Auditoria Administrativa - Curso

Auditoria Administrativa FELIX RIVERA

Cómo conducir exitosamente una auditoria administrativa?

• ENFOQUE CONTEMPORÁNEO DE AUDITORIA ADMINISTRATIVA


CONTENIDO

I. Visión General

II. Enfoque contemporáneo de Auditoria Administrativa

III. Enfoque metodológico

IV. Planeación con visión de negocios

V. Control Interno


Contenido

VI. Análisis y Evaluación de riesgos

VII. Análisis y evaluación de controles

VIII. Alineación

IX. Mapeo de riesgos

X. Estrategias de auditoria


Contenido

XI. Evaluación de Controles

XII. Evidencia

XIII. Finalización

XIV. COBIT

XV. Técnicas de auditoria asistidas por el computador para detección de fraudes

XVI. Herramientas de Tecnología.


I. Visión General


Definición de Auditoria Administrativa

• Auditoria interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinario para evaluar y mejorar la efectividad de los procesos de gestión de riesgos, control y dirección.


Comparación de auditoria externa con Auditoria Administrativa

Auditoria Externa Auditoria InternaBasada en capacidades analíticas, contabilidad y normas regulatorias, visualizando a la empresa de arriba hacia abajo a través de una representación contable/financiera a un determinado momento.

Basada en experiencias, habilidades, proceso de negocios, conocimiento de las operaciones, riesgos y controles.

Énfasis en pruebas sustantivas Énfasis en el análisis y evaluación. Las pruebas sustantivas representan una pequeña parte del proyecto.

Orientación a la opinión a cerca de la razonabilidad de las cifras presentadas en los estados financieros.

Orientación a la estrategia organizacional, operacional, en conformidad con los controles

financieros. Tiene la posibilidad de enfocar la estrategia a pruebas sustantivas exclusivamente, si evaluar procesos.

Enfoque orientado a procesos principalmente. Los estados financieros son algunos entre varios a puntos a considerar.

Se obtiene la opinión del auditor para terceros principalmente y posteriormente para el uso de la Gerencia y el directorio de la empresa.

Los informes son exclusivamente para beneficio de la empresa, para uso de la Gerencia y el Directorio.


Objetivos de la Administrativa

Prestar un servicio estratégico enfocado a ayudar a identificar los riesgos del negocio

Orientar y guiar para establecer políticas y sistemas de control apropiados, a fin de manejar el riesgo efectivamente.

Concentrar la acción en los Objetivos del negocio y en la percepción gerencial de los factores críticos de éxito.

Ejercer una función de evaluador independiente,

Vigilar el cumplimiento de las disposiciones internas y externas, así como detectar y prevenir el riesgos de fraude.


Evolución de la Auditoría Administrativa.

Reactiva Proactiva Estratégica

Riegos

financiero

Función de la

auditoria administrativa

Apoyo a la

función de Gerencia

Enfoque de

procesosSoporte al proceso de Self asesorameinto

Enfoque a las transacciones

Riesgo

Exposición/identificación

AuditoriaDirección

PrevenciónProceso de

mejora continua

Proceso de mejora continua


Perfil del Auditor contemporáneo

• HABILIDADES TÉCNICAS

• Comunicación• Expresa ideas de forma clara y concisa.

• Escribe informes técnicos

• Presenta y sustenta puntos de vista


Perfil del auditor contemporáneo

HABILIDADES TÉCNICAS

• Comunicación

• Datos Estadísticos • Conocimientos de estadística

•Técnicas de muestreo




• Comunicación

• Datos Estadísticos

• Computación • ACLL, IDEA, POWER POINT, WORD, EXCEL, ETC.




• Comunicación


• Computación

HABILIDADES PARA FORMAR OPINIÓN

• Perspicacia • saber cuando y a quien preguntar

•Identificar situaciones de carácter ético




• Comunicación


• Computación

HABILIDADES PARA FORMAR OPINIÓN

• Perspicacia

• Juicio • Opiniones adecuadas parea situaciones ambiguas.



• CARACTERÍSTICA PERSONALES

• Moral • honesto

• Integridad personal

• Ser capaz de mantener

confidencialidad

• Ser confiable

• Tener comportamiento ético

• Ser socialmente responsable



• CARACTERÍSTICA PERSONALES

• Moral

• Actitud• Buscar auto-desarrollo

• Establecer metas de desarrollo

• Entusiasta

• Ser proactivo / tomar la iniciativa



CARACTERÍSTICA PERSONALES

• Moral

• Actitud

• Cuestionador • Tener necesidad de aprender y enseñar

• Ser curioso

• Responder las preguntas




• Moral

• Actitud

• Cuestionador

• Flexibilidad• Ser abierto a nuevas ideas

• Tener capacidad de actuar ante situaciones diversas

• Acepar diversidad cultural

• Trabajar en equipo




• Moral

• Actitud

• Cuestionador

• Flexibilidad • Analizar sus propias acciones aceptar orientación de otros

• Ser organizado

• Gerenciar equipos eficazmente




• Moral

• Actitud

• Cuestionador

• Flexibilidad

• Asimilación

• Inteligencia • Pensar de forma lógica

• Pensar de forma creativa



HABILIDADES INTERPERSONALES

• Comunicación • Escuchar activa y atentamente

• Presentar, discutir y sustentar puntos de vista




• Comunicación

• Relaciones • Demostrar empatía

• Administrar / soluciones conflictos

• Reconocer y respetar otras opiniones




• Comunicación

• Relaciones

• Gerenciamiento de equipos

• Ser cooperativo

• Consultar y entregar información a otros

• Desarrollar y cultivar relaciones

• Integrarse con el equipo de trabajo



II. Enfoque contemporáneo de la auditoria administrativa


Enfoque contemporáneo de auditoria

Enfoque de Auditoria

Externa

Performance

Operacional

Reportes

Financieros Iniciativas

Estratégicas Oportunidad

Incertidumbre

Amenazas Sistemas de Administración / del riesgo de Operaciones la Empresa

FuncionesY procesosDel negocioDel cliente



• Enfoque de Auditoria• Externa

Performance

Operacional

Reportes

Financieros Iniciativas


Incertidumbre

Amenazas Sistemas de Administración / del riesgo de Operaciones la Empresa

FuncionesY procesosdel negocioDel cliente



Ni la auditoria interna tradicional ni la externa se aplica al espectro de necesidades

Performance

Operacional

Reportes Financieros;

Cumplimiento & Prevención

Iniciativas


Incertidumbre

Amenazas Controles Financieros

FuncionesY procesosdel negocioDel cliente

Sistemas de información/ -Operacional

Administración del riesgo de la Empresa



Ayuda al diseño

De controles

Evaluacióndel sistemade control

Evaluar laCalidad y

Eficacia de procesos Contacto

Permanente Con los

directores

Enfoque haciaObjetivos y

riesgos

Entendimiento Del negocio

Independencia

Consultor de la gerencia

AUDITORIA

Conceptos contemporáneos de auditoria administrativa



• Enfoque de la Auditoria AdministrativaMayor eficacia

Adaptación al cambio

Agregar Valor a la entidad

Empleo óptimo de tecnología

Personal y destrezas adecuados

Ayudar a la percepción del riesgo y control



III ENFOQUE METODOLÓGICO


Nuestra metodología

Trabajo Encomendado

Etapa IPlaneaciónDe trabajo

Etapa IIIInforme y

terminación

Etapa IVControl

de calidad

Etapa IIPlaneaciónDetallada

y ejecución

FASES DEL LOS PROCESOS

ExpectativaDel cliente

Revisión corporativa

Evaluación delriesgo

Planeación estratégica

Aprobación de la planeación

Revaluación dePlaneación estratégica

Planeacióndetallada

Ejecución

Documentación y revisión

Informes de auditoria

ResumenEjecutivo de Los idiomas


Informes periódicosA la gerencia / al

Comité de auditoria

Terminación

Satisfacción

Satisfacción del cliente

Control de calidad


Direcciones metodológicas

• Focalización en el Cliente• Orientación hacia las estratégicas de negocio• Cadenas de valor• Factores críticos de éxito• Riesgos y controles• Valor agregado• Análisis Top Down• Trabajo en Equipo con el cliente• Comunicación• Tecnología• Visión integral - interdisciplinaria



• Modelo de la Auditoria

Internal auditoriaMission

Internal Audit Strategic Plan

Internal Audit Performance metrics



• El Riesgo y el Proceso de Auditoria Interna• La auditoria debería estar e enfocada alrededor del

riesgo• No existe ningún punto de auditoria si no hay riesgo• Entonces es necesario tener un método para - Definir en el riesgo- Evaluar los riesgos- Desarrollar o adaptar un plan de auditoria basado en

dichos riesgos.


