Está en la página 1de 42

La Auditora Interna de los

Riesgos de Informacin

Jorge Alfredo Hernandez


Socio Lder Consultora en Riesgos
Noviembre 29 de 2010

2010 Deloitte Touche Tohmatsu

Contenido

Informacin como un activo crtico de la organizacin

Informacin como soporte de los objetivos del negocio

Informacin en los estados financieros

Los controles y las aseveraciones

2010 Deloitte Touche Tohmatsu

Informacin como un
activo de la organizacin

2010 Deloitte Touche Tohmatsu

Qu es informacin?

Valor

La informacin es una estructura piramidal la cual puede ser vista de la


siguiente manera:

Sabidura

Ejecutivo
Analista de una industria

Conocimiento

Funcionario que analiza


Estado de Resultados

Informacin

Datos

Estado de Resultados

Ingresos, Gastos

2010 Deloitte Touche Tohmatsu

Formas de la informacin

Documentos

Grficas

Presentaciones

Mensajes de correo electrnico o de texto

Conversaciones

No se requieren computadores para que exista

2010 Deloitte Touche Tohmatsu

En donde se encuentra la informacin


Registros en papel (todo aquel registro
que usa el papel como medio de
almacenamiento).

Registros Electrnicos (Registros


creados por medios computacionales,
almacenados en medios electrnicos y
recuperables slo por estos medios).

2010 Deloitte Touche Tohmatsu

En donde se encuentra la informacin

Microfilmacin (Registros almacenados


por medios flmicos, es un registro
reformateado de formas alternas).

Documentos digitalizados (Registros


reformateados de formas alternas que
permiten convertir el formato en
imgenes electrnicas).

2010 Deloitte Touche Tohmatsu

Ciclo de vida de la informacin

Obtencin

Almacena

Archiva

Destruye
Destruye

Usa

Distribuye

2010 Deloitte Touche Tohmatsu

Ciclo de vida de la informacin

2010 Deloitte Touche Tohmatsu

Informacin como
soporte de los
objetivos del negocio

2010 Deloitte Touche Tohmatsu

Criterios de informacin de negocio


Para satisfacer los objetivos del negocio, la informacin debe cumplir con algunos
criterios especficos de control que COBIT denomina criterios de informacin de
negocio:

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confialibilidad

2010 Deloitte Touche Tohmatsu

Criterios de informacin de negocio


Efectividad

Eficiencia

Confidencialidad

Integridad

La informacin relevante sea pertinente para el proceso del negocio, y que


su entrega sea oportuna, correcta, consistente y en forma utilizable
Suministro de informacin a travs de la optima utilizacin de recursos (ms
productiva y econmica).

Proteccin de la informacin sensible contra divulgacin no autorizada.


Precisin y suficiencia de la informacin, as como su validez de acuerdo
con las expectativas del negocio.

Disponibildad

Disponibilidad de la informacin cuando sta es requerida por el proceso de


negocio ahora y en el futuro. Salvaguarda de los recursos necesarios y
capacidades asociadas.

Cumplimiento

Cumplimiento de leyes, regulaciones y acuerdos contractuales a los que el


proceso de negocios est sujeto, por ejemplo, criterios de negocio
impuestos externamente asi como polticas internas.

Confiabilidad

Suministro de informacin apropiada para la administracin con el fin de


operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

2010 Deloitte Touche Tohmatsu

Informacin en los
estados financieros

2010 Deloitte Touche Tohmatsu

Informacin Financiera

Estados Financieros

Revelaciones

2010 Deloitte Touche Tohmatsu

Flujo de la informacin financiera


Principios y Prcticas Contables

Aplicaciones
Captura
transacciones,
eventos y
hechos del
negocio

Procesos Crticos

Procesos
Crticos
Informes

Captura
eventos y
hechos del
negocio

Entorno del
negocio,
procesos y
decisiones

Estados
Financieros y
Revelaciones

Juicios y Estimaciones

Datos del
negocio

Proceso de
informacin
financiera

Informacin
contable y
gerencial

Estados
Financieros
y
Revelacion

2010 Deloitte Touche Tohmatsu

Flujo de la informacin financiera


Principios y Prcticas Contables

Aplicaciones

Procesos Crticos
Captura
transacciones,
Ingresos de
eventos y
datos y
hechos del
cambios
negocio

