas de computo, etc.

Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos, a los cuales estn sometidos los procesos y actividades que participan en el rea informtica; y por medio de procedimientos de control se pueda evaluar el desempeo del entorno informtico.

TIPO DE RIESGOS INFORMATICOS

Riesgo de integridad:

Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfase del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones, sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de obligaciones.

(6) Riesgo Informtico, http://auditoriadesistemas.galeon.com/productos2223863.html

13

Otros riesgos en esta rea se relacionan a controles que aseguren la validez y completitud de la informacin introducida dentro de un sistema. Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance de los controles defectivos y preventivos que aseguran que el procesamiento de la informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio. Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los mtodos que aseguren que cualquier entrada/proceso de informacin de errores (Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente. Administracin de cambios: Estos riesgos estn asociados con la administracin inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos.

- Informacin: Estos riesgos estn asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de bases de datos y de estructuras de datos. Riesgos de relacin:

Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin. Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas).

14

Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin:

Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin especfica del entorno. Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso inapropiado al entorno de programas e informacin.

Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento.

- Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos. Riesgo de utilidad:

Estos riesgos se enfocan en tres diferentes niveles de riesgo:

Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas.

15

Backups y planes de contingencia controlan desastres en el procesamiento de la informacin. Riesgos de infraestructura:

Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.

Riesgos de seguridad general:

Los estndar IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general y que disminuyen el riesgo: Riesgos de choque de elctrico: Niveles altos de voltaje. Riesgos de incendio: Inflamabilidad de materiales. Riesgos de niveles inadecuados de energa elctrica. Riesgos de radiaciones: Ondas de ruido, de lser y ultrasnicas. Riesgos mecnicos: Inestabilidad de las piezas elctricas.

3.5.

Riesgos de PED(7)

Dada la creciente importancia del Proceso Electrnico de Datos, (PED) en el control y registro de las transacciones de las empresas, se expone cmo afectan los controles internos de ese PED al Anlisis General del Riesgo.

(7)Riesgos PED, http://gte2.uib.es/edutec/sites/default/files/congresos/edutec99/paginas/110.html

16

En el caso de una auditora en el entorno PED, el Anlisis general del Riesgo debe incluir necesariamente una revisin y evaluacin de los sistemas de PED de la entidad, de la filosofa de control de PED y de los riesgos asociados con sistemas basados en el uso de un ordenador.

Los grupos ms importantes de tcnicas de control de PED suelen resumirse en la sinopsis de la funcin de planificacin y control financiero. Los principales riesgos del PED se resumen, en los papeles de auditora, en el Memorndum de Planificacin del Anlisis General del Riesgo.

Los riesgos que por regla general existen en entornos PED, hay que sealar que estos riesgos no se presentan en un entorno manual, en donde los sistemas informticos han quedado relegados a un segundo plano.

Centralizacin de datos y programas.

En efecto, en un entorno manual los datos se hallan a menudo dispersos por toda la empresa, en numerosos archivos o en uno slo pero, por regla general, desordenado. En un entorno PED, los datos normalmente estn concentrados en el departamento de PED y se almacenan en forma legible por la mquina: programas de ordenador, disquetes, etc.

Los programas de ordenador, en este sentido, constituyen un mtodo para acceder y modificar los datos, de modo pues que si no existe un control adecuado de los mismos, hay un mayor riesgo de que personas no autorizadas puedan acceder a los datos y hay riesgos de modificacin de los mismos (incluso el no dejar acceso al personal autorizados por fallos en los sistemas que no se detectaron a tiempo).

17

Se hace necesario, como se observa, que toda la informacin est perfectamente localizada, autorizada y revisada con cierta periodicidad: la dejadez en estos controles puede hacer jugar malas pasadas y, con respecto al auditor de cuentas, proporcionar una informacin falsa o imposibilidad de acceso y, por tanto, de anlisis.

Centralizacin de funciones.

Es normal en un entorno manual la diversificacin de funciones, dado que el volumen de informacin es elevado para una persona. En un entorno de PED no existen mucho de esos controles tradicionales basados en distinguir las funciones compatibles de las incompatibles, por lo que la centralizacin de funciones en una sola persona es la nota general en el PED.

