You are on page 1of 100

kpmg

Assurance & Advisory Services Center

Gua de Controles

Mayo del 2001

kpmg

Assurance & Advisory Services Center Gua de Controles

Contenido
1 Introduccin 1

1.1 Aplicacin a todos los trabajos......................................................................................2

2 Bosquejo del flujo de trabajo

2.1 Anlisis estratgico........................................................................................................4 2.2 Anlisis de procesos......................................................................................................6 2.3 Procedimientos restantes de auditora y emisin de informes.......................................6

3 Control circundante del negocio 4 Enfoque basado en sistemas del anlisis de procesos

7 9

4.1 Entender el proceso.......................................................................................................9 4.2 Entender los riesgos del negocio a nivel de procesos y el riesgo en los estados financieros.............................................................................................................9 4.3 Identificar los controles relevantes (del negocio y en los estados financieros)...........10 4.4 Seleccionar un conjunto secundario de controles para las pruebas y efectuar las pruebas del diseo...............................................................................................11 4.5 Comprobar la eficacia operativa de los controles seleccionados................................13 4.6 Evaluar los resultados..................................................................................................18 4.7 Documentar los resultados...........................................................................................18 4.8 Resumen de puntos clave de decisin.........................................................................20

1. Glosario 1. Glosario 2. Ejemplos de pruebas de control 2. Ejemplos de pruebas de control

21 21 22 22

3. Riesgo estratgico del negocio .....................................................................................23

kpmg

Assurance & Advisory Services Center Gua de Controles

3. Riesgo estratgico del negocio .....................................................................................23 4. Clase significativa de transacciones..............................................................................23 4. Clase significativa de transacciones..............................................................................23

Consolidacin de inversin en subsidiarias 5. Categoras de control 5. Categoras de control

48 52 52

6. Autorizacin..................................................................................................................52 6. Autorizacin..................................................................................................................52 Controles de configuracin y mapeo de cuentas..............................................................54 Controles de configuracin y mapeo de cuentas..............................................................54 Informe de excepciones / correcciones.............................................................................58 Informe de excepciones / correcciones.............................................................................58 7. Controles de interfase / conversin...............................................................................60 7. Controles de interfase / conversin...............................................................................60 Indicador clave del desempeo.........................................................................................65 Indicador clave del desempeo.........................................................................................65 Revisin de la gerencia.....................................................................................................68 Revisin de la gerencia.....................................................................................................68 Conciliacin......................................................................................................................70 Conciliacin......................................................................................................................70 8. Segregacin de obligaciones.........................................................................................72 8. Segregacin de obligaciones.........................................................................................72 Acceso al sistema..............................................................................................................74 Acceso al sistema..............................................................................................................74

9. Tcnicas de pruebas de control 9. Tcnicas de pruebas de control

77 77

kpmg

Assurance & Advisory Services Center Gua de Controles

10. Indagacin corroborativa.............................................................................................77 10. Indagacin corroborativa.............................................................................................77 11. Inspeccin....................................................................................................................78 11. Inspeccin....................................................................................................................78 12. Evaluacin de conocimientos......................................................................................79 12. Evaluacin de conocimientos......................................................................................79 13. Indagacin del sistema.................................................................................................80 13. Indagacin del sistema.................................................................................................80

14. Participacin de IRM en la auditora 14. Participacin de IRM en la auditora

83 83

kpmg

Assurance & Advisory Services Center Gua de Controles

Introduccin
La definicin de un enfoque basado en los sistemas es una auditora de estados financieros de acuerdo con el Manual de Auditora de KPMG (el KAM) Este considera tanto los controles manuales como los de tecnologa de informacin (TI) e incluye la participacin apropiada de un especialista de Administracin de Riesgo de Informacin (IRM, por sus siglas en ingls).

La Gua de controles se desarroll para proveerles a los equipos de auditora la informacin con respecto a la aplicacin de un enfoque de auditora basado en los sistemas.

La auditora de acuerdo con el KAM es una auditora en la que no anticipamos adoptar un enfoque sustantivo a todos los objetivos de auditora (una auditora completamente sustantiva). Esto requiere un anlisis para evaluar el riesgo de que ocurran errores e irregularidades significativos (la combinacin del riesgo inherente y el riesgo de control) por debajo del nivel ms alto. De acuerdo con el KAM, una evaluacin del riesgo de que ocurran errores e irregularidades significativos por debajo del nivel ms alto slo puede respaldarse si se obtiene evidencia de auditora sobre la eficacia tanto del diseo como de la operacin de los controles. En adicin, en caso que el riesgo de que ocurran errores e irregularidades significativos se evale como alto, normalmente se debe a que las pruebas de control indican que los controles relevantes no han sido debidamente diseados o no funcionan eficazmente, y no debido a que no planeamos efectuar pruebas de control, debido a motivos percibidos de eficiencia. Vase el resumen de los puntos clave de decisin con respecto a la aplicacin de un enfoque basado en los sistemas en la seccin 4.8. Esta Gua se ha diseado para incluir tanto la teora de las pruebas de controles como ejemplos prcticos. Aunque est diseada para proveer un bosquejo del flujo de trabajo completo del KAM, el punto de concentracin de la Gua es entender y comprobar los controles durante la fase de anlisis de procesos con el fin de respaldar un enfoque basado en los sistemas segn se define ms arriba. La Gua se basa en el KAM, que guarda consistencia con las Normas Internacionales sobre Auditora (las NIA). En adicin, en los Estados Unidos, el KAM US satisface las Normas de Auditora de los EE.UU. Esta Gua consiste de cuatro partes:
n

Un bosquejo del flujo de trabajo. Esta es una breve revisin del flujo del trabajo en el KAM concentrada en la identificacin de los riesgos estratgicos del negocio y las clases significativas de transacciones y el anlisis que se requiere de los procesos clave del negocio que administran los riesgos significativos del negocio o que inician, procesan y registran las clases significativas de transacciones. El control circundante del negocio. Esta es una breve revisin de la Gua del KAM sobre el control circundante del negocio, ya que constituye la base de todos los otros componentes de control. Enfoque basado en sistemas del anlisis de procesos. La concentracin de esta seccin es en el anlisis de procesos incluyendo la identificacin de los riesgos y controles a nivel de procesos y las pruebas de los controles. Apndices los apndices estn en seis partes:

kpmg

Assurance & Advisory Services Center Gua de Controles

Glosario Ejemplos de pruebas de control. Los ejemplos demuestran un conjunto de controles potenciales que podran existir en ciertos procesos. No se pretende que los ejemplos abarquen todas las situaciones pero son un punto de partida para la identificacin de controles. Categoras de control. Muchos controles encajan en categoras especficas basados en similitudes de cmo se efectuaran las pruebas del diseo y de su eficacia operativa. Cada control que se incluye en el ejemplo de controles se ha identificado con una categora. Tcnicas de pruebas de control. La Gua general describe las tcnicas que ya se han descrito en el KAM. Adicionalmente, se han agrupado ciertas tcnicas que se consideran apropiadas para usarse en la recopilacin de evidencia sobre la eficacia operativa. Dichas tcnicas se describen ms detalladamente en los apndices. Participacin de IRM en la auditora. IRM puede aportar un valor significativo a la auditora y en ciertos casos se requiere su participacin en el anlisis estratgico o en el anlisis de procesos. A travs de la Gua se hace referencia a la participacin apropiada de IRM. En adicin, el apndice provee preguntas y consideraciones detalladas adicionales con respecto a la participacin de IRM.

1.1 Aplicacin a todos los trabajos


Esta Gua aplica a trabajos de diferentes tamaos. Los trabajos ms pequeos tienen la misma necesidad de un buen control que los trabajos ms grandes, aunque es posible que las entidades ms grandes tengan requisitos externos ms rigurosos de emisin de informes. Normalmente, en teora, existen las mismas caractersticas de buenos controles en las entidades ms pequeas pero la forma que tomen dichas caractersticas puede ser diferente a la de las entidades ms grandes. Normalmente las diferencias son las siguientes:
n

En las entidades ms pequeas el proceso de comunicacin es menos formal. Con menos personas y niveles limitados de gerencia dentro de la organizacin, la comunicacin oral puede resultar eficaz y, normalmente, ms aceptable que la comunicacin escrita. La gerencia principal, que normalmente consiste de los propietarios, es quien se encarga de la supervisin en vez de una junta con directores externos. En las entidades pequeas, el estilo de administracin normalmente es ms de tomar accin. Esto significa que la gerencia lleva a cabo la planeacin sin mucha delegacin. La gerencia tambin efecta la vigilancia por medio de indagaciones directas y observacin en vez de por medio de una dependencia de un sistema formal de emisin de informes en muchas reas. Es poco probable que las entidades ms pequeas tengan un equipo de auditora interna. No obstante, es posible que haya cierto tipo de comprobacin interna sostenida por parte de la gerencia o del personal contable, tal vez en los proyectos especiales. Los puntos anteriores implican que una estructura organizacional ms simple tiene menos nivelesde gerencia que dependen de la revisin directa de sta. Los enfoques a la auditora basada en los sistemas que se describen en esta Gua pueden aplicarse en estas estructuras

n n

kpmg

Assurance & Advisory Services Center Gua de Controles

menos complejas. De hecho, en muchos casos, teniendo pocos procesos, y a la vez menos complejos, puede que sea ms fcil aplicar un enfoque basado en los sistemas.
n

Los procedimientos de control y la segregacin de obligaciones no son tan extensos en las entidades ms pequeas como en las ms grandes. La supervisin directa de la gerencia es ms importante. Un proceso de auto-evaluacin es considerablemente menos formal en las entidades ms pequeas. Es posible que ste slo exista por medio de la experiencia y reflexin en vez de procedimientos formales. Comunmente, la gerencia en las organizaciones ms pequeas depende de asistencia de terceros, especialmente de sus auditores externos.

kpmg

Assurance & Advisory Services Center Gua de Controles

Bosquejo del flujo de trabajo

2.1 Anlisis estratgico


Entendimiento del negocio

Estimaciones contables, presentacin y revelaciones

Riesgos significativos del negocio

Clases significativas de transacciones

Transacciones rutinarias y no rutinarias

Administra un riesgo significativo del negocio

Procesos clave

Inicia, procesa y registra una clase significativa de transacciones

Durante el anlisis estratgico y por medio de la experiencia con la entidad o su industria, la indagacin con el personal de la entidad y la aplicacin de procedimientos analticos, obtenemos un conocimiento del negocio de la entidad que sea suficiente para identificar y entender lo siguiente:
n

Los riesgos estratgicos del negocio que puedan tener un efecto significativo en los estados financieros. Los riesgos estratgicos del negocio varan dependiendo de las estrategias que la gerencia opte por implantar para contribuir al logro de sus objetivos del negocio. Los efectos potenciales de dichos riesgos en los estados financieros pueden requerir una estimacin en los estados financieros o requerir que la gerencia tome decisiones sobre su presentacin y revelacin. Los riesgos estratgicos del negocio tambin son aquellos riesgos relacionados con los sistemas de informacin por computadora (los riesgos del negocio de TI). Para entender la importancia de dichos riesgos, deben considerarse la importancia de los sistemas de informacin por computadora en los estados financieros y los riesgos estratgicos del negocio relacionados. Los mdulos de anlisis de riesgos son herramientas que pueden utilizarse para evaluar los riesgos estratgicos del negocio de TI. El propsito de un mdulo de anlisis de riesgos es contribuir a determinar, a un nivel estratgico, el grado de exposicin del cliente a los riesgos que resulten del uso de la tecnologa. Se han generado preguntas que pueden asistir al equipo de BMP a determinar la necesidad de ejecutar un mdulo de anlisis de riesgos (Apndice E.3).

Las clases significativas de transacciones que, segn nuestro juicio, puedan tener un efecto significativo en los estados financieros y, por lo tanto, en nuestra auditora. Las clases significativas de transacciones son un conjunto importante de transacciones que tienen caractersticas, propiedades o cualidades comunes.

Durante el entendimiento del negocio, adems:

kpmg

Assurance & Advisory Services Center Gua de Controles

Obtenemos un entendimiento del control circundante del negocio que impacta nuestro enfoque a los controles. Esto incluye, considerar cmo el ambiente de los sistemas de informacin por computadora afecta la auditora (Seccin 3). Efectuamos una evaluacin inicial de si se necesitan recursos de IRM para evaluar, documentar y comprobar los riesgos y controles de TI que (i) emanan del negocio del cliente y sus estrategias correspondientes y (ii) residen en los procesos clave del negocio. Las preguntas provistas en el Apndice E.1, Anlisis estratgico evaluacin inicial de la participacin de IRM, deben usarse para determinar si existen ciertas caractersticas que indiquen la necesidad de participacin de IRM en la auditora de los estados financieros. Si determinamos que los riesgos de TI no son significativos y que no existe ninguna de las caractersticas del cliente descritas en el Apndice E.1, la participacin de un especialista de TI no es beneficiosa. Si existen las caractersticas del cliente, debe considerarse la participacin de IRM en el anlisis estratgico. administran los riesgos estratgicos del negocio; o inician, procesan y registran las clases significativas de transacciones hasta su inclusin en los estados financieros.

Entonces identificamos y vinculamos los procesos del negocio que:


n n

Se hace referencia a stos como procesos clave del negocio. Se efecta un anlisis de procesos sobre cada proceso clave del negocio.

kpmg

Assurance & Advisory Services Center Gua de Controles

2.2 Anlisis de procesos


Procesos clave
n n

Administra un riesgo significativo de negocios Inicia, procesa y registra una clase significativa de transacciones Identificar los controles relevantes y seleccionar un conjunto secundario para efectuar las pruebas **

Entender el proceso

Entender los riesgos *

Efectuar la prueba de la eficacia operativa

Planear los procedimientos restantes

Procedimientos analticos

* incluye identificar / confirmar los objetivos de auditora ** incluye comprobar el diseo de los controles y evaluar el riesgo preliminar que ocurran errores e irregularidades significativos de
Prueba de detalles

En el anlisis de procesos, efectuamos las actividades descritas arriba. Las actividades son las mismas independientemente de si el proceso se selecciona como clave, debido a un riesgo significativo del negocio o una clase significativa de transacciones con ciertas distinciones. Vase la discusin adicional del anlisis de procesos en la seccin 4.

2.3 Procedimientos restantes de auditora y emisin de informes


En las fases de procedimientos restantes de auditora y de emisin de informes, efectuamos los procedimientos restantes de auditora requeridos para obtener suficiente evidencia de auditora para formar nuestra opinin (procedimientos sustantivos). Tambin comunicamos nuestros hallazgos al cliente. Al efectuar las actividades dentro de la fase de procedimientos restantes de auditora y emisin de informes, podemos evaluar las diferencias de auditora, llegar a una conclusin sobre nuestros objetivos de auditora, formar nuestra opinin y comunicar nuestros hallazgos.

kpmg

Assurance & Advisory Services Center Gua de Controles

Control circundante del negocio

Entender el negocio de la entidad tambin incluye obtener un entendimiento del control circundante de la entidad. El control circundante del negocio consiste de las polticas y las actividades que forman el contexto dentro del que se toman medidas y decisiones para lograr los objetivos del negocio de la entidad. El control circundante del negocio establece el tono de una organizacin e influencia la conciencia de control de su gente. Representa la base de todos los dems componentes del control interno, ya que provee disciplina y estructura. Los factores del control circundante incluyen los siguientes:
n n n n n n n

la integridad y los valores; el compromiso a la competencia; la participacin de la junta directiva o del comit de auditora; la ideologa de la gerencia y su estilo operativo; la estructura organizacional; la asignacin de autoridad y responsabilidad; y las polticas y prcticas de recursos humanos. la comunicacin de informacin; y los sistemas de informacin por computadora.

El control circundante del negocio tambin incluye factores tales como:


n n

Las entidades necesitan un control circundante del negocio debido a que los directores necesitan tener la confianza de que la gerencia mantendr un equilibrio entre impulsar un desempeo rentable del negocio y permanecer dentro de los lmites de las prcticas aceptables. Por su parte, la gerencia necesita tener la confianza de que el personal se comportar de la forma que la gerencia haya prescrito. Debido a que los directores y la gerencia no pueden participar directamente en todas las decisiones, los procesos y las actividades, ellos establecen un control circundante del negocio con el fin de obtener la confianza que necesitan. El control circundante del negocio de la entidad depende del tamao y la complejidad de la misma y de las ideologas y estilos operativos de sus directores y gerencia. El componente de los sistemas de informacin por computadora del control circundante del negocio se ha hecho cada vez ms importante. Nuestro entendimiento de los sistemas de informacin por computadora de la entidad debe ser suficiente para permitirnos planear y llevar a cabo nuestra auditora y evaluar la evidencia de auditora que se obtenga. Obtenemos un entendimiento de:
n n n n n

el nivel de dependencia de los sistemas de informacin por computadora las habilidades y recursos de los sistemas de informacin por computadora la seguridad de la informacin la confiabilidad de los sistemas de informacin por computadora el grado y ritmo de cambio en los sistemas de informacin por computadora

kpmg

Assurance & Advisory Services Center Gua de Controles

n n

la dependencia del procesamiento externo por computadora la direccin y operacin de los sistemas de informacin por computadora.

Si se determina que el uso de IRM es apropiado basado en la evaluacin inicial (vase el Apndice E.1), entonces debe considerarse el uso de IRM durante el proceso de entendimiento del control circundante del negocio del cliente. En adicin, durante esta fase de la auditora, IRM debe obtener un entendimiento de la estrategia de TI del cliente y su infraestructura / operaciones de TI. Comunmente, esta informacin se obtiene por medio de ciertas entrevistas con el personal clave de TI, incluyendo al ejecutivo principal de tecnologia. Se recomienda que un miembro del equipo de auditora acompae a IRM durante el proceso de entrevistas (vanse los Apndices E.4 y E.5 para consideraciones adicionales sobre el entendimiento del negocio y de la estrategia y ambiente de tecnologa de informacin). Por medio de tcnicas que incluyen indagacin, observacin, inspeccin y procedimientos analticos, conjuntamente con nuestra previa experiencia, obtenemos un entendimiento del control circundante del negocio de la entidad que sea suficiente para permitirnos planear y efectuar nuestra auditora y evaluar la evidencia de auditora que se obtenga. Nuestro entendimiento del control circundante del negocio de la entidad es relevante para:
n

Nuestras pruebas de control. El control circundante del negocio tiene un impacto en la eficacia de los controles de la entidad sobre los riesgos que afectan potencialmente los estados financieros. Un control circundante del negocio que sea slido puede complementar significativamente ciertos controles. Sin embargo, un control circundante del negocio que sea slido, por s solo, no determina la eficacia del sistema de control interno. Obtenemos evidencia de auditora sobre el diseo y la eficacia operativa de controles especficos por medio de las pruebas de control. Identificar problemas sobre los que debe hacerse un seguimiento durante la auditora. Mientras obtenemos nuestro entendimiento del control circundante del negocio de la entidad, identificamos los problemas sobre los que tenemos planeado hacer un seguimiento para determinar qu efecto pueden tener en los estados financieros y en nuestra auditora. Por ejemplo, puede que identifiquemos riesgos del negocio que afecten potencialmente los estados financieros. Identificar problemas que puedan influenciar nuestros procedimientos de auditora planeados. Consideramos si nuestro entendimiento del control circundante del negocio indica que pudiramos encontrar dificultades al obtener evidencia de auditora o durante otras partes de la auditora. Tambin podemos considerar si existen factores especficos que sean relevantes para el riesgo de fraude por parte de la gerencia y de los empleados. Este entendimiento puede influenciar el diseo de los procedimientos de auditora correspondientes (su naturaleza, oportunidad o alcance). Identificar las observaciones de mejoramiento potencial del desempeo. Al obtener nuestro entendimiento, puede que identifiquemos aspectos del control circundante del negocio que hayan resultado o puedan resultar en que las estrategias no se implanten correctamente o que los riesgos estratgicos no se vigilen adecuadamente. Consideramos presentar las observaciones de mejoramiento del desempeo a los directores o a la gerencia, segn sea apropiado.

kpmg

Assurance & Advisory Services Center Gua de Controles

Enfoque basado en sistemas del anlisis de procesos

A continuacin se resume el enfoque para efectuar el anlisis de procesos y adoptar un enfoque basado en los sistemas en la auditora de los estados financieros. Antes de comenzar el anlisis de procesos, debe considerarse la participacin de IRM en cada proceso. Vanse las consideraciones en el Apndice E.2.

4.1 Entender el proceso


Obtenemos un entendimiento de cmo la entidad:
n n n

Administra los riesgos estratgicos del negocio que pueden tener un efecto significativo en los estados financieros, Identifica los efectos correspondientes en los estados financieros y desarrolla estimaciones contables o toma decisiones sobre presentacin y revelacin; y Procesa las clases significativas de transacciones hasta su inclusin en los estados financieros. Los objetivos. Identificamos los objetivos del proceso que sean relevantes a los riesgos estratgicos del negocio y las clases significativas de transacciones. Las actividades (incluye entradas, salidas y factores crticos del xito). Identificamos las actividades que sean relevantes a los objetivos identificados del proceso. Los indicadores clave del desempeo. Identificamos los indicadores clave del desempeo que miden el logro de los objetivos identificados. Los sistemas de informacin por computadora. Identificamos los sistemas de informacin por computadora que sean relevantes a lo anterior. Si se determina que IRM participara en la elaboracion deel anlisis de procesos, entonces IRM debe participar desde el entendimiento de los procesos.

