Está en la página 1de 67

UNIDAD No.

2 CONTROLES

RIESGOS Los riesgos afectan la capacidad de la organizacin de sobrevivir, competir con xito o mantenerse con una fortaleza financiera adecuada, la imagen pblica positiva o la calidad de productos o servicios que brinda. DEFINICION Riesgo es una medida de la incertidumbre. En este sentido, se ha definido al riesgo como el nivel de exposicin a las incertidumbres que una empresa debe entender y efectivamente administrar para lograr alcanzar sus objetivos y crear valor para sus interesados. Clasificacin de los factores de riesgo Segn el Informe COSO existen diferentes factores de riesgo, los cuales son clasificados en factores externos e internos de riesgo: Factores externos: o Desarrollo tecnolgico o Cambio en expectativas de clientes o Competidores o Leyes y regulaciones o Economa Factores internos: o Interrupcin de sistemas informticos o Deterioro de la calidad del personal o Cambio en la asignacin de responsabilidades o Cambio en actividades y accesibilidad de los activos

en Implementing Turnbull A Boardroom Briefing se ha desarrollado la siguiente clasificacin en cuatro categoras de riesgo: o De negocio, o Financieros, o De cumplimiento, o Operacionales y otros

Los riesgos pueden ser apreciados en tres niveles: Estratgico: Esta apreciacin de riesgos se utiliza como gua de la organizacin durante un prolongado perodo de tiempo (hasta diez aos). Dicho procedimiento es usualmente realizado por la Direccin y Alta Gerencia: Proceso / programa / procesos: Esta apreciacin de riesgos es utilizada, desarrollada y gerenciada durante el perodo actual de la organizacin. El gerente del proceso, programa o proceso es la persona que inicialmente tiene la responsabilidad de la apreciacin. Operacional: Utilizado en las operaciones diarias. Es ta apreciacin es usualmente realizada por el nivel de supervisin o por individos o equipos de trabajos designados para tal tarea.

Identificacin de riesgos 3.1.1. Concepto En la realizacin de los pronsticos a corto y mediano plazo, en el planeamiento estratgico es apropiado efectuar la identificacin de los riesgos de negocio. Qu preguntas podemos hacernos a efectos de realizar dicha identificacin de riesgos?: o Qu no nos gustara ver aparecer en la prensa? o Qu problemas han tenido nuestros competidores en aos recientes? o Cules son los tipos de fraude a los cuales nuestro negocio puede ser susceptible? o Cules son los mayores riesgos legales y regulatorios a los cuales nuestro negocio est expuesto? o Qu riesgos provienen de los procesos de negocio?

. El riesgo no puede ser medido, priorizado o gerenciado hasta que el mismo haya sido identificado.

Mtodos de identificacin de riesgos Los tres mayores enfoques para identificar riesgos son: Anlisis de exposicin Anlisis ambiental Escenarios de amenazas

El enfoque de escenarios de amenazas Si el mayor propsito del escenario es la amenaza de fraude, el escenario de cmo puede ser realizado debe cubrir los siguientes tres elementos: o Robo: cmo el activo puede ser robado o Ocultamiento: cmo el ladrn puede ser ocultado o no descubierto. o Conversin: Cmo el ladrn puede convertir el activo a su uso personal. Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de seguridad, se convierte en un blueprint para el crimen. Este documento debe ser adecuadamente asegurado cuando no se est usando
Anlisis de riesgos Una vez identificados los riesgos es necesario analizar los mismos. El proceso de anlisis de riesgos comprende: Medir el riesgo, Administrar los mismos

Medicin del riesgo 3.2.1.1. Concepto Una vez que los riesgos y las consecuencias son identificados, el prximo paso es medir los riesgos. Medir riesgos es difcil debido a su naturaleza intangible

. Los gerentes prefieren pensar en trminos cualitativos ms que en trminos cuantitativos. Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y alto) es suficiente para sus necesidades
Mtodos para medir riesgos Hay diferentes enfoques para medir riesgos y consecuencias: Estimaciones de probabilidad y funciones de prdidas esperadas: La aplicacin de probabilidades a los valores de los activos para determinar la exposicin a prdidas. Factores de riesgos: El uso de factores observables Matrices de medicin: El uso de matrices de amenazas y componentes para evaluar consecuencias y control

