¿Cómo auditar los procesos de la Compañía? Primera parte

31/08/2011

En el trabajo realizado en la planeación de auditoría, identificamos:

 1)    Transacciones significativas y los procesos que las inician, procesan y registran  

2)    Riesgos de negocio que tienen implicaciones significativas en los estados financieros y los controles que los mitigan 

3)    Riesgos de fraude y los controles que los mitigan  

Para cada uno de estos tres puntos el Auditor debe entrar a evaluar los procesos que los administran (transacciones significativas) y los controles que los mitigan (Riesgos de negocio y Riesgos de fraude)  

En este artículo iniciaremos con los procesos que inician, procesan y registran las transacciones significativas. Recordemos, una transacción significativa se refiere a los movimientos contables reflejados en los estados financieros que surgen por intercambio de valor entre la entidad y un ente externo. Ejemplo, ventas.  

Para un mejor entendimiento las clasificamos  y agrupamos por procesos:

Proceso que administra las transacciones significativas

Cuentas afectadas en los estados financieros

Proceso de ventas, cuentas por cobrar y recaudos

Ventas, Cuentas por Cobrar, Impuestos y Disponible

Proceso de compras, cuentas por pagar y pagos

Inventarios, Gastos, Cuentas por pagar, impuestos y Disponible

Proceso de administración de inventarios  y propiedad, planta y equipo

Inventarios, costo de ventas, propiedad, planta y equipo y depreciación.

Proceso de nómina Gastos de personal, nómina por pagar, impuestos y disponible

Las siguientes son las fuentes en donde el Auditor puede encontrar información para documentar los procesos:  

-       Organigramas que identifiquen los puestos y responsabilidades 

-       Entrevistas con los dueños de los procesos 

-       Manuales de procedimientos 

-       Políticas relacionadas con el proceso 

-       Observación de las actividades del proceso 

-       Inspección de información producida por el proceso  

-       Informes de auditorías internas y/o externas 

-       Revisión de las cartas de recomendaciones del Auditor del año anterior  

Para el logro de nuestro análisis de los procesos, consideraremos el desarrollo de las siguientes actividades, así:  

a.   Entendimiento del proceso 

b.   Identificación de los riesgos y controles del proceso 

c.  Selección de los controles relevantes a los que se les realizarán las pruebas 

d.   Evaluación de los controles 

e.   Diseño de las pruebas de auditoria relativas a la eficacia operativa de controles  

a.   Entendimiento del proceso  

Es indispensable que el Auditor entienda y documente las actividades que  inician, procesan  y registran las transacciones significativas. Ejemplo:

Transacción significativa: 

Proceso de ventas, cuentas por cobrar y recaudos

Actividades   (Cada actividad se debe describir de forma resumida)

Recibo de la orden del cliente:

Extracción de  los artículos del inventario:

Se envía la mercancía al cliente y se genera el informe de ventas:

Se factura al cliente:

Se registran los asientos en el mayor general:

b.   Identificación de los riesgos y controles del proceso  

Del buen entendimiento del proceso dependerá la identificación de riesgos y los controles que los mitigan. En la identificación de riesgos es importante que considere los factores que pueden incrementar los riesgos, tales como la calidad del personal, experiencias pasadas en la obtención de objetivos, complejidad de una actividad, distribución geográfica de las actividades, entre otras.  

Ejemplos de riesgos de procesos:

Transacción significativa:

Proceso de ventas, cuentas por cobrar y recaudos

Riesgos

-       Que se efectúen ventas a clientes ficticios

-       Que se registren ventas y no se envíe la mercancía

-       Que se envíe la mercancía y no se registre el ingreso.

-       Que las transacciones se registren en un monto incorrecto.

-       Que las transacciones no se clasifiquen correctamente.

Cuando hemos identificado los riesgos del proceso, procedemos a identificar los controles que los mitigan. La forma más fácil de identificar si se trata de un control es verificar si lo que se está evaluando corresponde a revisión, verificación, aseguramiento a través de sistemas, reconciliación, contraseñas, reportes de error, mapeo de cuentas, etc.