Los componentes especficos incluyen obtener un entendimiento de:


n n n n

4.2 Entender los riesgos del negocio a nivel de procesos y el riesgo en los estados financieros
Identificamos los riesgos que amenazan los objetivos de los procesos. Los riesgos incluyen tanto los riesgos del negocio a nivel de proceso como los riesgos en los estados financieros. El entendimiento de los riesgos a nivel de procesos sera diferente dependiendo de si el proceso se seleccion como clave debido a un riesgo estratgico del negocio o una clase significativa de transacciones. Riesgo estratgico del negocio Con respecto a los riesgos estratgicos del negocio, podemos identificar tanto riesgos del negocio a nivel de procesos como riesgos en los estados financieros, segn se define a continuacin:
n

Riesgo del negocio a nivel de procesos algo que amenaza el logro de los objetivos identificados del proceso y que tiene un efecto potencial en los estados financieros. Los riesgos del negocio a nivel de procesos slo se identifican al efectuar el anlisis del proceso correspondiente a un riesgo estratgico del negocio.

kpmg

Assurance & Advisory Services Center Gua de Controles

Riesgo en los estados financieros (correspondiente a un riesgo del negocio) los riesgos relacionados con la posibilidad de que el riesgo residual del negocio no se refleje apropiadamente en los estados financieros (normalmente una estimacin contable o asunto de presentacin y revelacin) y resulte en que ocurran un error e irregularidad significativo en el saldo de cuenta correspondiente.

Clase significativa de transacciones Con respecto a las clases significativas de transacciones, identificamos slo los riesgos en los estados financieros segn se definen a continuacin:
n

Riesgo en los estados financieros (correspondiente a una clase significativa de transacciones) los riesgos en torno a las transacciones correspondientes a la integridad, existencia y exactitud de su registro en los estados financieros.

Vase el Apndice B para ejemplos de riesgos del negocio a nivel de procesos y riesgos en los estados financieros.

4.3 Identificar los controles relevantes (del negocio y en los estados financieros)
Identificamos los controles que se establecen para prevenir, detectar y corregir un error e irregularidad en los estados financieros. Los controles relevantes son los que existen para administrar el riesgo significativo del negocio a nivel de procesos (controles del negocio) o los riesgos en los estados financieros (controles en los estados financieros). Los controles relevantes pueden ser tanto manuales como automatizados y preventivos o detectivos en su naturaleza. De la misma forma en que se entienden los riesgos, los tipos de controles relevantes que se identifican en relacin con los riesgos del negocio difieren ligeramente de aquellos relacionados con las clases significativas de transacciones. Riesgo estratgico del negocio Cuando se efecta un anlisis de procesos relacionado con un riesgo significativo del negocio, entendemos los controles sobre los riesgos del negocio a nivel del proceso (controles del negocio). El alcance de dichos controles del negocio para administrar los riesgos del negocio a nivel de procesos se denomina riesgo residual del negocio y debe incluirse en nuestro entendimiento. Entonces entendemos el potencial para que ocurra un error e irregularidad significativo en la estimacin contable o en la presentacin y revelacin (o sea, riesgo en los estados financieros) y nos concentramos en revisar el proceso seguido por la gerencia para desarrollar una estimacin contable o tomar una decisin de presentacin y revelacin (control en los estados financieros). Vanse las definiciones siguientes:
n

Control del negocio controles que reducen los riesgos del negocio a nivel de procesos. Consideramos estos controles para obtener y respaldar nuestro entendimiento de los riesgos residuales del negocio que tienen un impacto en los estados financieros. Esto forma parte de nuestro respaldo de nuestras evaluaciones del riesgo de que ocurran errores e irregularidades significativos con respecto a los objetivos de auditora relevantes. Control en los estados financieros (relacionado con un riesgo del negocio) el proceso de la gerencia para abordar los efectos de los riesgos residuales del negocio en los estados financieros (normalmente estimaciones y presentacin y revelacin).

10

kpmg

Assurance & Advisory Services Center Gua de Controles

Clase significativa de transacciones Los controles relevantes incluyen controles en los estados financieros que abordan la integridad, existencia, exactitud y presentacin de las transacciones segn se definen de la siguiente manera:
n

Control en los estados financieros (relacionado con una clase significativa de transacciones) los controles que la gerencia ha establecido para proveer una certeza razonable sobre la integridad, existencia y exactitud del registro de las transacciones en los estados financieros. Autorizacin Controles de configuracin y mapeo de cuentas Informe de excepciones / correcciones Controles de interfase / conversin Indicador clave del rendimiento Revisin de la gerencia Conciliacin Segregacin de obligaciones Acceso al sistema

He aqu ejemplos de categoras de controles que pueden existir (tanto manuales como automatizados):
n n n n n n n n n

Cuando los controles identificados pueden clasificarse en una categora especfica, refirase a la Gua respectiva de categoras de control para considerar la naturaleza de la prueba de diseo y la prueba de la eficacia operativa que se han de efectuar (Apndice C). Los controles automatizados son principalmente de configuracin y mapeo de cuentas, de interfase / conversin y acceso al sistema. En situaciones en las que IRM participa en el anlisis del proceso, la identificacin de los controles relevantes deben ser un esfuerzo de colaboracin.

4.4 Seleccionar un conjunto secundario de controles para las pruebas y efectuar las pruebas del diseo
Seleccionar controles para las pruebas Identificamos un conjunto secundario de controles relevantes para las pruebas en vez de todos los controles que la entidad tiene establecidos. Para seleccionar los controles para las pruebas, se identifican uno o ms controles que, considerados en conjunto, previenen, o detectan y corrigen, un error e irregularidad significativo relacionado con las aseveraciones abordadas por el objetivo de auditora sujeto a consideracin. Para seleccionar los controles, normalmente es eficiente considerar primeramente los controles que la gerencia aplica rutinariamente para vigilar el logro de los objetivos de la entidad y para mitigar el impacto de los riesgos del negocio. Para seleccionar un conjunto secundario, se consideran los siguientes factores relacionados con los controles:
n n n

los ms eficiente de comprobar los que abordan el mayor nmero de riesgos; la experiencia previa con el cliente; y

11

kpmg

Assurance & Advisory Services Center Gua de Controles

la perspectiva de varios aos sobre las pruebas de controles para optimizar la eficiencia durante ese perodo de tiempo (p.ej., comprobar un control automatizado en el ao actual puede que requiera ms tiempo en el primer ao pero menos esfuerzo en los aos siguientes en el ambiente adecuado).

En situaciones en las que IRM participe en el anlisis de procesos, la seleccin de los controles relevantes para someter a prueba debe ser un esfuerzo de colaboracin. Efectuar prueba del diseo Planeamos pruebas de control para obtener evidencia de auditora sobre el diseo de los controles, o sea, si stos estn debidamente diseados para prevenir o detectar y corregir un error e irregularidad significativo. El propsito de las pruebas de diseo es determinar si el control puede, si funciona eficazmente, para prevenir, o detectar y corregir un error e irregularidad significativo en la aseveracin o aseveraciones correspondientes en los estados financieros y si el entidad usa el control. Los procedimientos que efectuamos para obtener evidencia de auditora sobre el diseo de los controles incluyen:
n n n

la inspeccin de documentos y registros; indagaciones con el personal adecuado de la entidad; y la experiencia previa con la entidad.

La indagacin por s sola no provee evidencia suficiente y adecuada para respaldar una conclusin sobre la efectividad del diseo de un control. Tambin consideramos la evidencia que obtuvimos de nuestra previa experiencia con la entidad. Durante la prueba del diseo, consideramos:
n n n n n

los riesgos que contribuye a mitigar; cmo se desempea; su frecuencia; la competencia / experiencia de la persona que lo desempea (si es un control manual); y la naturaleza y el tamao de los errores e irregularidades que ste puede detectar.

Usamos los resultados de nuestras pruebas del diseo de los controles cuando efectuamos evaluaciones preliminares del riesgo de que ocurran errores e irregularidades significativos con respecto a los objetivos de auditora relacionados. Cuando basados en nuestras pruebas, determinamos, , que los controles estn debidamente diseados, efectuamos una evaluacin preliminar del riesgo de que ocurran errores e irregularidades significativos, como bajo o moderado Entonces planeamos pruebas de control para obtener evidencia de auditora sobre la eficacia de la operacin de los controles durante todo el perodo sujeto a auditora. En caso que, basados en la prueba del diseo, se considere que un control no es apropiado, se considera seleccionar otro control para someter a prueba. Cuando los controles automatizados, tales como un control configurable, interfase o controles de acceso al sistema se seleccionan en el conjunto secundario, se considera lo siguiente al efectuar las pruebas:

12

kpmg

Assurance & Advisory Services Center Gua de Controles

n n

cerciorarse de que los conocimientos, la experiencia y la pericia del profesional que efecta la prueba del diseo y la prueba de la eficacia operativa sean apropiados; y la cantidad de pruebas que ya se hayan efectuado como parte de la prueba de control durante la implantacin del sistema. Si un especialista comprob el diseo y establecimiento del control durante su implantacin, entonces el alcance de las pruebas necesarias en el ao sujeto a auditora debe limitarse a controles de cambios / procedimientos de mantenimiento (vanse las categoras de controles para una discusin adicional).

4.5 Comprobar la eficacia operativa de los controles seleccionados


El propsito de las pruebas de operacin es determinar cmo se aplicaron los controles, el grado de consistencia con que se aplicaron durante el perodo y quines los aplicaron. Para comprobar la eficacia operativa, consideramos:
n n n n

las tcnicas que usaremos para obtener evidencia de auditora; la naturaleza de las pruebas; el alcance de las pruebas; y el momento oportuno de las pruebas (evidencia de que se efectu regular y debidamente durante todo el ao.

Dichas consideraciones se detallan a continuacin. En caso que se hayan usado controles sustancialmente diferentes durante diferentes momentos dentro del perodo, consideramos cada uno por separado.

4.5.1 Tcnicas
Existen diversas tcnicas que podemos usar para obtener evidencia de auditora sobre la eficacia de la operacin de los controles, que son las siguientes:
n n

Observacin. Observamos el desempeo del control. Por ejemplo, podemos observar el conteo del inventario fsico. Indagacin. Le solicitamos a una persona informada que nos provea informacin sobre el funcionamiento del control. Por ejemplo, podemos indagar sobre los controles de crdito, o sea, el tamao y la antigedad de las cuentas por cobrar que la entidad intenta recuperar y las medidas de seguimiento que se hayan tomado. Inspeccin. Analizamos registros o documentos que respalden el funcionamiento de un control. Por ejemplo, inspeccionamos la conciliacin bancaria con respecto a evidencia de un desempeo eficaz. Repeticin. Podemos repetir el funcionamiento de un control para determinar que se desempeo correctamente. Por ejemplo, podemos optar por repetir el anlisis del archivo de crdito.

En adicin, existen tcnicas adicionales que pueden usarse. Dichas tcnicas adicionales representan una agrupacin de tcnicas basadas en normas (enumeradas arriba) que, al combinarse, pueden usarse para obtener evidencia suficiente y apropiada de auditora relacionada con la eficacia operativa de un control. Dichas tcnicas son las siguientes:

13

kpmg

Assurance & Advisory Services Center Gua de Controles

Evaluacin de conocimientos. El auditor combina tcnicas de indagacin, inspeccin y repeticin para comprobar los conocimientos de los individuos sobre un tema o su competencia para desempear un control. Indagacin corroborativa. El auditor corrobora el desempeo de un control por medio de confirmacin con otros miembros de la organizacin (los corroboradores). El propsito de la corroboracin es confirmar la validez y consistencia de la aplicacin del control como una prueba de eficacia operativa. Indagacin del sistema. El auditor comprueba que los controles automatizados dentro de una aplicacin de TI funcionen segn lo esperado. He aqu ejemplos de esos tipos de controles:

que el sistema pueda identificar debidamente una excepcin predefinida (la excepcin puede estar asociada con la integridad y/o exactitud del insumo, procesamiento y producto de la aplicacin); y que la configuracin de acceso lgico dentro de la aplicacin est estructurada de manera tal que establezca la segregacin de obligaciones y adems estipule la autorizacin de las transacciones.

Cada una de esas tcnicas se discute en ms detalle en el Apndice D.

4.5.2 Naturaleza de las pruebas


El uso de una tcnica para obtener evidencia de auditora puede que, por s sola, no provea evidencia suficiente y adecuada de auditora. Las pruebas de control normalmente consisten de una combinacin de observacin, indagacin, inspeccin y repeticin. Debe considerarse lo siguiente para determinar la naturaleza de las pruebas que se han de efectuar:
n n n

los errores detectados por el control; las medidas tomadas con respecto a los errores encontrados; y si el nivel de errores / excepciones / partidas de conciliacin es razonable o es alto.

Para determinar la naturaleza de las pruebas, debe considerarse la confiabilidad de la recopilacin de la informacin soporte. Cuando efectuamos pruebas de control, usamos nuestro juicio profesional para determinar el alcance de las pruebas que es necesario efectuar sobre la recopilacin de la informacin soporte. El diseo de un procedimiento de control debe considerarse para evaluar el alcance de dichas pruebas. Existen ciertas situaciones en las que un control se disea para destacar errores en la recopilacin de la informacin soporte. Por ejemplo, un control de conciliacin o indicador clave del desempeo son controles que pueden disearse para destacar faltas de exactitud en la recopilacin de la informacin soporte:
n n

Al preparar una conciliacin bancaria, si los cheques pendientes se registran errneamente en la conciliacin, sta no cuadra. Cuando se efecta un anlisis de los indicadores clave del desempeo, la informacin que se analiza no satisface la expectativa de la prueba si la informacin no se recopil correctamente. Esto supone que la prueba se efecte a un nivel de precisin que detecte un error e irregularidad

14

kpmg

Assurance & Advisory Services Center Gua de Controles

significativo (segn lo define el equipo de auditora), est diseada eficazmente y que la expectativa del resultado se haya desarrollado con suficiente precisin. En situaciones en las que el control est diseado para destacar errores en la recopilacin de la informacin soporte, las pruebas deben concentrarse en los atributos clave de la prueba. Por ejemplo:
n

Con respecto a una conciliacin bancaria, es importante que sta se prepare de manera que coincida con los libros y registros de la entidad que estemos auditando, que se prepare oportunamente, que cuadre, que se efecte un seguimiento de todas las partidas significativas y extraordinarias de conciliacin para identificar el potencial de error y que los errores se hayan corregido. Con respecto a un anlisis de los indicadores clave del desempeo, es importante que entendamos la naturaleza de la prueba y que sta coincida con los libros y registros de la entidad que estemos auditando, que consideremos su nivel de precisin, que ste pueda identificar errores que puedan resultar en ajustes en los estados financieros (p.ej., que sea relevante a nuestra auditora) y que podamos verificar la recopilacin de la expectativa sobre la que se aplique la informacin (p.ej., entender las presunciones incorporadas en el anlisis, entender el clculo y relevancia de los ndices, evaluar los puntos de referencia que pueda usar el cliente para mediar el desempeo en la industria, etc.).

Los equipos deben ejercer juicio al aplicar el concepto mencionado sobre recopilacin de la informacin soporte relacionada con un control que se haya diseado para destacar errores en la recopilacin de la informacin soporte. Deben evaluarse los siguientes factores al efectuar el juicio:
n

El riesgo de manipulacin intencional de la informacin. Cuando se evale la posibilidad de que exista el riesgo de manipulacin intencional, debe considerarse el control circundante del negocio, la experiencia previa del sistema contable y su confiabilidad, el sesgo de la gerencia, el entendimiento de la calidad de los sistemas de informacin a la gerencia y los comentarios recibidos de IRM sobre el sistema que genera los informes. Pista de auditora. El auditor debe vincular las cifras sujetas al control (conciliacin, indicador clave del desempeo, etc.) con los libros y registros soportes de la entidad con respecto a la que el auditor est obteniendo evidencia de auditora. Por ejemplo, el saldo del balance general en la conciliacin se confirma con el mayor general para cerciorarse de que el control est funcionando sobre el saldo de la cuenta con respecto a la que se ha de obtener evidencia. Nivel de precisin del control. El auditor debe estar satisfecho de que el control se desempee a un nivel apropiado de precisin para que aborde el riesgo de que ocurran errores e irregularidades significativos segn lo define el equipo de trabajo.

Si alguno de los incisos anteriores indica que la confiabilidad de la recopilacin de la informacin soporte pueda no ser suficiente y, no obstante, se selecciona el control para someterse a prueba, el equipo de trabajo ha de expandir las pruebas sobre la recopilacin de la informacin soporte. En situaciones en las que el control no se dise para destacar errores en la recopilacin de la informacin sujeta a auditora, es necesario comprobar la recopilacin de la informacin soporte. Por ejemplo, el seguimiento de partidas extraordinarias o de un informe de excepciones o informe de correcciones supone que el proceso (manual o automatizado) para recopilar el informe es correcto. En ese caso, el auditor ha de comprobar que la informacin fuente con respecto al procedimiento de control se est obteniendo con exactitud y que la lgica que respalda la recopilacin del informe es exacta.

15

kpmg

Assurance & Advisory Services Center Gua de Controles

Esto se debe a que el control, en s, confa en la exactitud de la informacin soporte y la recopilacin de los informes en vez de haberse diseado especficamente para detectar errores en la informacin soporte.

4.5.3 Alcance de las pruebas


Cuando efectuamos las pruebas de los controles, usamos nuestro juicio profesional para determinar el alcance de nuestras pruebas. Para evaluar el alcance de las pruebas que se han de efectuar, el equipo de trabajo ha de usar su juicio de auditor. Nuestras pruebas de los controles internos tienen que ser lo suficientemente extensas para proveer una certeza razonable de que funcionaron de manera eficaz durante todo el perodo. Deben considerarse los siguientes factores para respaldar el alcance de las pruebas de control seleccionadas por cada equipo:
n n

la competencia de la persona que desempea la actividad; la calidad del control circundante relacionado con el control especfico. Las consideraciones especficas incluyen el potencial para que la gerencia pase por alto el control y el grado de consistencia en la aplicacin del control a travs del perodo; los cambios en los procesos; y nuestras experiencias previas con el trabajo. Control manual peridico En situaciones en las que un control manual se desempeo peridicamente (mensualmente, semanalmente, diariamente), ha de usarse un tamao mnimo de muestra de 2 (mensual), 5 (semanal) y 15 (diario). Control de TI En situaciones en las que existe un control de TI que se aplica a todas las transacciones, la indagacin del sistema puede que sea la tcnica ms apropiada. En esa tcnica, una indagacin como prueba es apropiada con respecto a un sistema de TI que se pueda esperar que funcione de manera consistente en un ambiente bien controlado. Un ambiente bien controlado es aqul en el que la configuracin, los interfases y el acceso al sistema especficos estn debidamente diseados y sujetos a procedimientos apropiados de control de cambios. Vase la discusin adicional en las categoras apropiadas de controles. Control manual recurrente En situaciones en las que existe un control manual que se aplica un nmero significativo de veces (o sea, ms de diariamente), entonces usamos un tamao mnimo de muestra de 30. En caso que se encuentre un error, se seleccionan 10 partidas adicionales para efectuar pruebas de hasta dos veces el tamao original de la muestra.

n n

Debe usarse la siguiente lnea de base para efectuar dichos juicios:


n

En caso que identifiquemos condiciones que sugieran que los controles puedan no estar funcionando eficazmente, investigamos la naturaleza y el motivo de las condiciones. Si el motivo es un error con respecto a un control peridico o de TI, consideramos si:
n n

otros controles pueden proveer la evidencia que requerimos; y podemos efectuar procedimientos sustantivos que provean evidencia suficiente y apropiada de auditora.

16

kpmg

Assurance & Advisory Services Center Gua de Controles

En ciertas situaciones, es posible que se pueda recopilar suficiente evidencia de que el error haya sido un incidente aislado. Si se fuera el caso, puede que sea posible llegar a la conclusin de que el control funciona eficazmente. Si el motivo es un error con respecto a un control manual recurrente, consideramos si:
n

debemos aumentar el alcance de las pruebas que se han de efectuar. Con respecto a controles manuales recurrentes, se aumenta el alcance por 10 hasta que no se encuentran errores adicionales o que el tamao de la muestra aumente a 60; otros controles pueden proveer la evidencia que requerimos; y podemos efectuar procedimientos sustantivos que provean evidencia suficiente y apropiada de auditora.

n n

La gua anterior sobre el alcance de las pruebas aplica en situaciones en las que existe una poblacin para las muestras de la cual se puede seleccionar. Es posible que tambin existan controles en los que el alcance de las prueba no aplique. Por ejemplo:
n

En situaciones en las que se use la tcnica de evaluacin de conocimientos, el alcance de las pruebas debe ser suficiente para proveer tranquilidad sobre el conocimiento de ese individuo en particular. El alcance de la indagacin, observacin, inspeccin y repeticin debe considerarse conjuntamente para poder llegar a conclusiones sobre el conocimiento y competencia del individuo que desempea el control. En situaciones en las que se use la indagacin corroborativa, el alcance de las prueba debe ser suficiente para confirmar el grado de consistencia en la aplicacin del control. Por ejemplo, la indagacin corroborativa probablemente sea apropiada cuando el mismo control lo desempean varios individuos y ste ha de desempearse de manera consistente. En el ejemplo del anlisis de prdidas en los prstamos, si existen 20 revisores internos que efectan la revisin del archivo de prstamos, podemos optar por corroborar el proceso de revisin del archivo, segn lo explique el gerente de crdito, con hasta 2 revisores internos y llevar a cabo todos los pasos requerido para la corroboracin en esa tcnica.

