Espieira, Sheldon y Asociados

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio
No. 5 - 2010

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Boletn Digital // No. 5 - 2010

Contenido
Haga click en los enlaces para navegar
a travs del documento

Contenido

Cerrar

Imprimir

Pgina
anterior

Haga click en los enlaces para llegar directamente a cada seccin

4Introduccin

4Controles en los procesos de negocio

4Riesgos en los procesos de negocio

4Evaluacin de los controles

4Riesgos de acceso 4Riesgos de ingreso

4Conclusin

4Riesgos de rechazo4Riesgos de procesamiento

4Crditos / Suscribirse

4Algunos ejemplos
41. Riesgos frecuentes en el ciclo de ingresos por
ventas y cuentas por cobrar
42. Riesgos frecuentes en el ciclo de compras y
cuentas por pagar
43. Riesgos frecuentes en el ciclo de Nmina

Pgina
siguiente

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Introduccin
Podemos iniciar este boletn mostrando el trmino
riesgo definido por la Organizacin Internacional
de Estndares ISO (por sus siglas en ingls):
El potencial de que una amenaza determinada
explote las vulnerabilidades de un activo o
grupo de activos y que ocasione prdidas o
daos. Usualmente, se mide mediante la
combinacin del impacto y de la probabilidad
de ocurrencia
Por otra parte, de acuerdo con la mayora de
estudiosos y profesionales, el riesgo tambin es
definido como:
La posibilidad de que algo ocurra y que
impacte determinados objetivos, el cual se mide
en trminos de consecuencias y esperanza
matemtica.

Los riesgos son futuros eventos inciertos, los

cuales pueden influir en el cumplimiento de los
objetivos de las organizaciones, incluyendo sus
estrategias, finanzas y operaciones.
De cualquier manera, en las organizaciones, los
riesgos estn asociados directamente con sus
activos y a las amenazas a las que estn
expuestos. En la actualidad, la variedad de estas
amenazas se han incrementado como producto del
avance de la tecnologa, por lo cual la atencin
sobre los riesgos tecnolgicos ha venido tomando
gran relevancia.
Por otra parte, los riesgos en los procesos de
negocios son aquellos que pudieran impactar a una
organizacin, los cuales pueden ser de naturaleza
financiera, reguladora u operacional. El origen de
estos riesgos surge como resultado de la

interaccin del negocio con su ambiente interno

(recursos humanos, procesos y tecnologa) y su
ambiente externo.
Existen dos niveles de riesgo a considerar en los
procesos de una organizacin, de acuerdo con el
grado de automatizacin de sus procesos: riesgos
inherentes y de control. Un tercer nivel de riesgo,
deteccin, como puede observarse en la Figura N
1, debe ser considerado y se refiere a que los
errores materiales producidos, como resultado de los
dos factores de riesgo mencionados anteriormente,
no sean detectados oportunamente y por lo tanto no
puedan tomarse las acciones necesarias.

Para visualizar la Figura No. 1

haga click en el icono.
Figura N 1: Niveles de riesgo en los procesos de negocio de una
organizacin

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Introduccin (continuacin)

Riesgos en los procesos de negocio

Toda organizacin en la cual sus procesos de

negocios descansen sobre sistemas
computarizados, poseen bsicamente tres
clasificaciones de riesgo inherentes, tal como se
observa en la Figura N 2, a saber:

Dado que los procesos de negocio, cada vez

ms, dependen en gran medida de la tecnologa
de la informacin para operar eficientemente, los
riesgos asociados a esta tecnologa han ido
incrementndose. En este sentido, nuevas formas
de riesgo aparecen de acuerdo con el tipo de
industria y el tipo de proceso existente en una
organizacin. Estos riesgos incluyen riesgos de
aplicaciones y riesgos de operaciones. En cuanto
a los riesgos de aplicaciones, stos pueden ser
clasificados bsicamente en cuatro tipos: acceso,
ingreso, rechazo de informacin y procesamiento.

Riesgos de procesos de negocio.

Riesgos de sistemas de informacin.
Riesgos de la funcin de Tecnologa de
Informacin.