Transferencia
de datos

Conversin /
Proceso

Salidas y
Asientos
contables

Captura
eventos y
hechos del
negocio

Datos e
Informacin
de soporte

Informes
operativos
Principales
afirmaciones

Mtodos y
Clculos

Preparacin de
revelaciones y notas

Juicios y Estimaciones

Consolidacin

Informes
contables

Ajustes a los
informes financieros

Mayor
General

Asientos
contables

Estados
Financieros y
Revelaciones
Proceso de
informacin financiera

Entorno del
negocio,
procesos y
decisiones

Datos del
negocio

Informacin
contable y
gerencial

Estados
Financieros
y
Revelacion

2010 Deloitte Touche Tohmatsu

Manifestaciones que hace la administracin en relacin


con la integridad, validez, y exactitud de los estados
financieros

Aseveraciones

2010 Deloitte Touche Tohmatsu

Aseveraciones
Ocurrencia

Las transacciones y eventos, as como revelaciones, han ocurrido y pertenecen


a la entidad.

Integridad

Todas las transacciones y eventos y activos y pasivos que deben haberse


registrado se han registrado. Todas las revelaciones que debieron haberse
incluido en los estados financieros se han incluido.

Exactitud

Montos y otros datos relacionados con las transacciones y eventos registrados


se han registrado apropiadamente. La informacin financiera y otra, se revelan
razonablemente

Corte

Clasificacin

Existencia
Derechos y
obligaciones
Valuacin

Las transacciones y eventos se han registrado en el perodo correcto


Las transacciones y eventos se han registrado en las cuentas apropiadas. La
informacin financiera y otra, se revelan razonablemente y en montos
apropiados. La informacin financiera se presenta y se describe
apropiadamente y las revelaciones se expresan claramente.
Los activos y pasivos existen.
La Entidad mantiene o controla los derechos a los activos y los pasivos son
obligaciones de la entidad
Activos y pasivos se incluyen en montos adecuados y cualquier variacin
resultante o ajustes de realizacin se registran apropiadamente. La informacin
financiera y otra, se revelan razonablemente y en montos apropiados.

2010 Deloitte Touche Tohmatsu

Aseveraciones

Transacciones y
eventos
Ocurrencia

Integridad

Exactitud

Corte

Clasificacin

Saldos de Cuenta

Presentacin y
revelaciones

X
X

X
X
X

Existencia

Derechos y obligaciones

Valuacin

2010 Deloitte Global Services Limited

Aseveraciones
Ocurrencia

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000
2.000

Las ventas pendientes de cobro que


representan este saldo han ocurrido y son
ventas de la entidad.

10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

La compaa realmente entrego parte de su


cartera como garanta de obligaciones
financieras

2010 Deloitte Touche Tohmatsu

Aseveraciones
Integridad

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000
2.000

Todas las ventas de la compaa se registraron.


Este saldo incluye todas las facturas pendientes
de cobro.

10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

Esta es la nica revelacin relacionada con los


saldos por cobrar a clientes.

2010 Deloitte Touche Tohmatsu

Aseveraciones
Exactitud

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000
2.000

Todas las ventas de la compaa se registraron


por sus valores correctos. Este saldo incluye el
valor correcto de las facturas pendientes de
cobro.

10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

Este es el valor correcto de los saldos de


clientes entregados por la entidad como
garanta de obligaciones financieras

2010 Deloitte Touche Tohmatsu

Aseveraciones
Corte

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000

Las ventas que representan este saldo


corresponden a ventas del ao 2010.

2.000
10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

2010 Deloitte Touche Tohmatsu

Aseveraciones
Clasificacin

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000
2.000

Las ventas pendientes de cobro que


representan este saldo corresponden a ventas
a clientes de la entidad.

10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

El saldo corresponde a saldos que se cobrarn


en el largo plazo

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

2010 Deloitte Touche Tohmatsu

Aseveraciones
Existencia

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000

Los saldos pendientes de cobro efectivamente


existen

2.000
10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

2010 Deloitte Touche Tohmatsu

Aseveraciones
Derechos y
obligaciones

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000

Los saldos pendientes de cobro realmente son


derechos que tiene la entidad a cobrarlos

2.000
10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

2010 Deloitte Touche Tohmatsu

Aseveraciones
Valuacin

3. Deudores
Clientes(1)
Menos: Provisin
Cuentas por Cobrar, neto

2010
$ 12.000
2.000
10.000

Menos: Porcin largo plazo

3.000

Porcin corriente

7.000

El valor neto corresponde al valor estimado que


efectivamente se recaudara de los saldos por
cobrar a la fecha de cierre. La provisin es la
mejor estimacin de los valores que no se
recaudarn.