4.5.4 Momento oportuno de las pruebas


Normalmente efectuamos pruebas de control en anticipacin al final del perodo. Tambin obtenemos evidencia de auditora sobre si los controles relevantes permanecen siendo eficaces durante el resto del perodo. Cuando efectuamos ciertas pruebas de control durante una visita interina en anticipacin al final del perodo, no podemos confiar en los resultados de dichas pruebas sin considerar la necesidad de obtener evidencia adicional de auditora relacionada con el resto del perodo. Consideramos factores tales como:
n n n n

los resultados de las pruebas efectuadas antes del final del perodo; la duracin del perodo restante; el impacto del control circundante del negocio en el diseo y la operacin de los controles; los cambios en el control circundante del negocio y los sistemas contables durante el perodo restante;

17

kpmg

Assurance & Advisory Services Center Gua de Controles

n n

la naturaleza y el monto de las clases de transacciones o las estimaciones contables en cuestin; y los procedimientos sustantivos que planeamos efectuar y cundo planeamos efectuarlos.

4.6 Evaluar los resultados


Slo podemos respaldar una evaluacin del riesgo de que ocurran errores e irregularidades significativos por debajo del mximo nivel si hemos obtenido evidencia de auditora sobre la eficacia tanto del diseo como del funcionamiento de un control. Si nuestros hallazgos respaldan nuestras evaluaciones preliminares del riesgo de que ocurran errores e irregularidades significativos, procedemos con nuestros procedimientos sustantivos segn los planes. Los procedimientos sustantivos son pruebas que se efectan para obtener evidencia de auditora para detectar errores e irregularidades significativos en los estados financieros, y pueden ser de dos tipos:
n n

procedimientos analticos; y pruebas de detalles de las transacciones y saldos.

Independientemente de los niveles que se hayan evaluado del riesgo de que ocurran errores e irregularidades significativos, debemos efectuar algunos procedimientos sustantivos. La naturaleza, momento oportuno y alcance de los procedimientos sustantivos depende de la evaluacin del riesgo de que ocurran errores e irregularidades significativos y, por lo tanto, estarn mayormente influenciados por nuestras pruebas de control. El plan de procedimientos sustantivos con respecto a cada objetivo puede incluir efectuar procedimientos analticos o pruebas de detalles solamente o una combinacin de ambos. Sin embargo, la suficiencia y lo apropiado de la evidencia de auditora que se planea obtener de los procedimientos analticos, en el contexto de la evaluacin del riesgo de que ocurran errores e irregularidades significativos, debe determinarse antes de decidir si es apropiado efectuar pruebas de detalles. En muchos casos, los procedimientos sustantivos estaran limitados a procedimientos analticos sobre los saldos de cuenta apropiados si el riesgo de que ocurran errores e irregularidades significativos que se respalda es bajo. Si el riesgo de que ocurran errores e irregularidades significativos que se respalda es moderado o alto, puede que se requieran pruebas de detalles.

4.7 Documentar los resultados


A continuacin se describe la documentacin de las pruebas de controles:
n

El mtodo de documentar el entendimiento del proceso puede que sea una narracin o un flujograma del proceso. El entendimiento del proceso se documenta o se referencia en el Documento de Anlisis de Procesos. Los riesgos del negocio a nivel de procesos y todos los riesgos de los estados financieros se documentan en el Documento de Anlisis de Procesos. Los controles relevantes relacionados con los riesgos se documentan en el Documento de Anlisis de Procesos con los vnculos apropiados al riesgo que stos mitigan. Los resultados de la prueba de diseo del control se documentan en el Documento de Anlisis de Procesos como una descripcin sumaria del control o dentro del entendimiento del proceso.

n n n

18

kpmg

Assurance & Advisory Services Center Gua de Controles

n n n

La descripcin de la naturaleza, el momento oportuno y el alcance de nuestra prueba de la eficacia operativa se documenta en el Programa de Auditora. Los resultados de los procedimientos efectuados han de incluirse en la documentacin de respaldo. En situaciones en las que se use a auditora interna, organizaciones de servicio o especialistas y algunos de los elementos que se describen anteriormente se documentan por separado, debe hacerse referencia apropiada a esa documentacin. En situaciones en las que se use a IRM y se prepare documentacin por separado (flujogramas, plantillas de SIC, etc.) deben hacer referencia y vnculos apropiados a dicha documentacin.

19

kpmg

Assurance & Advisory Services Center Gua de Controles

4.8 Resumen de puntos clave de decisin


Aplicar la Gua durante el anlisis de procesos requiere detenerse en los puntos clave de decisin. Dichos puntos se resumen de la siguiente manera:
Entender el proceso

Entender los riesgos, confirmar los objetivos de auditora e identificar los controles relevantes

Existen controles relevantes? S Seleccionar un conjunto secundario para las pruebas*

No

El riesgo de que ocurran errores e irregularidades significativos** se ha evaluado como alto

Estn bien diseados los controles? S El riesgo preliminar de que ocurran errores e irregularidades significativos** se ha evaluado como bajo o moderado Efectuar pruebas de control del conjunto secundario para respaldar el riesgo de que ocurran errores e irregularidades significativos** Son eficaces los controles (o sea, si se respalda el riesgo de que ocurran errores e irregularidades significativos**)?

No

Planear los procedimientos restantes de auditora

Procedimientos analticos

Prueba de detalles

Fin

No Aumentar el riesgo de que ocurran errores e irregularidades significativos** a alto

Existen controles adicionales? S

No

Seleccionar otros controles * El riesgo de que la prueba de detalles del conjuntosignificativos se evala con respecto a cada objetivo de auditora. Las decisiones sobre si e ** Incluye efectuar ocurran errores e irregularidades secundario de los controles relevantes y evaluar el riesgo preliminar de que ocurran errores irregularidades significativos con respecto a cada objetivo respecto a cada objetivo de auditora. Una situacin en la que no existan controles existe un control o si ste es eficaz debe considerarse con de auditora. con respecto a cierto objetivo de auditora (o sea, el riesgo de que ocurran errores e irregularidades significativos es alto) no significa que ha de adoptarse un enfoque completamente sustantivo con respecto a todos los objetivos de auditora; slo aplicara al objetivo de auditora bajo consideracin.

20

kpmg

Assurance & Advisory Services Center Gua de Controles

1.
Enfoque basado en los sistemas

Glosario
La definicin de un enfoque basado en los sistemas es una auditora de estados financieros de acuerdo con el Manual de Auditora de KPMG (el KAM). El enfoque considera los controles tanto manuales como de TI e incluye la participacin apropiada de un especialista de Administracin de Riesgo de Informacin (IRM, por sus siglas en ingls).

Riesgo estratgico del negocio La posibilidad de que un evento o accin afecte adversamente la capacidad de la entidad para lograr sus objetivos del negocio y ejecutar exitosamente sus estrategias. Clase significativa de transacciones Las transacciones se definen como eventos que implican el intercambio de valor entre la entidad y un ente externo y que es necesario reconocer en los estados financieros. La significancia est relacionada con la importancia de la aseveracin afectada en los estados financieros. Proceso clave del negocio Un proceso que:
n n

Administra un riesgo estratgico del negocio que tiene efectos potenciales significativos para los estados financieros; y/o Inicia, procesa y registra una clase significativa de transacciones.

Riesgo del negocio a nivel de procesos Algo que amenaza el logro de los objetivos identificados del proceso y que tiene un efecto potencial para los estados financieros. Los riesgos del negocio a nivel de procesos slo se identifican cuando se efecta el anlisis de procesos relacionado con un riesgo estratgico del negocio. Riesgo en los estados financieros (relacionado con el riesgo del negocio) Los riesgos relacionados con la posibilidad de que el riesgo residual del negocio no se refleje debidamente en los estados financieros, lo que potencialmente puede resultar en que ocurra un error e irregularidad significativo en el saldo de cuenta correspondiente. Riesgo en los estados financieros (relacionado con una clase significativa de transaccin) Los riesgos en torno a las transacciones relacionados con la integridad, existencia y exactitud de su registro en los estados financieros. Control del negocio Los controles que reducen los riesgos del negocio a nivel de procesos. Consideramos dichos controles al obtener y respaldar nuestro entendimiento de los riesgos residuales del negocio que impactan los estados financieros. Esto forma parte de nuestro respaldo con respecto a nuestras evaluaciones del riesgo de que ocurran errores e irregularidades significativos con respecto a los objetivos de auditora relevantes.

21

kpmg

Assurance & Advisory Services Center Gua de Controles

Control en los estados financieros (relacionado con el riesgo del negocio) El proceso de la gerencia para abordar los efectos de los riesgos residuales del negocio en los estados financieros (normalmente estimaciones, presentacin y revelacin). Control en los estados financieros (relacionado con una clase significativa de transaccin) Los controles que previenen o detectan y corrigen los errores e irregularidades de la informacin financiera relacionados con la integridad, la existencia y el registro de las transacciones. Riesgo residual del negocio El riesgo que queda para la entidad despus de que sta aplica los controles del negocio a sus riesgos del negocio. Nos concentramos en entender el riesgo residual del negocio que resulta en que la gerencia efecte una estimacin contable o tome una decisin de presentacin y revelacin. Controles de configuracin / de mapeo de cuentas Los controles de configuracin del sistema son los dispositivos que pueden establecerse para proteger la informacin contra un procesamiento inadecuado. Esto incluye dispositivos que pueden establecerse activndolos o desactivndolos para proteger la informacin contra un procesamiento inadecuado, basados en las reglas comerciales de la organizacin. Si el dispositivo est activado, es posible adaptar el proceso de comprobacin de la organizacin en particular para que sea muy fuerte o muy tolerante. El mapeo de cuentas se refiere a los dispositivos relacionados con la forma en que se registra una transaccin en el mayor general y posteriormente a los estados financieros. Controles de interfase / conversin Los interfases de informacin transfieren porciones especficamente definidas de informacin entre dos sistemas, por medios manuales o automatizados o una combinacin de ambos, y deben garantizar la exactitud e integridad de la informacin que se transfiere. La conversin de datos es el proceso de migrar los datos de un sistema legado (que puede tener informacin vieja, duplicada, inexacta o incompleta y que reside en diferentes lugares dentro del sistema) a un sistema nuevo. Acceso al sistema La capacidad que tienen los usuarios individuales o grupos de usuarios dentro de un ambiente de procesamiento del sistema de informacin por computadora, segn lo determinan y definen los derechos de acceso configurados en el sistema.

2.

Ejemplos de pruebas de control

El propsito de estos ejemplos es demostrar un conjunto de controles potenciales que pueden existir en ciertos procesos. Los ejemplos no pretender abarcar todas las situaciones, pero son un punto de partida para identificar los controles. Los ejemplos incluyen tanto los riesgos estratgicos del negocio como las clases significativas de transacciones, segn se describe a continuacin.

22

kpmg

Assurance & Advisory Services Center Gua de Controles

3.
n n n

Riesgo estratgico del negocio


El riesgo estratgico del negocio relacionado con el riesgo de crdito El riesgo estratgico del negocio relacionado con la reserva para prdidas en los prstamos El riesgo estratgico del negocio relacionado con el deterioro de las inversiones a largo plazo

4.
n n n n

Clase significativa de transacciones


Compensacin de empleados (nmina) Compras de materia prima Ingreso generado de la venta de mercanca terminada Consolidacin de inversin en subsidiarias

23

Riesgo estratgico del negocio Riesgo estratgico del negocio relacionado con el riesgo de crdito
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Riesgo estratgico del negocio Que se efecten ventas a clientes que no sean solventes. Proceso clave Ventas / administracin de riesgo de crdito. Objetivos del proceso
n n n

Cerciorarse de que los nuevos clientes sean solventes. Cerciorarse de que los clientes existentes continen siendo solventes. Se recomienda efectuar provisiones apropiadas para la reserva para cuentas dudosas. Verificaciones con agencias de crdito Obtener y comprobar las referencias de crdito Vigilar la experiencia de crdito con el cliente. Vigilar los lmites de crdito. Evaluar los requisitos para registrar el efecto del riesgo residual del negocio en los estados financieros (o sea, determinar la reserva apropiada para las cuentas dudosas).

Actividades
n n n n n

Riesgos que amenazan los objetivos A. Que las agencias de crdito que se usen no estn capacitadas tcnicamente. B. Que la informacin de crdito sobre los nuevos clientes no se obtenga oportunamente. C. Que existan incentivos para efectuar las ventas independientemente de la capacidad para cobrarlas. D. Que la informacin de crdito que se obtenga no se interprete debidamente. E. Que el crdito est concentrado en ciertas industrias, localidades geogrficas, etc. F. Que la posicin de riesgo residual del negocio de la entidad no se refleje adecuadamente en los estados financieros (o sea, que la reserva para cuentas dudosas no refleja prdidas en la cartera). Efecto potencial en los estados financieros (riesgos relacionados)

Valuacin de la reserva para cuentas dudosas por cobrar (A,B,C,D,E,F). Controles Riesgos A B C D E Autorizacin 1. Se autorizan los cambios al archivo maestro de clientes (establecimiento de clientes, sus lmites de crdito, trminos de pago). 2. Se autoriza cualquier anulacin de rdenes de retencin de crdito. 3. Se autorizan las retenciones de crdito. 4. Se autorizan los asientos de diario para registrar cambios en la reserva para cuentas dudosas. Configuracin / mapeo de cuentas 5. La configuracin del sistema relacionada con prevenir la insercin de los nombres de clientes ms de una vez est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 6. La configuracin del sistema relacionada con la retencin de crdito est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 7. La configuracin del sistema relacionada con el archivo maestro de clientes y la pantalla de entrada de datos para comprobar las correcciones y validaciones, los campos requeridos y otros controles de entrada de datos est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios 8. La configuracin del sistema relacionada con la antigedad de las cuentas por cobrar est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. Informe de excepciones / correcciones 9. Se generan informes de excepciones cuando las cuentas por cobrar de cierto monto llegan a cierta antigedad y se revisan y se efecta un seguimiento al respecto (incluyendo la solucin de la fuente del problema (p.ej., verificaciones de crdito deficiente)). 10.Se generan informes de excepciones de los clientes que exceden sus lmites establecidos de crdito y se revisan y se efecta un seguimiento al respecto. F

Interfase / conversin 11.El interfase de datos entre el sistema de ventas y el mayor general est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, los datos en s se han preparado correctamente. Indicadores clave del desempeo 12.La gerencia vigila las ventas pendientes del da. 13.Los porcentajes de concentracin se vigilan regularmente. 14.La entidad ha desarrollado medidas y vigila el desempeo de acuerdo con las medidas para sus proveedores externos de servicios, tales como agencias de crdito. Las medidas que se usan incluyen tanto la informacin histrica interna como la informacin externa. Revisin de la gerencia 15.La gerencia revisa peridicamente la liberacin de rdenes de bloqueo de crdito basada en el informe generado (las rdenes de clientes que no se han llenado debido a que daran lugar a que el cliente excediera su lmite de crdito). 16.La gerencia evala peridicamente la necesidad de cambiar los lmites de crdito 17.La entidad tiene un proceso formal de contratacin y una evaluacin continua con respecto a los proveedores externos de servicios, tales como agencias de crdito. Segregacin de obligaciones 18.Las rdenes de bloqueo de crdito y las retenciones de crdito slo pueden liberarlas los usuarios que sean independientes del proceso de ventas. 19.La capacidad para aprobar a un cliente est separada de la capacidad de extender o modificar los lmites de crdito. 20.Existen controles adecuados de segregacin de obligaciones para prevenir que personas no autorizadas o que no sean las apropiadas procesen los asientos de diarios. Acceso al sistema 21.El acceso al archivo maestro de clientes (clientes, lmites de crdito, etc.) para nuevos clientes est restringido al personal adecuado. 22.El acceso a liberar las rdenes de bloqueo de crdito (las rdenes de clientes que no se han llenado debido a que daran lugar a que el cliente

excediera su lmite de crdito) est restringido al personal adecuado. 23.El acceso a crear asientos que impacten las cuentas de reservas est restringido a los usuarios adecuados. Otros 24.La gerencia ha definido y comunicado los lineamientos con respecto a la aceptacin de clientes y el establecimiento de lmites de crdito y vigila que se observen dichos lineamientos. 25.Las frmulas de las comisiones de ventas consideran la cobrabilidad de las cuentas por cobrar.

Riesgo estratgico del negocio relacionado con la reserva para prdidas en los prstamos
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Riesgo estratgico del negocio Que el crecimiento en la cartera de prstamos con procedimientos deficientes de suscripcin y vigilancia ocasione el deterioro de la calidad del crdito Proceso clave Administracin de riesgo de suscripciones y de crdito. Objetivos del proceso
n n

Administrar el riesgo de crdito de manera consistente con la estrategia. Reflejar adecuadamente en los estados financieros la posicin del riesgo residual del negocio de la entidad Definir la medida / metodologa del riesgo de crdito (al nivel corporativo y en las sucursales) Otorgar crdito (incluyendo la evaluacin de los prestatarios y el colateral). Efectuar evaluaciones independientes del riesgo de crdito y comunicar los resultados. Generar informes de administracin del riesgo de crdito. Vigilar las medidas de crdito; administracin de la cartera. Evaluar el requisito para registrar el efecto del riesgo residual del negocio en los estados financieros (o sea, determinar la reserva apropiada para prdidas en los prstamos).

Actividades
n n n n n n
.

Riesgos que amenazan los objetivos A. Que el personal no observe los lineamientos y polticas establecidos. B. Que las agencias de crdito que se usen no estn tcnicamente capacitadas. C. Que la informacin de crdito que se obtenga no se interprete debidamente. D. La posicin y riesgo de concentracin (por industria / pas / contraparte). E. Que el colateral pierda valor. F. Deterioro en la solvencia de los prestatarios individuales. G. Que la posicin del riesgo residual del negocio de la entidad no se refleje adecuadamente en los estados financieros (o sea, que la reserva para prdidas en los prstamos no refleje la prdida en la cartera).

Efecto potencial en los estados financieros (riesgo relacionado) Valuacin de la reserva para prdidas en los prstamos (A,B,C,D,E,F,G) Controles Riesgos A B C D E Autorizacin 1. Los cambios al archivo maestro de datos de clientes han de autorizarse. 2. Los asientos para registrar los cambios a la cuenta de la reserva para prdidas en los prstamos han de autorizarse. Configuracin / mapeo de cuentas 3. La configuracin del sistema relacionada con las clasificaciones estndares para categorizar los prstamos est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 4. La configuracin del sistema relacionada con los campos requeridos de entrada de datos con respecto a la suscripcin / inicio de los prstamos est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 5. La configuracin del sistema relacionada con advertencias / mensajes de error, tales como que los prestatarios no cumplan los convenios est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 6. La configuracin del sistema relacionada con las comprobaciones de validacin / correccin est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 7. La configuracin del sistema relacionada con los lmites de exposicin a riesgos est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. Informe de excepciones / correcciones 8. Informe de excepciones / correcciones de los prestatarios que carecen de informacin actual por categora de prstamo. 9. Se generan informes de excepciones de prstamos cuya antigedad excede ciertos lmites de tiempo y se revisan y se efecta un F G

Riesgos A B C D E seguimiento de ellos oportunamente. 10.Se genera un informe de excepciones de los prestatarios que no cumplen los convenios y se revisa y se efecta un seguimiento de ste oportunamente. 11.Se genera un informe de excepciones cuando el margen entre el valor del colateral y los lmites de crdito excede un porcentaje predeterminado del valor de la garanta. Interfase / conversin 12.Los interfases del sistema estn debidamente diseados, implantados, funcionando, mantenidos y sujetos a procedimientos adecuados de control de cambios. Indicadores clave del desempeo 13.El indicador clave del desempeo relacionado con las tendencias en la reserva para prdidas en los prstamos se vigila regularmente. 14.Los porcentajes de concentracin se vigilan regularmente. 15.La entidad ha desarrollado medidas y vigila el desempeo de acuerdo con dichas medidas para sus proveedores externos de servicios, tales como agencias de crdito. Revisin de la gerencia 16.La gerencia tiene una funcin independiente de revisin de crdito. 17.La entidad tiene un proceso formal de contratacin y administracin de relacin continua con respecto a los proveedores externos de servicios, tales como agencias de crdito. 18.El comit de crdito vigila / revisa regularmente el valor del colateral de las cuentas clave. Segregacin de obligaciones 19.El acceso a autorizar y efectuar asientos para ajustar la reserva para prdidas en los prstamos est debidamente segregado. Acceso al sistema 20.El acceso para efectuar cambios a la reserva para prdidas en los prstamos est limitado al personal adecuado. 21.El acceso para anular las preselecciones configuradas por el sistema relacionadas con las clasificaciones estndares o lmites de evaluacin de riesgos est limitada al personal adecuado F G

Riesgo estratgico del negocio relacionado con el deterioro de inversiones a largo plazo
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Riesgo estratgico del negocio Que los cambios en el mercado o en las preferencias de los analistas resulten en el deterioro de las inversiones a largo plazo. Proceso clave Administracin de tesorera Objetivos del proceso
n n

Mitigar los efectos de los vaivenes del mercado y las fluctuaciones de las tasas de intereses. Reflejar la posicin del riesgo residual del negocio de la entidad en los estados financieros. Establecer lineamientos y una estrategia de inversin Efectuar las inversiones. Vigilar el desempeo las actividades de la inversin y en comparacin con los lineamientos y la estrategia. Determinar la necesidad de vender. Evaluar los requisitos para registrar el efecto del riesgo residual del negocio en los estados financieros.