IV PLANEACIÓN CON VISIÓN DE NEGOCIOS


Trabajoencomendado

Etapa IPlaneaciónDel trabajo

Etapa II Plantación detallada y ejecución

Etapa IIIInforme y

terminaciòn

Etapa IV Control de

calidad

BASES DE LOS PROCESOS


Ejecución





Informes periódicosA la gerencia / al

Comité de auditoria

Terminación

Satisfacción

Control de calidadExpectativas

del cliente

Revisióncorporativa

Evaluación del riesgo


Reevaluación de la planeación


Expectativas del cliente

• Marco legal y Organizacional• Expectativa particulares de la gerencia• Experiencia acumulada• Planeación estratégica de negocios• Benchmarking• Entrevistas con la alta gerencia• Taller corporativos• Análisis Financiero• Organización y Tecnología• Otros elementos organizacionales.


¿Qué es Cadena de valor?

• Una Cadena de valor es una descomposición de la

empresa en sus elementos básicos agrupándolos

según la tecnología que está detrás, teniendo en

cuenta cosas que van necesariamente unidas a los

productos, sin las cuales éstos no podrían existir.


Clasificación de Actividades

• Actividades de negocios: Son aquellas actividades necesarias para genera, comercializar, o mantener un producto.

• Actividades de Soporte: Son aquellas actividades no relacionadas con los productos, pero que sin embargo dan soporte a las áreas donde estas se desarrollan y comercializan.

• Un modo de saber si dos actividades realizadas por una empresa son separables es preguntarse si se podrían subcontratar, es decir si una de ellas podría no efectuarse en la empresa manteniendo la otra.


GENERACIÓN DE ELECTRICIDAD

(1)Promoción y mercado

(2)Coordinación

de operaciones con el COES

(3)Generación

De electricidad

(4)Mantenimiento

de máquinasY equipos

(5)Desarrollo de transaccionescomerciales

(6) Abastecimiento de bienes y servicios

(7) Administración del Personal

(8) Administración de la fianzas

(9) Planificación, desarrollo y dirección del negocio

(9) Soporte adminsitrativo


1. Promoción y mercadeo

Analizar El mercado

DetectarOportunidades

de venta

Promocionar nuevos negocios

MantenerClientesactuales

Detectar oportunidades

de inversión

1.1 1.2 1.3 1.4 1.5


2. Coordinación de operaciones con el COES

Monitorear laRed interna de

la compañía

Ejecutar programasDefinidos por el

COES

Preparar información del comportamiento

de equipo de generación ytransmisión

MantenerClientesactuales

2.1 2.2 2.3 2.4


3. Generación de Electricidad

Operar las represas

Operar las Centrales

hodroeléctircas

Operar las centrales

termoeléctricas

Transmitir energías

3.1 3.2 3..3 3.4


4. Abastecimiento de bienes y servicios

RequerirBienes o servicios

Adquirir Bienes o servicios

Administraralmacenes

4.1 4.2 4.3


5. Administración de Personal

Seleccionar personal

AdministrarAsistencia de

personal

Capacitar al personal

AdministrarFile

de personal

AdministrarPolíticas

remunerativas

5.1 5.2 5.3 5.4 5.5


6. Administración de las finanzas

Elaborar lospresupuestos

Controlar los gastos de acuerdo alpresupuesto

Llevar el Control del

efectivo

Contabilizar yPreparar estados

Financieros y Otros informes

6.1 6.2 6.3 6.4


Importancia de la cadena de valor en la auditoria

• Asociación de objetivos de negocios y procesos críticos

• Análisis macro de actividades de negocio – procesos

críticos

• Visión global de posibles factores críticos de éxito y

sus indicadores de medición

• Análisis del nivel de funcionabilidad esperado de las

actividades de apoyo y sus indicadores

• Análisis preliminar de riesgos con visión global de

negocios.


Los objetivos estratégicos corporativos - Direccionadores

Objetivos Estratégicos

Objetivos Estrategias

Metas

Planes

Auditor interno

Riesgos


Factor Crítico de éxito

• Conjunto de actividades, funcionales o procesos que sin lugar a dudas se deben llevar a cabo para lograr un objetivo.


Objetivosestratégicos

Factores Críticos Riesgos

Controles


V. Control Interno


Committee

• Committee Of Sponsoring Organizations of the Treadway Commission

(COSO Framework)


Informe COSO - sobre el control – publicado en USA en 1992

• Grupo de trabajo que la TREADWAY COMMISSION,

NATIONAL COMMISSSION ON FRAUDULENT

FINANCIAL REPORTING creó en 1985 bajo la sigla

“ COSO ” (COMMITTE OF SPONSORING

ORGANIZATIONS)


Grupo de Trabajo constituido por representantes de los siguientes organizaciones:

• Amirican Accounting Association (AAA)

• American Institute Of Certified Public Accountans

(AICPA

• Financial Excutive Institute (FEI)

• Institute Of Internal Auditors (IIA)

• Institute of Management Accountants (IMA)

• Coopers & Lybrand (Redacción Informe)


Control interno Una definición más amplia

• “El control interno es un proceso llevado a cabo por el directorio, gerencia y personal de una entidad diseñado para proveer una seguridad razonable en relación al logro de los objetivos en las siguientes categorías:

• Efectividad y eficacia de la operaciones• Confiabilidad de los reportes financieros• Cumplimiento de las leyes y regulaciones

aplicable”


Estructura de control propuesta por el COSO

Información yComunicación

Evaluación de Riesgos

Monitoreo

Rep

orte

finan

cier

o

Cumplim

iento

Operac

iones


EL ENTORNO DE CONTROL

Conozca el perfil de la organización

- Integridad- Valores éticos- Competencias

Conozca la filosofía de la gerencia

Responsabilidad y SeguimientoAutoridadRecursos HumanosDesarrollo de la gente


Actividad de control

Monitoreo

Rep

orte

finan

cier

o

Cumplim

ient

oOper

acio

nes

El entorno de control es el

cimientoEvaluación de Riesgo

• Se debe conocer lo suficientemente para entender

•- la actitud

•Forma a pensar

• acciones

• de la administración y dirección de la entidad


Evaluación de riesgo• Identificación y

análisis de los riesgos relevantes para el logro de los objetivos de la organización

Gerenciar el cambio


Actividad de control

Monitoreo

Rep

orte

finan

cier

o

Cumplim

ient

oOper

acio

nes

La evaluación del riesgos por la

Gerencia es la condición primaria

Para establecer el

Control interno

Evaluación de Riesgo

• Se debe conocer lo suficientemente para entender

•- la actitud

•Forma a pensar

• acciones

• de la administración y dirección de la entidad


Actividades de control

• Procedimientos para implementar las directivas de la Gerencia

• Revisiones de la Gerencia Principales

• Gerenciamiento activo• Controles físicos• Separaciones de funciones.