Para visualizar la Figura No. 2

haga click en el icono.
Figura N 2: Clasificaciones de Riesgos

Riesgos de acceso
Los riesgos de acceso se originan cuando
personas, sin la debida autorizacin, pueden
visualizar o ejecutar funciones de transacciones
en los programas de aplicacin o registros de
informacin, permitindoles leer, modificar,
agregar o eliminar informacin.

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Los riesgos de acceso pueden originarse,

principalmente, desde tres reas:
Acceso a transacciones o privilegios sensitivos:
en la cual un usuario puede tener acceso a
transacciones que no le corresponden, segn
sus funciones. Por ejemplo, un usuario del
Departamento de Ventas con acceso a
visualizar, incluir o modificar informacin
administrada por el Departamento de Nmina,
tales como: sueldos, horas extras, beneficios
laborales, entre otros.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
Segregacin de funciones: en la cual un usuario
pudiera tener acceso a transacciones, que en
combinacin con las que le corresponden,
pudiera desencadenar acciones no autorizadas
o fraudulentas. Por ejemplo, un usuario que
posea acceso de forma simultnea, para
realizar: pedidos, despachos, facturacin,
registro y conciliacin de las cuentas por cobrar
de los clientes, pudiera realizar pedidos ficticios
o registrar cuentas por cobrar por montos que
no corresponden con los despachos realizados
a los clientes.
Administracin de usuarios y claves de acceso:
en la cual un usuario pudiera tener acceso a
sistemas o recursos del ambiente que no le
corresponden, incrementando el riesgo de

prdida de confidencialidad e integridad de la

informacin que all reside. Por ejemplo, la
utilizacin de claves de usuario de fcil
deduccin, claves de usuario sin fecha de
vencimiento, usuarios genricos o en desuso,
facilitan el acceso de intrusos a las aplicaciones,
sistemas e informacin de la organizacin.
Los riesgos de acceso, generalmente, se
incrementan cuando se realizan migraciones a
nuevos sistemas de informacin. En este caso,
debe existir un plan conjunto entre la Funcin de
Seguridad (CISO: Chief Information Security
Officer) de la Compaa y las reas funcionales,
para el diseo de roles y privilegios sobre las
transacciones a ejecutar por cada usuario.

Riesgos de ingreso
Este tipo de riesgos de ingreso se presentan
cuando la informacin ingresada para el
procesamiento de una funcionalidad es imprecisa,
incompleta o duplicada.
En este sentido, un dato mal ingresado en los
registros maestros (clientes, proveedores,
productos, etc.), puede ocasionar errores en
todas las etapas del procesamiento. Por ejemplo,
una industria de servicios, en donde se ingrese
errneamente un precio menor al real, incide
negativamente en sus ingresos.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
La ausencia de interfaces automticas o que no
funcionen adecuadamente, entre sistemas
independientes, origina un mayor nmero de
errores, incrementando los riesgos de ingreso de
informacin. Ahora bien, este riesgo se disminuye
en el tiempo con la introduccin de tecnologa.
Por ejemplo, actualmente, es poco comn
encontrar organizaciones cuyo proceso de ingreso
de informacin de facturacin sea manual. El uso
cada vez ms frecuente de los sistemas
integrados (ERP), han permitido disminuir el
ingreso manual de informacin, as como la
existencia de sistemas independientes con sus
correspondientes interfaces.

Riesgos de rechazo
Estos riesgos se presentan cuando no se
identifican oportunamente los datos errneos que
son ingresados en el sistema computarizado, o al
no tener definidos adecuadamente los criterios
para identificar cundo una transaccin es
incorrecta o inaceptable en el ambiente de
procesamiento.
Por ejemplo, un control de validacin puede
indicar que un nmero de cuenta es incorrecto o
que la cantidad de horas trabajadas de un
empleado no es razonable. En estos casos, las
transacciones pueden ser:
Aceptadas por el sistema y sealadas en un
informe de excepcin.