Actividades
n n n n n

Riesgos que amenazan los objetivos A. Que la cartera no est debidamente diversificada (p.ej., largo plazo en comparacin con corto plazo, valores en comparacin con bonos, concentracin por sectores). B. Que los incentivos de los que negocien no estn alineados con la estrategia de inversin. C. Que no se efecte una investigacin previa (due diligence) para tomar las decisiones de inversin. D. Que la informacin no est disponible, no sea correcta o no sea oportuna para efectuar la investigacin previa (due diligence) para tomar las decisiones de inversin (p.ej., informacin errnea o rumores del mercado). E. Que la posicin del riesgo residual del negocio de la entidad no se refleje adecuadamente en los estados financieros.

Efecto en los estados financieros (riesgos relacionados) Valuacin y presentacin de la revelacin de las inversiones (A,B,C,D,E) Controles Riesgos A B C D E Autorizacin 1. El comercio de inversiones / valores est limitado slo a los individuos autorizados. 2. Slo las personas autorizadas pueden agregar, eliminar o modificar los registros de inversiones. 3. Los cambios a la cuenta de inversiones a largo plazo han de autorizarse. Configuracin / mapeo de cuentas 4. La configuracin del sistema relacionada con las advertencias / los mensajes y tolerancias de errores relacionado con los lmites de comercio est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. Informe de excepciones / correcciones 5. Los niveles de supervisin generan informes de excepciones y los revisan y efectan un seguimiento de ellos cuando los lmites establecidos de comercio se exceden (por negociante). Interfase / conversin 6. Todos los interfases del sistema estn debidamente diseados, implantados, funcionando, mantenidos y sujetos a procedimientos adecuados de control de cambios. En adicin, la informacin en s se ha preparado correctamente. Indicadores clave del desempeo 7. Regularmente se efecta un anlisis de los indicadores clave del desempeo para vigilar el rendimiento de la inversin y la concentracin de las inversiones y se compara con la informacin externa. Revisin de la gerencia 8. La gerencia genera y revisa regularmente informes de la cartera. 9. Se ha establecido un comit de inversin que se rene regularmente para vigilar el estado y el desempeo de la cartera. Se mantiene un registro de las reuniones y se usa para efectuar un seguimiento del resultado de la

Riesgos A B C D E revisin. 10.Auditora interna efecta pruebas peridicas de las actividades de inversin de los negociantes y otras. 11.Se efectan pruebas de estrs de la cartera para asistir a evaluar el valor de los comentarios e identificar los problemas de deterioro. 12.Se efectan pruebas de situacin del valor para identificar problemas de deterioro. 13.La entidad tiene un proceso formal de contratacin y de evaluacin continua con respecto a los proveedores externos de servicios de informacin y actividades de inversin (incluyendo fijacin de precios y calidad). Acceso al sistema 14.El acceso a efectuar transacciones de inversin est restringido a los usuarios adecuados. 15.El acceso a modificar los registros de inversin est debidamente restringido. 16.El acceso a efectuar asientos en la cuenta de inversiones a largo plazo est debidamente restringido. Otros 17.Existe un conjunto formal documentado de polticas y procedimientos de inversin y se revisa regularmente. 18.La revisin de las operaciones de inversin mediante comunicacin entre los individuos responsables de contabilizar las inversiones y los que toman las decisiones de inversin se efecta adecuadamente (p.ej., el contador est en el comit de inversin.

Clase significativa de transacciones Compensacin de empleados (nmina)


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Clase significativa de transacciones Compensacin de empleados (nmina) Proceso clave Recursos humanos Objetivo del proceso Iniciar, procesar y registrar debidamente la compensacin que se pague a los empleados y agencias reguladoras para garantizar su integridad, existencia, exactitud y presentacin y revelacin en los estados financieros. Actividades
n n n

Contratar / despedir / transferir al personal Procesar la nmina y los beneficios (incluyendo su registro en el mayor general). Vigilar / procesar la presentacin de los requisitos reguladores.

Riesgos que amenazan los objetivos A. Existencia que se efecten pagos a beneficiarios o empleados ficticios que ya no estn empleados (empleados a sueldo y a salario por hora). B. Exactitud que los montos que se paguen a los empleados no sean correctos (las tasas o las horas). C. Integridad que no se les pague a todos los empleados. D. Presentacin que la informacin de la nmina est clasificada errneamente (o sea, activo en vez de gasto, dentro de los rubros, dentro de los proyectos) E. Exactitud que las retenciones de los empleados y los pasivos del empleador no se remitan o se manejen correctamente (p.ej., retenciones de impuestos, impuestos del empleador que se han de equiparar). F. Integridad y exactitud Que no se registren o no se reconozca la necesidad de registrar las acumulaciones con respecto a los beneficios de empleados devengados pero no pagados o que haya errores de clculo en las acumulaciones con respecto a los beneficios de empleados devengados pero no pagados (p.ej., pago de vacaciones).

Aseveraciones en los estados financieros (riesgos relacionados)


n n n n

Integridad del gasto de nmina y beneficios y efectivo (C,F). Existencia del gasto de nmina y beneficios, acumulaciones y efectivo (A,D). Exactitud del gasto de nmina y beneficios, acumulaciones y efectivo (B,E,F). Presentacin del gasto de nmina y beneficios, acumulaciones y efectivo

Controles Riesgos A B C D E Autorizacin 1. Las adiciones / cambios a los datos maestros de empleados (nuevos empleados, eleccin de beneficios, tasa inicial de compensacin y cambios a dichas tasas en el sistema de nmina) se autorizan adecuadamente. 2. Los asientos de diario los revisan y autorizan los niveles de supervisin antes de registrar el asiento. Informe de excepciones / correcciones 3. Los niveles de supervisin en el rea de responsabilidad generan informes de correcciones y los revisan y efectan un seguimiento de ellos cuando se agregan nuevos empleados, se cambian las tasas de compensacin o se eliminan los empleados despedidos. 4. Los niveles de supervisin en el rea de responsabilidad generan informes de excepciones y los revisan y efectan un seguimiento de stos en los que se enumeran todos los empleados que estn en el sistema pero que no presentaron una hoja de tiempo (o que no estn en la lista para pagarles). Interfase / conversin 5. El interfase del sistema entre los sistemas de recursos humanos y de nmina est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en s se ha preparado correctamente. 6. El interfase del sistema entre el sistema de nmina y los procesadores externos de la nmina est debidamente diseado, implantado, F

Riesgos A B C D E funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en s se ha preparado correctamente 7. El interfase del sistema entre los sistemas de recursos humanos y de nmina est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en s se ha preparado correctamente. Indicadores clave del desempeo 8. Se efecta regularmente un anlisis que compara el presupuesto con los resultados reales y se efecta un seguimiento oportuno de las variaciones y las partidas extraordinarias. Revisin de la gerencia 9. El nivel supervisor con el grado apropiado de responsabilidad revisa las hojas de tiempo para verificar que estn correctas antes de someterlas al procesamiento. Conciliacin 10.Los estados bancarios (relacionados con la actividad de la nmina) se concilian mensualmente con el mayor general. La conciliacin de los estados y la solucin de las partidas extraordinarias se hacen oportunamente. 11.El registro de la nmina (libro auxiliar) se concilia con el mayor general. Segregacin de obligaciones 12.Las obligaciones de autorizacin, acceso y proteccin con respecto a agregar y modificar el archivo maestro estn debidamente segregadas segn las limita el sistema. 13.La configuracin del sistema relacionada con los asientos recurrentes del diario est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 14.La configuracin del sistema relacionada con la informacin maestra (nombre del empleado, nmero de identificacin, estado, etc.) est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 15.La configuracin del sistema relacionada con los depsitos directos, las relaciones con los bancos, las transferencias electrnicas de fondos est debidamente diseada, implantada, funcionando, mantenida y sujeta a F

Riesgos A B C D E procedimientos adecuados de control de cambios. F

Acceso al sistema 16.El acceso a insertar / modificar los datos maestros de los empleados en el sistema de nmina y/o recursos humanos (ya sea automatizado o manual) est limitado a los individuos adecuados. 17.El acceso a insertar / modificar los asientos de diarios est limitado a los individuos adecuados. Otros 18.Todos los empleados reciben talones de los cheques de pago que incluyen su tasa de compensacin, las horas y las deducciones y notificaran a la entidad en caso de no recibir su pago o recibir un monto menor al esperado (B,C).

Compra de materia prima


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Clase significativa de transacciones Compra de materia prima Proceso clave Compras. Objetivo del proceso Iniciar, procesar y registrar las compras de materias primas para garantizar su integridad, existencia, exactitud y presentacin y revelacin en los estados financieros. Actividades
n n n n

Recibir la materia prima (y documentos de envo / nota de recibo de mercanca). Recibir la factura Generar el pago de efectivo. Registrar los asientos en el mayor general (inventario, cuentas por pagar y efectivo).

Riesgos que amenazan los objetivos A. Existencia que se registre materia prima y cuentas por pagar / acumulaciones con respecto a mercanca no recibida. B. Integridad que no se registre materia prima y cuentas por pagar / acumulaciones con respecto a mercanca recibida. C. Existencia y exactitud que se registre la materia prima y las cuentas por pagar / acumulaciones por un monto y/o cantidad incorrectos. D. Integridad, existencia y exactitud que se efecten pagos en efectivo con respecto a mercanca no recibida. E. Integridad y existencia que los pagos en efectivo no se registren o se registren incorrectamente en el mayor general. F. Existencia y exactitud que no se debite o se debite incorrectamente la cuenta del pasivo con respecto a los pagos en efectivo efectuados.

Aseveraciones en los estados financieros (riesgos relacionados)


n n n

Integridad del inventario, cuentas por pagar / acumulaciones y efectivo (B,D,E). Existencia del inventario, cuentas por pagar / acumulaciones y efectivo (A,C,D,E,F). Exactitud del inventario, cuentas por pagar / acumulaciones y efectivo (C,D,F).

Controles Riesgos A B C D E Autorizacin 1. Las rdenes de compra han de autorizarse debidamente. 2. Todos los documentos (recibo de mercanca, devoluciones, facturas de materiales, facturas, pagos en cheques, pagos automticos) los procesan individuos autorizados y se aprueban y se verifican en cuanto a su exactitud antes de registrarse (manualmente o por el sistema). 3. Los cambios que se efecten a los documentos de compra generados por el sistema de planeacin de recursos de manufactura (MRP, por sus siglas en ingls) han de autorizarlos y aprobarlos los usuarios apropiados, por ejemplo, si se ha excedido la tolerancia configurada (una orden de +/- 10% de la cantidad solicitada por MRP). 4. Los ajustes a las rdenes de compra o facturas para corregir partidas en el informe de excepciones que genere el proceso de equiparacin de tres puntos han de autorizarse debidamente. 5. Ha de autorizarse el establecimiento de lmites de compra. 6. Todas las facturas han de autorizarse debidamente. 7. Se usan formularios estndar para las solicitudes de compras para garantizar la exactitud de la informacin. 8. Los pagos de las cuentas por pagar se autorizan debidamente, incluyendo los cheques manuales, as como los pagos automticos que se hagan electrnicamente. Configuracin / mapeo de cuentas 9. La configuracin del sistema relacionada con la solicitud de compra est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 10.La configuracin del sistema relacionada con la equiparacin de dos o tres puntos est debidamente diseada, implantada, funcionando, F

Riesgos A B C D E mantenida y sujeta a procedimientos adecuados de control de cambios. 11.La configuracin del sistema relacionada con las tolerancias de precios est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. Informe de excepciones / correcciones 12.Se genera un informe de excepciones sobre el control de la equiparacin de tres puntos de la orden de compra, factura y nota de mercanca recibida y se revisan las excepciones y se efecta un seguimiento oportuno al respecto. Nota: en algunos casos puede que se use la equiparacin de dos puntos (orden de compra con recibo de mercanca). 13.Se genera una prueba de acumulaciones (recibo de mercanca / recibo de factura) y se revisan las excepciones (las partidas que no se liquidaron) y se efectan un seguimiento oportuno al respecto. 14.El sistema genera un informe de excepciones que identifica las excepciones a las tolerancias configuradas, tales como aprobaciones que excedan una tolerancia configurada. 15.Se generan informes de excepciones con respecto a informacin de interfase / conversin para destacar problemas tales como un programa de interfase interrumpido o el mapeo errneo de los datos, lo que podra impedir su registro. 16.El sistema genera un registro de todas las facturas bloqueadas y ste se revisa y se hace un seguimiento oportuno al respecto. 17.Se generan informes de los cambios efectuados a los documentos de compras, se revisan y se efecta un seguimiento oportuno al respecto. 18.El sistema genera informes de excepciones que identifica los reconocimientos del proveedor que no concuerden con la orden de compra (precio, cantidad, fecha de envo) que han de impactar el proceso de equiparacin de dos o tres puntos. El informe se revisa y se hace un seguimiento oportuno al respecto. 19.Se generan informes de excepciones con respecto a datos de interfase interrumpido y/o delineados errneamente, lo que podra impedir su registro. F

Interfase / conversin 20.El interfase del sistema entre la administracin del inventario y el mayor general est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en se ha preparado correctamente. Indicadores clave del desempeo 21.La gerencia revisa el indicador mensual clave del desempeo de la reduccin del inventario en comparacin con el punto de referencia de la industria y vigila los niveles de inventario. 22.Los costos y gastos reales se comparan con presupuestos bien desarrollados y las variaciones las revisan los niveles apropiados de la gerencia. Conciliacin 23.Los estados del banco se concilian mensualmente con el mayor general. 24.Los estados de los proveedores se concilian mensualmente con el mayor general. 25.El diario auxiliar de los acreedores se concilia mensualmente con el mayor general. 26.El diario auxiliar del inventario de materia prima se concilia mensualmente con el mayor general. 27.El inventario est sujeto al conteo de ciclos perpetuos y las diferencias con el mayor general se concilian regularmente y se efectan los ajustes correspondientes. Segregacin de obligaciones 28.La segregacin la imponen los controles de acceso al sistema. 29.Los individuos que aprueban las compras no tienen acceso directo a los desembolsos de efectivo. 30.Los individuos en el departamento de cuentas por pagar no tienen acceso a los cheques despus que stos se preparan. 31.Las facturas las aprueban individuos que no son los que hacen las compras. 32.Los pagos los efectan individuos que no son los que compran y reciben la mercanca. 33.El personal que recibe la mercanca no es quien procesa las facturas. 34.Las conciliaciones no las efectan los individuos que procesan las

transacciones originales. 35.La responsabilidad de supervisar el inventario fsico debe estar separada de la funcin de administracin del inventario. 36.La persona responsable de mantener la informacin del archivo maestro de proveedores no es la misma que es responsable de registrar las cuentas por pagar, rdenes de compra, etc. Acceso al sistema 37.El acceso est restringido a los individuos autorizados y apropiados en los casos siguientes, incluyendo el acceso inicial y los lmites sobre el alcance del acceso:
n n n n n n

colocar rdenes de inventario (incluyendo MRP); procesar los conteos de inventario; registrar el recibo del inventario; procesar las facturas (incluyendo el procesamiento automtico); generar pagos de efectivo (incluyendo el procesamiento automtico); y registrar los asientos en el mayor general (incluyendo ajustes)

38.El acceso a crear / mantener perodos de registro est restringido a individuos autorizados y apropiados. 39.El acceso a bloquear / eliminar el bloqueo de los registros maestros de proveedores est restringido slo al personal autorizado. 40.La capacidad para establecer y mantener las restricciones de compras est limitada al personal autorizado.

Ingreso generado de la venta de mercanca terminada


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Clase significativa de transaccin El ingreso generado de la venta de mercanca terminada. Proceso clave Ventas Objetivo del proceso Iniciar, procesar y registrar el ingreso relacionado con la venta de mercanca manufacturada terminada para garantizar su integridad, existencia, exactitud y presentacin y revelacin en los estados financieros. Actividades
n n n n n

Se recibe la orden del cliente Se extraen los artculos del inventario Se enva la mercanca al cliente y se genera el informe de ventas. Se factura al cliente. Se registran los asientos en el mayor general.

Nota: Aunque el servicio al cliente antes de la venta y las actividades posteriores a la venta tales como cobro de efectivo, devoluciones y ajustes de ventas y eliminacin de cuentas forman parte del proceso de mercadeo y ventas, stas no se abordan en este ejemplo ya que no impactan la iniciacin, procesamiento y registro de las transacciones de ventas (integridad, existencia, exactitud y presentacin de las ventas y cuentas por cobrar). Este ejemplo tampoco aborda el costo de la mercanca que se vende (p.ej., la extraccin de la mercanca del inventario y el registro del costo de la mercanca vendida) el cual se determina en el proceso de compras. Riesgos que amenazan los objetivos A. Existencia que se efecten ventas a clientes ficticios B. Existencia que se registren ventas y no se enve la mercanca C. Integridad que se enve la mercanca y no se registre el ingreso. D. Exactitud que las transacciones se registren en un monto incorrecto. E. Presentacin que las transacciones no se clasifiquen correctamente. Aseveraciones en los estados financieros (riesgos relacionados)

n n n n

Integridad de las ventas y cuentas por cobrar (C) Existencia de las ventas y cuentas por cobrar (A,B). Exactitud de las ventas y cuentas por cobrar (D). Presentacin de las ventas y cuentas por cobrar (E).

Controles Riesgos A B C D E Autorizacin 1. Las rdenes de ventas aprobadas y los documentos de envo se comparan y se aprueban para poder liberar la mercanca y registrar una transaccin de ventas. 2. Los cambios que se efecten a la lista maestra de precios han de autorizarse. Configuracin / mapeo de cuentas 3. La configuracin del sistema relacionada con los datos del archivo maestro est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 4. La configuracin del sistema relacionada con el proceso de aprobacin en lnea est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 5. La configuracin del sistema relacionada con los campos de entrada de datos (p.ej., mens desplegables, comprobaciones de tolerancia, etc.) est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 6. La configuracin del sistema relacionada con los clculos est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. Informe de excepciones / correcciones 7. Se generan informes de excepciones sobre el control de equiparacin de las rdenes de ventas y los documentos de envo y se revisan las excepciones y se hace un seguimiento oportuno al respecto. 8. Se generan informes de excepciones sobre el control de equiparacin de tres puntos de la factura, documento de envo y orden de ventas y las excepciones se revisan y se hace un seguimiento oportuno al respecto.

Riesgos A B C D E 9. El informe de excepciones indica cuando se genera una factura que incluye un precio que difiere de la lista autorizada de precios y las excepciones se revisan y se efecta un seguimiento oportuno al respecto. 10.El informe de excepciones indica cundo los totales del lote y del control no coinciden entre las rdenes de ventas insertadas y el informe diario de ventas y las excepciones se revisan y se efecta un seguimiento oportuno al respecto. 11.Los informes de envo que no coinciden se identifican, se revisan y se hace un seguimiento oportuno al respecto. Interfase / conversin 12.El interfase del sistema relacionado con la entrada de rdenes de ventas, el almacenamiento y los sistemas de emisin de informes de ventas est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en se ha preparado correctamente. 13.El interfase del sistema entre el sistema de emisin de informes de ventas y el mayor general y entre el diario auxiliar de cuentas por cobrar y el mayor general est debidamente diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en se ha preparado correctamente. Indicadores clave del desempeo 14.Regularmente se efecta un anlisis de las ventas (reales y comparables perodo anterior, presupuestos, etc.; individualmente por regin, lnea de producto, etc.) y se efecta un seguimiento de las variaciones o fluctuaciones extraordinarias. 15.Regularmente se efecta un anlisis del margen bruto (real y comparable) individualmente por regin, lnea de producto, etc. y se efecta un seguimiento de las variaciones. 16.Regularmente se efecta un anlisis de los das de ventas en inventario (rotacin del inventario). Revisin de la gerencia 17.Se efecta una comparacin de la lista maestra vieja de precios con la lista nueva de precios para garantizar que los cambios efectuados reflejen los que se autorizaron. Conciliacin 18.El diario auxiliar de cuentas por cobrar se concilia con el informe de ventas.

Riesgos A B C D E 19.El informe de ventas se concilia oportunamente con el mayor general. 20.El diario auxiliar de cuentas por cobrar se concilia oportunamente con el mayor general. Segregacin de obligaciones 21.Las funciones de entrada de rdenes de ventas y de facturacin estn debidamente segregadas del envo de mercanca. 22.La autorizacin y la entrada de cambios a la lista maestra de precios estn segregadas. Acceso al sistema 23.El acceso a modificar el archivo maestro de la lista de precios est limitado al personal apropiado. 24.El acceso a la entrada de rdenes de ventas, las funciones de envo y la facturacin est limitado al personal apropiado. 25.El acceso a los archivos para modificar los registros de ventas y de cuentas por cobrar est limitado al personal apropiado. Otros 26.La exactitud matemtica de la factura de ventas se verifica antes de que sta se enve al cliente. 27.La factura de ventas se compara con la lista autorizada de precios antes de enviar la factura al cliente.