Establecimiento de mecanismos por

parte de la gerencia orientados al logro

de los objetivos de control


Evaluación de riesgos

Monitoreo

Rep

orte

finan

cier

o

Cumplim

ient

oOper

acio

nes

Las actividades de control son aquellas políticas y procedimientos diseñados para mitigar el riesgo.


•La identificación de las actividades de control es de vital importancia en la evaluación del diseño de los controles.

•Dicha identificación se efectúa por ciclo relevante

•La presencia o ausencia de actividades de control frente a los riesgos de auditoria permite determinar donde es necesario direccionar los procedimientos de auditoria.


Entorno de Control



• Controles de las aplicaciones flujo de datos

Totalidad y exactitud de los datos acumulados (mantenimiento)

TOTALIDAD Y EXACTITUD DE LA ACTUALZACIÓN

SOBRFE LAS TRANSACCIONES

AUTORIZACIÓNEXACTITUD DEL

INGRESOTOTALIDAD DEL

INGRESO

SOBRE LOS DATOS

ESTADOS

CONTABLES

EXACTITUD

ACCESIO

RESTRINGIDO

Controles de tecnología de información

MANTEMIENTO DE APLICACIONES

DESARROLLO DE SISTEMAS

OPERACIONES DEL COMPUTADOR

SEGURIDAD

=


INFORMACIÓN Y COMUNICACIÓN

La exactitud y oportunidad de la información financiera, operativa y de gestión



MonitoreoR

epor

te

finan

cier

o

Cumplim

ient

oOper

acio

nes

La información y la comunicación forman parte del sistema de control


•Es importante conocer los medios utilizados para comunicar los roles y responsabilidades en la presentación financiera

•Es necesario entender el sistema contable y el ambiente de computación

•Existencia de información gerencial de calidad.

Entorno de Control

Acceso a la información externa e interna

Comunicación dentro de la organización


MONITOREO

Evaluación del Sistema de control



MonitoreoR

epor

te

finan

cier

o

Cumplim

ient

oOper

acio

nes

El monitoreo es clave para minimizar las sorpresas en el curso de los negocios


•Es importante conocer los procesos utilizados por la dirección para este objetivo para evaluar el riesgo de control.

Entorno de Control

Monitoreo constante

Mecanismos para reportar deficiencias serias


MONITOREO

• Controles de Monitoreo• Analíticos

- Cambios no esperados

- Cambios esperados que no ocurren

- Diferencias entre lo actual y lo planeado o presupuestado

- Discrepancias no esperadas en las tendencias

- Reporte de excepciones.


LIMITACIONES DEL CONTROL INTENRO

• Garantizar el éxito de la entidad, asegurando la

consecuencia de objetivos básicos empresariales o

como mínimo la supervivencia de la entidad.

• Un sistema de control interno, sin importar lo bien

estructurado y operativo que esté, ofrece

una seguridad razonable no absoluta a

la administración respecto del logro de los objetivos.


LIMITACIONES DEL CONTROL INTENRO

• Imposibilidad de lograr un control 100% debido a problemas tales como:

• Error de juicio – juicio individual y toma de decisiones erróneas.

• Fallas que pueden ocurrir por errores e irregularidades

• Superposición de la Administración - la administración ignora los controles

• Colusión – cuando dos o más personas acuerdan eliminar un control intencionalmente.


PRICEWATERHOUSECOOPERS


VI ANÁLISIS Y EVALUACIÓN DE RIESGOS



Trabajo encomendado

Etapa IPlaneación del trabajo

Etapa IIIInforme y

terminación

Etapa IVControl de

calidad

Etapa IIPlaneación

Detallada y ejecución

FASES DE LOS PROCESO

Expectativa del cliente


Evaluación de riesgo



Reevaluación de laPlaneación estratégica


Ejecución



Resumen ejecutivo de los informes

Informes periódicosA la gerencia /al comité

de auditoria

Terminado

Control de Calidad

Satisfacción Del cliente


Análisis y evaluación de riesgos

RIESGOS:

Cualquier evento que

pueda afectar la

consecución de los

objetivos de la entidad



AMENAZAS INCERTIDUMBRE OPORTUNIDAD•Enfoque tradicional•Naturaleza defensiva•El propósito es focalizar recursos para reducir la probabilidad o el impacto de los efectos negativos

•El control está enfocado en la distribución de los resultados•Naturaleza de cobertura•El objetivo es reducir la diferencia entre los resultados•Presupuestados y los resultados reales.

• Enfocado a la inversión•Naturaleza ofensiva•El propósito es tomar acciones para alcanzar ganancias positivas•Los requerimientos de una estrategia de crecimiento deben implicar una relación entre riesgos y retorno

REDUCIR MANEJAR EXPLOTAR


Para cada riesgo claves

EVALUACIÓN DEL RIESGO

• Fuentes de información potenciales

+Apreciación global corporativa

+ Gerencia o comité de auditoria








Identificar los objetivos corporativos y las unidades claves de negocios

Identificar los objetivos de aseguramiento de negocios

por los interesados

Identificar los objetivos de acciones

Identificar los riegos claves que afectan la capacidad de

lograr los objetivos

Resumir resultados y alinear los objetivos y riesgos para las unidades de negocios

Para la unidad o entidades claves

Para cada categoría de objetivos

Identificar circunstancias e indicadores de riesgo

Evaluar la probabilidad e impacto de ocurrencia

Resumen de riesgo


Análisis y evaluación de riesgo

ENFOQUE ORCA

OBJETIVOS

AL

IME

NT

AC

IÓN

RIE

SG

O



ENFOQUE ORCA

MAXIMIZE

Stakeholdervalúe

Emplotoyees

SpliersShareholders

Spliers

Eviroment Eviroment

OBJETIVES



Un pre- requisito para la evaluación de riesgos es el

establecimiento de objetivos.

La evaluación de riesgos consiste en la identificación

y en el análisis de los hechos y condiciones relevantes

que pueden interferir en el logro de los objetivos.

A partir de una correcta evaluación de riesgos, la

entidad puede determinar cómo reducir o eliminar el

impacto de esos riesgos.


Evaluación de riesgos negocio

• Se enfoca en la identificación de oportunidades para optimizar el valor para el empresario.

• Objetivos de valor para el empresario.Social Crecimiento de ingresosMargen operativoManejo del capital de trabajoInversión de capitalTasa de impuestosCosto de capitalReducción de riesgos de fraude.


La estructura del control interno debe ayudar al logro de los objetivos


Es decir, al fijar objetivos a nivel de la organización y de las actividades, una organización se centra principalmente en el desarrollo de objetivos y metas consistentes en toda la organización, informando a la gerencia en forma oportuna sobre el rendimiento y las expectativas. Aunque no pueda asegurarse el éxito, la gerencia debe contar con una seguridad razonable de que será alertada cuando los objetivos corran peligro de no ser logrados.


Elementos relacionados con los objetivos


Analicemos ahora elementos relacionados con los objetivos:

• Categorías de objetivos

• Conexión entre los objetivos

• Logro de los objetivos


Categorías de Objetivos


Como ya vimos a pesar de la diversidad de objetivos se

pueden establecer en grandes rasgos ciertas categorías:

Confiabilidad de los Informes contable

Cumplimiento de leyes y reglamentaciones vigentes

Eficacia y eficienciaDe las operaciones


Categoría de objetivos

Objetivos operativos

No existe un objetivo que resulte óptimo para todas las organizaciones ya

que varían de acuerdo con las preferencias, juicios y estilo de la

gerencia. Como regla general, los objetivos operativos son siempre

establecidos y afectados por factores internos (aunque algunos factores

externos puedan incidir (aunque algunos factores externos puedan incidir

en algunos casos: factores climáticos o medidas del gobierno pueden

modificar el criterio de l a organización.