Concentracin de conocimientos:

En el entorno PED los distintos empleados de proceso de datos pueden tener unos conocimientos detallados de la fuente de los datos, de la manera de procesarlos y del uso y distribucin de los datos de salida. Adems, es muy probable que un mismo empleado tenga conocimiento de los controles internos existentes y tenga la capacidad de modificar programas o datos almacenados o en determinadas fases de proceso. La falta de concentracin de estos conocimientos, supo una fuente adicional de errores o irregularidades. Se deben concentrar los esfuerzos en ese control.

Transacciones generadas por sistemas:

Determinadas transacciones, pueden ser iniciadas por el sistema de PED, sin que exista evidencia de la misma en soporte de papel contable (ejm. La emisin de una orden de compra). Adems, la autorizacin de tales transacciones puede no documentarse de la misma manera que aquellas que se efectan fuera del

18

entorno de PED, los riesgos de transacciones no autorizadas y no reflejadas adecuadamente aumentan.

Falta de pistas de transacciones:

En un entorno manual, determinadas transacciones pueden seguirse a travs de pistas, observando documentos fuente, ficheros, etc. De este modo, el auditor puede conocer distintos hechos con la unin de cada una de estas pistas y avanzar en ellas. Estas pistas tambin existen en el entorno de PED, pero normalmente nicamente son legibles por el ordenador. De este modo, realizar el trabajo de la auditora de cuentas sin la ayuda de un ordenador en un entorno de PED, supone incrementar el riesgo en el anlisis adecuado de las fuentes de informacin.

Por otro lado, tambin la falta de pistas en el entorno de PED puede indicar al auditor de cuentas una deficiencia de control por parte de la Direccin de la entidad.

Magnitud del error repetitivo:

Dado que el uso del ordenador no evita tener que repetir operaciones o efectuar nuevas, cualquier error en mitad de la cadena del uso supone arrastrarlo hasta el final sin que seamos conscientes de l, y reportando el auditor de cuentas Informes errneos. Es necesario, a pesar del uso de los sistemas informticos en la auditora, llevar un control peridico en cada una de las operaciones realizadas.

Revisin del Control de PED:

Ya que pueden surgir inconvenientes en el uso de ordenadores, no slo por la entidad cliente sino tambin por parte del auditor de cuentas, el equipo de

19

auditora revisa y evala el entorno de control de PED como parte de su revisin de la Funcin de Planificacin y control Financiero. Esta revisin consiste en: Identificacin, Documentacin y Evaluacin de los Controles y Riesgos Generales de PED:

Se componen de aquellas tcnicas utilizadas para controlar las siguientes funciones:

A. B. C. D. E. F.

Organizacin y gestin del Departamento de PED. Desarrollo de sistemas de aplicacin. Mantenimiento de sistemas de aplicacin. Operaciones del ordenador. Soporte de software de sistemas. Centralizacin de control y entrada de datos.

Estas funciones pueden afectar a todos los sistemas de aplicaciones. Por lo tanto, las deficiencias en este control tienen efectos en cadena. El auditor de cuentas tiene que considerar el efecto de tales deficiencias en el momento de evaluar los controles de aplicacin. Ello puede realizarse a travs de cuestiones al personal encargado de las funciones mencionadas.

Las ventajas de evaluar el entorno de control del PED pueden dar lugar a:

1. Una reduccin de los tamaos de las muestras para las pruebas de cumplimiento y sustantivas. 2. Una reduccin en el nmero de centros a visitar en una empresa con mltiples centros. 3. Una reduccin en el grado de control ejercido sobre los programas de software de auditora de ordenador. 4. Una mayor probabilidad de que determinados ciclos se seleccionen para revisiones del flujo de transacciones.

20

Identificacin y Evaluacin Preliminar de los Controles de PED sobre Aplicaciones Informticas:

El auditor de cuentas emplear todas las tcnicas que estn a su alcance para controlar el proceso de transacciones que se llevan a cabo a travs de determinadas aplicaciones informticas de la empresa, tales como programas de nminas, cuentas a pagar, programas de facturacin, gestin de stocks, etc. No slo se detectan los errores que puedan estar cometiendo las aplicaciones de PED, sino ayudar al auditor de cuentas a seleccionar los ciclos para revisin del flujo de transacciones.

