Espiñeira, Sheldon y Asociados Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio No. 5 - 2010 Contenido Cerrar Imprimir Página anterior Página siguiente Boletín Digital // No. 5 - 2010 Contenido Haga click en los enlaces para navegar a través del documento Contenido Cerrar Imprimir Página anterior Haga click en los enlaces para llegar directamente a cada sección 4Introducción 4Controles en los procesos de negocio 4Riesgos en los procesos de negocio 4Evaluación de los controles 4Riesgos de acceso 4Riesgos de ingreso 4Conclusión 4Riesgos de rechazo4Riesgos de procesamiento 4Créditos / Suscribirse 4Algunos ejemplos 41. Riesgos frecuentes en el ciclo de ingresos por ventas y cuentas por cobrar 42. Riesgos frecuentes en el ciclo de compras y cuentas por pagar 43. Riesgos frecuentes en el ciclo de Nómina Página siguiente Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Introducción Podemos iniciar este boletín mostrando el término riesgo definido por la Organización Internacional de Estándares ISO (por sus siglas en inglés): “El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y que ocasione pérdidas o daños. Usualmente, se mide mediante la combinación del impacto y de la probabilidad de ocurrencia” Por otra parte, de acuerdo con la mayoría de estudiosos y profesionales, el riesgo también es definido como: “La posibilidad de que algo ocurra y que impacte determinados objetivos, el cual se mide en términos de consecuencias y esperanza matemática”. Los riesgos son futuros eventos inciertos, los cuales pueden influir en el cumplimiento de los objetivos de las organizaciones, incluyendo sus estrategias, finanzas y operaciones”. De cualquier manera, en las organizaciones, los riesgos están asociados directamente con sus activos y a las amenazas a las que están expuestos. En la actualidad, la variedad de estas amenazas se han incrementado como producto del avance de la tecnología, por lo cual la atención sobre los riesgos tecnológicos ha venido tomando gran relevancia. Por otra parte, los riesgos en los procesos de negocios son aquellos que pudieran impactar a una organización, los cuales pueden ser de naturaleza financiera, reguladora u operacional. El origen de estos riesgos surge como resultado de la interacción del negocio con su ambiente interno (recursos humanos, procesos y tecnología) y su ambiente externo. Existen dos niveles de riesgo a considerar en los procesos de una organización, de acuerdo con el grado de automatización de sus procesos: riesgos inherentes y de control. Un tercer nivel de riesgo, detección, como puede observarse en la Figura Nº 1, debe ser considerado y se refiere a que los errores materiales producidos, como resultado de los dos factores de riesgo mencionados anteriormente, no sean detectados oportunamente y por lo tanto no puedan tomarse las acciones necesarias. Para visualizar la Figura No. 1 haga click en el icono. Figura Nº 1: Niveles de riesgo en los procesos de negocio de una organización Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Introducción (continuación) Riesgos en los procesos de negocio Toda organización en la cual sus procesos de negocios descansen sobre sistemas computarizados, poseen básicamente tres clasificaciones de riesgo inherentes, tal como se observa en la Figura Nº 2, a saber: Dado que los procesos de negocio, cada vez más, dependen en gran medida de la tecnología de la información para operar eficientemente, los riesgos asociados a esta tecnología han ido incrementándose. En este sentido, nuevas formas de riesgo aparecen de acuerdo con el tipo de industria y el tipo de proceso existente en una organización. Estos riesgos incluyen riesgos de aplicaciones y riesgos de operaciones. En cuanto a los riesgos de aplicaciones, éstos pueden ser clasificados básicamente en cuatro tipos: acceso, ingreso, rechazo de información y procesamiento. •Riesgos de procesos de negocio. •Riesgos de sistemas de información. •Riesgos de la función de Tecnología de Información. Para visualizar la Figura No. 2 haga click en el icono. Figura Nº 2: Clasificaciones de Riesgos Riesgos de acceso Los riesgos de acceso se originan cuando personas, sin la debida autorización, pueden visualizar o ejecutar funciones de transacciones en los programas de aplicación o registros de información, permitiéndoles leer, modificar, agregar o eliminar información. Cerrar Imprimir Página anterior Página siguiente Los riesgos de acceso pueden originarse, principalmente, desde tres áreas: •Acceso a transacciones o privilegios sensitivos: en la cual un usuario puede tener acceso a transacciones que no le corresponden, según sus funciones. Por ejemplo, un usuario del Departamento de Ventas con acceso a visualizar, incluir o modificar información administrada por el Departamento de Nómina, tales como: sueldos, horas extras, beneficios laborales, entre otros. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) •Segregación de funciones: en la cual un usuario pudiera tener acceso a transacciones, que en combinación con las que le corresponden, pudiera desencadenar acciones no autorizadas o fraudulentas. Por ejemplo, un usuario que posea acceso de forma simultánea, para realizar: pedidos, despachos, facturación, registro y conciliación de las cuentas por cobrar de los clientes, pudiera realizar pedidos ficticios o registrar cuentas por cobrar por montos que no corresponden con los despachos realizados a los clientes. •Administración de usuarios y claves de acceso: en la cual un usuario pudiera tener acceso a sistemas o recursos del ambiente que no le corresponden, incrementando el riesgo de pérdida de confidencialidad e integridad de la información que allí reside. Por ejemplo, la utilización de claves de usuario de fácil deducción, claves de usuario sin fecha de vencimiento, usuarios genéricos o en desuso, facilitan el acceso de intrusos a las aplicaciones, sistemas e información de la organización. Los riesgos de acceso, generalmente, se incrementan cuando se realizan migraciones a nuevos sistemas de información. En este caso, debe existir un plan conjunto entre la Función de Seguridad (CISO: Chief Information Security Officer) de la Compañía y las áreas funcionales, para el diseño de roles y privilegios sobre las transacciones a ejecutar por cada usuario. Riesgos de ingreso Este tipo de riesgos de ingreso se presentan cuando la información ingresada para el procesamiento de una funcionalidad es imprecisa, incompleta o duplicada. En este sentido, un dato mal ingresado en los registros maestros (clientes, proveedores, productos, etc.), puede ocasionar errores en todas las etapas del procesamiento. Por ejemplo, una industria de servicios, en donde se ingrese erróneamente un precio menor al real, incide negativamente en sus ingresos. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) La ausencia de interfaces automáticas o que no funcionen adecuadamente, entre sistemas independientes, origina un mayor número de errores, incrementando los riesgos de ingreso de información. Ahora bien, este riesgo se disminuye en el tiempo con la introducción de tecnología. Por ejemplo, actualmente, es poco común encontrar organizaciones cuyo proceso de ingreso de información de facturación sea manual. El uso cada vez más frecuente de los sistemas integrados (ERP), han permitido disminuir el ingreso manual de información, así como la existencia de sistemas independientes con sus correspondientes interfaces. Riesgos de rechazo Estos riesgos se presentan cuando no se identifican oportunamente los datos erróneos que son ingresados en el sistema computarizado, o al no tener definidos adecuadamente los criterios para identificar cuándo una transacción es incorrecta o inaceptable en el ambiente de procesamiento. Por ejemplo, un control de validación puede indicar que un número de cuenta es incorrecto o que la cantidad de horas trabajadas de un empleado no es razonable. En estos casos, las transacciones pueden ser: •Aceptadas por el sistema y señaladas en un informe de excepción. •Destinadas a ser ubicadas en una “cuenta en suspenso” del sistema, en lugar de ser procesadas. •Completamente rechazadas. En el primer y segundo caso, deben existir procedimientos posteriores que permitan analizar e identificar la falla que produjo el rechazo y corregir lo que sea necesario, inmediatamente. En el caso que las transacciones sean completamente rechazadas, generalmente no existe un análisis posterior. Sin embargo, se debe asegurar periódicamente, a través de pruebas, que las rutinas automatizadas que originan el rechazo funcionan de manera adecuada. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) Existe el riesgo de que algunas transacciones no sean adecuadamente resueltas y procesadas. En este caso, se pudieran dejar de tomar en cuenta transacciones importantes que pudieran afectar los estados financieros. Por ejemplo, en empresas de telecomunicaciones o empresas de servicios eléctricos, el no contar con un proceso periódico y adecuado para la resolución de transacciones en suspenso, puede incrementar el riesgo de fraude e incidir negativamente en los ingresos de la organización. Riesgos de procesamiento Los riesgos de procesamiento están presentes cuando las transacciones que han sido ingresadas u originadas por el sistema no son registradas, son registradas en forma incompleta, inexactas o registradas en el período contable incorrecto. Si el formato de los datos es incorrecto o no se ha verificado su consistencia con la estructura de los datos existentes, es posible que los registros contables sean actualizados en forma incorrecta o incompleta. Este tipo de riesgo puede estar relacionado con los riesgos descritos anteriormente. Si el ingreso de datos es incorrecto, el resultado del procesamiento va a ser igualmente incorrecto. Asimismo, si los datos erróneos no son rechazados oportunamente, el procesamiento no va a ser adecuado. Adicionalmente, el correcto procesamiento de una rutina automatizada, dependerá también de otros elementos, tales como: correcta aplicación de fórmulas, adecuado flujo de información en el sistema, consideración de casos base y de excepción en el procesamiento, entre otros. El riesgo de procesamiento merece especial atención, en cuanto a los controles a establecer, ya que la gama de controles es amplia y viene dada desde controles manuales hasta controles de verificación automatizados, como son: detectivos, preventivos y correctivos. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) Algunos ejemplos A continuación se presentan algunos ejemplos de riesgos de negocio que se presentan típicamente en las actividades del día a día de una organización. Estos ejemplos muestran los riesgos en algunos ciclos de negocio, tales como: ventas y cuentas por cobrar, compras y cuentas por pagar y nómina, en diversos tipos de industria. Sin embargo, la gran mayoría de las organizaciones posee una serie de actividades comunes que pueden ser resumidas, como se muestra en la Figura Nº 3, de la siguiente manera: planificación de las ventas, pedidos, despacho, facturación, cuentas por cobrar y gestión de cobranzas. Cada una de las actividades se relaciona a través del flujo de información, que bien pudiera ser administrado bajo procedimientos manuales o automatizados. En la Figura Nº 4 puede observarse este flujo de información. 1. Riesgos frecuentes en el ciclo de ingresos por ventas y cuentas por cobrar Las actividades existentes en el ciclo de ingresos por ventas y cuentas por cobrar pueden variar dependiendo del tipo de industria y de la filosofía de administración existente en la organización. Para visualizar la Figura No. 3 haga click en el icono. Figura Nº 3: Actividades del ciclo de ingresos por ventas y cuentas por cobrar Para visualizar la Figura No. 4 haga click en el icono. Figura Nº 4: Flujo de información en el ciclo de ingresos por ventas y cuentas por cobrar Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) En cada una de estas actividades, pudieran presentarse riesgos de aplicaciones y de operaciones que afecten la gestión administrativa y/o financiera de la organización. Un ejemplo de estos riesgos se presenta en la siguiente tabla: Para visualizar la tabla haga click en el icono. Adicionalmente, los datos maestros de clientes y de productos pudieran presentar algunas situaciones, tales como: clientes sin registro de información fiscal; con condiciones de pago no autorizadas, en cuanto a límite de crédito y días de crédito; sin dirección de ubicación o teléfono contacto; entre otros; así como productos con descripción incompleta, con precio no actualizado o con descuentos no autorizados. Todas estas situaciones planteadas pudieran ocasionar, entre otros, problemas como: registros duplicados, procesamiento de cálculos incorrectos, subestimación o sobrestimación de los ingresos, tanto para la compañía como para los clientes y relacionados. Por otra parte, el riesgo en la gestión de cobranzas requiere de mecanismos de control exhaustivos. Las organizaciones en las cuales los vendedores realizan la gestión de cobranza, se ve expuesta a un margen mayor de riesgo, en cuanto al registro oportuno de los cobros realizados o al fraude, así que los controles deben ser fortalecidos. Otro de los aspectos de importancia lo constituye el hecho de que la Compañía pudiera enfrentarse con situaciones legales que comprometen su reputación y originar amonestaciones. Ejemplo de estas situaciones, es el caso que se presenta cuando ocurre un mal cálculo de los impuestos vigentes, la generación de facturas sin la información fiscal requerida o el incumplimiento de otros deberes formales. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) 2. Riesgos frecuentes en el ciclo de compras y cuentas por pagar La gestión de compras y cuentas por pagar, típicamente realizada por una organización, incluye una serie de actividades que pueden observarse en la Figura Nº 5. Para ampliar: haga click sobre la imagen Ciclo de Compras y Cuentas por Pagar Gestión de Datos Maestros Planificación Compras Cuentas por Pagar Interfaces Gestión de Existencias Registro Contable Figura Nº 5: Actividades típicas del ciclo de compras y cuentas por pagar qRetorno La gestión de compras o procura puede ser muy variada de un tipo de industria a otra. Existen compañías que compran diferentes tipos de materiales o mercancías, de acuerdo con su utilización ya sea materia prima, insumos, repuestos o material de oficina, en donde una compañía de servicios pudiera reducir estos tipos de inventario y en el caso de una institución financiera, aunque no posee compras de materia prima, la adquisición de materiales de oficina o papelería puede ser bastante significativa. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) Para cada tipo de compras, existen riesgos específicos asociados y también diferentes maneras de controlarlos. Por ejemplo, un riesgo en la compra de materiales podría originarse cuando la cantidad de mercancía adquirida es desviada de su destino programado. Por otra parte, un riesgo significativo en la compra de repuestos se debe controlar en el momento de su recepción, en donde se devuelva la mercancía que no está acorde con las condiciones pactadas; mientras que al contratar un servicio se entiende que no posee la figura de la devolución y los proveedores deben ser medidos, constantemente, por la calidad del servicio. Algunos ejemplos de riesgo o falta de control presentes en el ciclo de compras y cuentas por pagar, se mencionan a continuación: •Falta de criterios adecuados y específicos para tipos, cantidades, especificaciones y condiciones de mercancía. •No impedir o detectar oportunamente registros incorrectos en cuanto a precio, cantidad, importe, proveedor o número de cuenta. •No ingresar parcial o totalmente los pedidos o documentos de recepción para su procesamiento. •Omitir la emisión de órdenes de compra. •Inadecuada segregación de funciones. •No realizar seguimiento a los pedidos pendientes por recibir. •Inadecuados niveles de aprobación de las compras. •No detectar y/o resolver oportunamente las diferencias entre pedidos, recepción y facturas. •No controlar la adquisición de mercancías según los estándares de calidad definidos. •Falta de revisión y/o detección de compras con precios excesivos o no autorizados. •Compras de mercancías o materiales no autorizadas, no requeridas o que no estén en el orden de prioridad de la compañía. •Efectuar compras a proveedores extranjeros, sin cumplir con las cuotas proyectadas de importación y obviando los requerimientos legales. •Compras a proveedores cuyos intereses sean contrarios a los de la compañía. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Riesgos en los procesos de negocio (continuación) •Realizar compras con acentuada antelación que afecten la liquidez de la compañía, costos adicionales de almacenaje, pérdidas y extemporaneidad de los productos. De manera similar que en el ciclo de ventas y cuentas por cobrar, otro riesgo frecuentemente presentado en el ciclo de compras y cuentas por pagar, se refiere a una inadecuada administración de los datos maestros, los cuales, por su falta de precisión y/o integridad, afectan los libros de compras, y por tanto originan incumplimiento de deberes formales. Por otra parte, las organizaciones deben hacer seguimiento de la calidad de sus proveedores, con criterios como: calidad de la mercancía o servicio, oportunidad de entrega, cumplimiento de cantidades, entre otros. En este sentido, el sistema de información debe tener la capacidad de manejar dicha información y permitir generar indicadores de gestión, los cuales sirven de base objetiva para supervisar la calidad de los servicios recibidos de los proveedores. La gestión de pagos es otro factor de riesgo importante que debe ser debidamente planificado y controlado, ya que pudieran existir pagos a proveedores ficticios o pagos por encima del monto estipulado. 3. Riesgos frecuentes en el ciclo de Nómina Asimismo, la planificación de las compras resulta generalmente de un análisis de las futuras ventas y, por lo tanto, del material necesario para cubrir con esas ventas. En este sentido, una planificación no adecuada pudiera originar subestimación o sobrestimación de las compras que pudiera afectar el proceso productivo. Los costos laborales generalmente representan un monto significativo en los costos de cualquier organización. Es además un costo periódico que significa una erogación de dinero en efectivo al personal. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Al igual que los ciclos evaluados anteriormente, la administración del ciclo de nómina y/o de los costos laborales, depende del tipo de industria. Una empresa de manufactura pudiera tener como política el asignar bonos de producción por cantidades producidas, mientras que para una empresa de servicios los pagos de nómina corresponden a las horas trabajadas por sus empleados, siendo los pagos adicionales las horas extras. Para ampliar: haga click sobre la imagen En este sentido, en la Figura Nº 6, se muestran las actividades que generalmente se llevan a cabo en el ciclo de nómina. Infraestructura Tecnológica Aplicación de Políticas Salariales Maestro de Personal Página anterior Página siguiente A continuación, se presentan algunos de los riesgos o faltas de control asociados a este ciclo: •No registrar correctamente los datos de control de presencia, hojas de tiempo, horas extras, entre otros. •Que no exista un adecuado seguimiento sobre aspectos como: hojas de tiempo, control de presencia y horas extras. •Que no exista una adecuada segregación de funciones. Registro Contable Figura Nº 6: Actividades del ciclo de nómina Imprimir La actividad de políticas salariales incluye todo lo relacionado con los cálculos de