Informe contable

Referidos a la preparación de estados contables confiables,

incluyendo la prevención de fraudes. Son preparados

principalmente por requerimientos externos.



CUMPLIMIENTO

Dependen de factores externos, tales como reglamentaciones

ambientales, y tienden a ser similares en todas las

organizaciones, en algunos casos, y en una industria en otros.

Las organizaciones deben conducir sus actividades y

normalmente toman acciones específicas según las leyes y

reglamentaciones vigentes que pueden referirse al mercado,

precios, impuestos, el ambiente o el comercio internacional.


Evaluaciones de Riesgos

Conexión entre objetivos

Como ya comentamos al hablar de objetivos, estos deben ser complementarios y

estar relacionados.

Aquellos que abracan toda la entidad no sólo deben ser consistente con las

capacidades y perspectivas de la organización, sino que también deben ser

consistentes con los objetivos de sus unidades y funciones de negocio. Los

objetivos que abarcan toda la organización deben ser clasificadas en sub-

objetivos, consistentes con la estrategia global y relacionados con la actividades en toda la compañía.


Identificación y análisis de riesgos


La evolución del riesgos consiste en la identificaron y en el análisis de los hechos y

condiciones relevantes que puedan interferir en el logro de los objetivos.

A partir de una correcta evaluación de riesgos, la entidad puede determinar cómo

reducir o eliminar el impacto de esos riesgos.

Corresponde ahora descubrir qué queremos decir al referirnos a “identificación y

“”análisis” comencemos por IDENTICACIÓN.


Identificación de riesgos a nivel entidad

A nivel de identidad

La identificación de los riesgos debe ser comprensiva y debe considerar todas los

interacciones significativas de bienes, servicios e información. (Proveedores,

empleados, inversionistas, gobierno, etc.).

El desempeño de la entidad puede estar en riesgo a causa de l factores internos

y externos, los cuales pueden afectar los objetivos establecidos.



• Factores externos

• Factores tecnológicos

• Necesidades o expectativas de los clientes

• La competencia

• Nuevas regulación o legislación

• Catástrofes naturales

• Cambios económicos.



• Factores internos

• Ruptura en el procesamiento de sistemas

• Calidad del personal vinculado, capacitación

• Cambios en la administración

• El objetivo de la entidad y el acceso de los empleados

• Un consejo directivo o un comité de auditoria que no actúa.



Identificar las circunstancias e indicadores de riesgos (Ayuda a enfocar mejor

la planeación).

• Factores o impulsores que puedan llevar a la ocurrencia de un problema

o un riesgo específico.

• ¿Podría haber algún problema?

• Complejidad de una actividad?

• ¿Actividades distribuidas geográficamente sin adecuado control?

• ¿Operaciones significativas en moneda extranjera?

• ¿Falta de uniformidad en el control entre unidades de negocio?

• Los indicadores de riesgo responde a la pregunta ?Ha habido un

problema? Experiencias pasadas sobre fallas en el consecución de

objetivos.



• Ejemplo: importador de vestidos y calzado• Objetivos: Ser líder en el mercado de moda de alta calidad• Riesgos: Fuentes de abastecimiento, incluyendo calidad, número y

estabilidad de los fabricantes del exterior. Fluctuaciones de la moneda Oportunidad de recibir embarques Demoras en la aduana Hostilidad internacional. Presiones de los clientes e inversionistas para no realizare Operaciones en un país extranjero cuyos gobernantes podrían

dictar políticas inaceptables.


Clasificación de riesgos

Se asocia con la forma en que se administrar una organización. El manejo del riesgo estratégico se enfoca a asuntos globales de mercados, clientes, competidores, globalización, alianzas, empresas conjuntas y desarrollo de nuevos productos.

Se relacionan con las exposiciones financieras de una organización. El manejo del riesgos financiero toca actividades de tesorería, comercialización e

inversión, capital del trabajo.Comprende tanto riesgos en sistemas como operativos provenientes de deficiencias en los sistemas de información, procesos, estructura que conduce a pérdidas inesperadas y/o ineficiencias.

Se asocia con la capacidad de la organización para cumplir con los requisitos regulativos, legales, contractuales, de conducta de negocios, de ética, fiduciarios y de calidad.

Se asocia con la capacidad de la organización para que la tecnología disponible y proyectada satisfaga las necesidades actuales y futuras de la organización.


Análisis de riesgos

Evaluación de RiesgosLa metodología para analizar los riesgos puede variar, en gran medida debido a que muchos riesgos son difíciles de cuantificar. Sin embargo, el proceso, que puede ser más o manos formal, generalmente incluye.

La determinación de la significatividad del riesgo La evaluación de la probabilidad de que ocurra el

riesgo o la frecuencia con que se produce el mismo La consideración de la forma en que debe el mismo La consideración de la forma en que debe ser

administrado el riesgo, es decir, la evaluación de las acciones que deben ser adoptadas.


Significatividad del riesgos

Evaluación del RiesgoPROCESOS DE ANÁLISIS DE RIESGOS

☻ La determinación de la significativas del riesgo

☻ La evaluación de la probabilidad de que ocurra el riesgo o la

frecuencia con que se produce el mismo

☻ La consideración de la forma en que debe administrar el riesgo,

es decir, la evaluación de la acciones que deben ser adoptadas.


Significatividad del riesgos

Evaluar la probabilidad e impacto de Ocurrencia

Evaluar el riesgo antes de considerar el efecto de los

controles y otras acciones de mitigación del riesgo.

El riesgo inherente al negocio refleja dos elementos, la

probabilidad y el impacto de ocurrencia.

Midiendo estos factores, los riesgos pueden recibir

prioridad. (alto impacto/alta prioridad).


Circunstancias que requieren especial atención

☻ Cambios en el ambiente operativo: los cambios en un ambiente regulatorios o económico pueden producir un aumento en las presiones competitivas y en riesgos significativamente distintos.

☻ Nuevos personal: Un ejecutivo principal nuevo en una organización puede no comprender la cultura de la organización o puede centrarse exclusivamente en el rendimiento, excluyendo todas las actividades relacionadas con el control.

☻ Sistemas de información nueve o reacondicionado: los controles normalmente eficaces pueden fallar cuando se desarrollan nuevos sistemas, especialmente cuando esto se realiza con una limitación inusual de tiempo.

☻ Crecimiento rápido: cuando las operaciones se amplían significativamente y rápidamente los sistemas existentes pueden ser forzados a tal punto que los controles faltan.


Circunstancias que requieren especial atención

☻ Nueva tecnología: cuando se incorporan nuevas tecnologías a los procesos de producción a los sistemas de información existe una alta probabilidad de que se necesiten modificar los controles internos.

☻ Nuevas líneas, productos y actividades: cuando la organización incursiona en ramos de negocios nuevos se dedica a operaciones con las cuales no está familiarizada es probable que los controles existentes no resulten adecuados.

☻ Reestructuración de la organización: Reestructuraciones, que resultan, por ejemplo: de una compra “con efecto palanca” o de una reducción significativa en los negocios o de programas de reducción de costos – pueden estar acompañadas por reducciones de personal y una inadecuada supervisión y segregación de funciones.

☻ Operaciones en el exterior: la expansión o adquisición de operaciones en el exterior acarrea riesgos nuevos y a la menudo únicos que la gerencia debería tratar.