(1) Incluyen saldos dados en garanta de


obligaciones financieras hasta por un valor de
$ 6.000

2010 Deloitte Touche Tohmatsu

Ocurrencia
Las transacciones y eventos que han ocurrido y pertenecen a la entidad.

Sistema de
Tesorera
Sistema de
inventarios

ENTRADA
INVALIDA

Error potencial: Validez

Sistema
Contable

TRANSACCIONES
DUPLICADAS

VENTAS
FICTICIAS O NO
AUTORIZADAS
2010 Deloitte Touche Tohmatsu

Integridad
Todas las transacciones y eventos que deben haberse registrado se han registrado.

C
TRANSACCIONES NO
IDENTIFICADAS QUE
NO SE INGRESAN

Sistema de
Tesorera

Sistema de
inventarios

ENTRADAS
RECHAZADAS
QUE NO SE
VUELVEN A
REGISTRAR

?
NO SE REGISTRO
EL INGRESO DE
INVENTARIOS

Sistema
Contable

?
D

Error potencial: Integridad


2010 Deloitte Touche Tohmatsu

Exactitud
Montos y otros datos relacionados con las transacciones y eventos registrados se han registrado
apropiadamente.

El ingreso
refleja montos
inexactos

NOMINA
10.000

Sistema de Tesorera

$100

Sistema de
inventarios

$1000
PROCESAMIENTO
INEXACTO

NOMINA
10.000.000

$100

REGISTRO
INEXACTO EN EL
AUXILIAR

Error potencial: Registro

$1000

Sistema
Contable

D + 10

D+1

AJUSTES
INEXACTOS
2010 Deloitte Touche Tohmatsu

Corte
Las transacciones y eventos se han registrado en el perodo contable correcto.
Transacciones
registradas DESPUS
del perodo de corte

Transacciones
registradas ANTES del
perodo de corte

Fecha de hoy
15/03/2010
Transaccin
15/02/2010

Transaccin
15/04/2010

Sistema
Contable

Error potencial: Corte


2010 Deloitte Touche Tohmatsu

Clasificacin
Las transacciones y eventos se han registrado en las cuentas apropiadas.

CUENTA | MONTO
1200 | $5.000

Las transacciones se
registran en la cuenta
equivocada.

CUENTA | MONTO
1100 | $5.000

Sistema
Contable

Error potencial: clasificacin


2010 Deloitte Touche Tohmatsu

Los controles y las


aseveraciones

2010 Deloitte Touche Tohmatsu

Categoras de control
Procesos

Tipo de control

Manual

Tecnologa
Informtica

Controles manuales

Controles manuales
basados en TI

Automtico

Controles de
aplicacin

Previene

Detecta

Errores en los Estados Financieros

Soportan el
funcionamiento
continuo de controles
automticos

Objetivo de control
2010 Deloitte Touche Tohmatsu

Controles automticos

Control de balance: este control detecta errores en el ingreso de informacin al


reconciliar cantidades entre s o frente a totales de control. Por ejemplo: cantidad de
transacciones transferidas desde el sistema de rdenes y cantidad recibida por el
sistema de facturacin.

Dgitos de verificacin: este control valida datos mediante un clculo basado en el


dato mismo. Por ejemplo, dgito de verificacin del NIT.

Lista de datos predefinida: el usuario solo puede seleccionar de una lista de datos
aceptables. Por ejemplo: lista de cdigos de producto con inventario disponible.

Razonabilidad de los datos: el sistema compara los datos capturados frente a datos
predefinidos o contra un patrn de razonabilidad aprendido. Por ejemplo, una orden de
compra de un cliente por una cantidad inusual de producto segn sus hbitos de
compra.

2010 Deloitte Touche Tohmatsu

Controles automticos

Pruebas de lgica: control basado en rangos de datos o en pruebas alfanumricas.


Por ejemplo: edades negativas o muy altas, cantidad de dgitos de la tarjeta de crdito.

Clculos: una rutina del sistema realiza procesamiento matemtico de los datos con
base en una configuracin. Por ejemplo, clculo de depreciacin, clculo de intereses.

Controles manuales basados en tecnologa: controles hbridos donde la tecnologa


provee parte del control y el control se completa con una actividad manual, tales como
los reportes generados por el sistema de informacin que deben ser revisados
manualmente por un usuario para identificar excepciones o desviaciones de
razonabilidad. Por ejemplo: reporte de la edad de la cartera, reporte de ventas por
regional y por agente comercial.

2010 Deloitte Touche Tohmatsu

Controles comunes y aseveraciones relacionadas


Aseveracin Objetivo de Control

Tipo

Completitud
Existencia
Valuacin

Generacin de reportes de variaciones para


identificar errores en el registro o comprobantes
descuadrados.