Consolidacin de inversin en subsidiarias


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Clase significativa de transacciones Consolidacin de inversin en subsidiarias Proceso clave Emisin de informes de grupo Objetivo del proceso Iniciar, procesar y registrar los asientos de consolidacin para garantizar que las inversiones de la entidad en las subsidiarias existan y estn completas, sean exactas y estn presentadas adecuadamente. Actividades
n n n

Acumular informacin financiera de todas las entidades que se han de consolidar. Preparar asientos de diario rutinarios y no rutinarios. Preparar los estados financieros consolidados.

Riesgos que amenazan los objetivos A. Exactitud que la informacin soporte que se use en la consolidacin no sea confiable. B. Existencia y exactitud que las inversiones y cuentas correspondientes ya no existan y, por lo tanto, deban excluirse de la consolidacin. C. Integridad que no se incluya alguna subsidiaria que deba incluirse en el proceso de consolidacin. D. Exactitud que los asientos de diarios sean incorrectos (eliminacin y ajustes) E. Exactitud que las adiciones y las adiciones cruzadas no sean exactas. F. Presentacin que el tratamiento de las inversiones e intereses de propiedad como subsidiarias, asociados, empresas de participacin comn (joint ventures) o inversiones no sea consistente con la informacin soporte y los requisitos contables / legales. G. Presentacin que los estados financieros consolidados no reflejen el grupo como una sola entidad. Aseveraciones en los estados financieros (riesgos relacionados)
n n

Existencia y exactitud de varios saldos de activos (A,B,D,E). Integridad de varios saldos de cuentas (C).

Integridad, existencia, exactitud y presentacin de varios saldos de cuentas (A,B,C,D,E, F,G).

Controles Riesgos A B C D E Autorizacin 1. Los asientos de consolidacin se autorizan. Configuracin / mapeo de cuentas 2. La configuracin del sistema relacionada con los asientos rutinarios del diario est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios. 3. La configuracin del sistema relacionada con las comprobaciones del balance (dbitos = crdito o activos = pasivos + patrimonio) o las comprobaciones de las ganancias retenidas (ganancias retenidas iniciales + ingreso neto = ganancias retenidas finales) est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios o totales de las comprobaciones y comprobaciones lgicas efectuadas en las hojas de clculos. 4. La configuracin del sistema relacionada con la exactitud matemtica est debidamente diseada, implantada, funcionando, mantenida y sujeta a procedimientos adecuados de control de cambios o se verifica la exactitud matemtica de las tablas de consolidacin (p.ej., hojas de clculos). Informe de excepciones / correcciones 5. Los informes de excepciones se producen y se revisan para identificar problemas de eliminacin entre compaas y errores matemticos. 6. Los informes de excepciones relacionados con anomalas en el proceso de interfase se generan, revisan y se hace un seguimiento oportuno al respecto. Interfase / conversin 7. El interfase del sistema relacionado con el traslado de informacin a nivel de la entidad a las tablas de consolidacin est debidamente F G

Riesgos A B C D E diseado, implantado, funcionando, mantenido y sujeto a procedimientos adecuados de control de cambios. En adicin, la informacin en se ha preparado correctamente. Revisin de la gerencia 8. La gerencia revisa los asientos de consolidacin. 9. Los paquetes de informes a nivel de la entidad (divisiones) se generan y revisan mensualmente. 10.Los asientos recurrentes de consolidacin se comparan con el ao anterior con respecto a su consistencia. 11.Revisin analtica de los estados financieros consolidados, incluyendo los anlisis apropiados de ndices. Conciliacin 12.Las cifras que aparecen en los paquetes de informes a nivel de la entidad se concuerdan con las tablas de consolidacin. 13.Se comprueban (puede incluir traslado a perodos posteriores) los saldos finales consolidados (p.ej., ganancias retenidas) Segregacin de obligaciones 14.Los asientos reales registrados los compara con los asientos autorizados alguien que no sea la persona que los registr. 15.El sistema impone la segregacin apropiada de obligaciones, o se hace manualmente, y las infracciones se destacan para revisarse. Acceso al sistema 16.El acceso al paquete de consolidacin, as como el acceso a la informacin soporte utilizada, se autoriza y es apropiado. Otros 17.Se mantiene una documentacin detallada de los asientos de consolidacin requeridos y se utiliza durante el proceso de consolidacin. 18.Se generan formularios estndares prepoblados para los asientos recurrentes de consolidacin. 19.La informacin financiera a nivel de la entidad (divisiones) la auditan terceros. 20.La entidad tiene polticas y procedimientos documentados. F G

5.

Categoras de control

Muchos controles encajan en categoras especficas basados en similitudes de cmo deben efectuarse las pruebas de su diseo y eficacia operativa. En el ejemplo se identifica cada control con una categora. He aqu las categoras que se incluyen en el apndice.
n n n n n n n n n

Autorizacin Controles de configuracin y mapeo de cuentas Informe de excepciones / correcciones Controles de interfase / conversin Indicador clave del rendimiento Revisin de la gerencia Conciliacin Segregacin de obligaciones Acceso al sistema

6.

Autorizacin

La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin La autorizacin incluye:
n n

La aprobacin de transacciones ejecutadas de acuerdo con las polticas y los procedimientos generales o especficos de la gerencia. El acceso a activos y registros de acuerdo con las polticas y procedimientos generales o especficos de la gerencia. Prueba del diseo Prueba de eficacia operativa
n

Las preguntas / acciones que se han de considerar: 1. Quin efecta la autorizacin? Es un proceso manual o facilitado por una computadora? Puedo ver un ejemplo de evidencia de autorizacin (p.ej., firma,

Inspeccionar la documentacin que evidencie la autorizacin (firmas o pista de auditora generada por la computadora) (prueba del diseo 1-3). Si la autorizacin la facilita la computadora,

Prueba del diseo iniciales en lnea, minutas de la junta directiva, etc.)? 2. Qu causa la necesidad de la autorizacin? Existen diversos niveles de autorizacin? 3. Qu lineamientos se usan para determinar si la autorizacin es apropiada (p.ej., el manual de polticas y procedimientos contables, delegacin de autoridad)? Se observan stos? Se autorizan todas las transacciones? 4. Existe la capacidad de anular la autorizacin, manualmente o por medio del sistema? Como podra detectarse? Ha habido casos de ello en este perodo? 5. Habra alguna evidencia de las anulaciones (p.ej., informe de excepciones / correcciones)? 6. Existen procedimientos de revisin de la gerencia que garanticen que la autorizacin ocurra segn los planes (p.ej., revisin de auditora interna)?
n

Prueba de eficacia operativa efectuar una indagacin del sistema para determinar si el acceso al sistema prohbe el procesamiento no autorizado (prueba del diseo 1-5). Si ocurre la revisin de la gerencia, considerar usar sus pruebas para obtener evidencia relacionada con la eficacia del control (prueba del diseo 6).

Controles de configuracin y mapeo de cuentas


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin La configuracin del sistema y el mapeo de cuentas incluye dispositivos que pueden establecerse activndolos o desactivndolos para proteger la informacin contra un procesamiento inadecuado, basados en las reglas comerciales de la organizacin. Si el dispositivo est activado, es posible adaptar el proceso de comprobacin de la organizacin en particular para que sea muy fuerte o muy tolerante. He aqu definiciones ms especficas:
n n

Controles configurables dispositivos especficos que pueden establecerse activndolos o desactivndolos para proteger la informacin contra un procesamiento inadecuado. Delineacin de cuentas dispositivos especficos que pueden establecerse en relacin con la manera de registrar una transaccin en el mayor general y posteriormente en los estados financieros.

La configuracin del sistema y el mapeo de cuentas incluye controles estndares (que son parte de la aplicacin o sistema) o individualizados (desarrollados o modificados por el cliente) que se han diseado basados en criterios apropiados del negocio, con el fin de proteger la informacin contra un procesamiento inadecuado (imponiendo su validez, integridad, exactitud) y contribuir a garantizar la integridad de la informacin. Todos los controles configurables / delineaciones de cuentas deben documentarse y comprobarse debidamente antes de su implantacin y estar sujetos a procedimientos adecuados de control de cambios (que incluyen autorizacin, segregacin de obligaciones y pruebas). En adicin, los controles de acceso al sistema, autorizacin y segregacin de obligaciones (vanse las categoras de control por separado) han de disearse e implantarse adecuadamente para respaldar los controles provistos por la configuracin y el mapeo de cuentas. He aqu ejemplos caractersticos de controles configurables: establecimiento de lmites, estrategias de liberacin, lmites de tolerancia, validaciones y comprobaciones de correcciones, vista de la pantalla (se requieren ciertos campos y valores, otros estn suprimidos, algunos estn prepoblados con valores preseleccionados y algunos son valores slo de visualizacin), grupos de autorizacin (segn se indica arriba), variantes de transacciones (una forma de modificar una transaccin estndar tal como registrar un asiento del mayor general de manera que haga algo diferente, identificaciones de parmetros de usuarios (que pueblan automticamente el campo del usuario) e indicaciones de seguridad (que han de estar alineadas con la configuracin) y opciones de configuracin (capacidad para fijar el sistema). Para los efectos de la auditora, al efectuar la prueba del diseo y la prueba de la eficacia operativa de un control configurable, deben identificarse los controles configurables o delineaciones de cuentas

especficos que administran un riesgo especfico y concentrarse las pruebas en ellos (en vez de efectuar pruebas de todos los controles configurables dentro de un sistema). Los controles configurables y el mapeo de cuentas normalmente se establecen y se llevan a cabo en masa cuando se implanta un nuevo sistema, tal como un sistema de ERP (SAP, PeopleSoft, Oracle Applications), un paquete de informes tal como Hyperion, o durante una implantacin de almacn de datos. El mapeo de cuentas, remapeo o las actualizaciones a los controles configurables pueden efectuarse en cualquier momento en que el cliente haya experimentado una reorganizacin corporativa. Si IRM particip en las pruebas posteriores a la implantacin del sistema que comprenda el control especfico que nos concierne, no es necesario efectuar pruebas anuales del diseo y establecimiento inicial. Las pruebas anuales deben concentrarse en el aspecto de control de cambios y mantenimiento de un control especfico en la medida que el control se seleccione para someterse a prueba. He aqu ciertos riesgos o inquietudes que deben abordarse al comprobar un control configurable o mapeo de cuentas;
n

El mapeo de cuentas puede estar sujeta a cambios en un ambiente vivo de produccin por parte de los usuarios. Las cuentas mal delineadas no pueden mostrarse en los estados financieros o puede que se muestren en forma inadecuada tal como una cuenta en suspenso o en una categora opuesta tal como ingreso en vez de pasivo. Los controles configurables pueden ser pasados por alto por el usuario si el control no est debidamente establecido para satisfacer la necesidad de la organizacin y el acceso del usuario es apropiado. Por ejemplo, usar el mensaje de advertencia puede continuar puede no ser tan apropiado para satisfacer las necesidades de la organizacin como no puede continuar la transaccin est retenida / bloqueada. Los controles configurables pueden anular las caractersticas de control de seguridad. Por ejemplo, el hecho de no asignar grupos de autorizacin a ciertas cuentas, tablas o programas puede resultar en una seguridad ineficaz. Por otra parte, puede establecerse un control configurable pero puede que no sea tan eficaz excepto en caso que el acceso al sistema respalde el control segn se haya configurado (por ejemplo: un usuario con acceso de hiperusuario puede simplemente modificar la indicacin del control configurado). Prueba del diseo Prueba de eficacia operativa
n

Preguntas / acciones a considerar: 7. Si IRM particip en la fase posterior a la implantacin del sistema de computadoras que incluy esa configuracin, confirmar con IRM que se llevaron a cabo previamente pruebas apropiadas del diseo inicial, funcionamiento e implantacin.* Diseo inicial* 2. Qu criterios del negocio se usaron para establecer la configuracin? 3. Cmo se determin la configuracin originalde esta rea? Hubo documentacin y puedo verla?

Inspeccionar la documentacin que respalde el diseo inicial, funcionamiento, implantacin, incluyendo pruebas (efectuadas por IRM o el cliente) y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si es apropiada (Prueba del diseo 1-6). * Corroborar el entendimiento de los cambios (hechos o no) con alguien de TI y un responsable del negocio y confirmar que se efecte el mantenimiento regularmente (Prueba

Prueba del diseo 4. Se efectuaron pruebas del establecimiento del diseo inicial? Si fue as, estn documentadas? Puedo ver evidencia? Funcin* 8. Qu existe que garantice la integridad de la informacin? Implantacin* 9. Se han ajustado las preselecciones del sistema (o sea, estndares en comparacin con individualizadas)? 10.Cmo se diseo la individualizacin? En qu se basaron las decisiones? Mantenimiento / vigilancia de control de cambios 11.Se efectuaron cambios a la configuracin en este ao? Si fue as, existe documentacin y puedo verla? 12.Qu prcticas se observan para comprobar los cambios a la configuracin? Tienen ustedes procedimientos documentados? Si es as, puedo verlos? 13.Estn formalizados los procedimientos de control de cambios? He aqu ciertas preguntas / acciones a considerar para indagar ms detalladamente sobre los procedimientos de control de cambios. Ya sean formales o no, deben abordarse estos componentes con respecto al mantenimiento: Quines son responsables de la configuracin? Qu experiencia tienen?
n n

Prueba de eficacia operativa del diseo 7-11).


n

Si se efectuaron cambios en el ao actual, inspeccionar la documentacin del cambio cerciorndose de que los procedimientos fueron apropiados y estaban autorizados. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si es apropiada (Prueba del diseo 7-11). Efectuar procedimientos relacionados con el acceso al sistema para cambiar la configuracin segn se describe en la categora de controles de acceso al sistema (Prueba del diseo 9).

Se autorizan los cambios (vase la categora de control de autorizacin con respecto a consideracin de la prueba de diseo y la prueba de eficacia operativa)?
n

Est restringido el acceso a efectuar cambios al interfase / configuracin (vase la categora de control de acceso al sistema con respecto a consideracin adicional de la prueba de diseo y la prueba de eficacia operativa)?
n

Prueba del diseo Estn debidamente segregadas las obligaciones de autorizacin y acceso (vase la categora de control de segregacin de obligaciones con respecto a consideracin adicional de la prueba de diseo y la prueba de eficacia operativa)?
n

Prueba de eficacia operativa

14.Pueden hacerse cambios en el ambiente de produccin, o es preciso que primero se hagan en otro ambiente? 15.Cul es el volumen de transacciones que fluye a travs de esta parte configurada y qu tipos de errores / excepciones pueden detectarse? * ha de completarse en el primer ao en que se confe en el control y cuando ocurre un cambio en el ambiente o sistema de TI.

Informe de excepciones / correcciones


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin Los controles que encajan en la categora de informe de excepciones / correcciones corresponden a cuando una entidad genera un informe para vigilar algo y efecta un seguimiento al respecto hasta su solucin. En la mayora de los casos, los informes se concentran en las excepciones / correcciones segn se definen a continuacin; sin embargo, en ciertos casos puede que sea slo un informe. Por ejemplo, si el sistema genera un informe de anlisis de antigedad y se efecta un seguimiento de ste, el contenido no necesariamente representa correcciones o excepciones pero el control encajara en esa categora con respecto a consideraciones de la prueba de diseo y la prueba de eficacia operativa
n n

Excepcin una infraccin de una norma establecida (p.ej., las ventas al cliente exceden el lmite de crdito; el equiparamiento de tres puntos no concilia). Correccin un cambio a un archivo maestro (p.ej., la adicin de un nuevo empleado; cambios en las tasas de pago).

En la mayora de los casos, la informacin soporte con respecto a un informe de excepciones / correcciones ha de comprobarse. Vase la discusin adicional en la seccin 4 naturaleza de las pruebas. Prueba del diseo Preguntas / acciones a considerar: 1. Con qu frecuencia se generan los informes? Qu suscita su generacin? 2. Cun oportuno es el seguimiento del informe? Se documenta el seguimiento y se efecta manualmente o por medio del sistema? Si el informe lo genera el sistema, requiere seguimiento? Guardan ustedes los informes? Si es as, puedo ver evidencia? 3. Si el informe lo genera la computadora y se usan controles configurables clave para recopilar el informe, usar la categora de control de configuracin / mapeo de
n

Prueba de la eficacia operativa Usar la tcnica de evaluacin de conocimientos (Prueba del diseo 1-7):

Para evaluar los conocimientos de los individuos responsables del seguimiento. Considerar repetirlo y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin. Inspeccionar la evidencia del seguimiento. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si el seguimiento fue apropiado. Evaluar la competencia y el

Prueba del diseo cuentas para las consideraciones de la prueba del diseo. 4. Qu buscan ustedes cuando efectan el seguimiento del informe? 5. Resulta usable el informe de excepciones / correcciones? Relevante? 6. Encuentran ustedes alguna vez errores en los informes de excepciones que corresponden a equivocaciones en la informacin soporte (p.ej., el informe no les provee la informacin apropiada)? 7. Encuentran ustedes errores en el informe que requieren asientos de diario (p.ej., el informe destac debidamente algo que era necesario corregir)? 8. Si encuentran errores durante el seguimiento, procesan ustedes tambin la medida correctiva? Puedo ver un ejemplo? 9. Existe una revisin supervisora de la medida correctiva? Est documentada? De ser as, puedo ver evidencia?
n n

Prueba de la eficacia operativa conocimiento.

Documentar nombres, fechas, resumen de la entrevista y la medida de seguimiento tomada.

Inspeccionar los informes de excepciones / correcciones tomando en consideracin (Prueba del diseo 1-7):

La fecha de preparacin (frecuencia) Existe evidencia del seguimiento y la medida correctiva?

Cuando el control lo desempea un grupo / departamento, considerar adems usar la tcnica de indagacin corroborativa (Prueba del diseo 1-8). Si el informe lo genera la computador y se usan controles clave configurados y/o controles de interfase para recopilar el informe, usar la categora de controles de configuracin / mapeo de cuentas y/o categora de controles de interfase / conversin con respecto a las consideraciones de la prueba de la eficacia operativa para garantizar que la compilacin del informe sea apropiada (Prueba del diseo 3).

7.

Controles de interfase / conversin

La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin Interfases de datos Los interfases de datos transfieren porciones especficamente definidas de informacin (datos) entre dos sistemas de computadoras, por medios manuales o automatizados o una combinacin de ambos, y deben garantizar la exactitud e integridad de los datos que se transfieren. La funcin de un interfase de datos es transferir la informacin de una manera segura, una sola vez, de manera completa, exacta, con integridad y destacar las excepciones. Los interfases pueden ser recprocos (de ida y vuelta entre dos sistemas) o de una va (de un sistema a otro), y pueden vincular sistemas nuevos con sistemas antiguos / legados o sistemas antiguos / legados con sistemas nuevos. Si la informacin del interfase se origina en un sistema antiguo / legado, es importante considerar el alcance de las pruebas que se han de efectuar sobre los controles de calidad / integridad de los datos del sistema antiguo debido a que la basura que entre = la basura que sale. Conversin de datos La conversin de datos es el proceso de migrar los datos de un sistema legado (que puede tener datos antiguos, duplicados, inexactos e incompletos, que residen en varios lugares dentro del sistema) a un sistema nuevo. Para efectuar ese proceso, es necesario que los datos se limpien, se revisen y se sincronicen antes de su conversin (un paso crtico) y entonces se delineen (que puede incluir anlisis sintctico u otro tipo de manipulacin), reformatearse, traducirse, consolidarse y cargarse al sistema nuevo (que puede incluir un lapso de tiempo o demora durante el que se crean los nuevo datos). Una vez se hayan convertido los datos y se hayan cargado al nuevo sistema, ste ha de mantenerse para garantizar su integridad, existencia y exactitud. Los interfases requieren un entendimiento detallado de los problemas tcnicas y del negocio relacionados con los interfases. Por ejemplo, los problemas del negocio incluyen: la necesidad que tenga el negocio del interfase, cundo el sistema pueda realizar el interfase, con qu frecuencia se ejecuta el interfase, cuntos datos o cuntas transacciones se procesan, el impacto de los procedimientos del interfase en las operaciones normales del negocio y la sincronizacin del sistema legado con el sistema nuevo. Los problemas tcnicos incluyen: el mtodo que se use para el interfase (las caractersticas de importacin / exportacin del paquete antiguo y/o nuevo, los programas individualizados que se desarrollaron, el sistema / utilidad (receptculo) intermedio, la entrada manual de los datos del interfase), el enfoque tcnico (lote, tiempo real, paralelo) y el contenido de lo que contiene exactamente el interfase (actualizaciones del archivo maestro, transacciones detalladas / en resumen, saldos). Los datos del interfase / conversin en s han de prepararse debida y adecuadamente. En adicin, el interfase / conversin ha de estar debida y adecuadamente: diseado (o sea, tcnicas de mapeo de datos

que detallen cmo los datos de un sistema han de reflejarse en el otro), comprobado, efectuado (manual o automatizado), identificado su responsable, mantenido, repetido si fuese necesario, auditable (pista de auditora) y rastreable (que pueda distinguirse de las transacciones normales). Los cambios se autorizan, comprueban y documentan. Los atributos de los interfases / conversin incluyen: integridad de los datos (los datos no se modifican o manipulan) y seguridad (nadie puede accesarlos). Los interfases / conversin incluyen controles en las siguientes reas: administracin de datos (fecha / indicacin de hora / nombres de archivos), procesamiento (que no falten datos, ni estn duplicados ni sean redundantes y que garantice su integridad y exactitud), validacin / conciliacin (correcciones en lnea, totales de lotes), as como sobre la deteccin y correccin de excepciones y errores. Para los efectos de la auditora, al efectuar nuestra prueba del diseo y la prueba de la eficacia operativa en los interfases, el interfase especfico que corresponde a administrar un riesgo especfico debe identificarse y ser el punto de concentracin de las pruebas (en vez de efectuar pruebas de todos los interfases de todos los sistemas). Si IRM particip en las pruebas de la implantacin del sistema y los interfases correspondientes que comprenden el interfase especfico que nos concierne, entonces no se necesitan pruebas anuales del establecimiento y diseo iniciales. Las pruebas anuales deben concentrarse en el aspecto de control de cambios y mantenimiento del interfase especfico en la medida que el control se seleccione para someterse a prueba. Prueba del diseo Preguntas / acciones a considerar: 1. Si IRM particip en las actividades posteriores a la implantacin del sistema de computadoras que incluyo este interfase, confirmar con IRM que se efectuaron previamente pruebas apropiadas del diseo inicial, proceso e implantacin de la preparacin de los datos.* Preparacin de datos* 2. Cmo se prepararon los datos para el interfase? Diseo inicial, proceso e implantacin* 3. Qu prcticas se observaron en el diseo? Estn documentadas? Se estableci el interfase para reflejar el propsito del negocio y las reglas de la entidad? 4. Documenta esto o, si no est documentado, incluy el diseo: Controles de integridad de los datos tales como encabezamientos / seguimientos, sumas de comprobacin, totales de control, conteos de registro, etc.? Qu controles existen para garantizar la integridad de esta informacin segn se transmite de un sistema a otro?
n n n

Prueba de la eficacia operativa Inspeccionar la documentacin que respalde el diseo inicial, funcionamiento, implantacin, incluyendo pruebas (efectuadas por IRM o el cliente) y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si es apropiada (Prueba del diseo 1-7). * Corroborar el entendimiento de los cambios (hechos o no) con alguien de TI y un responsable del negocio y confirmar que se efecte el mantenimiento regularmente (Prueba del diseo 7-14). Si se efectuaron cambios en el ao actual, inspeccionar la documentacin del cambio cerciorndose de que los procedimientos fueron apropiados y estaban autorizados. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si es apropiada

Prueba del diseo Controles de seguridad para los datos que se estn transfiriendo / convirtiendo (p.ej., cifrados) (o sea, nadie los puede accesar; algo diferente a los controles de integridad de los datos que existen)?
n

Prueba de la eficacia operativa (Prueba del diseo 7-14).


n

Los controles de administracin de datos en uso, tales como indicacin de fecha / hora, nombres exclusivos de archivos, colocar en archivos para evitar que se borren errneamente los datos, etc.?
n

Efectuar procedimientos relacionados con el acceso al sistema para cambiar la configuracin segn se describe en la categora de controles de acceso al sistema (Prueba del diseo 9). Inspeccionar los informes de excepciones generados que destaquen los problemas del interfase. Efectuar un seguimiento de la solucin de una excepcin que ocurriera en el perodo. La revisin puede incluir inspeccin en lnea de los mensajes de excepciones. (Prueba del diseo 12).