Factores de riesgo La medicin de riesgos usualmente involucra jucios subjetivos y referencia a datos objetivos o histricos. A menudo, la medicin de riesgos es realizada a travs del anlisis de una serie de factores de riesgos tales como: Complejidad de los negocios, Monto monetario al riesgo, Liquidez de los activos, Competencia de la Gerencia, Fortaleza de los controles internos Tiempo desde la ltima auditora Hay tres tipos de factores de riesgos comnmente utilizados: Factores subjetivos de riesgo, Factores objetivos de riesgo o histricos, Factores de riesgos calculados

Patton, Evans y Lewis describen 19 de los ms populares factores de riesgo utilizados por auditores: Calidad de los controles internos Compentencia de la gerencia Integridad de la gerencia Tamao de la unidad Cambios en los sistemas contables Complejidad de las operaciones Liquidez de los activos Cambios en el personal clave Condiciones econmicas de la unidad Rpido crecimiento Extensin del uso de la computadora Tiempo desde la ltima auditora Presin en la gerencia para alcanzar los objetivos Extensin de las relaciones gubernamentales Nivel de tica en los empleados Planes de auditora de los auditores externos Exposicin poltica Necesidad de matener una apariencia de independencia del auditor interno Distancia de las oficinas centrales

Existen diferentes estrategias de administracin de riesgos, las cuales pueden clasificarse de la siguiente manera: Eliminar. En esta estrategia la Gerencia intenta abandonar el proceso en cuestin, teniendo en cuenta que no puede manejar los riesgos de dicho proceso adecuadamente. Tratar de prohibir el proceso, pararlo, eliminarlo, etc. Retener. Por este mecanismo la Gerencia tratar de mantener el proceso en cuestin, aceptando los riesgos involucrados en el mismo. En dichas estrategias se encuentran la aceptacin del nivel de riesgos, la propia asegurabilidad, el contrapeso con otros procesos, etc. Reducir. Mediante esta estrategia la Gerencia intentar reducir los riesgos a niveles aceptables para retener los mismos. En este caso la Gerencia tratar de diversificar los riesgos o controlar los mismos.

Transferir. En este caso la Gerencia intentar involucrar a un tercero en la administracin de sus propios riesgos. En estas estrategias se encuentran los seguros, reaseguros, acciones de cobertura y de indemnizacin, la securitizacin, el compartir riesgos, el outsourcing de determinados procesos, etc. Explotar. En esta ltima estrategia la Gerencia intentar transformar el riesgo como efecto negativo en una oportunidad y desarrollo para la empresa. En este caso, podemos encontrar la expansin de operaciones, la creacin de otros procesos o productos, e l rediseo de procesos o productos, la reorganizacin, la renegociacin, etc

RIESGOS QUE AMENAZAN LA INFORMACION


EXTERNOS Naturales (Temblor, Incendio, Inundacin, Tormenta) Humanos (Robo, Sabotaje, Motines sociales, Fraude) Materiales (Desperfectos en el equipo, Fallas de energa)

RIESGOS QUE AMENAZAN LA INFORMACION


INTERNOS Robo de (Papelera y Utiles, Recursos, Informacin de Datos, Programas) Sabotaje Destruccin de (Datos y/o recursos, voluntaria o involuntaria) Huelgas Fraude

Poca o ninguna restriccin fsica en el acceso al equipo Carencia de un Depto. de auditora interna Control absoluto sobre las actividades desarrolladas por el PED Falta de documentacin sobre los sistemas y programas en produccin. Errores corregidos mediante solicitudes verbales Cambios en lnea a los datos contenidos en el sistema Poco o ningn control sobre el uso de reportes elaborados por el PED Uso del PED en horario nocturno, sin ninguna supervisin sobre las funciones que se realizan.