VII ANÁLISIS Y EVALAUCIÓN


MONITORING

Información &Communica´tión

Control Activity

Risk Assessment

Control Evioronment

CONTROLS


Componentes del control Interno

Monitoreo

Organización


Ambiente de Control

Cuantificación


Ambiente de control

El número de cualquier negocio es su gente, sus atributos

individuales. El ambiente de control es el fundamento de

todo el proceso de Control Interno e incluye la integridad,

valores éticos e idoneidad y el ambiente en el que ellos

operan. Son el motor que impulsa a la entidad y los

cimientos en los cuales todo se apoya .


Ambiente de control

El ambiente de control está influenciado por la historia y la

cultura de la organización

Las organizaciones eficazmente controladas se esfuerzan por tener

gente competente, introducir una actitud de concientización sobre la integridad y el control en toda la

organización y establecer un “tono positivo en el nivel superior”

Establecen políticas y procedimientos adecuados que promueven los valores

compartidos y el trabajo en equipo para el logro de los objetivos de la empresa.A menudo se incluye un código de

conducta escrito.


Ambiente de Control

Existen que impactan significativamente en el ambiente

de control:

Filosofía y estilo operativo de la gerencia

Compromiso a la competencia

Valores de integridad y ética

Estructura de la organización


Ambiente de Control

FILOSOFÍA Y EL ESTILO OPERATIVO DE LA GERENCIA

La filosofía y el estilo operativo de la gerencia afectan la forma en que es conducida la empresa, incluyendo los tipos de riesgos de negocios aceptados


Ambiente de Control

FILOSOFÍA Y ESTILO OPERATIVO DE LA GERENCIA

La competencia fluye de dos factores: la educación y el entrenamiento. El primero de ellos es conceptual y se basa en un aspecto plenamente teórico. El entrenamiento, en cambio, es específico a la compañía: es donde los conceptos se ponen en práctica.

COMPROMISO A LA COMPETENCIA


Ambiente de control

Los objetivos de la organización y la manera en que se logran están basados en las preferencias, en los criterios de valor y en los estilos gerenciales, los cuales, traducidos a normas de comportamiento, reflejan la integridad de la gerencial y su compromiso respecto de los valores éticos


Ambiente de Control

La estructura organizativa de una empresa proporciona un marco dentro del cual se planifican, ejecutan, controlan y monitorean sus actividades para el logro de los objetivos. Los aspectos significativos relacionados con el establecimiento de una estructura organizacional relevante incluyen la definición de la s áreas claves de autoridad y responsabilidad y el establecimiento de líneas de información adecuadas.

ESTRUCTURA DE LA ORGANIZACIÓN


CONTROL INTERNO

INTEGRACIÓN DEL APRENDIZAJE

COMPONENTES DEL CONTROL INTERNOAmbiente de Controlo Fundamento de todos el proceso de control interno incluye la

integridad, valores éticos e idoneidad.o Está influenciado por la historia y la cultura de la organizacióno La filosofía y el estilo operativo de la Gerencia afectan la forma en

que es conducida la empresa.o Compromiso a la educación y el entrenamiento del personalo Políticas y prácticas de RR.HH.o Compromiso de la Gerencia respecto de los valores éticoso Estructura organizativa.


Actividades de Control

• Las actividades de control son las políticas y los

procedimientos que ayudan a asegurar que se cumplan

las directivas de la gerencia. Ayudan a asegurar que se

adopten las medidas necesarias para enfrenta los

riesgos que atentan contra el logro de los objetivos de la

organización.


Información y comunicación

• En torno a las actividades de

control se encuentran los

sistemas de información y

comunicación. Estos sistemas

permiten que el personal de la

entidad capte e intercambie la

información necesaria para

conducir, administrar y controlar

sus operaciones.


Información y comunicación

• La comunicación de fuentes externas

a menudo proporciona información

importante sobre el funcionamiento

del proceso de Control Interno. Por

ejemplo, l a comprensión por parte de

los auditores externos, de las

operaciones de una empresa, y de

temas de negocios y procesos de

control asociados proporciona

importante información sobre control

a la gerencia y al directorio.


Información y Comunicación

• La calidad de la información afecta la capacidad de la gerencia en cuanto a la toma de decisiones adecuadas para la administración y el control de la actividades de

la organización


Información y Comunicación

Medir la calidad de la información incluye la determinación

El contenido es adecuado

La información es oportuna

La información es actual

La información es precisa

La información es accesible

¿Está disponible la información requerida

¿está disponible cuando se la necesita?

¿es la última disponible?

?son los datos correctos?

¿puede ser obtenida fácilmente por las partes pertinentes?.


VIII ALINEACIÓN


Alineación

Una adecuada sincronización entre

objetivos corporativos, riesgos y

controles, constituye la meta de todo

plan estratégico de control y por

ende será el eje central del

trabajo de auditoria interna.


ANÁLISIS Y EVALAUCIÓN DE RIESGOS

ENFOQUE ORCA

OBJECTIVE

Organización

Risk Procedss

Business Process

Systems

Policies

Management Reporting


IX MAPEO DE RIESGOS


Mapeo de riesgo

Técnicas que facilita la visualización global de los

procesos críticos de los negocios y sus niveles de

riesgo, organizados de acuerdo con los factores

estratégicos de riesgo del negocio.

Tiene como objetivo central, facilitar la focalización de

esfuerzos hacia las áreas más sensibles del negocio.


Focalización hacia procesos y áreas críticas Procesos Factor riesgo

Venta de servicios Estratégica Operativos Financieros Cumplimiento Tecnologías

Creación en el sistema de servicios

Registro de uso de servicios

Facturación

Cartera

Recaudo

Riesgo medio

Riesgo

Alto

Riesgo

bajo


Otro ejemplo de matriz de riesgo

Objetivo de área

Descripción del Riesgos

Evaluación del riesgoImpacto

Mantener una estructura de personal acorde con los requisitos operacionales de la empresa

Riesgo de personas del sindicato

Riesgo de falta de manos de obra.

Riesgo de capacitación inadecuada

Riesgo de alta rotación de personal

5. Riesgo de contingencias laborales

1. Huelga, paralización de labores

2. Dificultades para atraer y retener personal `calificado

3. Calificación técnica inadecuada

4. Alta rotación de personal clave

5. Incumplimiento de la legislación laboral vigente.

Operacional / de Recursos humanos




De conformidad

● A

0 M

● B

● A

● A

● B

0 A

● B

● M

● M

● B

0 M

● B

● M

● M


Matriz de Riesgo

Sistemas

Contabilidad Créditos y Cobranzas

Existencias

ComprasRecursos Humanos

Ventas

Producción

I

M

P

A

C

T

O

mayor

menormenormenor


X. ESTRATEGÍAS DE AUDITORIA


Trabajo

encomendado


Etapa IIIInforme y

terminación

Etapa IVControl de

calidad

Etapa IIPlaneación










Ejecución





de auditoria

Terminado

Control de Calidad



Focalización hacia los procesos críticos de los

negocios.

Direccionamiento dado por los niveles de riesgo

de la actividades de negocio.

Estrategias de auditoria Administrativa


Estrategias de auditoria Administrativa

Elementos

Línea de negocios

Áreas de enfoque

Procedimientos de auditoria

Alcance

Oportunidad


A partir de la evaluación de riesgos de negocios por procesos críticos, se definen las estrategias de auditoria a desarrollar


Plan anual de Auditoria

PLAN ANUAL DE AUDITORIA DEL 2003Auditorias Horas

Ene -03 Feb-03

Mar – 03 Abr - 03 May -03 Jun -03 Jul-03 Ago-03 Sep-03 Oct-03 Nov-03 Dic-03

Almacenes

Importaciones

Planillas

Ventas - Mercado Interno

Exportaciones

Compras

Crédito y Cobranzas

Oficina de Trujillo

Activo fijo

Costos de producción

Seguimiento 2002

Total


XI. EVALUACIÓN DE CONTROLES


Trabajo encomendado


Etapa IIIInforme y

terminación

Etapa IVControl de

calidad

Etapa IIPlaneación










Ejecución





de auditoria

Terminado

Control de Calidad



Controles de aplicación

Los controles de aplicación son procedimientos diseñados

para alcanzar los objetivos de control.