Destinadas a ser ubicadas en una cuenta en

suspenso del sistema, en lugar de ser
procesadas.
Completamente rechazadas.
En el primer y segundo caso, deben existir
procedimientos posteriores que permitan analizar
e identificar la falla que produjo el rechazo y
corregir lo que sea necesario, inmediatamente. En
el caso que las transacciones sean
completamente rechazadas, generalmente no
existe un anlisis posterior. Sin embargo, se debe
asegurar peridicamente, a travs de pruebas,
que las rutinas automatizadas que originan el
rechazo funcionan de manera adecuada.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
Existe el riesgo de que algunas transacciones no
sean adecuadamente resueltas y procesadas. En
este caso, se pudieran dejar de tomar en cuenta
transacciones importantes que pudieran afectar
los estados financieros. Por ejemplo, en empresas
de telecomunicaciones o empresas de servicios
elctricos, el no contar con un proceso peridico
y adecuado para la resolucin de transacciones
en suspenso, puede incrementar el riesgo de
fraude e incidir negativamente en los ingresos de
la organizacin.
Riesgos de procesamiento
Los riesgos de procesamiento estn presentes
cuando las transacciones que han sido
ingresadas u originadas por el sistema no son

registradas, son registradas en forma incompleta,

inexactas o registradas en el perodo contable
incorrecto.
Si el formato de los datos es incorrecto o no se ha
verificado su consistencia con la estructura de los
datos existentes, es posible que los registros
contables sean actualizados en forma incorrecta o
incompleta.
Este tipo de riesgo puede estar relacionado con
los riesgos descritos anteriormente. Si el ingreso
de datos es incorrecto, el resultado del
procesamiento va a ser igualmente incorrecto.
Asimismo, si los datos errneos no son
rechazados oportunamente, el procesamiento no
va a ser adecuado.

Adicionalmente, el correcto procesamiento de una

rutina automatizada, depender tambin de otros
elementos, tales como: correcta aplicacin de
frmulas, adecuado flujo de informacin en el
sistema, consideracin de casos base y de
excepcin en el procesamiento, entre otros.
El riesgo de procesamiento merece especial
atencin, en cuanto a los controles a establecer,
ya que la gama de controles es amplia y viene
dada desde controles manuales hasta controles
de verificacin automatizados, como son:
detectivos, preventivos y correctivos.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
Algunos ejemplos
A continuacin se presentan algunos ejemplos de
riesgos de negocio que se presentan tpicamente
en las actividades del da a da de una
organizacin. Estos ejemplos muestran los
riesgos en algunos ciclos de negocio, tales como:
ventas y cuentas por cobrar, compras y cuentas
por pagar y nmina, en diversos tipos de
industria.

Sin embargo, la gran mayora de las

organizaciones posee una serie de actividades
comunes que pueden ser resumidas, como se
muestra en la Figura N 3, de la siguiente manera:
planificacin de las ventas, pedidos, despacho,
facturacin, cuentas por cobrar y gestin de
cobranzas.

Cada una de las actividades se relaciona a travs

del flujo de informacin, que bien pudiera ser
administrado bajo procedimientos manuales o
automatizados. En la Figura N 4 puede
observarse este flujo de informacin.

1. Riesgos frecuentes en el ciclo de ingresos por

ventas y cuentas por cobrar
Las actividades existentes en el ciclo de ingresos
por ventas y cuentas por cobrar pueden variar
dependiendo del tipo de industria y de la filosofa
de administracin existente en la organizacin.

Para visualizar la Figura No. 3

haga click en el icono.
Figura N 3: Actividades del ciclo de ingresos por ventas y
cuentas por cobrar

Para visualizar la Figura No. 4

haga click en el icono.
Figura N 4: Flujo de informacin en el ciclo de ingresos por
ventas y cuentas por cobrar

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
En cada una de estas actividades, pudieran
presentarse riesgos de aplicaciones y de
operaciones que afecten la gestin administrativa
y/o financiera de la organizacin. Un ejemplo de
estos riesgos se presenta en la siguiente tabla:

Para visualizar la tabla haga

click en el icono.

Adicionalmente, los datos maestros de clientes y

de productos pudieran presentar algunas
situaciones, tales como: clientes sin registro de
informacin fiscal; con condiciones de pago no
autorizadas, en cuanto a lmite de crdito y das

de crdito; sin direccin de ubicacin o telfono

contacto; entre otros; as como productos con
descripcin incompleta, con precio no actualizado
o con descuentos no autorizados.
Todas estas situaciones planteadas pudieran
ocasionar, entre otros, problemas como: registros
duplicados, procesamiento de clculos
incorrectos, subestimacin o sobrestimacin de
los ingresos, tanto para la compaa como para
los clientes y relacionados.
Por otra parte, el riesgo en la gestin de
cobranzas requiere de mecanismos de control
exhaustivos. Las organizaciones en las cuales los
vendedores realizan la gestin de cobranza, se ve
expuesta a un margen mayor de riesgo, en cuanto