Ventajas de la revisin de PED

Algunos controles generales de PED pueden resultar muy importantes y el auditor de cuentas podra llegar a la conclusin de que estas tcnicas deberan ser revisadas cada ao, describindose con un cierto detalle en los archivos corrientes de papeles de trabajo.

Sin embargo, en empresas menos sofisticadas o con un volumen inferior de transacciones, se puede considerar que ninguno de esos controles sobre PED es lo suficientemente importante como para necesitar material adicional descriptivo, limitndose las revisiones a, por ejemplo, una cada tres aos.

Del mismo modo, si hay nuevos sistemas de aplicacin o importantes modificaciones de sistemas existentes de aplicacin en estado avanzado de desarrollo, los controles generales sobre la funcin de desarrollo de sistemas de aplicacin suelen identificarse, documentarse y evaluarse, al igual que las caractersticas globales de control interno de las aplicaciones nuevas o modificadas proyectadas.

21

A veces, no es necesario realizar un anlisis especfico de PED para una entidad con sistemas de ordenador, ya que en una evaluacin preliminar se ha detectado que los controles generales de PED son deficientes o inexistentes. En esos casos, los correspondientes riesgos pueden reflejarse simplemente en un Memorndum general que habr de tenerse en cuenta al elaborar el plan de auditora y al realizar las posteriores revisiones.

El efecto del ordenador en los controles del proceso de datos

Es incorrecto que el auditor considere el ordenador como una calculadora gigante. La instalacin del ordenador introduce nuevos elementos de control y motiva cambios en los procedimientos de control tradicionales en el sistema de proceso de datos, que pueden clasificarse en:

Nuevos controles necesarios por la automatizacin del proceso. Controles que sustituyan a los basados en el juicio humano y en la divisin de tareas de los sistemas manuales.

El auditor necesita entender la naturaleza de estos controles para evaluar y comprobar adecuadamente el sistema de proceso de datos. Los cambios en los controles de proceso de datos son una razn importante por la cual el auditor de cuentas no puede ignorar el ordenador en su evaluacin del control interno. Debido a la mecanizacin, son necesarios nuevos controles.

El propsito el detectar y controlar los errores que surgen por la utilizacin del equipo informtico y los mtodos del proceso de datos. Si esos controles no existen, el sistema se expone a un gran riesgo y si estas omisiones se juzgan importantes, influirn en el alcance de los procedimientos de auditora. El proceso con el ordenador reduce el nmero de personas envueltas en el tratamiento de la informacin de la empresa y, al estar esta informacin tan concentrada, no se dispone de muchos de los controles basados en el sentido comn o en la divisin de tareas.

22

Sin embargo, los programas nos facilitan una alternativa que sustituye el sentido comn de las personas envueltas en el proceso, ya que en muchos caso las comprobaciones hechas por el ordenador pueden ser mejores que las hechas manualmente. La presencia o ausencia de un sistema de controles que sustituya al sentido comn de las personas y a la divisin de tareas tendrn influencia en la naturaleza y extensin de los procedimientos de auditora utilizados.

El funcionamiento de los controles y su aprobacin se puede realizar utilizando distintas tcnicas, dependiendo de las circunstancias. Estos mtodos se basan en:

Examen de las entradas y salidas: para determinar la bondad del programa y de los controles. Entendimiento completo del programa y realizacin de una prueba.

Quiz la mayor dificultad que presenta la auditora de procesos de datos es la falta de personal con experiencia informtica. Muy pocos auditores han recibido formacin en informtica: las Universidades, hasta hace tres o cuatro aos, no incluan en sus planes de estudio las herramientas informticas en el campo de la auditora; tampoco el recin licenciado que decida incorporarse al mundo de la auditora de cuentas, contaba dentro de los planes de estudio con la informtica como herramienta. Haba que esperar a ser auditor de cuentas y formar parte de la plantilla de una empresa de auditora (y no todas) o su espritu innovador para utilizar el ordenador en su actividad diaria. Por tanto, se debe procurar formar al personal de forma que haya un nmero adecuado de auditores capaces de auditar un sistema de proceso de datos.