Aquí finalizamos la primera parte del tema, ¿Cómo auditar los procesos de la Compañía? en nuestro próximo artículo continuaremos con este tema.

n el artículo anterior definimos que para auditar los procesos de la Compañía que

administran transacciones significativas debemos  realizar las siguientes actividades:

a.   Entendimiento del proceso

b.   Identificación de los riesgos y controles del proceso

c.  Selección de los controles relevantes a los que se les realizarán las pruebas

d.   Evaluación de los controles

e.   Diseño de las pruebas de auditoria dirigidas a probar la eficacia operativa de

controles

a.   Entendimiento del proceso

Es indispensable que el Auditor entienda y documente las actividades que  inician,

procesan  y registran las transacciones significativas en los estados financieros.

b.   Identificación de los riesgos y controles del proceso

Con base en el entendimiento del proceso se deben identificar riesgos que amenacen

la integridad, existencia, exactitud y revelación de las transacciones significativas.

Ejemplos:

Transacción significativa:

Proceso de ventas, cuentas por cobrar y recaudos

Riesgos

-       Que se efectúen ventas a clientes ficticios (Existencia de las ventas)

-       Que se envíe la mercancía y no se registre el ingreso (Integridad de las ventas).

-       Que las transacciones se registren en un monto incorrecto (Exactitud de las

ventas)

Identificados los riesgos procedemos a identificar los controles que nos ayudan a

mitigar esos riesgos

Los controles pueden ser  manuales o automatizados y preventivos o detectivos.

Los siguientes son los tipos de controles más comunes:

Categoría

de control

Tipo de

controlDescripción Ejemplos

Autorización Manual

La aprobación de

transacciones

ejecutadas de acuerdo

con las políticas y los

procedimientos

generales o

específicos de la

gerencia.

Aprobación manual designada

Límites de Autorización

Documentación Soporte

Reportes de

Excepción /

Manual Revisar reportes del

sistema para

Revisar todas las ediciones hechas por empleados a archivos

Categoría

de control

Tipo de

controlDescripción Ejemplos

Edición

monitorear errores o

entradas y seguimiento

a su resolución.

maestros.

Revisar ventas que excedan el límite de crédito de los clientes.

Indicadores

Clave de

Desempeño

Manual

Análisis de

interrelaciones,

tendencias, y revisión

de desempeño de

indicadores

Análisis de Presupuesto vs real

Reportes Gerenciales

Métricas y análisis de tendencias

Revisión

GerencialManual

Involucramiento de la

gerencia en revisión de

transacciones y

supervisión de staff.

Revisión por un segundo empleado o gerente

Inclusión en la información a Junta

Reconciliación Manual

Comparación de

diferentes grupos de

datos, destacar

diferencias y su

correspondiente

seguimiento.

Reconciliación de Bancos

Reconciliación estado de proveedores.

Segregación

de FuncionesManual

Separación de

funciones y

responsabilidades

para  autorización de

transacciones, registro

de transacciones, y

mantenimiento de

custodia.

El Procesador de facturas de gastos es diferente al de pagos.

El aprobador de términos de Crédito es diferente del aprobador de nuevos clientes.

Configuración

y  Mapeo de

Cuentas.

Automático

Grupo de “Switches”

para asegurar los

datos contra

procesamiento

inadecuado.“Switches”

relacionados

direccionamiento de

transacciones al libro

mayor.

Grupos de Autorización

Facturas   asignadas al libro mayor solo si esta tiene un número de proyecto asignado

Interface Automático

Transferencia de datos

de una base de datos

a otra.

Auxiliares a Libro Mayor

Nómina a Libro Mayor

Acceso al

Sistema

Automático Derechos de acceso

otorgados a un usuario

El acceso al sistema de

nómina esta limitado a

Categoría

de control

Tipo de

controlDescripción Ejemplos

individual dentro de un

ambiente de

procesamiento de IT.

empleados del

departamento de nómina.

c.  Selección de los controles relevantes a los que se les realizarán las

pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles

relevantes, esta selección se deberá hacer teniendo en cuenta que el conjunto de los

controles seleccionados permiten prevenir, detectar y corregir un error, de acuerdo al

objetivo tanto del proceso, como de la auditoria. Teniendo en cuenta que las

compañías normalmente cuentan con un gran número de controles, nosotros

procedemos a seleccionar los controles que consideramos tienen las siguientes

características:

Los más eficientes de probar

Los que mitigan más número de riesgos.

Los que cubren un mayor número de aseveraciones