al registro oportuno de los cobros realizados o al

fraude, as que los controles deben ser
fortalecidos.
Otro de los aspectos de importancia lo constituye
el hecho de que la Compaa pudiera enfrentarse
con situaciones legales que comprometen su
reputacin y originar amonestaciones. Ejemplo de
estas situaciones, es el caso que se presenta
cuando ocurre un mal clculo de los impuestos
vigentes, la generacin de facturas sin la
informacin fiscal requerida o el incumplimiento
de otros deberes formales.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
2. Riesgos frecuentes en el ciclo de compras y
cuentas por pagar
La gestin de compras y cuentas por pagar,
tpicamente realizada por una organizacin,
incluye una serie de actividades que pueden
observarse en la Figura N 5.

Para ampliar: haga click sobre la imagen

Ciclo de Compras y Cuentas por Pagar

Gestin de
Datos Maestros

Planificacin

Compras

Cuentas
por Pagar

Interfaces

Gestin de
Existencias

Registro
Contable
Figura N 5:
Actividades tpicas del ciclo de
compras y cuentas por pagar

qRetorno

La gestin de compras o procura puede ser muy

variada de un tipo de industria a otra. Existen
compaas que compran diferentes tipos de
materiales o mercancas, de acuerdo con su
utilizacin ya sea materia prima, insumos,
repuestos o material de oficina, en donde una
compaa de servicios pudiera reducir estos tipos
de inventario y en el caso de una institucin
financiera, aunque no posee compras de materia
prima, la adquisicin de materiales de oficina o
papelera puede ser bastante significativa.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
Para cada tipo de compras, existen riesgos
especficos asociados y tambin diferentes
maneras de controlarlos. Por ejemplo, un riesgo en
la compra de materiales podra originarse cuando
la cantidad de mercanca adquirida es desviada de
su destino programado. Por otra parte, un riesgo
significativo en la compra de repuestos se debe
controlar en el momento de su recepcin, en
donde se devuelva la mercanca que no est
acorde con las condiciones pactadas; mientras
que al contratar un servicio se entiende que no
posee la figura de la devolucin y los proveedores
deben ser medidos, constantemente, por la calidad
del servicio.

Algunos ejemplos de riesgo o falta de control

presentes en el ciclo de compras y cuentas por
pagar, se mencionan a continuacin:
Falta de criterios adecuados y especficos para
tipos, cantidades, especificaciones y
condiciones de mercanca.
No impedir o detectar oportunamente registros
incorrectos en cuanto a precio, cantidad,
importe, proveedor o nmero de cuenta.
No ingresar parcial o totalmente los pedidos o
documentos de recepcin para su
procesamiento.
Omitir la emisin de rdenes de compra.
Inadecuada segregacin de funciones.
No realizar seguimiento a los pedidos
pendientes por recibir.

Inadecuados niveles de aprobacin de las

compras.
No detectar y/o resolver oportunamente las
diferencias entre pedidos, recepcin y facturas.
No controlar la adquisicin de mercancas
segn los estndares de calidad definidos.
Falta de revisin y/o deteccin de compras con
precios excesivos o no autorizados.
Compras de mercancas o materiales no
autorizadas, no requeridas o que no estn en el
orden de prioridad de la compaa.
Efectuar compras a proveedores extranjeros, sin
cumplir con las cuotas proyectadas de
importacin y obviando los requerimientos
legales.
Compras a proveedores cuyos intereses sean
contrarios a los de la compaa.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Riesgos en los procesos de negocio

(continuacin)
Realizar compras con acentuada antelacin que
afecten la liquidez de la compaa, costos
adicionales de almacenaje, prdidas y
extemporaneidad de los productos.
De manera similar que en el ciclo de ventas y
cuentas por cobrar, otro riesgo frecuentemente
presentado en el ciclo de compras y cuentas por
pagar, se refiere a una inadecuada administracin
de los datos maestros, los cuales, por su falta de
precisin y/o integridad, afectan los libros de
compras, y por tanto originan incumplimiento de
deberes formales.
Por otra parte, las organizaciones deben hacer
seguimiento de la calidad de sus proveedores,
con criterios como: calidad de la mercanca o

servicio, oportunidad de entrega, cumplimiento de

cantidades, entre otros. En este sentido, el
sistema de informacin debe tener la capacidad
de manejar dicha informacin y permitir generar
indicadores de gestin, los cuales sirven de base
objetiva para supervisar la calidad de los servicios
recibidos de los proveedores.

