Академический Документы
Профессиональный Документы
Культура Документы
!"!!#!#
$$
$% $
! "
& %
#'
#
!
!"
Para este análisis se define al riesgo como una ecuación consistente en IMPACTO X
PROBABILIDAD. Los factores de riesgos utilizados se detallan a continuación:
. Tipo de actividad
. Materialidad
. Planes de Contingencia
. Importancia para la Gerencia
Para cuantificar la c
Como conclusión del análisis mencionado se efectuó una calificación de los distintos
procesos de acuerdo al nivel de riesgo que cada uno de ellos posee asociado. La misma
puede ser consultada en el Anexo IV, adjunto al presente documento.
$$ $)(
$
$%
Cabe destacar que la medición de riesgos efectuada para el ejercicio económico 2009
puede sufrir modificaciones debido a las contingencias que pudieran ocurrir, así como
las modificaciones en proyectos, actualizaciones, etc.
El detalle de los procedimientos de auditoría a aplicar en cada ciclo se establecerán en el
programa de auditoría.
Documentos Anexos
Hemos planteado una auditoría interna que basa su trabajo en el marco conceptual que
expone el Informe COSO, la revisión a efectuar no sólo se destinará a la revisión de los
conceptos que plantea la auditoría tradicional, sino que adoptará un criterio basado en la
detección de riesgos que amenazan la concreción de los objetivos que la compañía se
plantea. Asimismo, se optó por un enfoque del tipo constructivo, donde su función no es
la de detectar falencias e informarlas en un reporte, sino analizar la forma en que la
compañía desarrolla sus actividades, detectar falencias, informarlas, discutirlas con el
auditado, y generar una recomendación donde se indique de que modo podría
solucionarse la falencia detectada. Esta solución debe conformar al equipo de auditoría
y a las personas que se encargan de efectuar la tarea.
Utilizando como base el Informe COSO establece sus objetivos los que son claramente
enunciados en dicho modelo de control interno:
La idea de plantear como objetivo la eficacia y eficiencia de las operaciones implica que
la auditoría pretende asegurarse que toda la operatoria de la compañía se efectúa con la
menor cantidad de recursos posible (siempre considerando conceptos como segregación
de funciones, capacidades, calidad esperada, etc. los que pueden implicar que la
necesidad de recursos aumente) y de la mejor forma posible.
Se busca eliminar todas las actividades que no agregan valor y que por lo tanto se
convierten en una pérdida para la empresa, Cabe mencionar que las actividades de
mitigación de riesgos, controles, registración, análisis y toma de decisiones son
actividades que en un análisis superfluo podrían parecer no agregar valor pero esto no es
así, un análisis más profundo y considerando los factores que indirectamente afectan a
los objetivos de la compañía permite asignarles en forma rápida su valor agregado.
Por todo lo mencionado consideramos que el control por parte de la Auditoría Interna
de las normas que debe cumplir la organización será de gran utilidad a fin de mejorar el
posicionamiento de Portal S.A mejorando la eficacia y eficiencia de sus operaciones
diarias, sumando a estas el conjunto de controles internos aplicables a sus necesidades.
En este caso optamos por adoptar una metodología que recomienda ISACA, la cual se
estructura en tres niveles:
El riesgo como base para establecer los lineamientos de la auditoría, debe definirse ,
según la metodología adoptada, como la posibilidad que existe que un evento ocurra y
produzca efectos adversos en la organización. Debe considerarse el riesgo como un
factor potencial y los controles que la compañía establece como los puntos que buscan
reducirlo. La brecha que queda entre ambos es el riesgo residual. Es decir, aquel que no
se cubre con los controles implementados por la compañía, ya sea porque su cobertura
no es factible, no es eficiente o necesaria.
Para poder establecer cuáles serán los estándares que se aplicaran debe mensurase el
riesgo que cada ciclo posee, para poder realizar esta tarea de forma objetiva y
justificable ante terceros el auditor debe emplear una metodología sistemática.
En primer término para definir las áreas a auditar y los controles relevantes, se deberá
establecer un ratio que sea aplicable a todas ellas. Luego se establecerá cuál es el riesgo
aceptable, los controles y áreas críticas de la organización y los riesgos inherentes a la
misma en función de la actividad que desarrolla. Establecer las áreas a auditar es
importante para definir cuales son los recursos necesarios, que se debe revisar para
otorgar un grado de confianza razonable en el trabajo de auditoria y establecer la
efectividad del ³management´ de la compañía.
Para cuantificar la c
Por último, los factores establecidos precedentemente serán rankeados de acuerdo a los
posibles valores que pueden tomar y ponderados.
Ese valor obtenido será multiplicado, por cada factor, dentro de cada proceso, de
acuerdo a los potenciales riesgos del negocio que derivan de ellos (según Objetivos de
Control planteados por el Informe COSO).
El valor final será el ranking total de riesgo y sobre el cual serán ordenados los procesos
de la compañía.
Esto permitirá:
( $)(
$
$% $ % (
- Tipo de Actividad: Se pondera con una influencia del 20 % sobre los demás factores
ya que la influencia que cada una de las actividades posee en la concreción de los
objetivos de la empresa, influye en la profundidad con la que se debe tratar cada una de
las mismas.
- Materialidad: Existen procesos que dada su baja materialidad quedan fuera del análisis
de la auditoría. Este mismo concepto se debe utilizar para definir si una actividad /
proceso debe considerarse con mayor o menor medida. Asimismo, en base a su
materialidad es su influencia en los Estados Financieros (18%).
- Complejidad de los sistemas: el volumen de las transacciones, los usuarios que
acceden al sistema y las interfaces intervinientes hacen a la complejidad de los sistemas,
el cual es un concepto que es necesario considerar con un porcentaje elevado (17%)
- Cambios a los sistemas se considera un criterio significativo y cuya ponderación debe
ser tenida en cuenta en forma relevante dentro del presente análisis. (15%)
Con porcentajes menores se han ponderado los restantes factores de riesgo que se han
tomado para la determinación de los procesos que se incluirán en la auditoría.
$ $
Se estableció que aquellos procesos cuyo riesgo ponderado sea hasta 1000 serán
considerados de Riesgo Bajo, entre 1000 y 2000 Riesgo Medio y si supera los 2000
como Alto.