AMBIENTE DEBIL DE CONTROL PROPICIO PARA EL FRAUDE:

AMBIENTE DEBIL DE CONTROL PROPICIO PARA EL FRAUDE:


Poco o ningn control sobre el consumo y circulacin de suministros. Los Deptos usuarios no revisan la informacin procesada y preparada por el PED Solicitudes verbales de cambios de programas. Programas fuente que permanecen en el sistema. Presencia en el directorio de programas ajenos a la produccin de la empresa. Poca o ninguna rotacin de personal, ausencia de planes de vacaciones, etc. Procesamiento de datos fuera del mbito de la empresa, con gran flujo de documentos e informacin sin ningn control.

DEFINICIONES DE CONTROL
Control puede usarse de diferentes formas: comprobacin, examen, inspeccin, verificacin, direccin, gobierno, mando. En el campo de la administracin de empresas se suele utilizar ambos significados: Acto aislado y simple de verificacin (sentido estricto) Funcin de la direccin de empresas (sentido amplio).

Es una medida y correccin del desempeo de las actividades de los subordinados para asegurar que los objetivos y planes de la empresa, diseados para lograrlo, se estn llevando a cabo.

La funcin de control:
Control es todo lo que tiende a evitar errores. Control es todo lo que tiende a minimizar riesgos.
Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organizacin obtengan los objetivos previstos, dentro de los lmites prefijados. No se limita exclusivamente a verificar en qu medida se logra un objetivo. El control ntegramente considerado debe considerar que los actos logren los resultados previstos y no solamente sealar las eventuales desviaciones.

El

control es la suma de factores deliberadamente dispuestos por la organizacin con el fin de: Condicionar cada acto, asegurando que sea realizado de un modo determinado. Determinar la medida en que cada acto dio el resultado previsto. Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el proceso.

PROCESO BASICO DEL CONTROL:


Establecimiento de Normas Evaluacin de la Actuacin Correccin de las Desviaciones

REQUISITOS QUE DEBEN CUMPLIR LOS CONTROLES:


1. Deben reflejar la naturaleza y necesidades de la empresa 2. Deben reportar prontamente las desviaciones 3. Deben ser futuristas 4. Deben sealar excepciones 5. Deben ser objetivos 6. Deben ser flexibles 7. Deben ser econmicos 8. Deben ser comprensibles 9. Deben conducir a la accin correctiva.

Las labores de control se enfrentan siempre a fuerte oposicin: Por parte de los eficientes y honestos, porque lo consideran innecesario, inhibitorio o degradante, De los deficientes, porque no se percatan de su utilidad y por parte de los deshonestos, porque les estorba.

POR SU NATURALEZA GENERALES (VARIOS SISTEMAS) MANUALES (USO DE HUMANWARE) AUTOMATICOS (INCORPORADOS)

CLASIFICACION DE LOS CONTROLES

POR SU EFECTO: DISUASIVOS DE EVIDENCIA PREVENTIVOS *** DETECTIVOS *** CORRECTIVOS *** RECUPERATIVOS

POR SU ESTADO: RECOMENDADOS DESCARTADOS IMPLANTADOS

*** Controles de Aplicaciones que se ampliarn

CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
Caractersticas: Reducen la frecuencia de errores Previenen operaciones no autorizadas Son sutilmente incorporados en procesos Son los de mas bajo costo.

los

Autorizacin: La iniciacin de una transaccin o la ejecucin de un proceso se limita a los individuos autorizados para ello.

Custodia Segura: A los activos de informacin se les aplican medidas de seguridad similares a las de los activos tangibles, tales como efectivo, valores negociables, etc.

Formas prenumeradas: En las formas individuales se preimprimen nmeros consecutivos a fin de permitir la deteccin posterior de su prdida o mala colocacin.

Formas preimpresas: Los elementos fijos de informacin se anotan por anticipado en las formas y, en algunos casos, en un formato que permite el procesamiento directo por el computador, a fin de prevenir errores en la anotacin de datos repetitivos.

Documento de retorno: Es un documento producido por el computador, con el objeto de que vuelva a entrar al sistema.

Endoso: Marcar una forma o un documento a fin de dirigir o restringir su uso posterior en el procesamiento.

Cancelacin: Marcar o identificar los documentos de las transacciones a fin de prevenir su uso posterior una vez que han cumplido su funcin.

Contraseas: La autorizacin para permitir el acceso a informacin o procesos, por medio de una seal o clave conocida nicamente por los individuos autorizados para ello.