La gestin de pagos es otro factor de riesgo

importante que debe ser debidamente planificado
y controlado, ya que pudieran existir pagos a
proveedores ficticios o pagos por encima del
monto estipulado.
3. Riesgos frecuentes en el ciclo de Nmina

Asimismo, la planificacin de las compras resulta

generalmente de un anlisis de las futuras ventas
y, por lo tanto, del material necesario para cubrir
con esas ventas. En este sentido, una
planificacin no adecuada pudiera originar
subestimacin o sobrestimacin de las compras
que pudiera afectar el proceso productivo.

Los costos laborales generalmente representan

un monto significativo en los costos de cualquier
organizacin. Es adems un costo peridico que
significa una erogacin de dinero en efectivo al
personal.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Al igual que los ciclos evaluados anteriormente, la

administracin del ciclo de nmina y/o de los
costos laborales, depende del tipo de industria.
Una empresa de manufactura pudiera tener como
poltica el asignar bonos de produccin por
cantidades producidas, mientras que para una
empresa de servicios los pagos de nmina
corresponden a las horas trabajadas por sus
empleados, siendo los pagos adicionales las
horas extras.

Para ampliar: haga click sobre la imagen

En este sentido, en la Figura N 6, se muestran las

actividades que generalmente se llevan a cabo en
el ciclo de nmina.

Infraestructura Tecnolgica

Aplicacin
de Polticas
Salariales

Maestro
de Personal

Pgina
anterior

Pgina
siguiente

A continuacin, se presentan algunos de los

riesgos o faltas de control asociados a este ciclo:
No registrar correctamente los datos de control
de presencia, hojas de tiempo, horas extras,
entre otros.
Que no exista un adecuado seguimiento sobre
aspectos como: hojas de tiempo, control de
presencia y horas extras.
Que no exista una adecuada segregacin de
funciones.

Registro Contable

Figura N 6: Actividades del ciclo de

nmina

Imprimir

La actividad de polticas salariales incluye todo lo

relacionado con los clculos de asignaciones,
beneficios econmicos otorgados al trabajador y
deducciones.

Ciclo de Nmina

Definicin
de Polticas
Salariales

Cerrar

qRetorno

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Riesgos en los procesos de negocio

(continuacin)
Que las asignaciones y deducciones no sean
ingresadas correctamente y en el perodo al cual
corresponde.
Que las asignaciones y deducciones no sean
calculadas de forma exacta.
Que los impuestos sobre la nmina no se
determinen y registren de acuerdo con las
normas legales vigentes.
Por el ingreso de datos ficticios al sistema de
nmina que alteren los montos a pagar a uno o
varios trabajadores.
Por pagos de nmina no realizados por el
importe, perodo o empleado correcto.
Que la contabilizacin de la nmina y de pagos
manuales (cheques o sobres) no se ingresen
correctamente o en el perodo adecuado.
Por la realizacin de pagos por caja y anticipos
no controlados adecuadamente.

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Controles en los procesos de negocio

Adicional a los riesgos existentes, desde el punto

de vista econmico, debe tomarse en cuenta la
susceptibilidad que tiene este ciclo con respecto
al entorno regulatorio y controles sindicales que
pudiera afectar negativamente a la organizacin,
en caso de errores involuntarios o fallas
intencionales.