Si una auditora engloba al ordenador, el auditor debera tener una experiencia en los mtodos y tcnicas para auditar un sistema de proceso de datos, que le capacitase para hacer una buena auditora. La formacin requerida depende de la complejidad del sistema a auditar. Una auditora de una empresa con una instalacin pequea del sistema de proceso requiere una formacin menor que otra que haya un complejo sistema de proceso de datos. Adems, no todos los miembros del equipo de auditora deben tener la misma formacin.

23

En general, la auditora de proceso de datos obliga a que el auditor tenga un buen conocimiento de ordenadores y de los mtodos de proceso de datos. Tambin es necesario el conocimiento por parte del auditor de la organizacin de los recursos, la documentacin, los controles y las tcnicas de auditora de procesos de datos. El enfoque seguido por varias empresas es el tener uno o ms miembros del equipo especializados en auditora de proceso de datos.

La formacin del auditor de proceso de datos

Las principales razones por las cuales un auditor debe tener conocimientos de proceso de datos son: Para poder realizar una evaluacin del control interno de un sistema mecanizado. Para utilizar el ordenador durante la auditora, caso de que las caractersticas y el coste de aplicacin lo hagan aconsejable.

Ya que la utilizacin del ordenador se est generalizando para todo sistema de informacin, son cada vez ms necesarios unos conocimientos de proceso de datos. La formacin de los auditores en proceso de datos no ha corrido pareja a la adaptacin del ordenador por parte de la empresa.

Controles de proceso de datos

Los controles de proceso de datos est normalmente entrelazados con otros controles que no son de proceso de datos y es importante, por esta razn, considerar esta ntima relacin en la evaluacin del flujo total de controles contables. Estos pueden dividirse en dos grandes categoras:

1. Controles generales: incluyen el plan de organizacin de proceso de datos, el control y documentacin de sistemas y programas, controles de

24

hardware. Los puntos dbiles del control general pueden influir en muchas aplicaciones especficas del ordenador.

2. Controles de aplicaciones: se refieren a tareas especficas de proceso de datos e incluyen los controles de entrada, proceso y salida.

Controles de entradas:

1. Cuadro de lote: Se agrupan transacciones similares en un lote y se les da un nmero de identificacin de lote. 2. Verificacin clave de informacin original: diseada para detectar errores de transcripcin. 3. Dgitos de verificacin: nmero de cuenta para detectar la mayora de los errores de transposicin y de transcripcin.

Controles de Proceso:

1. Ha sido diseado para asegurar que la informacin de la preparacin de entradas ha sido correctamente introducida en el sistema. 2. Programa a programa: asegura que toda la informacin leda por un programa se procesa a travs de este programa y se pasa y es leda por el siguiente. 3. Rtulos de archivo: empleados correctamente, identifican el contenido de un archivo. 4. Pruebas de verificacin y de factibilidad: le brindan al usuario la confianza necesaria en el sistema. 5. Correccin de errores: los errores deben ser investigados, corregidos y en la mayora de los casos reprocesados.

25

Controles de Salidas:

1. Asegura que la entrada se prepara en forma oportuna, correcta, completa. 2. Saldos de salida: los informes de salida deben contener un total que pueda ser cuadrado con una plantilla de control global. 3. Diseo del informe. Los informes deben estar bien diseados para evitar errores en la interpretacin, mantener la confianza del usuario y asegurar que la informacin est completa. 4. Procesamiento del cuadre general de la auditora. 5. Total de control y de parciales. 6. Pruebas de verificacin y razonabilidad.

26

CIBERGRAFIA

Administracin de riesgos de negocio, DFK International, septiembre 2009

La auditora Interna de los riesgos de informacin, Deloitte, Noviembre 2010

Los riegos en el proceso de auditoria, http://www.auditool.org/

Riesgo Financiero, http://es.wikipedia.org/wiki/Riesgo_financiero

Riesgo Informtico, http://auditoriadesistemas.galeon.com/productos2223863.html

Riesgo Operativo, http://es.wikipedia.org/wiki/Riesgo_operativo

Riesgos PED, http://gte2.uib.es/edutec/sites/default/files/congresos/edutec99/paginas/110.html

27