Permite asegurar:

La totalidad y exactitud de las transacciones

Su autorización

existencia



Tipos de actividad de control• Segregación de funciones• Proceso de información Autorización Exactitud Integridad• Controles físicos• Arqueos de valores y documentos• Restricción de acceso Sistemas físico



• Las actividades de control generalmente se apoyan

en:

- Las políticas que determinan lo que debería hacerse; y

- Los procedimientos necesarios para llevar a cabo la

políticas.



• Los controles pueden ser: Manuales- Autorización de créditos por el Comité de Créditos- Conciliaciones bancarias- Aprobación de pagos a proveedores Computarizados- Control de solicitudes de crédito con crédito aprobados- Rechazo de asientos no balanceados. En la práctica los controles de las aplicaciones son una

combinación entre procedimientos computarizados y controles efectuados manualmente por los usuarios.

Por lo tanto la eficacia de los controles de las aplicaciones en muchos casos depende de la eficacia de los controles computacionales.



Durante la documentación de los controles de aplicación se debe asegurar que se identifiquen todos los objetivos de control

Controles en las transacciones- Autorización- Integridad- Exactitud Controles en los procesos- Integridad y exactitud de las actualizaciones- Integridad y exactitud de los datos acumulados- Acceso restringido a activos y registros El auditor concluye sobre la existencia, la suficiencia y el diseño

de los controles.



OBJETIVOS

DE CONTROLES

• Estructura Organizativa

• Desarrollo e implementación

• Modificación de las aplicaciones

• Operación del Computador

• Seguridad

informática.

Documentación y Pruebas de diseño

Controles de monitoreo de TI Controles

operativos de TI

PRUEBAS DE CONTROLES

PRUEBAS DE CONTROLES


XII EVIDENCIA


Evidencia

Concepto Naturaleza SuficienciaDebe obtenerse evidencia

suficiente y competente por

medio de la inspección,

observación,

investigaciones y

confirmaciones para

suministrar una base

razonable, a fin de formarse

una opinión.

Esta constituida por toda

información, documento o

dato que sustente una

transacción o

procedimiento.

El auditor los prueba

mediante análisis y

revisiones.

Es preferible que se

obtenga de fuentes

independientes.

Se refiere a la cantidad y

tipo de evidencia, usando

su juicio profesional para

formarse una opinión.


XIII FINALIZACIÓN


Finalización

Finalización y revisión del trabajo de campo

Resolución de asuntos críticos y de otros asuntos importantes

Revisión final de los estados contables

Preparación del informe



Aspectos mínimos que debe contemplar el informe

• Observaciones de control interno y recomendaciones

• Apartamiento de políticas y procedimientos• Apartamiento de normas contables• Seguimientos de normas contables• Seguimientos de las observaciones y

recomendaciones de informes anteriores• Otras observaciones y/o comentarios.


Preparación del Informe

- ¿Cómo de el proceso de comunicación con el área

auditada?

• Informalmente durante el transcurso de la revisión

• Informe formal preliminar para darle oportunidad al

área auditada de hacer aclaraciones y/o correcciones

• Informe final después de evaluadas las respuestas del

área auditiva.



Deficiencias de seguridad en la unidades de transporteNo cuenta con manuales de procedimientoHemos observado la falta de un manual que detalle los procedimientos generales y específicos que debe efectuar el personal de la compañía, debido a que el trabajo de elaboración de estos manuales han sido postergado.RiesgoLa inexistencia de procedimientos a ser efectuados en las determinadas áreas, trae como consecuencia falta de controles en las funciones administrativas que no permiten detectar o de lo contrario no son detectados, debido a que no están definidas las responsabilidades y no se cuenta con políticas y sistemas de trabajo y de control estandarizados, para todas las áreas administrativas. Esta situación se supera en ocasiones con la experiencia del personal de la Compañía del personal de la compañía.

Recomendación Recomendamos se considere como prioritaria la tarea de elaborar a la brevedad posible el Manual de Procedimientos acorde con la realidad de la Compañía.Comentarios de la GerenciaDe acuerdo con la recomendación, se inicia a la brevedad el trabajo de elaboración de los Manuales de Procedimientos.



• Deficiencias de seguridad en las unidades de transporteComo resultado de nuestra revisión a los formatos de evaluación de las unidades de transporte que trabajan con la Compañía, hemos a¡ observado que existen ciertas deficiencias de seguridad observadas más de3 una vez en forma consecutiva en ciertos camiones y por las que el transportista no ha tomado la correspondiente acción correctiva.

RiesgosIncumplimientos de la normas de seguridad establecidas por la Compañía,

que pueden exponer a incidentes de seguridad ocasionados por sus unidades de transporte que pueden exponer e ocasionar perjuicios a la compañía.

RecomendacionesLa compañía debe tomar acción inmediata y efectiva sobre aquellos

transportistas que presentan deficiencias recurrentes como resultado del proceso de evaluación de las unidades de transporte.

Comentarios de la GerenciaDe acuerdo con la recomendación , se implementará de manera inmediata.-Responsable.


XIV COBIT


Significado de COBIT

C CONTROL

OB Objetives

I For Information

T And Related Technology


Que es Cobit

- Un modelo de control intenro dirigido a ls necesidades

de control de la Tecnología de Inforamción

- Complementa los modelos más generales como el

COSO

- Trata de proveer guías más detalladas sobre los

objetivos de control para informática


Objetivos del COBIT

• Los recursos de las Tecnologías de información deben

administrarse mediante un grupo de procesos TI.

• A fin de proveer la información que la organización

necesita para alcanzar sus objetivos.


¿A quienes está dirigido?

• Gerentes• Par ayudarnos a balancear riesgo vs inversión

en control en un ambiente de TI.Usuarios• Obtener seguridad con respecto a la Seguridad

y los controles de TI que reciben (Interno o de terceros)

AuditoresPara sustentar su opinión y/o proveer consultorio

en control interno a la Gerencia.


Principios

Requerimientos del negocio

Procesos de TIRecursos de TI


Requerimientos

del Negocio

Requerimientos

de información

Calidad

Calidad

Costo

Entrega

Fiduciario – Control Interno (coso)

Efectividad y Eficiencia de las operaciones

Confiabilidad de la información

Cumplimiento de leyes y regulaciones

Seguridad

Confidencialidad

Integridad

Disponibilidad

=


Requerimientos del negocio información

Efectividad – información relevante y pertinente para los procesos de negocio, entrega de una manera oportuna, correcta, consistente y utilizable.Eficacia – relacionado con la entrega de información a través del óptimo uso de los recursos (más productivo y económico).Confidencialidad- relacionado con la proyección de la información a través del óptimo uso de los recursos (más productivo y económico).Confidencialidad - relacionado con la proyección de la información sensitiva a acceso no autorizados..Integridad: relacionado con la totalidad y exactitud de la información, así como su validez en concordancia con los valores de la organización y sus expectativas.Disponibilidad – La información deberá estar disponible cuando es requerida por los procesos de negocios, considerando la salvaguarda de los recursos.Cumplimiento- relacionado con el cumplimiento de leyes, regulaciones y condiciones contractuales a las que están sujetos los procesos de negocio.Confiabilidad- los sistemas deberán proveer a la generación financiera y operativa a los usuarios y a los entidades reguladoras en cumplimiento de la leyes y reglamentos.