Todo proceso de negocio debe contemplar una

serie de controles que mitiguen los riesgos
existentes. En este sentido, los controles pueden
ser automatizados o manuales, dependiendo del
grado de automatizacin que exista en el proceso,
no obstante, un control puede ser manual y,
posteriormente, ser automatizado. En todo caso,
el costo de un control no debera exceder los
beneficios que otorgan los activos involucrados,
la mitigacin de riesgo y el valor del objetivo del
control per se.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Controles en los procesos de negocio

(continuacin)
El control es definido por la organizacin ISACA
(Information Systems Audit and Control
Association), como: las polticas, procedimientos,
prcticas y estructuras organizativas diseadas
para brindar garanta adicional de que se lograrn
los objetivos del negocio y se impedirn,
detectarn o corregirn los acontecimientos no
deseados.
Por otra parte, un objetivo de control es una
declaracin del resultado o del propsito que se
desea alcanzar mediante procedimientos de
implementacin de controles en una actividad
particular.
La efectividad de un control puede ser medida en
trminos de la probabilidad que detecte, prevenga

o corrija una anomala determinada. En otras

palabras, que mitigue los riesgos para los cuales
fue diseado. En la Figura N 7 puede observarse
la clasificacin de los controles.
Para ampliar: haga click sobre la imagen
Correctivo
Riesgo

Detectivo
Control

Riesgo

Control

Correctivo
Riesgo

Figura N 7: Clasificacin
de los controles

qRetorno

Los controles preventivos, estn diseados para

impedir o restringir la ocurrencia de un error,
omisin o intrusin no autorizada. Por ejemplo:
validaciones del sistema de informacin en el
ingreso de datos (clave de usuario, montos,
fechas, entre otros), definicin de polticas y
procedimientos para la restriccin de los accesos
a los usuarios o bloqueo de cuentas de usuarios
por tener cierto tiempo sin conectarse a los
sistemas.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Controles en los procesos de negocio

(continuacin)
Los controles detectivos, como su nombre lo
indica, detectan y reportan los errores, omisiones
y uso o entradas no autorizadas en el momento
que stos se presenten. Por ejemplo, el establecer
pistas de auditora o logs que permitan identificar
a los usuarios que han efectuado modificaciones
a datos especficos, como tambin la emisin de
mensajes de alerta cuando un cliente sobrepasa
su lmite de crdito. Los controles detectivos,
normalmente, requieren de un anlisis, por parte
del personal de la Compaa, con el fin de tomar
las acciones adecuadas, oportunamente.
Los controles correctivos estn diseados para
corregir los errores, omisiones y los usos e
intrusiones no autorizados. Estos controles estn
asociados con los controles detectivos y

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Evaluacin de los controles

complementan su accin. Como ejemplos de este

tipo de controles, tenemos los planes de
contingencia o la toma peridica de respaldos a la
informacin generada por los sistemas.

Los controles deben ser peridicamente

evaluados, con el fin de determinar su nivel de
eficacia, con respecto de los riesgos que estn
mitigando. La evaluacin debe tomar en cuenta la
evolucin de las nuevas formas de riesgo que se
presentan en la Compaa, como resultado de los
cambios en las adaptaciones tecnolgicas y en el
ambiente de la organizacin, como tambin como
consecuencia de nuevas polticas o
procedimientos, regulaciones legales, entre otros.
La evaluacin de los controles debe arrojar como
resultado: s los controles que estn mitigando los
riesgos son efectivos, s son suficientes, s
necesitan fortalecerse o reemplazarse por nuevos
esquemas de control.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Evaluacin de los controles

(continuacin)
Existen diversas formas de evaluacin de los
controles, entre los cuales se pueden indicar los
siguientes:
Evaluaciones rutinarias.
Auditoras sobre controles.
Indicadores de gestin.
Las evaluaciones rutinarias son aquellas que se
realizan sobre las actividades normales del da a
da. No quiere decir esto que se conviertan en
controles sobre controles, generalmente se puede
ejecutar sobre los controles ms crticos o los que
estn recientemente implantados y requieren de
un perodo de prueba y adaptacin. Puede
tambin establecerse una rotacin de pruebas a
los controles que permita evaluar diversos
controles de una forma rutinaria.

Otra manera de evaluar los controles es mediante

la aplicacin de auditoras, tanto internas como
externas. Generalmente, debe comenzar con una
planificacin, donde se identifiquen los riesgos
para posteriormente desarrollar un programa de
auditora que comprenda objetivos y
procedimientos. El proceso de auditora requiere
que se renan evidencias sobre los hallazgos
detectados en la evaluacin y que se reporten de
una manera objetiva.
El propsito bsico de una auditora es identificar
los objetivos de control y los controles
relacionados que se ocupan del objetivo. Parte
importante de las auditoras sobre los controles,
son las pruebas de cumplimiento y substantivas.