Controles de datos que falten, duplicados o redundantes con respecto a informacin que se reciba y se enve. Qu controles existen para garantizar que toda la informacin de un sistema se reciba completa y slo una vez?
n

Procesos de validacin / conciliacin de qu controles se usan (correcciones en lnea, totales de lotes, informes de control, auditora de partidas, comprobaciones aleatorias, etc.)? Tienen procedimientos documentados y, si es as, puedo verlos?
n

5. Se observaron esas prcticas en la implantacin y procesamiento de los interfases? 6. Eran los controles los preseleccionados por el sistema o individualizados (o sea, estndares o individualizados)? Con respecto a los apropiado de la configuracin de esos controles, vase la categora de controles de configuracin / mapeo de cuentas con respecto a las consideraciones de la prueba del diseo. 7. Se efectuaron pruebas durante el diseo y el establecimiento? Si fue as, se document y puedo ver evidencia? Control de cambios / mantenimiento 8. Se efectuaron cambios en los interfases de datos durante este ao o se desarrollaron algunos nuevos? Si fuese as, existe documentacin y puedo verla? 9. Estn formalizados los procedimientos de control de cambios? Las siguientes preguntas / medidas han de considerarse para indagaciones adicionales sobre los procedimientos

Prueba del diseo de control de cambios. Ya sean formales o no, estos componentes deben abordarse con respecto al mantenimiento: Quines son responsables del interfase? Qu experiencia tienen?
n

Prueba de la eficacia operativa

Se autorizan los cambios (vase la categora de controles de autorizacin con respecto a consideraciones adicionales de la prueba del diseo)?
n

Est restringido al personal adecuado el acceso a efectuar cambios al interfase / configuracin (vase la categora de controles de acceso al sistema con respecto a consideraciones adicionales de la prueba del diseo)?
n

Estn debidamente segregadas las obligaciones de autorizacin y acceso? (vase la categora de controles de segregacin de obligaciones con respecto a consideraciones adicionales de la prueba del diseo)
n

10.Qu prcticas se observan para comprobar los interfases de datos (por ejemplo, identificar partidas en suspenso)? Tienen ustedes procedimientos documentados? Si es as, puedo verlos? 11.Cul es el volumen de transacciones que fluye a travs de este interfase y qu tipos de errores / excepciones pueden detectarse? 12.Cmo se detectan y corrigen las excepciones y errores? Se mantiene una pista de auditora con respecto a las partidas corregidas? Se genera un informe de excepciones / correcciones? Para consideraciones adicionales de la prueba del diseo con respecto al informe de excepciones / correcciones, vase la categora de controles de informe de excepciones / correcciones. 13.Cmo se cercioran ustedes de que la informacin que se enve nuevamente (para corregir un problema de procesamiento incompleto) no se haya duplicado o que se borre la informacin buena? Por ejemplo, si hay 10 partidas en el interfase en secuencia y el programa se detienen en el quinto, cmo se cercioran

Prueba del diseo de que slo se enven nuevamente las partidas 6-10? 14.Pueden rastrearse los datos del interfase, pueden distinguirse de las transacciones normales? * ha de completarse en el primer ao en que se confe en el control y cuando ocurre un cambio en el ambiente o sistema de TI..

Prueba de la eficacia operativa

Indicador clave del desempeo


La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin Los indicadores clave del desempeo son las medidas cuantitativas financieras y no financieras que:
n n

la entidad recopila, de manera continua o peridica; y la gerencia usa para evaluar el alcance del progreso hacia cumplir los objetivos definidos de la entidad.

Seleccionamos slo los indicadores clave del desempeo que sean relevantes para las aseveraciones en los estados financieros que estemos auditando y posean las siguientes cualidades:
n n n

que sean fuertes y vlidos; que se espera que produzcan resultados confiables; y que estn en un nivel apropiado de precisin para detectar un error e irregularidad significativo (segn lo define el auditor). Prueba del diseo Prueba de la eficacia operativa
n

Preguntas / acciones a considerar: 1. Con qu frecuencia se prepara el indicador clave del desempeo? 2. Se prepara oportunamente al final del mes / perodo? 3. Quin prepara el indicador clave del desempeo? Lo prepara el sistema automticamente o es el usuario quien inicia el proceso con informacin recopilada del sistema? Vanse las categoras de controles de configuracin y acceso al sistema con respecto a consideracin de la prueba del diseo. 4. Con qu frecuencia se revisa el indicador clave del desempeo? 5. Es la persona que prepara el indicador clave del desempeo una diferente a la que

Usar la tcnica de evaluacin de conocimientos (Prueba del diseo 1-17):

Para evaluar los conocimientos de los individuos responsables del seguimiento. Considerar repetirlo y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin. Inspeccionar la evidencia del seguimiento. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si el seguimiento fue apropiado. Evaluar la competencia y el conocimiento. Documentar nombres, fechas, resumen de la entrevista y la medida de seguimiento tomada.

Prueba del diseo revisa el indicador clave del desempeo? 6. Revisan la preparacin los niveles de supervisin? Si es as, existe evidencia de la revisin? Puedo ver un ejemplo de la evidencia de la revisin? 7. Cmo se establecen los puntos de referencia con que se compara el indicador clave del desempeo (p.ej., presupuestos, promedios de la industria, etc.)? 8. Cmo se selecciona un punto de referencia como ms relevante y/o exacto que otro? 9. Quin compila los puntos de referencia? Si se basan en informacin interna (p.ej., presupuestos), se compilan con exactitud? Los usa el revisor verdaderamente como punto de referencia para medir sus expectativas? 10.Cmo establece el revisor las expectativas con respecto a las fluctuaciones en el indicador clave del desempeo? 11.Qu medida se toma si la fluctuacin esperada del revisor no guarda proporcin con la fluctuacin real en el anlisis de indicadores clave del desempeo? Resulta oportuna esa medida? 12.A quines en la entidad se distribuye la informacin sobre los indicadores clave del desempeo y cualquier seguimiento y medida correctiva correspondientes? 13.Revisa ms de una persona el indicador clave del desempeo (p.ej., cuatro miembros de un comit gerencial)? Cmo se concilian las diferencias en las expectativas? 14.Se comunican al exterior los resultados del indicador clave del desempeo (p.ej., ganancias por accin)? Son su anlisis y su medida correctiva de los indicadores externos clave del desempeo diferentes a los indicadores clave del desempeo slo
n

Prueba de la eficacia operativa Cuando este control lo desempee un grupo / departamento, considerar adems el uso de la tcnica corroborativa de indagacin. Inspeccionar la documentacin del indicador clave del desempeo tomando en consideracin (Prueba del diseo 1-17):

La fecha de preparacin (oportuna?) Estn documentadas las explicaciones de las fluctuaciones extraordinarias? Comprobar que coincida con los libros / registros que estemos auditando.

Prueba del diseo para uso interno? 15.A qu nivel de precisin se analiza el indicador clave del desempeo y se efectan los ajustes correctivos correspondientes? 16.Cmo se efecta el seguimiento de las partidas extraordinarias (o sea, se han efectuado ajustes a los estados financieros / procesos del negocio, estn autorizadas las enmiendas)? Puedo ver un ejemplo en el que se haya efectuado un ajuste a los estados financieros?

Prueba de la eficacia operativa

Revisin de la gerencia
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin La revisin de la gerencia es la actividad de analizar y supervisar las actividades realizadas por una persona que no sea la misma que las prepar. En muchos casos, es un gerente que revisa el trabajo de un subordinado. Sin embargo, no se limita a eso. Puede incluir colegas que se revisen el trabajo entre s. Los ejemplos pueden incluir las actividades de auditora interna, etc. Prueba del diseo Preguntas / acciones a considerar: 1. Con qu frecuencia reciben ustedes asuntos para revisar? 2. Inician ustedes alguna vez la revisin(p.ej., solicitan revisar algo cuando no se espera)? Si es as, con qu frecuencia y normalmente cul es la reaccin? 3. En qu momento completan su revisin? 4. Qu buscan en su revisin? Tienen una expectativa de lo que encontrarn? Cmo crean la expectativa? Cmo establecen prioridades con respecto a la revisin? 5. Existe evidencia de su revisin? Si es as, puedo verla? 6. Cmo efectan un seguimiento de las excepciones / errores si los detectan? Se documentan las excepciones / errores? Si es as, puedo ver un ejemplo de la documentacin? 7. Efectan ustedes un seguimiento para cerciorarse de que se haya tomado la medida apropiada sobre las excepciones / errores? Dentro de qu marco de tiempo?
n

Prueba de la eficacia operativa Usar la tcnica de evaluacin de conocimientos (Prueba del diseo 1-7):

Para evaluar los conocimientos de los individuos responsables del seguimiento. Considerar repetirlo y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin. Inspeccionar la evidencia del seguimiento. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si el seguimiento fue apropiado. Evaluar la competencia y el conocimiento. Documentar nombres, fechas, resumen de la entrevista y la medida de seguimiento tomada.

Inspeccionar la documentacin de respaldo que evidencia la revisin (p.ej. firmas, minutas de la junta, asientos de diario, etc.) (Prueba del diseo 1-7). Si la revisin de la gerencia se efecta en adicin a otros controles (p.ej., la gerencia revisa una conciliacin del otro control) puede que slo sea necesario comprobar uno de los

Prueba del diseo

Prueba de la eficacia operativa otros controles (la conciliacin o la revisin de la gerencia) dependiendo del que est bien diseado y se considere que provea la mejor evidencia (Prueba del diseo 1-7).

Conciliacin
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin Una conciliacin es un control diseado para comprobar si dos partidas / sistemas de computadora, etc. guardan consistencia. Prueba del diseo Preguntas / acciones a considerar: 1. Con qu frecuencia preparan ustedes las conciliaciones? 2. Se preparan manualmente o las prepara el sistema, o una combinacin de ambos? 3. Cmo saben ustedes si toda la informacin de base (p.ej., cuentas bancarias, proveedores, etc.) se ha capturado en el proceso de conciliacin? 4. Se describen los procedimientos relacionados con la preparacin de la conciliacin en el manual de polticas y procedimientos contables? Puedo ver el documento? 5. Si el sistema prepara la conciliacin, reflejan las indicaciones / lgica usadas las del manual de polticas? Referirse a la categora de controles de configuracin / mapeo de cuentas con respecto a las consideraciones de la prueba del diseo. Si el sistema prepara la conciliacin, referirse a la categora de controles de acceso al sistema (quin tiene acceso), autorizacin (se autorizan los cambios y cmo) y categora de controles de interfase (si la informacin que se concilia proviene
n

Prueba de la eficacia operativa Usar la tcnica de evaluacin de conocimientos (Prueba del diseo 1-12):

Para evaluar los conocimientos de los individuos responsables del seguimiento. Considerar repetirlo y usar su juicio para recopilar suficiente evidencia para llegar a una conclusin. Inspeccionar la evidencia del seguimiento. Usar su juicio para recopilar suficiente evidencia para llegar a una conclusin sobre si el seguimiento fue apropiado. Evaluar la competencia y el conocimiento. Documentar nombres, fechas, resumen de la entrevista y la medida de seguimiento tomada.

Inspeccionar las conciliaciones tomando en consideracin (Prueba del diseo 1-12):

Estn de acuerdo con los libros / registros que estamos auditando? Es oportuna la fecha de preparacin? Cuadran? Parece haber partidas significativas de

Prueba del diseo de un interfase de otro sistema). 6. Qu fuentes utilizan ustedes para preparar la conciliacin? 7. Se preparan las conciliaciones aparte de los que preparan la informacin fuente (p.ej., distribucin de pagos en efectivo)? Referirse a la categora de controles de segregacin de obligaciones con respecto a las consideraciones de la prueba del diseo. 8. Qu es un error en una conciliacin y cmo identifican ustedes los errores? 9. Con qu frecuencia encuentran errores? Qu seguimiento efectan? Existe evidencia de ello? Puedo ver un ejemplo de dicha evidencia (p.ej., asiento de diario)? 10.Encuentran alguna vez errores en los informes de excepciones que corresponden a equivocaciones en la informacin soporte (p.ej., el informe no les provee la informacin adecuada)? 11.Revisa la gerencia la conciliacin? Referirse a la categora de controles de revisin de la gerencia con respecto a las consideraciones de la prueba del diseo.
n

Prueba de la eficacia operativa conciliacin no identificadas que puedan representar un monto complementario (p.ej., rubros tales como diferencias u otros)? Si existe revisin de la gerencia, considere si la preparacin inicial y el seguimiento o revisiones proveern el mejor control de evidencia y efecte las pruebas correspondientes. Vase la categora de controles de revisin de la gerencia (Prueba del diseo 1-12).

8.

Segregacin de obligaciones

La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin La separacin de obligaciones y responsabilidades de autorizar transacciones, registrar transacciones y mantener custodia para prevenir que los individuos ocupen una posicin en que puedan cometer y encubrir un error o irregularidad. Prueba del diseo Por medio de indagaciones con los individuos adecuados e inspecciones, determinar si las obligaciones estn segregadas: 1. Existen procedimientos relacionados con la segregacin de obligaciones en el manual de polticas y procedimientos contables? 2. Existen controles de acceso al sistema que limitan la capacidad del individuo de desempear ciertas funciones? Referirse a las categoras de controles de acceso al sistema y autorizacin con respecto a las consideraciones de la prueba del diseo. 3. En qu se basa la asignacin de responsabilidades? Est documentada la base (p.ej., descripciones de posiciones)? Se asigna automticamente la responsabilidad basada en la descripcin de la posicin o puede pasarse por alto? Existe alguna vez la rotacin de obligaciones? 4. Existen procedimientos de revisin de la gerencia para garantizar que la segregacin de obligaciones sea adecuada y que se desenvuelve segn los planes (p.ej., revisin de auditora interna)? Referirse a la categora de controles de revisin de la gerencia con
n n

Prueba de la eficacia operativa Inspeccionar el manual de polticas y procedimientos y observar que las polticas y procedimientos de segregacin de obligaciones (especficas del rea que usted est analizando) estn documentadas (Prueba del diseo 1-4). Usar la tcnica de indagacin corroborativa para corroborar la segregacin (Prueba del diseo 1-4).

Prueba del diseo respecto a las consideraciones de la prueba del diseo. En adicin, si la entidad tiene una herramienta basada en el sistema que comprueba todos los accesos de usuarios e identifica los conflictos, considerar la categora de controles de informe de excepciones / correcciones.

Prueba de la eficacia operativa

Acceso al sistema
La informacin en los ejemplos y categoras de control se cre para proveer un punto de partida para que los auditores identifiquen, evalen y efecten pruebas de controles. No se pretende que la informacin abarque todas las situaciones ni que todos los ejemplos se utilicen en todas las situaciones de los clientes. Es preciso que los auditores ejerzan su juicio, basados en las situaciones individuales de los clientes, para identificar los controles apropiados y efectuar las pruebas apropiadas de diseo y las pruebas de la eficacia operativa. Vanse las secciones 4.4 y 4.5 para lo que se debe considerar generalmente al efectuar la prueba del diseo y la prueba de la eficacia operativa. Definicin La capacidad de los usuarios individuales o grupos de usuarios dentro del ambiente de procesamiento del sistema de informacin por computadora, segn lo determinan y definen los derechos de acceso configurados en el sistema. Los derechos de acceso en el sistema estn de acuerdo con el acceso en prctica. Prueba del diseo Preguntas / actividades a considerar: Diseo inicial * 1. Se estableci el acceso basado en las responsabilidades de trabajo y la poltica del negocio (tales como que los empleados slo entran los datos y los supervisores los aprueban)? Considera el diseo original las funciones que son incompatibles (tales como establecimiento y aprobacin; crear / modificar / eliminar)? 2. Se ha configurado el sistema de manera que limite el acceso de funciones conflictivas como parte del diseo del acceso? Si es as, vase la categora de controles de configuracin / mapeo de cuentas con respecto a consideraciones adicionales de la prueba del diseo. 3. Se ha configurado el diseo de las limitaciones de acceso tanto en el sistema de produccin como en cualquier otro? Mantenimiento (o sea, sujeto a procedimientos adecuados de control de cambios) 4. Se efectuaron cambios al acceso al sistema este ao? 5. Estn formalizados los procedimientos de control
n n

Prueba de la eficacia operativa Efectuar indagaciones del sistema con respecto a lo siguiente para corroborar nuestro entendimiento de las restricciones de acceso obtenido en discusiones sobre:

el nivel de acceso; el acceso de hiperusuarios; y las funciones delicadas.

Corroborar el conocimientos de los individuos con respecto a su entendimiento de sus propias capacidades de acceso. Comparar las respuestas con el entendimiento de la gerencia y/o los lineamientos establecidos. Inspeccionar los informes de excepciones generados que destaquen las excepciones a las restricciones de acceso. Efectuar un seguimiento de la solucin de una excepcin que haya ocurrido este ao y usar su juicio para obtener suficiente evidencia para llegar a una conclusin sobre el seguimiento (esto puede incluir revisin en lnea de

Prueba del diseo de cambios? He aqu ciertas preguntas / acciones a considerar para indagar ms detalladamente sobre los procedimientos de control de cambios. Ya sean formales o no, deben abordarse estos componentes con respecto al mantenimiento: Quines son responsables de la configuracin? Qu experiencia tienen?
n

Prueba de la eficacia operativa los perfiles de usuarios).

Se autorizan los cambios (vase la categora de control de autorizacin con respecto a consideraciones adicionales de la prueba del diseo)?
n

Est restringido el acceso a efectuar cambios al interfase / configuracin (vase la categora de control de acceso al sistema con respecto a consideraciones adicionales de la prueba del diseo)?
n

Estn debidamente segregadas las obligaciones de autorizacin y acceso (vase la categora de control de segregacin de obligaciones con respecto a consideraciones adicionales de la prueba del diseo)?
n

6. Qu prcticas se observan para comprobar los cambios al acceso? Tienen ustedes procedimientos documentados? Si es as, puedo verlos? 7. Cul es el proceso para vigilar / actualizar los lineamientos de acceso? Est documentado y, si es as, puedo ver una copia? Quin es responsable y qu calificaciones tiene? 8. Cul es el proceso para identificar las excepciones a los lineamientos de acceso? Est documentado y, si es as, puedo ver una copia? Referirse a la categora de controles de informes de excepciones / correcciones, si forman parte del proceso. 9. Cul es el proceso para abordar y corregir las excepciones a los lineamientos de acceso? Est documentado y, si es as, puedo ver una copia? 10.Existen procedimientos de revisin de la gerencia que garanticen que el acceso se otorgue segn los

Prueba del diseo planes (p.ej., revisin de auditora interna)? Estn documentados y, si es as, puedo ver una copia? Vase la categora de controles de revisin de la gerencia con respecto a consideraciones adicionales de la prueba del diseo. * ha de completarse en el primer ao en que se confe en el control y cuando ocurre un cambio en el ambiente o sistema de TI.