Recursos de Ti

Datos

Objetivos con datos en su definición más amplia, ej. Externa e interna, estructura y no estructurados, gráficos , sonidos, etc.

Aplicaciones

Se entiende por aplicaciones a la suma de los procedimientos manuales u y programados.

Tecnología

Recursos para instalar y soportar los sistemas de información.

Personal

Capacidades y productividad para planear, organizar, adquirir, entregar, soportar, monitorear los sistemas y los servicios de información


Dominios y procesos de TI

Dominios

Procesos

Actividades

Agrupamiento natural de procesos, usualmente coincide con un dominio de responsabilidad organizacional.

Conjunto de actividades.

Acciones requeridas para lograr un resultado medible


CUBO DEL COBIT

Per

sona

l

Apl

icac

ione

s y

Sis

tem

as

Tec

nolo

gía

Inst

alac

ione

s

Dat

os

Cal

idad

Fid

ucia

rio

Seg

urid

ad

Pro

ceso

s d

e T

I

Rec

urso

s de

TI

Información

Dominios

Procesos

Actividades



Objetivos de Control

os dominios

Planificación y Organización

Adquisición e Implantación

Entrega y Soporte

Monitoreo


Planificación y organización

Estrategias y tácticas – Contribución de TI

Logro de los objetivos de la organización

Apropiadamente planeada, comunicada y

administrada.

Organización e infraestructura tecnológica apropiada.


Adquisición e implantación

Realización de la estrategia de TI

Soluciones identificadas, desarrolladas o adquiridas e

implementadas

Soluciones integradas a los procesos de negocio

Cambio y mantenimiento de sistemas.


Entrega y Soporte

Entrega de los servicios requeridos

Operaciones, seguridad y capacitación

Establecimiento de datos por las aplicaciones.


Monitoreo

• Evaluación regular de todos los procesos de TI

• Cumplimiento de controles


Reglas del COBIT

• A fin de proveer la información que la organización requiere para el logro de sus objetivos, los recursos de TI requieren ser administrados por un sistema de procesos agrupados de manera natural.


Proceso de TI• Planeamiento y OrganizaciónPO1 Definir un plan estratégico para TIPO2 Definir la Arquitectura de la InformaciónPO3 Determinar la Dirección TecnológicaPO4 Definir la Organización de TI y sus RelacionesPO5 Administrar la inversión en TIPO6 Comunicar las metas gerencialesPO7 Administrar los RR. HHPO8 Cumplir con los requerimientos externos PO9 Evaluar los riesgosPO10 Administrar ProyectosPO11 Administrar la calidad.


Definición de un Plan Estratégico del TI – PO1

• 1.1 TI como parte del Plan de la organización a corto y largo plazo

Objetivo de Control

La alta gerencia será la responsable de desarrollar e implantar planes a corto y largo plazo que satisfagan la misión y las metas de la organización. A este respecto, la alta gerencia deberá asegurar que los problemas de TI, así como las oportunidades sean evaluados adecuadamente y reflejados en los planes a

corto y largo plazo de la organización.


1.2 Plan a largo plazo de TI

Objetivos de Control

La gerencia de la función de servicios de información será responsable de desarrollar regularmente planes a largo plazo de TI que apoyen el logro de la misión y las metas generales de la organización. De la misma manera, la Gerencia deberá implementar un procesos de planeación a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan.


1.3 Plan a largo plazo d eTI – Enfoque y EstructuraObjetivos de control

La Gerencia de la función de servicios deberá establecer un enfoque estructurado al proceso de planeación a largo plazo. Esto deberá traer como resultado un plan de alta calidad que cubra las preguntas básicas de qué, quien y cuándo. Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeación son el modelo de la organización y sus cambios, la distribución geográfica, la evolución tecnológica, los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes del mercado, el horizonte de planeación, reingeniería de procesos del negocio, la asignación de personal, la designación de fuentes interna y externas, etc. el plan mismo deberá hacer referencia a otros planes tales como el plan de calidad de la organización y el plan de administración de riesgos de información.


1.4 Cambios al Plan a largo plazo de TI

Objetivos de control

La gerencia de la función de servicios de información deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de TI, con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la tecnología de la información.


1.5 Planeación a corto plazo en la función de servicios de información

Objetivos de controlLa gerencia de la función de servicios de información deberá asegurar que el plan a largo plazo de TI sea traducido regularmente en planes a corto plazo deberá asegurar que se asignen los recursos apropiados de la función de servicios de TI con una base consistente con el plan a largo plazo. Los planes a corto plazo deberán ser reevaluados y modificados periódicamente según se considere necesario respondiendo a las condiciones de cambios en el negocio y en la tecnología de información. La realización oportuna de estudio de factibilidad deberá asegurar que la ejecución de los planes a corto plazo sea iniciada adecuadamente.


1.6 Evaluación de sistemas existente

Objetivos de controlEn forma previa al desarrollo o modificaciones del Plan

Estratégico de Ti, la Gerencia de servicio de

información debe evaluar los sistemas existentes en

términos de nivel de automatización del negocio,

función habilidad, estabilidad, complejidad, costo,

fortalezas y debilidades, con el propósito de

determinar el nivel de soporte que reciben los

requerimientos de negocio de los sistemas existentes.


Procesos de TI

Adquisición e implantación

AI 1 Identificar soluciones

AI2 Adquisición y mantenimiento aplicaciones de software tecnología

AI4 Desarrollo y mantenimiento de procedimientos

AI5 Instalación y Acreditación de sistemas

AI6 Administración de cambios.


Procesos de TIEntrega y SoporteDS1 Definición de niveles de servicioDS2 Administración de servicios prestados por tercerosDS3 Administración de desempeño y capacidadDS4 Aseguramiento de servicios continuosDS5 Garantizar la Seguridad de SistemasDS6 Identificación y Asignación de costosDS7 Educación y entrenamiento de usuariosDS8 Apoyo y asistencia a los clientes de TIDS9 Administración de la configuración DS10 Administración de problemas e incidentesDS11 Administración de datosDS12 Administración de instalacionesDS13 Administración de operaciones


Proceso de TI

MONITOREO

M1 Monitoreo del proceso

M2 Evaluar lo adecuado del Control Interno

M3 Obtener aseguramiento independiente

M4 Proveer auditoria independiente.


IT Processes

Business

Requeriments

Control

Statements

Control

Practices

Planificación y organización

Adquisición y implementación

Delivery y

Support

Monitoreo

Rel

eaby

liti

Com

plia

nce

Ava

ilabi

lity

Inte

grity

Con

dent

ialit

y

Effi

cien

cy

Effe

ctiv

enbe

ss

dataFac

ilitie

s

tech

logy

App

licat

ions

Peo

ple

The control of

Which satisfy

Is enabled by

And considers


XV TECNICAS DE AUDITORIA ASISTIDAS


• Usando Técnicas de Auditoria asistida por el computador para

detectar Fraudes – CAATs (Computer Assited Auditing Techniques)

- Los CAATs son herramientas basadas en el computador que

permiten al auditor incrementar su productividad personal así como

la de la función de auditoria.

- EL Poder de los CAATs se puede apreciar en pruebas sobre

grandes volúmenes de datos. ¿Cuál sería el tiempo requerido para

analizar abonos duplicados en cuenta por pago de planilla en una

empresa que cuenta con 1500 empleados y obreros?


Tipos de CAATs

- Procesamiento de palabras

- Hojas de cálculo

- Bases de datos

- Muestreo estadístico

- Data Mining

- Programas de pruebas en tiempo real

- Software integrado de auditoria

- Análisis de datos


Tipos de CAATs – mas usados para detección de fraudes

- Procesamiento de palabras

- Hojas de cálculo

- Bases de datos

- Muestreo estadístico

- Data Minig

- Programas de pruebas en tiempo real

- Software integrado de auditoria

- Análisis de datos


¿Qué es el Data Mining?