Confiabilidad del personal: Puede confiarse en que el personal que efecta el procesamiento maneja los datos en forma adecuada y consistente.

Entrenamiento: Se proporcionan instrucciones explcitas al personal y se verifica que las hayan comprendido, antes de asignrseles nuevas tareas.

Competencia del personal: Las personas asignadas a funciones de procesamiento o de supervisin dentro de los sistemas de informacin, poseen el conocimiento tcnico necesario para llevar a cabo sus funciones.

Mecanizacin: El utilizar medios mecnicos o electrnicos para procesar la informacin, proporciona consistencia al procesamiento.

Segregacin de funciones: La responsabilidad de la custodia, control del manejo y el procesamiento de la informacin, se encuentran separadas.

CONTROLES DETECTIVOS
Estos no impiden que ocurra una causa de error, sino que acciona la alarma despus de que haya ocurrido. Pueden impedir la continuidad de un proceso No impiden que ocurra un error, pero dan la alarma despus que haya ocurrido Requieren de ciertos gastos operativos moderados.

Documento de envo: Es el medio para comunicar las cifras control a travs del movimiento fsico de la informacin, particularmente de la fuente al punto de procesamiento o entre puntos de procesamiento.

Nmeros consecutivos de lote: Los lotes de documentos de transacciones se numeran en forma consecutiva y se controlan.

Cifras de control de cantidades: Son totales de valores homogneos para un grupo de transacciones o registros, generalmente en valores monetarios o cantidades.

Cifras de control de numero de documentos: Consiste en que se efecta un conteo del nmero de documentos individuales y este total es el que se controla.

Cifras de control sin significado monetario: Es un total no significativo, pero til, obtenido de la sumatoria de informacin numrica no monetaria.

Totales de lote: Es cualquier tipo de cifra control o conteo que se aplica a un numero especifico de documentos de transacciones o a los documentos de las transacciones que se reciben en un periodo de tiempo especifico.

Verificacin de rebasamiento: Es una verificacin de lmite que se basa en la capacidad de un rea de la memoria o de un archivo para aceptar informacin.

Verificacin de formato: Determinacin de que los datos se registran en la forma establecida en el formato de informacin que se estipula en el programa de aplicacin, ya sea en forma numrica o alfanumrica.

Verificacin de integridad: Consiste en comprobar que se hayan anotado datos en aquellos campos que no pueden procesarse si se dejan en blanco.

Dgito Verificador: Es un dgito, generalmente el ultimo de un campo de identificacin, que es una funcin matemtica de todos los dems dgitos en el campo. La validez de todo el campo se comprueba al calcular, con base en los dems dgitos del campo, el digito verificador y compararlo con el consignado en el campo. Ejemplo: Nmero de Afiliacin al IGSS, es un Cdigo Base 10. No. Afilic. al IGSS = 1 7 2 0 9 7 7 7 - 6 x x x x x x x x Multiplicar x 1 y 2 = 1 2 1 2 1 2 1 2 (Excepto Dgito Verif.) = 1 14 2 0 9 14 7 14 Se suman = 1+1+4+2+0+9+1+4+7+1+4 Total = 34 Siguiente Decena = 40

Comprobacin

= 40 menos 34 igual

6 = D.V

Razonabilidad: Pruebas que se aplican a varios campos de informacin mediante la comparacin con otra informacin disponible en los registros de transacciones o los maestros, a efecto de establecer su razonabilidad.

Verificacin de limite: Pruebas de los campos de importes especficos, contra limites inferiores o superiores de aceptabilidad estipulados. Cuando se verifican ambos limites, la prueba suele denominarse verificacin de rango.

Verificacin de validez: Los caracteres en un campo codificado son cotejados contra un conjunto aceptable de valores en una tabla, o examinados con respecto a un patrn definido de formato, utilizando la lgica y la aritmtica.

Fechas: Registrar fechas de calendario para efectos de comparaciones posteriores o de pruebas relativas a la expiracin de documentos.

Verificacin de la digitacin: La entrada redundante de datos por medio de un teclado, a fin de verificar la exactitud de una entrada anterior. Las diferencias entre los datos previamente registrados y los datos accesados en la verificacin originan una seal mecnica.