Las pruebas de cumplimiento, determina si los

controles estn siendo aplicados en una forma
que cumple con las polticas y procedimientos de
la gerencia y pueden ser evaluados, mediante la
seleccin de muestras de procesos o actividades
o por observacin exhaustiva. Por su parte, las
pruebas substantivas fundamenta la integridad de
un procesamiento real. Mediante estas pruebas,
se toma la totalidad de la informacin de un
perodo determinado o con una caracterstica
determinada y se verifica la correcta aplicacin de
los controles.
A medida que la auditora brinde satisfaccin a
travs de pruebas de cumplimiento, se pudiera
disminuir la cantidad de pruebas substantivas
necesarias.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Evaluacin de los controles

(continuacin)
Con respecto a los indicadores de gestin, como
forma complementaria de medir los controles, cada
vez son ms utilizados por las organizaciones, ya
que permiten hacer un monitoreo constante y han
permitido hacer ms competitivas a las
organizaciones.
Las organizaciones deben realizar un estudio sobre
los indicadores tiles segn su tipo de industria y
condiciones especficas, y posteriormente describir
cules son los indicadores clave que van a ser
medidos de forma regular.

Existen tres tipos bsicos de indicadores:

Key Performance Indicators (KPI), normalmente
utilizado para monitorear la eficiencia
operacional.
Key Control Indicators (KCI), utilizado para
medir la efectividad de los controles.
Key Risk Indicators (KRI), que son bsicamente
una seleccin de KPIs y KCIs realizada por los
administradores de riesgo, con el fin de
monitorear los riesgos.

Una organizacin pudiera decidir hacer la mejor

combinacin posible para la evaluacin de sus
controles, de acuerdo con los aspectos
mencionados anteriormente. En todo caso, lo ms
importante es crear un hbito continuo de
evaluacin de controles que permita mitigar los
riesgos existentes y ms all pensar en los futuros
riesgos a los que se enfrentar la organizacin.

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Conclusin
Los procesos de negocio en cualquier tipo de
industria son comnmente apoyados cada vez
ms por sistemas de informacin y plataformas
tecnolgicas, que a su vez cada da poseen
mayores funcionalidades y complejidades. Esta
situacin genera nuevas formas de riesgo que
podemos englobar en tres clasificaciones: Riesgo
de procesos de negocio, riesgo de sistemas de
informacin y riesgos de la funcin de tecnologa
de informacin.

Estas tres clasificaciones estn altamente

interrelacionadas, dado que si ocurre algn
evento en la funcin de tecnologa de informacin,
pudiera afectar directamente a los procesos de
negocio. Lo mismo pudiera ocurrir si se produce
algn evento en los sistemas de informacin. Esta
situacin lleva a las organizaciones a refinar su
control interno, de modo de incluir controles
manuales y automatizados dirigidos a cada una
de las tres clasificaciones mencionadas.
Estos controles pueden ser preventivos,
detectivos o correctivos de acuerdo con su
funcin natural. Si bien es cierto que estos
controles pueden ser diseados e implantados en
un momento determinado, la dinmica de los
negocios hoy en da exige la evaluacin peridica
de su efectividad y en caso de ser necesaria la
restructuracin de los mismos.

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Boletn Digital // No. 5 - 2010

Boletn de Asesora Gerencial

Gestin de Riesgo y Control en los Procesos de Negocio

Contenido

Cerrar

Imprimir

Pgina
anterior

Pgina
siguiente

Si desea suscribirse haga click en la barra

El Boletn Asesora Gerencial es publicado por la
Lnea de Servicios de Asesora Gerencial (Advisory)
de Espieira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers.
El presente boletn es de carcter informativo y no
expresa opinin de la Firma. Si bien se han tomado
todas las precauciones del caso en la preparacin
de este material, Espieira, Sheldon y Asociados no
asume ninguna responsabilidad por errores u
omisiones; tampoco asume ninguna responsabilidad
por daos y perjuicios resultantes del uso de la
informacin contenida en el presente documento.
*connectedthinking es una marca registrada de
PricewaterhouseCoopers. Todas las otras marcas
mencionadas son propiedad de sus respectivos
dueos. PricewaterhouseCoopers niega cualquier
derecho sobre estas marcas
Editado por Espieira, Sheldon y Asociados
Depsito Legal pp 1999-03CS141
Telfono mster: (58-212) 700 6666