_ Proceso descubrir nuevas correlaciones, patrones y

tendencias, a través del análisis de grandes volúmenes

de datos almacenados en repositorios utilizando

técnicas de reconocimiento de patrones y estadísticas.

- Más utilizado en análisis de ventas y de clientes


Ejemplos de aplicación de Data Mining

- Las compañías de seguros recolectan información relacionadas a los reclamos: descripción de incidentes, reclamantes, testigos, otros individuos involucrados, hora, localización etc.

- El software de Data Mining ayuda a identificar casos en los que el mismo individuo está involucrado en varios reclamos , algunas veces como testigos, otras como pasajeros, otras como conductor

- Otros criterios de comparación e investigación permiten la identificación de reclamos de seguros fraudulentos.


Análisis de Datos

- Útil en la identificación de operaciones no autorizadas

y reportes financieros fraudulentos.

- Permite un número ilimitado de relaciones a ser

evaluadas dentro de grandes bases de datos o

comparando grandes bases de datos identifica

anomalías.

- Requiere de una posterior investigación pro parte del

auditor para interpretar los resultados.


Análisis de Datos Software

• Acess y Excel

• Interactive Data Extracción and analysis (IDEA)

• Audit Command Languaje (ACL)

• Herramientas amigables al usuario basadas en

Windows

• Requieren de creatividad e imaginación

• Complementa pero no reemplaza el trabajo del auditor.


Análisis de Datos Técnicas

Filtros Clasificación

Clasificación (sort) Totalización

Análisis estadístico Estratificación

Faltantes (GAPS) Uniones y relaciones

Anticuamiento

Muestreo


Análisis de Datos – Técnicas - Filtros

Muestra solo las transacciones que cumplen una

condición en particular, sobre las que el auditor está

interesado, sobre una base de datos con miles o

millones de registros

Ej. De la base de datos que contiene todas las facturas

pagadas en el mes, mostrar aquellas facturas que

tengan más de 30 (60, 90…) días de antigüedad.


Análisis de Datos Clasificación (Sort)

- Ordena la información de acuerdo a un criterio que

facilite su análisis

- Ej. Ordenar los documentos pendientes de pago por

antigüedad.

- Ordenar por número de teléfono del proveedor

- Ordenar pro número de cuenta para transferencias de

fondos para pago a través de bancos


Análisis de Datos - Técnicas – Faltantes (GAPS)

- Utilizando cuando se tiene formularios o transacciones

prenumerados.

- Mostrar todos los números de cheque faltantes

- Mostrar todas guías de remisión faltantes

- Mostrar todos números de reclamos faltantes.


Análisis De datos Técnicas - Duplicados

Utilizando en situaciones en la que los duplicados no

deberían ocurrir

Mostrar todas las transacciones de pago de planilla del

presente periodo que tengan duplicado:

Nombre del beneficiario

Número del seguro social o CUS

Dirección de pago

Cuenta de destino para abono en cuenta.


Análisis de Datos técnicas – Anticuamiento

- La mayoría utiliza un listado de anticuamiento de

cuentas por pagar .

- La función de anticaumiento puede calcular el número

de días entre dos fechas

- Mostrar el tiempo transcurrido desde que un item es

comprado y puesto en almacén hasta que es retirado

pro obsolescencia

- Mostrar el tiempo transcurrido entre la fecha de

recepción del cheque y la fecha depósito en el banco.


Análisis de Datos - Técnicas – Expresiones

y Cálculos - Pueden ser usados para probar y detectar errores en

el sistema contable- Pero también pueden ser utilizados alteraciones no

autorizadas de los datos- Recalcular unidades x precio unitario y mostrar todos

los casos en los que el resultado no coincida con el valor almacenado en el campo de monto

- Recalcular unidades x precio unitario y mostrar todos los casos en los que el precio unitario no corresponda al fijado en la lista de precios aprobados para el periodo.


Fraude en Planillas – Bases de Datos involucradas

- Planilla

- Directorio de empleados

- Directorio de empleados cesados

- Programación de vacaciones

- Gastos de empleados


Fraude en Planillas - Prueba• Duplicidad Pagos en la misma fecha Nombres iguales o similares CUS Direcciones Número de teléfono Cuenta de depósito• Empleados sin dirección identificada• Sueldos inconsistentes con la clasificación del empleado • Desembolsos por pagos por encima de ciertos montos (por

periodo o acumulaciones)• Sobretiempos con otros indicadores de actividad


Fraude en Compras- Bases de Datos involucrados

- Proveedores

- Directorio de empleados

- Empleados cesados

- Gastos de empleados

- Inventario

- Cuentas por Pagar

- Cuentas por cobrar


Fraude en Compras - Prueba

- Duplicidad en importante de desembolsos- Duplicidad en número de factura- Duplicidad de desembolsos en misma fecha- Desembolsos a proveedores no registrados en la base

de datos - Nombre /Dirección/Teléfono del proveedor similar al de

un empleado- Nombre del proveedor similar al de un empleado- Compras inconsistentes con el inventario- Compras sin requerimientos, orden de compra o reporte

de recepción - Dirección de pago o nombre del beneficio diferentes a

los registrados en la base de datos.


Fraude en Compras - Pruebas

- Proveedores sin número de teléfono o persona de contacto

- Números de factura del mismo proveedor en secuencia ininterrumpida

- Facturas por montos pro debajo por muy poco de aquellos que requieren un nivel de aprobación mayor

- Más de un proveedor con la misma dirección, teléfono y persona de contacto.

- Proveedores con nombres similares- Precios unitarios que suben rápidamente o que son

inconsistentes con los precios históricos- Precio unitario para el mismo producto que son

inconsistentes entre diferentes proveedores.


Fraude en Compras - Pruebas

• Coincidencia en código o descripción de items que son

comprados y luego vendidos como desechos

• Fluctuaciones de los niveles de inventario

inconsistentes con la producción de las ventas

• Dirección de entrega similar a la dirección de un

empleado

• Dirección de entrega no coincide con ninguna de las

ubicaciones de la Compañía.


Fraude – Enfoque general Identificar las bases de datos involucradas, tanto

internas como externas de ser aplicables Listar los campos disponibles en las bases de datos Formular hipótesis de las relaciones entre los campos

de datos Programar `pruebas analíticas por cada hipótesis Ejecutar las pruebas Evaluar los resultados iniciales y afinar las pruebas Ejecutar las pruebas nuevamente para obtener una

relación más pequeña y significativa. Evaluar cada item de la lista obtenida.


Fraude – Enfoque general

- Por cada item de la lista se puede encontrar una aplicación válida o puede ser una transacción sospechosa que requiere ser investigada.

- Identificar los problemas de control y las acciones correctivas necesarias a fin de prevenir la ocurrencia de transacciones no autorizadas.

- Guardar las pruebas programadas y afinarlas constantemente

- Ejecutar las pruebas como rutinas de manera frecuente de acuerdo a la disponibilidad de recursos.


XVI HERRAMEINTAS TECNOLÓGICAS


Trabajo encomendado


Etapa IIIInforme y

terminación

Etapa IVControl de

calidad

Etapa IIPlaneación










Ejecución





de auditoria

Terminado

Control de Calidad


Nuestra Metodología


Herramientas Tecnológicas

• Herramientas Tecnológicas

Evaluación de

riesgos

Soportea la

auditoria

ACLIdea

MejoresPrácticasDiagrama

mación

Planificación

Ejecución

Reportes

Documents

Auditoria Administrativa - Curso