Aprobacin: Consiste en la aceptacin de una transaccin para que sea procesada, despus de que se ha iniciado.

Totales de corrida a corrida: Consiste en el uso de las cifras de control de salida que resultan de un proceso, como cifras de control para un procesamiento posterior. Las cifras control se utilizan como enlaces en una cadena para unir un proceso con otro en una secuencia de procesos.

Igualizacin/comparacin: Es una prueba para determinar la igualdad entre los valores de dos conjuntos equivalentes de partidas o entre un conjunto de partidas y una cifra control. Cualquier diferencia indica un error.

Clasificacin por antigedad: Consiste en la identificacin de partidas sin o con poco movimiento, de acuerdo con su fecha, generalmente la fecha de la transaccin. Esta clasificacin segrega las partidas de acuerdo con varios lmites de fechas.

Cuenta de partidas pendientes de procesarse: Cotejar las partidas del flujo del procesamiento en una aplicacin con otras desarrolladas en forma independiente, a fin de identificar partidas no procesadas o diferencias en las mismas.

Cotejo: Cotejar las partidas del flujo del procesamiento en una aplicacin con otras desarrolladas en forma independiente, a fin de identificar partidas no procesadas o diferencias en las mismas.

Auditoria peridica: Consiste en la verificacin de un archivo o de una fase de procesamiento, con el objeto de detectar problemas y fomentar el cumplimiento de los procedimientos establecidos.

Etiquetas: Consiste en la identificacin externa o interna de los lotes de transacciones o de los archivos de acuerdo con su fuente, aplicacin, fechas u otras caractersticas de identificacin.

CONTROLES CORRECTIVOS Ayudan a la investigacin y correccin de las causas de los errores que hayan sido detectados. La accin correctiva es siempre necesaria. Son casi siempre muy costosos.

Reportes de discrepancias o inconsistencias No es ms que un listado de las partidas que han violado algn control detectivo y que, consecuentemente, requieren investigacin posterior.

Rastro de auditoria: Pista de auditoria o pista de las transacciones, consiste en la disponibilidad de un medio manual o legible por computador que permita rastrear el estado y el contenido del registro de una transaccin individual, hacia atrs o hacia delante, entre salida, procesamiento y fuente.

Los principios generales aplicables al diseo de rastros adecuados para auditoria, son los siguientes: Para todas las operaciones que afectan los estados financieros debe haber un medio de establecer la cuenta a la cual son transcritas las operaciones. Por todas las cuentas reflejadas en los estados financieros debe haber un medio para comprobar el importe de las cifras del total, hacia los elementos de las operaciones individuales. Por todas las operaciones y cuentas que originan un nmero importante de consultas deben existir medidas para proporcionar los registros necesarios para contestar las consultas en forma regular. Por todas las operaciones y cuentas que tpicamente no son objeto de consultas, debe haber un medio de comprobacin, aun cuando no se establezcan medidas para contestar consultas en forma regular.

Estadsticas de errores y su fuente: Consiste en llevar control estadstico de la informacin relativa a los diversos tipos de errores que se dieron en el proceso y cual fue el origen de los mismos. Esta informacin se utiliza para determinar los procedimientos que debern aplicarse a efecto de reducir la cantidad de errores.

Correccin automatizada de errores: Se refiere a que el propio computador realiza un proceso para corregir cierto tipo de errores de transacciones o de registros que violan un control detectivo; as, si por error se pago una factura que exceda al valor de la orden de compra correspondiente, el computador produce automticamente una nota de cargo al proveedor, por la diferencia.

Respaldo y recuperacin: Consiste en que deben conservarse los archivos maestros y las transacciones del da anterior, a efecto de tener la posibilidad de volver a crear nuevos archivos maestros actualizados, en caso se destruyera el archivo maestro del da.

Reinclusin en el proceso: Se refiere a que las transacciones cuyos errores detectados, fueron corregidos, deben reincluirse en el proceso como si fueran datos de entrada nuevos, debiendo en consecuencia, pasar a travs de todos los controles detectivos que se aplican sobre las transacciones normales.