Manual
basado en
TI

Completitud
Existencia

Las entradas de diario inusuales son registradas y


se les hace seguimiento

Manual
basado en
TI

Completitud
Existencia

El sistema no permite el ingreso de comprobantes


descuadrados

Aplicacin

Completitud
Existencia
Valuacin

No se pueden registrar transacciones en un


periodo cerrado

Aplicacin

Existencia

El sistema segrega las funciones de registro de


transacciones y aprobacin de las mismas

Aplicacin

Completitud
Existencia

El sistema genera un reporte de entradas de diario Manual


el cual es revisado por la gerencia para asegurar
basado en
que las entradas registradas son completas y
TI
apropiadas

2010 Deloitte Touche Tohmatsu

Controles comunes y aseveraciones relacionadas


Aseveracin Objetivo de Control

Tipo

Valuacin

Los cambios al maestro de proveedores son


exactos

Aplicacin

Existencia

Las materias primas se reciben solo si hay una


orden de compra vlida asociada

Aplicacin

Completitud
Existencia

El inventario se reduce solo cuando los bienes son Aplicacin


despachados con rdenes de compra aprobadas

Existencia
Valuacin

Los costos del inventario despachado son


transferidos al costo de ventas

Aplicacin

Valuacin

La depreciacin de activos fijos es


adecuadamente calculada y registrada

Aplicacin

Completitud
Existencia

Los cambios en el maestro de activos son vlidos

Aplicacin

Existencia
Valuacin

Los sistemas de informacin validan la


informacin recibida

Aplicacin

2010 Deloitte Touche Tohmatsu

Evaluacin de los controles


Definir objetivo
de control

Transacciones se realizan de acuerdo con


autorizacin de la administracin

Definir cuenta
especfica

Inversiones

Documentar los
procesos
Inversiones no ajustadas a
polticas de inversin

Identificar
riesgos y
controles

Niveles de aprobacin para


realizar transacciones

Documentar
controles

Polticas, niveles y personal que


autoriza es adecuado

Evaluar la
efectividad del
diseo*

Documentacin y
Evaluacin

Evaluacin de
las eficiencias y
reporte
Validar la
eficacia
operacional
Validacin

Revisin de transacciones para


verificar cumplimiento

Evaluacin de
las deficiencias
y reporte
2010 Deloitte Global Services Limited

Evaluacin de los controles


Definir objetivo
de control

Transacciones se realizan de acuerdo con


autorizacin de la administracin

Definir cuenta
especfica

Inversiones

Documentar los
procesos
Identificar
riesgos y
controles

Transacciones no autorizadas
Controles de acceso mediante uso
de perfiles

Documentar
controles

Perfiles son adecuados a


funciones y cargo

Evaluar la
efectividad del
diseo*

Documentacin y
Evaluacin

Evaluacin de
las eficiencias y
reporte
Validar la
eficacia
operacional
Validacin

Revisin de Perfiles

Evaluacin de
las deficiencias
y reporte
2010 Deloitte Global Services Limited

Evaluacin de los controles

Matriz Riesgo Control


CIA XXXX
PROCESO DE VENTAS
SOX 2008
Caractersticas del Control
Riesgos

Controles

R1, Suministro de
informacin incorrecta
por parte de los
Representantes de
Ventas sobre los
clientes.

Control Propuesto

R2, Realizacin de
ventas a clientes
vinculados con el lavado
de activos o la
financiacin del
terrorismo.

Control Propuesto

Naturaleza del
Control

Frecuencia

Preventivo

Cuando sea
necesario

Manual

Clave

Responsable de
facturacin

Preventivo

Cuando sea
necesario

Manual

Clave

Gerente Financiero

Tipo

Responsable

Documentacin Adicional

C1,1 Realizar una


confirmacin selectiva por
parte del rea de cartera,
directamente con el
cliente de la informacin
suministrada y dejar
soporte de ello.

C2,1 Realizar una


verificacin en las listas
restringidas, con el fin de
garantizar que el cliente
no se encuentra vinculado
con actividades delictivas
o de narcotrfico.

Pruebas de diseo
Propietario del control
Descripcin del flujo del
proceso
Diseado
apropiadamente
Deficiencias
Pruebas de operatividad
Plan de correccin
Indagacin que
corrobora
Evaluacin del Proceso
Entrevistas detalladas
Observacin
Examen de
documentacin
Volver a ejecutar
Brechas / Plan de Accin

2010 Deloitte Global Services Limited

2010 Deloitte Touche Tohmatsu