Prueba de la eficacia operativa

9.
Observacin Indagacin Repeticin Inspeccin Indagacin corroborativa Evaluacin de conocimientos Indagacin del sistema

Tcnicas de pruebas de control

Existen diversas tcnicas que pueden usarse para obtener evidencia de auditora sobre la eficacia de la operacin de los controles:
n n n n n n n

Se ha creado la siguiente gua adicional relacionada con ciertas de las tcnicas en adicin al Manual de Auditora de KPMG.

10.

Indagacin corroborativa

La indagacin corroborativa es una tcnica que se ha de utilizar como prueba de la eficacia operativa, suponiendo que el auditor est satisfecho con los resultados de la prueba del diseo. El uso de la tcnica debe aplicarse en una situacin en la que varios individuos (p.ej., un comit) desempeen el mismo control. Por ejemplo, 10 revisores independientes en un banco efectan revisiones de archivos de prstamos para poder evaluar lo apropiado del grado asignado a cada prstamo. Si el control ha de desempearse de manera consistente entre todos los revisores, el auditor puede obtener un entendimiento del control de un miembro de la gerencia (p.ej., el gerente de revisin de crdito) y entonces corroborar su entendimiento del control con muchos revisores independientes. La tcnica incluye lo siguiente:
n

El auditor corrobora el desempeo de un control por medio de indagacin con otros miembros de la organizacin (los corroboradores). La corroboracin es para confirmar la validez y consistencia de su entendimiento con los corroboradores. Debe abordarse antes de la indagacin si los corroboradores son adecuados con respecto a su competencia y conocimientos para confirmar la informacin requerida de control. Por ejemplo, otro individuo que desempee el control o un individuo que tenga responsabilidad gerencial. Para llegar a la conclusin de que la prueba es suficiente, el auditor ha de evaluar la consistencia de las respuestas del corroborador con el entendimiento del auditor. He aqu ciertas preguntas a considerar?

la posibilidad y magnitud de los errores que normalmente se descubren al desempear el control. la medida de seguimiento tomada cuando se descubren los errores (como evidencia de la eficacia); y

el grado de consistencia con el que se aplicaron los procedimientos de control durante el perodo y quines los aplicaron.

El auditor debe conciliar las inconsistencias aparentes que resulten de las indagaciones. Esto puede hacerse mediante una indagacin adicional con un corroborador o el individuo entrevistado originalmente, comprobando la informacin fuente o expandiendo el procedimiento para incluir a otro corroborador. El alcance de la corroboracin depende del juicio del auditor. La documentacin de los resultados de esta prueba debe incluir los corroboradores, las fechas de las entrevistas, un resumen de la discusin, las medidas de seguimiento tomadas y una conclusin sobre la eficacia operativa del control.

n n

Este procedimiento puede efectuarlo directamente un miembro del equipo de auditora, pueden efectuarlo directamente distinto miembros del equipo de auditora o puede efectuarse indirectamente a travs del trabajo relacionado de ms de un miembro del equipo.

11.

Inspeccin

Existen dos aspectos clave para llevar a cabo una inspeccin: 1. El auditor debe crear una expectativa antes de llevar a cabo la inspeccin. 2. El alcance de la inspeccin vara dependiendo del nivel de esfuerzo que se requiera para comprobar si se ha satisfecho o no la expectativa del auditor. He aqu una descripcin ms detallada:
n

Por medio de la prueba del diseo, el auditor obtiene un entendimiento de un control. Esto incluye una evaluacin de los errores esperados que el control debe detectar o prevenir. El auditor crea una expectativas sobre los resultados de un procedimiento de control. Por ejemplo:

debe prepararse una conciliacin bancaria todos los meses para que el control funcione eficaz y oportunamente; los errores identificados en la conciliacin de un proveedor no deben llevarse al siguiente mes; una cuenta en suspenso no debe contener partidas que excedan un monto estipulado; y las listas de inventario no deben contener artculos significativos adquiridos antes de cierta fecha.

El auditor inspecciona la documentacin sujeta al control y busca el atributo en cuestin. El tiempo que puede tomar identificar el atributo y llegar a una conclusin de que se satisfizo la expectativa puede variar. En algunos casos es muy rpido (p.ej., puede parecer que el auditor est rastreando documentacin), mientras que en otros casos la inspeccin puede implicar una inversin de ms tiempo para leer el documento.

n n

Si el auditor no detecta ningn caso en que la expectativa no se cumpli, el auditor puede llegar a la conclusin de que el control es eficaz. Si existen casos en los que no se cumpli la expectativa, el auditor debe indagar sobre el motivo y evaluar la respuesta en relacin con la eficacia operativa del control. Si no es posible validar la excepcin, el auditor debe considerar la tasa de error correspondiente y, a su juicio, considerar si el control funciona eficazmente. Los resultados de la inspeccin deben documentarse incluyendo el hecho de que se desempeo segn los planes, cualquier excepcin y la conclusin sobre su eficacia operativa. No se requiere retener los datos fuentes inspeccionados.

El auditor de KPMG que se seleccione para efectuar esta prueba debe tener suficiente experiencia profesional y tener conocimientos sobre la compaa y la industria en la que sta tiene sus operaciones para inspeccionar con suficiente eficiencia, identificar las excepciones, evaluar las respuestas y llegar a una conclusin.

12.

Evaluacin de conocimientos

La evaluacin de conocimientos es una tcnica que puede utilizarse como prueba de la operativa, suponiendo que el auditor est satisfecho con los resultados de la prueba del diseo. El uso de la tcnica probablemente deba aplicarse para suplir la inspeccin o cualesquiera de las otras tcnicas. La evaluacin de conocimientos incluye lo siguiente:
n

El auditor usa tcnicas de entrevista diseadas para comprobar el conocimiento de los individuos sobre un tema, sin tener previo conocimiento de las preguntas. Por ejemplo, el auditor puede:

Revisar la declaracin de polticas del banco sobre suscripcin y preguntarle al gerente de crdito sobre asuntos especficos de polticas. Obtener un clculo de los mrgenes brutos con respecto a ciertos perodos o productos y preguntarle a la persona apropiada sobre lo que son o han sido durante el perodo. Obtener detalles del nmero de empleados durante un perodo y preguntarle al gerente de nmina sobre el nmero de empleados durante ese perodo.

El auditor tambin debe cuestionar la posibilidad y magnitud de los errores que generalmente se descubren al desempear el control y la medida de seguimiento tomada cuando se descubren los errores. El auditor debe inspeccionar la evidencia de la medida de seguimiento tomada, p.ej., asientos de diario registrados y usar su juicio para obtener suficiente evidencia sobre si el seguimiento fue apropiado. El auditor debe investigar las respuestas esperadas relacionadas con las preguntas de entrevista antes de la entrevista o corroborar las respuestas posteriormente. El auditor debe considerar las respuestas y analizar las respuestas con respecto a inconsistencia o imposibilidades dados los resultados del proceso de verificacin. En tales casos, el auditor debe cuestionar en ms detalle hasta su satisfaccin si la persona conoce bien la actividad o no. En caso que no conozca la actividad, el auditor ha de

n n

obtener evidencia mediante otras tcnicas o llegar a la conclusin de que el control no funciona eficazmente.
n

El auditor puede considerar repetir ciertas funciones sobre las que el individuo tenga conocimientos para poder obtener ms evidencia. Por ejemplo, para determinar si un revisor independiente de archivos de prstamos conoce la materia, el auditor puede optar por revisar 1-2 de los archivos para evaluar la competencia y el conocimiento. Debe procurarse obtener corroboracin adicional por medio de una evaluacin de la competencia de los entrevistados incluyendo su experiencia en la industria y la compaa y las calificaciones relevantes. Esto puede determinarse por medio de corroboracin con supervisores, resultados de trabajos anteriores (p.ej., desempeo histrico o exactitud), el conocimiento que tengan los auditores de la compaa o industria o inspeccin de los archivos de recursos humanos. Las entrevistas deben documentarse incluyendo el nombre del entrevistado, la fecha de la entrevista, un resumen de la entrevista, la medida de seguimiento tomada y una conclusin sobre la prueba.

El auditor de KPMG que se seleccione para efectuar esta prueba debe tener suficiente experiencia profesional y suficientes conocimientos sobre el cliente y la industria y suficiente entendimiento del procedimiento para entrevistar con suficiente eficacia (suficiente alcance), entender las respuestas y proveer preguntas exploradoras adicionales de seguimiento para evaluar el conocimiento del entrevistado. La indagacin de por s normalmente no es suficiente para llegar a una conclusin sobre las pruebas de la eficacia operativa. Sin embargo, esta tcnica es suficiente debido a que emplea tcnicas de pruebas de entrevista para cuestionar la capacidad de los entrevistados para desempear el control (diferente a slo indagacin). Tambin procura obtener evidencia adicional de que el control funciona mediante inspeccin y repeticin (segn sea necesario) de los resultados de las actividades de seguimiento relacionadas con los procedimientos de control y una evaluacin de las calificaciones del entrevistado.

13.

Indagacin del sistema

La indagacin del sistema es un tcnica que puede utilizarse como una prueba de la eficacia operativa suponiendo que el auditor est satisfecho con los resultados de la prueba del diseo. El propsito de la tcnica de indagacin del sistema es el siguiente:
n

Comprobar que la lgica programada en torno a un control que reside dentro de una aplicacin de tecnologa de informacin (TI) funciona segn lo esperado, p.ej., que el sistema identificar debidamente una excepcin predefinida (comprobar un informe de excepciones), o Recuperar informacin de una aplicacin de TI sobre la configuracin o designaciones dentro del sistema, p.ej., indagar la aplicacin para determinar cmo se configuraron los lmites de tolerancia, o indagar la aplicacin para obtener una lista de individuos que tengan autoridad para desempear cierta funcin en el sistema (para establecer segregacin de obligaciones).

Una indagacin del sistema se define como el insumo directo a un sistema de TI por un profesional que tenga suficientes conocimientos con permiso del cliente en un ambiente debidamente controlado para obtener cierta respuesta directamente del sistema de TI. La indagacin del sistema tambin puede consistir de ejecutar una herramienta automatizada, tal como el Authorization Assistant de KPMG que se cre para hacer indagaciones de la informacin y los resultados de informes que se bajen de los clientes. La indagacin del sistema debe efectuarla un profesional que tenga suficiente experiencia y conocimientos sobre el sistema de produccin del cliente para obtener evidencia de auditora. Para efectuar esta prueba, el equipo de auditora ha de estar satisfecho con los procedimientos del cliente sobre el control de cambios (incluyendo arreglos provisionales, remedios, etc.), seguridad (acceso de hiperusuarios) y cualesquiera otros controles de infraestructura que se determine que sean necesarios (en la mayora de los casos, trabajar con un especialista de auditora de TI vase ms adelante). Esto puede que sea particularmente extenso si un cliente ha creado su propio sistema en vez de usar un sistema de paquete con modificaciones y configuraciones estndares. La prueba se efecta de la siguiente manera:
n

El equipo de auditora determina que se requiere comprobar un control basado en TI con respecto a su eficacia operativa o que se requiere informacin del sistema de TI en una prueba. Se selecciona a un auditor de KPMG para planear y efectuar la prueba quien tenga suficiente capacidad y pericia en TI. Tambin debe tener suficiente experiencia profesional y tener suficientes conocimientos sobre la compaa y sus sistemas de TI. El equipo de auditora obtiene permiso del cliente para efectuar la indagacin del sistema y hace arreglos de acceso en un ambiente debidamente controlado. El auditor crea una expectativa sobre el resultado del procedimiento de control o define el resultado esperado que debe obtenerse del sistema de TI. El auditor define la indagacin del sistema que se ha de llevar a cabo. El auditor lleva a cabo la indagacin del sistema del cliente y documenta los resultados u obtiene documentacin del resultado (p.ej., resultados impresos o en pantalla, baja el archivo). Los resultados de la indagacin del sistema se evalan en comparacin con la expectativa desarrollada anteriormente. Si el auditor no detecta casos en los que la expectativa no se cumpli, el auditor puede llegar a la conclusin de que el control es eficaz. Si existen casos en los que no se cumpli la expectativa, el auditor debe indagar sobre el motivo y evaluar la respuesta en relacin con la eficacia operativa del control. Si no es posible validar la excepcin, el auditor debe considerar la tasa de error correspondiente y, a su juicio, considerar si el control funciona eficazmente

n n n n

Los resultados de la indagacin del sistema deben documentarse incluyendo el hecho de que se llev a cabo segn los planes, las excepciones observadas y la conclusin alcanzada sobre la eficacia operativa.

En un ambiente bien controlado y, de no existir cambios a ese ambiente o la aplicacin, el auditor puede esperar que el sistema de TI funcione de manera consistente. Sin embargo, es importante entender que las indagaciones del acceso al sistema no permanece estticas a travs del perodo de auditora y es posible que las indicaciones de la configuracin del sistema cambien. Esto debe re-evaluarse con respecto a cada perodo sujeto a auditora pero no es necesario que se repita para cada perodo. La indagacin del sistema puede ocurrir antes del final del perodo bajo auditora. De no haber cambios a la aplicacin o al ambiente de TI, esto se considera suficiente evidencia para ese perodo bajo auditora. Es crtico que se entienda la naturaleza del ambiente del cliente para poder usar eficazmente el control antes del final del perodo.

14. auditora

Participacin de IRM en la

E.1 Anlisis estratgico evaluacin inicial de la participacin de IRM


Al comienzo de la auditora, el equipo de trabajo ha de considerar si se necesitan los recursos de IRM para evaluar, documentar y comprobar los riesgos y controles de tecnologa de informacin (TI) que (i) emanan del negocio del cliente y las estrategias relacionadas y (ii) son procesos clave existentes que se han identificado para revisar durante el anlisis de procesos Debe usarse la siguiente evaluacin para determinar si existen ciertas caractersticas que indican la participacin de IRM en la auditora de los estados financieros. Si el equipo de trabajo determina que los riesgos de TI no son significativos y no existe ninguna de las siguientes caractersticas del cliente, la participacin de un especialista de TI no es beneficiosa. Si las caractersticas del cliente que se describen a continuacin existen, debe considerarse la participacin de IRM en el anlisis estratgico. S No TI es un componente significativo de la estrategia del negocio, incluyendo el desarrollo de tecnologas de facilitacin (p.ej., comercio electrnico, la Internet o el intercambio electrnico de datos). Los procesos bsicos del cliente, incluyendo los sistemas de informacin, la emisin de informes financieros y los sistemas contables (p.ej., los sistemas de planeacin de recursos en toda la empresa (ERP, por sus siglas en ingls), tales como Oracle, SAP, Baan y Peoplesoft) tienen un grado significativo de dependencia de TI (p.ej., los controles crticos tales como aprobaciones o equiparacin de documentos los desempea la aplicacin en lnea.) Los proyectos crticos del negocio se planean o son continuos con componentes significativos de TI (p.ej., nuevos productos o servicios, nuevas unidades del negocio, integracin de adquisiciones, nuevas aplicaciones o sistemas operativos, nuevos componentes de infraestructura de redes o mejoras significativas a la tecnologa de facilitacin). Existen indicadores significativos de riesgo de TI (p.ej., operativos, disponibilidad de sistemas, recuperacin de sistemas o procesamiento de problemas; los proyectos de TI estn retrasados o el cliente carece de recursos calificados de TI). Los sistemas de informacin son crticos para las operaciones del negocio y los procesos de la gerencia para tomar decisiones. Normalmente, esa caracterstica aplicara cuando la organizacin usa un sistema de apoyo de

decisiones para que provea informacin resumida de muchos sistemas diferentes al equipo ejecutivo de gerencia (incluyendo la dependencia de la gerencia de los informes generados por el sistema, as como la dependencia del equipo de auditoria de dichos informes.) Ha habido un cambio significativo en las operaciones de los sistemas de informacin de la entidad (p.ej., subcontratacin de operaciones, cambio de direccin de TI, dependencia de proveedores en proyectos clave, implantacin de planeacin de recursos en toda la empresa, cadena de abastecimiento, administracin de relaciones con clientes, o aplicaciones de logstica; consolidacin de las operaciones en un ambiente de servicios compartidos; empresas de riesgo en comn y alianzas de negocios). Se depende de otros especialistas de TI cuando KPMG necesita evaluar la calidad de su trabajo. Existe un valor significativo del negocio en los activos de informacin del cliente (p.ej., propiedad intelectual, software, datos de clientes, datos de empleados, investigacin y desarrollo, relaciones de negocios, planes de negocios y productos y almacenes de datos) y, correspondientemente, existen problemas de integridad y seguridad de datos, as como implicaciones de privacidad, reguladoras y contractuales. Por ejemplo, una compaa que tiene propiedad intelectual que le ofrece una ventaja en el mercado ha de cerciorarse de que sus esfuerzos de desarrollo estn protegidos de la competencia externa. Ese tipo de cliente justifica la participacin de IRM aun cuando la compaa use un sistema contable pequeo de paquete, tal como Quicken.

E.2 Planeacin del anlisis de procesos evaluacin actualizada de la participacin de IRM


Tambin durante el anlisis estratgico, el equipo de BMP debe determinar el alcance de participacin de IRM en las pruebas de los procesos clave que se han identificado. Las siguientes preguntas proveen objetivos especficos para asistir al equipo de auditora a calcular y concentrar el trabajo que han de desempear los especialistas de IRM durante el anlisis de procesos. Preguntas para que IRM participe en el anlisis de procesos 1. Depende grandemente de la TI el proceso del negocio seleccionado o se procesa a travs de un sistema de ERP? Considere: el nivel de integracin y automatizacin
n

Es Implicaciones potenciales relevante? para la auditora

Se necesita asistencia de IRM?

Un alto grado de dependencia de la automatizacin crea la oportunidad para errores sistemticos, as como el potencial de errores aislados debido a interfases dbiles, reinsercin de datos o el uso de PCs no integrados. IRM puede participar en determinar cmo se han configurado los controles dentro del sistema y cmo se controla la informacin que se transmite mediante los interfases del sistema.

la existencia de soluciones especficas e interfases crticos entre diferentes sistemas


n

si la informacin procesada se suministra directamente a los sistemas de emisin de informes financieros y contable.
n

2. Hemos evaluado el impacto del comercio electrnico en este proceso; por ejemplo, completando el cuestionario de auditora de comercio electrnico?

Los casos de gran impacto del negocio, especialmente en conjuncin con controles dbiles, pueden indicar la presencia de riesgos de auditora. Debido a que una parte significativa del proceso ser automatizado, IRM puede

participar en revisar los controles del proceso relacionados con el comercio electrnico. 3. Existe informacin que se incorpore o se mantenga como parte de un proceso que sea sensible o crtica? Existen problemas de privacidad?
n

En adicin al riesgo de acceso no autorizado a la informacin, puede existir el riesgo de robo de propiedad intelectual sensible o confidencial. IRM puede participar en las pruebas del acceso a la informacin.

Est regulado el uso de la informacin?


n

Se considera la informacin propiedad intelectual o se usa sta para mantener una ventaja competitiva?
n

4. Se basan los procedimientos de administracin y de control interno directamente en informacin procesada estndar tal como informes automatizados?

Habr un alcance significativo para usar informes y procedimientos de control estndares para proveer evidencia de la integridad y exactitud de la informacin de auditora. IRM puede participar en la revisin de los controles sobre la informacin soporte con respecto a informes especficos de los que depende el equipo de BMP.

5. Se han incorporado durante el ao de auditora procesos nuevos crticos de TI, tales como administracin de cambios, recuperacin de desastres, seguridad, etc.?

Cuando se introducen nuevos procesos de TI, todos los sistemas de aplicaciones se afectan y es posible que ciertos riesgos y controles no se hayan abordado durante la implantacin. IRM puede evaluar los controles relacionados con el nuevo proceso de TI.

E.3 Preguntas del mdulo de anlisis de riesgos


Los mdulos de anlisis de riesgos (RAM, por sus siglas en ingls) son herramientas que se han creado para evaluar los riesgos estratgicos del negocio que tienen categoras comunes de riesgos de TI. El propsito de un RAM es contribuir a determinar, a un nivel estratgico, el grado al que el cliente est expuesto a riesgos que resulten de su uso de la tecnologa. Las siguientes preguntas debe usarlas el equipo de BMP para determinar la necesidad de ejecutar un RAM con respecto a un riesgo estratgico especfico relacionado con TI. A continuacin se presentan las preguntas para cada una de las siete categoras de RAM:
n n n n n n n

Controles de Integracin de Sistemas Seguridad de Informacin, Privacidad, Comercio Electrnico Seguro Intercambio Electrnico de Datos, Banca por Internet, y Planeacin de Continuidad del Negocio

Si las respuestas a las siguientes preguntas indican que existe un riesgo estratgico del negocio, IRM debe ejecutar un RAM. Algunos de los RAM puede que no sean relevantes al cliente en particular y algunos clientes pueden tener muchos RAM que sean relevantes. Al completar un RAM, IRM le proveer al equipo de auditora una evaluacin del nivel de riesgo (alto, mediano o bajo). La evaluacin destaca factores que deben tomarse en cuenta al evaluar el control circundante del negocio. La evaluacin NO proveer una conclusin sobre si puede confiarse o no en los controles de TI para la auditora financiera. Se requieren pruebas adicionales de anlisis de procesos para proveer confiabilidad. Controles de integracin de sistemas 1. Existen planes de implantar o se est implantando un paquete de recursos de empresa (ERP)? 2. Ha implantado el cliente un ERP anteriormente? 3. Est el cliente acostumbrado a manejar proyectos de esa magnitud? 4. Tienen los empleados que forman parte del proyecto de implantacin experiencia en implantacin de ERP? 5. Est el cliente familiarizado con la infraestructura de tecnologa (p.ej., sistema operativo, equipo, base de datos, redes)? 6. Tiene el cliente un comit de direccin del proyecto que consiste de gerentes senior de negocios y tecnologa de las organizaciones de TI y de usuarios? 7. Existe un campen / patrocinador del proyecto de ERP?