2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espieira, Sheldon y Asociados. A medida
que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espieira, Sheldon y
Asociados no ser responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podr ejercer control sobre su juicio profesional ni
tampoco podr comprometerlas de manera alguna. Ninguna firma miembro ser responsable por los actos u omisiones de cualquier otra firma miembro ni
podr ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podr comprometer de manera alguna a otra firma miembro o a PwCIL.
R.I.F.: J-00029977-3

Boletn Digital // No. 5 - 2010

Figura N 1:
Niveles de riesgo en los procesos de negocio de una organizacin
Regresar
al boletn Aumentar Imprimir

Control

Inherente

Riesgos

Deteccin

Boletn Digital // No. 5 - 2010

Figura N 2:
Clasificaciones de Riesgos
Regresar
al boletn Aumentar Imprimir

Proceso
1

Sistemas
de Informacin

Nmina

Inventario

Proceso
2

Venta

Riesgos de Procesos
U
V`>`i>>i
U
V`>`i>>>`>

Proceso
n

Cont

Fact

Riesgos Funcionales
U
VViivi>>Vi
U}i`i`>
U,iV>`i`>
U*Vi>i

Mdulo Seguridad
DBMS
Sistema Operativo
LAN
WAN
Plataforma
Tecnolgica

Internet

Riesgos de la Funcin de TI
U"}>>V>`>V`i
tecnologa de informacin
U
VVi>>>>v>iVgica
U
`iV>Lv?V
U*>`iiVi>ViV>`i
contingencia

Boletn Digital // No. 5 - 2010

Figura N 3:
Actividades del ciclo de ingresos por ventas y cuentas por cobrar
Regresar
al boletn Aumentar Imprimir

Ciclo de Ingresos
Planificacin

Pedidos

Despacho

Facturacin

Cuentas por
Cobrar

Gestin de
Cobranzas

Registro Contable
Infraestructura Tecnolgica

Boletn Digital // No. 5 - 2010

Figura N 4:
Flujo de informacin en el ciclo de ingresos por ventas y cuentas por cobrar
Regresar
al boletn Aumentar Imprimir

BD
Pedidos de Productos

Ingresos de Ordenes
de Pedidos

U>i`i
ii
U>i`i`V
U>i`iiiV>

U,>`i`LVn
U>`iV>}>
Ui`ii>

BD

Tramitacin de pedido
y ruteo

Transaccin de pedido BD

Facturacin BD
Facturacin
Factura firmada

i>VL>

`>Vn

i>
L>

Boletn Digital // No. 5 - 2010

Tabla
Ejemplos de riesgos
Regresar
al boletn Aumentar Imprimir

Riesgos

Posible rea afectada

Acceso de personas no
autorizadas

Aprobacin, modificacin, inclusin o eliminacin de:

Informacin de las rdenes de pedido recibidas
Elaboracin de notas de entrega sin orden de pedido
Modificacin de las unidades de la orden de pedido o notas de entrega
Despacho de mercancia sin pedido asociado
Ingreso de unidades superiores a la orden de pedido
Modificacin de los precios o tarifas de aduana o notas de crdito
Modificacin de los descuentos correspondientes a los clientes
Modificacin de las unidades por facturar
Aprobacin de ajustes en las facturas o notas de crdito

Los datos ingresados

pueden ser imprecisos,
incompletos o ser
ingresados ms de una
vez

Los datos como precios, cantidades, condiciones de pagos, lmites de crdito

y tasas de impuestos en documentos como:
Ordenes de pedido
Movimientos de inventario
Facturas o notas de crdito

Los datos rechazados

pueden no ser
identificados, analizados o
corregidos oportunamente

Pagos de clientes
Ordenes de pedido
Movimientos de inventario
Facturas o notas de crdito
Pagos de clientes
Partidas en suspenso

Los datos no son

procesados en forma
completa y precisa en el
perodo contable
adecuado

Saltos de correlativos
Registro inadecuado de las cuentas por cobrar o de las cobranzas en los
estados de cuenta de los clientes
Informacin incompleta al cierre de los estados financieros
Transferencias desde y hacia otros sistemas