8. Existe un gerente dedicado al proyecto a tiempo completo? 9. Usa el cliente un enfoque formal de planeacin del proyecto que incluye herramientas? 10.Tendr la implantacin un impacto en la auditora de este ao o en la del ao prximo? 11.Qu impacto tiene la implantacin en el cliente (o sea, procesos del negocio, recursos utilizados)? Seguridad de la informacin 1. Adopta el cliente rutinariamente nueva tecnologa en la primera fase de su desarrollo? 2. Cuntos terceros (proveedores, clientes, etc.) tienen la capacidad de conectarse con los sistemas del cliente? 3. Qu tipo de proceso de seleccin tiene el cliente en su acceso de seguridad? 4. Cun significativo sera el problema para el cliente si terceros obtuvieran sus activos intelectuales (p.ej., financieros, legales, reputacin, competitivos)? 5. Qu actitud tiene el cliente hacia la forma en que estn protegidos? 6. Est usted consciente de infracciones internas o externas de seguridad en este ao? 7. Cmo sabe el cliente si ha ocurrido una infraccin de seguridad? 8. Se ha despedido / amonestado a alguien debido a problemas de riesgo de seguridad? 9. Existen problemas reguladores con respecto a proteccin / privacidad de datos que tengan impacto en el cliente? Privacidad 1. Captura rutinariamente el cliente informacin sobre individuos (incluyendo clientes, proveedores o empleados)? 2. Puede considerarse dicha informacin sobre individuos sensible, personal o privada? 3. Tiene el cliente un proceso para determinar qu informacin en su poder debe mantenerse privada? 4. Se vera el negocio del cliente adversamente impactado debido a que se descubra una infraccin de privacidad? 5. Existen problemas federales, estatales reguladores relacionados con la privacidad que tengan un impacto en el cliente? 6. Participa el cliente en transacciones con individuos dentro de la Unin Europea? Si es as, cmo cumplen con las directrices de privacidad de la Unin Europea? 7. Participan los asesores legales (internos o externos) del cliente en el establecimiento de protocolos de privacidad en la organizacin del cliente? 8. Tiene el cliente una poltica de privacidad aprobada por la junta directiva o un comit de sta? Comercio electrnico

1. Se usa comnmente el comercio electrnico en la industria del cliente para conducir negocios, comunicar o proveer informacin? 2. Persigue el cliente el comercio electrnico para obtener una ventaja competitiva? 3. Le exigen sus clientes al cliente que las transacciones se efecten electrnicamente? 4. Se ha cohibido el cliente de participar en transacciones electrnicas de negocios debido a inquietudes de seguridad? 5. Si el cliente lleva a cabo comercio electrnico, se han cohibido sus clientes de procesar las transacciones electrnicamente debido a inquietudes de seguridad 6. Ha desarrollado el cliente una poltica sobre el comercio electrnico que ha sido aprobada por la junta directiva o los asesores legales? 7. Ha desarrollado el cliente un poltica de seguridad del comercio electrnico? 8. Comprueba rutinariamente el cliente sus medidas de seguridad del comercio electrnico? 9. Sirve el cliente en alguna ocasin de garante de transacciones entre dos partes (o sea, es el cliente una autoridad de certificacin o considera serlo)? Intercambio electrnico de datos (EDI, por sus siglas en ingles) 1. Requiere el segmento de la industria del cliente o va encaminado a requerir las transacciones electrnicas como una necesidad del negocio? 2. Parte de compras Usa el cliente o est considerando usar medios electrnicos (p.ej., EDI) para emitir rdenes de compra, registrar el recibo de la mercanca o procesar las cuentas por pagar. 3. Parte de ventas Usa el cliente o est considerando usar medios electrnicos (p.ej., EDI) para procesar rdenes, registrar el envo de mercanca, emitir facturas o procesar pagos de cuentas por cobrar.. 4. Cun significativo sera el problema si el cliente no respondiera a los mensajes / transacciones recibidos (p.ej., reputacin, competencia, financiero, legal)? 5. Cun significativo sera el problema si el cliente respondiera a los mensajes / transacciones recibidos errneamente (p.ej., reputacin, competencia, financiero, legal)? 6. Tiene el cliente contratos apropiados con sus socios comerciales y proveedores de servicios de EDI para limitar y definir las responsabilidades legales potenciales? 7. Ha revisado y aprobado el comit de auditora el plan para garantizar que el procesamiento de las transacciones de EDI sea rastreable / auditable? Banca por Internet 1. Existen planes de implantar o se est implantando banca por Internet (IB, por sus siglas en ingls)? 2. Tienen los empleados que forman parte del proyecto de implantacin experiencia implantando una aplicacin de tipo IB?

3. Est el cliente familiarizado con la infraestructura de tecnologa de IB (p.ej., sistema operativo, equipo, base de datos y redes)? 4. Tiene el Banco un comit de direccin del proyecto de IB dirigido por un campen / patrocinador de IB que consiste de gerentes senior de negocios y tecnologa? 5. Garantiza el Banco al pblico la seguridad de las transacciones de IB? 6. Cun significativo sera el problema si el Banco no respondiera a los mensajes / transacciones de IB recibidos (p.ej., reputacin, competencia, financiero, legal)? 7. Cun significativo sera el problema si el Banco respondiera a los mensajes / transacciones de IB recibidos errneamente (p.ej., reputacin, competencia, financiero, legal)? 8. Han revisado los abogados del Banco los problemas legales y reguladores de IB para garantizar el cumplimiento? 9. Ha revisado y aprobado el comit de auditora el plan para garantizar que el procesamiento de las transacciones de IB sea rastreable, seguro y auditable? Planeacin de continuidad del negocio 1. Dependen los procesos bsicos del cliente de la tecnologa de informacin? 2. Se ha hecho obsoleto el plan actual debido a que los requisitos actuales de tiempo de recuperacin son ms cortos que lo que estipula el plan? Cunto tiempo estaran interrumpidos los procesos bsicos del cliente antes de que la interrupcin se haga crtica para la supervivencia del cliente (reputacin, imagen, responsabilidad financiera, lealtad de clientes y bienestar de empleados)? 3. Exigen las actividades de due diligence o los requisitos reguladores en la industria del cliente la Planeacin de Continuidad del Negocio? 4. Han ocurrido cambios importantes en el ambiente de negocios del cliente durante el ltimo ao (adquisicin, reorganizacin, productos, tecnologa)? 5. Est el negocio del cliente ubicado en un rea que est sujeta a desastres de la naturaleza (clima fuerte, inundaciones, terremotos)? 6. Es susceptible el negocio del cliente a interrupciones ocasionadas por el hombre (fuego, accidentes areos / ferroviarios / automovilsticos, asaltos maliciosos, fallos de infraestructura)? 7. Ha experimentado el cliente algn tipo de interrupcin en el negocio? Pudieron recuperarse exitosamente? 8. Tiene el cliente un plan de recuperacin de desastres con respecto a sus operaciones de TI? 9. Ha desarrollado el cliente un plan de continuidad del negocio con respecto a sus procesos bsicos? 10.Estn integrados los dos planes (el plan de recuperacin de desastres en el plan de continuidad del negocio)?

11.Existen capacidades de recuperacin fsica y guardan consistencia con los planes de recuperacin / continuidad?

Existe un programa o proceso patrocinado y apoyado por la gerencia principal (conocimiento, entrenamiento, presupuesto, pruebas) que garantice que el plan de continuidad del negocio est actualizado y sea ejecutable?E.4 Estrategia del negocio y de tecnologa de informacin
IRM debe primero obtener un entendimiento de la estrategia del negocio y de tecnologa de informacin. Comunmente, esa informacin se obtiene por medio de varias entrevistas con el personal clave de TI incluyendo al ejecutivo principal de informacin. La Gua general sugiere invertir la mayor parte de la entrevista (en una entrevista de 1 a 2 horas) en discutir los problemas estratgicos que el gerente ejecutivo ha encarado durante el ao de auditora. Para poder entrenar mejor a los profesionales de BMP para que entiendan la estrategia de TI, se recomienda que un miembro del equipo de trabajo de BMP acompae al gerente de IRM durante el proceso de entrevista. El gerente de IRM conduce la reunin mientras que el profesional de BMP toma notas y es responsable de documentar las discusiones. Una vez que se complete la documentacin, el gerente de IRM debe revisar la documentacin de las entrevistas y las conclusiones que se hayan alcanzado. Las siguientes preguntas pueden usarse como lineamientos para discutir la estrategia de TI: 1. Cules son los riesgos, inquietudes y problemas del negocio en que ustedes se han concentrado durante este ao?
n

Nueva estrategia (evolucin hacia una plataforma de comercio electrnico, acceso de autoservicio facilitado por la Web, desarrollo de alianzas estratgicas, subcontratacin / proveedor de servicios de aplicacin (ASP) o incorporar las funciones a la organizacin) Alta disponibilidad (crtica para ciertas compaas, el tiempo inerte es costoso) Recuperacin de sistemas / datos Fusiones, adquisiciones (pueden haber experimentado problemas con la integracin de sistemas) Recortes de presupuestos, despidos, reduccin de personal (impacta la capacidad de mantener el ambiente) Proyectos

n n n n n

2. Cules con los impulsores clave del negocio y cmo los facilita la TI? 3. Cules son los sistemas crticos para la misin de la compaa? 4. Satisfacen los sistemas actuales las necesidades del negocio? 5. Qu proyectos significativos estn actualmente en curso, o planeados?
n

Por ejemplo:

implantacin y lanzamiento de nuevas aplicaciones / paquetes. cambios o mejoras a las aplicaciones o paquetes. nuevos proyectos de desarrollo (comercio electrnico, almacenamiento de datos, privacidad arquitectura de seguridad de la empresa, nueva plataforma) cambio a una plataforma basada en Citrix (todos los productos se corren del servidor y no en los PC de los usuarios).

Cul es la razn comercial de los proyectos significativos de TI? Qu beneficios se han de derivar? Tales como metodologa de administracin de proyectos, metodologa de desarrollo de sistemas, procesos de autorizacin de capital, planes del proyecto, informes de estado, etc. Tratar de determinar si existen problemas en esta rea, las compaas pueden tener proyectos tipo sabor favorito del mes (problema de la necesidad de que los ejecutivos establezcan prioridades en cuanto a las iniciativas). Observar si el comercio electrnico es parte de la estrategia de la compaa. Observar si lograr la estrategia de la compaa implica cambios significativos, pueden surgir nuevos riesgos para la compaa a consecuencia de ello. Considerar: la magnitud del impacto de los cambios, el plazo de tiempo para lograr los cambios y la velocidad del cambio.

6. Qu mecanismos de control de proyectos se observan con respecto a los proyectos?


n

7. Cul es la estrategia actual del negocio?


n n

8. Cmo garantiza la compaa que su ambiente de TI (tecnologas, plataformas y arquitectura) puede respaldar su estrategia del negocio? 9. Cul es la estrategia actual de TI? Si existe un documento de estrategia de TI, favor de proveer una copia. La evaluacin destaca factores que deben tomarse en cuenta al evaluar el control circundante del negocio y tambin identificar las oportunidades potenciales de un mdulo de anlisis de riesgos (RAM) de TI . La evaluacin NO proveer una conclusin sobre si puede confiarse o no en los controles de TI para la auditora financiera. Se requieren pruebas adicionales de anlisis de procesos para proveer confiabilidad.

E.5 Ambiente de tecnologa


IRM asiste al equipo de trabajo a obtener un entendimiento del ambiente general de tecnologa de la compaa. Los profesionales de IRM deben plantear las siguientes preguntas para poder entender el ambiente de tecnologa. IRM concentra las preguntas en las reas que se han desarrollado o que han cambiado durante el ao de auditora. El nivel de complejidad relacionado con cada una de las preguntas vara significativamente dependiendo de la complejidad y la naturaleza del ambiente del cliente. Operaciones de TI (Direccin, Administracin de Proyectos, Arquitectura de TI, SDLC) 1. Favor de proveer un bosquejo de la estructura de administracin (direccin) de la organizacin de TI, incluyendo funciones y responsabilidades. Indicar si se usa o se planea usar una funcin separada de funcionario de seguridad de informacin. Favor de describir cmo se logra la segregacin de responsabilidades (por ejemplo, el que desarrolla el programa no debe ser quien los traslade a produccin). 2. Cul es el presupuesto anual de TI? Cmo se desarrolla el presupuesto (punto de referencia, porcentaje de ventas)? 3. Cules son los indicadores clave del desempeo relevantes de TI con respecto a emisin de informes a la gerencia (disponibilidad, tiempo de respuesta, proyectos sobre presupuesto / tiempo) y cmo se usan? 4. Dnde se encuentran los centros de datos? Tiene la compaa otros centros significativos de TI? 5. Qu cantidad de personal de TI existe? 6. En qu invierte la mayor parte del tiempo el departamento de TI?
n

Por ejemplo, en mantener los interfases individualizados, apoyo a las PC?

7. Favor de proveer un bosquejo de la plataforma de infraestructura y arquitectura de TI de la compaa, incluyendo redes, servidores, medios de proteccin, EDI / Internet, red externa, sistemas operativos y versiones, sistemas de administracin de bases de datos y versiones, etc. (aborda la arquitectura y el inventario de aplicaciones). Favor proveer un diagrama de la red. 8. Favor de describir los arreglos de subcontratacin (incluyendo proveedor de servicios de aplicacin), incluyendo cmo se establecen los servicios de contratos / proveedores con terceros y cmo se vigilan los niveles de servicios. 9. Favor de describir la interaccin entre TI y los usuarios, por ejemplo analistas de negocios (personal de TI en cada departamento funcional), departamento de asistencia. 10.Favor de describir cmo se logra el entrenamiento del personal de TI. 11.Favor de describir los procedimientos de vigilancia y revisin, o sea, se hace un rastreo de la red cada trimestre? efectan los auditores internos de TI una revisin anual? 12.Favor de describir cmo se vigilan las licencias.

13.Favor de describir cmo se logra el mantenimiento de los sistemas. 14.Favor de describir los procedimientos actuales de desarrollo de sistemas (si el software se desarrolla internamente). Si los procedimientos estn documentados, favor de proveer una copia. 15.Favor de describir el enfoque actual con respecto a cambios en las aplicaciones de software. Incluir la iniciacin, revisin y aprobacin del cambio, desarrollo, pruebas (unidad, sistema y usuario) y la implantacin. Si el enfoque est documentado, favor de proveer una copia.
n n n

Favor de indicar si existen personas por separado que se encargan de trasladar los objetos aprobados a produccin. Favor de describir los procedimientos y controles que aplican a los objetos de aplicacin, los objetos de la base de datos y las descripciones de lotes. Favor de describir la seguridad y el control que rigen los objetos fuentes y los procedimientos para control de las versiones.

16.Favor de indicar cmo se restringe que los que desarrollan programas modifiquen los datos de produccin. Controles de seguridad de TI (lgicos, fsicos, redes, aplicacin) 17.Favor de describir los mecanismos y procedimientos lgicos de seguridad que existen en la compaa.
n

Por ejemplo, convenciones de contraseas (duracin, vencimiento, caractersticas) impedimentos de acceso lgico a usuarios no autorizados, cancelacin automtica a usuarios inactivos, todos los usuarios han de tener identificaciones exclusivas, no se usan identificaciones genricas,

18.Favor de indicar cmo se obtiene el acceso a los sistemas de la compaa desde dentro y desde fuera de la compaa
n

Por ejemplo, el uso de una Virtual Private Network, servidores RAS.

19.Favor describir la seguridad fsica sobre el ambiente de TI. Favor incluir una descripcin de la seguridad de acceso, controles ambientales, etc. 20.Favor describir cmo se protege la base de datos. 21.Favor describir el enfoque con respecto a la seguridad a nivel del sistema operativo. 22.Favor describir el enfoque con respecto a la seguridad de la red.
n

Por ejemplo, uso / restricciones de lneas anlogas y otros puntos de entrada de telecomunicaciones hacia la red, polticas y procedimientos de seguridad para usar la red de la compaa, polticas de acceso a la Internet, configuracin de proteccin (servicios externos permitidos / ofrecidos / disponibles y vigilancia de infracciones), controles para garantizar la segregacin de Internet / red interna.

23.Favor describir cmo se logra la privacidad de los datos. 24.Favor describir las tcnicas y procedimientos para rastrear y detectar los virus.

25.Favor describir los procedimientos de administracin de seguridad para establecer, modificar y eliminar el acceso de los usuarios a la red y las aplicaciones. 26.Favor describir cmo el departamento de asistencia contribuye a imponer la seguridad, por ejemplo, verificando la identidad del usuario antes de restablecer una contrasea. 27.Favor describir las polticas y procedimientos de tecnologa y seguridad de la compaa. Cmo se comunican (por ejemplo, en una red interna o manual de empleados) y se imponen? Si estn documentados, favor de proveer una copia. 28.Cmo garantiza la compaa que sus controles de seguridad (polticas, procedimientos de acceso, mantenimiento) permanecen relevantes y eficaces?
n

Por ejemplo, migrando al comercio electrnico, a sistemas facilitados por la Web.

29.Favor describir los procedimientos de vigilancia y revisin de seguridad. 30.Favor describir cmo se determina el nivel y tipo de acceso permitido a las fuentes externas (clientes, proveedores). Controles de aplicacin (ERP, cadena de abastecimiento, CRM, logstica) 31.Favor describir las aplicaciones principales, incluyendo interfases.
n n

Por ejemplo, si la compaa usa un sistema de ERP (SAP, PeopleSoft, Oracle, JD Edwards, BaaN) indicar la versin en uso, as como los mdulos implantados. Incluir otras aplicaciones significativas adicionales tales como bolt-ons (Siebel, Manugistics, i2, Commerce One, Ariba)

32.Favor describir cmo el negocio usa la aplicacin, o sea, es un motor de procesamiento de transacciones o se usa para facilitar una prctica competitiva del negocio tal como administracin de cadena de abastecimiento o administracin de relaciones con clientes, o ambas? 33.Favor describir los cambios efectuados a las aplicaciones o interfases durante el ltimo ao incluyendo los controles usados.
n

Por ejemplo, conversin de datos y migracin de un sistema existente legado a la aplicacin, mejoras. Los controles incluyen pruebas, equilibrio, etc. Por ejemplo, mejoras, agregar nueva funcionalidad (CRM, SCP, Web), uso de un mercado / almacn de datos, migracin a una nueva aplicacin (clientes de BaaN), desarrollo de una aplicacin interna (fabricar en comparacin con comprar). Tal como: personal de TI, hiperusuarios, analistas de negocios. Se provee apoyo de los proveedores? (observar que en ciertos casos es posible que el apoyo de los proveedores venza si no se mejora la versin, por ejemplo en las versiones de SAP antes de la 3.11 y las aplicaciones de Oracle 10.7) Estn al da los arreglos provisionales y permanentes?

34.Favor describir los planes futuros para la aplicacin durante los prximo 102 aos.
n

35.Favor describir cmo se respalda la aplicacin.


n n

Infraestructura de comercio electrnico (estrategia, infraestructura de tecnologa) 36.Favor describir la infraestructura de comercio electrnico de la compaa, si corresponde. Controles de continuidad del negocio (disponibilidad, recuperacin de desastres) 37.Favor describir la estrategia y normas de disponibilidad del sistema de la compaa, incluyendo el uso de proveedores de servicio subcontratados, si corresponde. 38.Favor describir los procedimientos de respaldo de archivos de datos, incluyendo frecuencia, retencin y lugar de almacenamiento de los medios de respaldo. Favor indicar los objetivos que se incluyen en los procedimientos de respaldo (fuentes, descripciones, objetos de base de datos, etc.) 39.Favor describir el plan de reanudacin del negocio de la compaa, incluyendo los planes de recuperacin de:
n n n n n

Fallos de los componentes de equipos individuales Prdida de electricidad Prdida de telecomunicaciones Prdida de las instalaciones donde residen los recursos de computacin. Si existe un plan documentado de reanudacin del negocio, favor proveer una copia.

Sistemas de terceros 40.Determinar si existen terceros que proveen procesamiento de datos para la compaa. De ser as, determinar si existe un informe de terceros (SAS 70) y obtener una copia. Revisar el informe con respecto a:
n n

debilidades de control observadas que pudieran presentar un riesgo estratgico del negocio consideraciones de control de usuarios que la compaa no haya abordado debidamente.

La evaluacin NO proveer una conclusin sobre si puede confiarse o no en los controles de TI para la auditora financiera. Se requieren pruebas adicionales de anlisis de procesos para proveer confiabilidad. Sin embargo, la evaluacin s destacar las reas en las que deben efectuarse anlisis y/o pruebas adicionales.