asignaciones, beneficios económicos otorgados al trabajador y deducciones. Ciclo de Nómina Definición de Políticas Salariales Cerrar qRetorno Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Riesgos en los procesos de negocio (continuación) •Que las asignaciones y deducciones no sean ingresadas correctamente y en el período al cual corresponde. •Que las asignaciones y deducciones no sean calculadas de forma exacta. •Que los impuestos sobre la nómina no se determinen y registren de acuerdo con las normas legales vigentes. •Por el ingreso de datos ficticios al sistema de nómina que alteren los montos a pagar a uno o varios trabajadores. •Por pagos de nómina no realizados por el importe, período o empleado correcto. •Que la contabilización de la nómina y de pagos manuales (cheques o sobres) no se ingresen correctamente o en el período adecuado. •Por la realización de pagos por caja y anticipos no controlados adecuadamente. Cerrar Imprimir Página anterior Página siguiente Controles en los procesos de negocio Adicional a los riesgos existentes, desde el punto de vista económico, debe tomarse en cuenta la susceptibilidad que tiene este ciclo con respecto al entorno regulatorio y controles sindicales que pudiera afectar negativamente a la organización, en caso de errores involuntarios o fallas intencionales. Todo proceso de negocio debe contemplar una serie de controles que mitiguen los riesgos existentes. En este sentido, los controles pueden ser automatizados o manuales, dependiendo del grado de automatización que exista en el proceso, no obstante, un control puede ser manual y, posteriormente, ser automatizado. En todo caso, el costo de un control no debería exceder los beneficios que otorgan los activos involucrados, la mitigación de riesgo y el valor del objetivo del control per se. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Controles en los procesos de negocio (continuación) El control es definido por la organización ISACA (Information Systems Audit and Control Association), como: las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán, detectarán o corregirán los acontecimientos no deseadosî. Por otra parte, un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante procedimientos de implementación de controles en una actividad particular. La efectividad de un control puede ser medida en términos de la probabilidad que detecte, prevenga o corrija una anomalía determinada. En otras palabras, que mitigue los riesgos para los cuales fue diseñado. En la Figura Nº 7 puede observarse la clasificación de los controles. Para ampliar: haga click sobre la imagen Correctivo Riesgo Detectivo Control Riesgo Control Correctivo Riesgo Figura Nº 7: Clasificación de los controles qRetorno Los controles preventivos, están diseñados para impedir o restringir la ocurrencia de un error, omisión o intrusión no autorizada. Por ejemplo: validaciones del sistema de información en el ingreso de datos (clave de usuario, montos, fechas, entre otros), definición de políticas y procedimientos para la restricción de los accesos a los usuarios o bloqueo de cuentas de usuarios por tener cierto tiempo sin conectarse a los sistemas. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Controles en los procesos de negocio (continuación) Los controles detectivos, como su nombre lo indica, detectan y reportan los errores, omisiones y uso o entradas no autorizadas en el momento que éstos se presenten. Por ejemplo, el establecer pistas de auditoría o logs que permitan identificar a los usuarios que han efectuado modificaciones a datos específicos, como también la emisión de mensajes de alerta cuando un cliente sobrepasa su límite de crédito. Los controles detectivos, normalmente, requieren de un análisis, por parte del personal de la Compañía, con el fin de tomar las acciones adecuadas, oportunamente. Los controles correctivos están diseñados para corregir los errores, omisiones y los usos e intrusiones no autorizados. Estos controles están asociados con los controles detectivos y Cerrar Imprimir Página anterior Página siguiente Evaluación de los controles complementan su acción. Como ejemplos de este tipo de controles, tenemos los planes de contingencia o la toma periódica de respaldos a la información generada por los sistemas. Los controles deben ser periódicamente evaluados, con el fin de determinar su nivel de eficacia, con respecto de los riesgos que están mitigando. La evaluación debe tomar en cuenta la evolución de las nuevas formas de riesgo que se presentan en la Compañía, como resultado de los cambios en las adaptaciones tecnológicas y en el ambiente de la organización, como también como consecuencia de nuevas políticas o procedimientos, regulaciones legales, entre otros. La evaluación de los controles debe arrojar como resultado: sí los controles que están mitigando los riesgos son efectivos, sí son suficientes, sí necesitan fortalecerse o reemplazarse por nuevos esquemas de control. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Evaluación de los controles (continuación) Existen diversas formas de evaluación de los controles, entre los cuales se pueden indicar los siguientes: •Evaluaciones rutinarias. •Auditorías sobre controles. •Indicadores de gestión. Las evaluaciones rutinarias son aquellas que se realizan sobre las actividades normales del día a día. No quiere decir esto que se conviertan en controles sobre controles, generalmente se puede ejecutar sobre los controles más críticos o los que están recientemente implantados y requieren de un período de prueba y adaptación. Puede también establecerse una rotación de pruebas a los controles que permita evaluar diversos controles de una forma rutinaria. Otra manera de evaluar los controles es mediante la aplicación de auditorías, tanto internas como externas. Generalmente, debe comenzar con una planificación, donde se identifiquen los riesgos para posteriormente desarrollar un programa de auditoría que comprenda objetivos y procedimientos. El proceso de auditoría requiere que se reúnan evidencias sobre los hallazgos detectados en la evaluación y que se reporten de una manera objetiva. El propósito básico de una auditoría es identificar los objetivos de control y los controles relacionados que se ocupan del objetivo. Parte importante de las auditorías sobre los controles, son las pruebas de cumplimiento y substantivas. Las pruebas de cumplimiento, determina si los controles están siendo aplicados en una forma que cumple con las políticas y procedimientos de la gerencia y pueden ser evaluados, mediante la selección de muestras de procesos o actividades o por observación exhaustiva. Por su parte, las pruebas substantivas fundamenta la integridad de un procesamiento real. Mediante estas pruebas, se toma la totalidad de la información de un período determinado o con una característica determinada y se verifica la correcta aplicación de los controles. A medida que la auditoría brinde satisfacción a través de pruebas de cumplimiento, se pudiera disminuir la cantidad de pruebas substantivas necesarias. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Evaluación de los controles (continuación) Con respecto a los indicadores de gestión, como forma complementaria de medir los controles, cada vez son más utilizados por las organizaciones, ya que permiten hacer un monitoreo constante y han permitido hacer más competitivas a las organizaciones. Las organizaciones deben realizar un estudio sobre los indicadores útiles según su tipo de industria y condiciones específicas, y posteriormente describir cuáles son los indicadores clave que van a ser medidos de forma regular. Existen tres tipos básicos de indicadores: •Key Performance Indicators (KPI), normalmente utilizado para monitorear la eficiencia operacional. •Key Control Indicators (KCI), utilizado para medir la efectividad de los controles. •Key Risk Indicators (KRI), que son básicamente una selección de KPIs y KCIs realizada por los administradores de riesgo, con el fin de monitorear los riesgos. Una organización pudiera decidir hacer la mejor combinación posible para la evaluación de sus controles, de acuerdo con los aspectos mencionados anteriormente. En todo caso, lo más importante es crear un hábito continuo de evaluación de controles que permita mitigar los riesgos existentes y más allá pensar en los futuros riesgos a los que se enfrentará la organización. Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Conclusión Los procesos de negocio en cualquier tipo de industria son comúnmente apoyados cada vez más por sistemas de información y plataformas tecnológicas, que a su vez cada día poseen mayores funcionalidades y complejidades. Esta situación genera nuevas formas de riesgo que podemos englobar en tres clasificaciones: Riesgo de procesos de negocio, riesgo de sistemas de información y riesgos de la función de tecnología de información. Estas tres clasificaciones están altamente interrelacionadas, dado que si ocurre algún evento en la función de tecnología de información, pudiera afectar directamente a los procesos de negocio. Lo mismo pudiera ocurrir si se produce algún evento en los sistemas de información. Esta situación lleva a las organizaciones a refinar su control interno, de modo de incluir controles manuales y automatizados dirigidos a cada una de las tres clasificaciones mencionadas. Estos controles pueden ser preventivos, detectivos o correctivos de acuerdo con su función natural. Si bien es cierto que estos controles pueden ser diseñados e implantados en un momento determinado, la dinámica de los negocios hoy en día exige la evaluación periódica de su efectividad y en caso de ser necesaria la restructuración de los mismos. Cerrar Imprimir Página anterior Página siguiente Boletín Digital // No. 5 - 2010 Boletín de Asesoría Gerencial Gestión de Riesgo y Control en los Procesos de Negocio Contenido Cerrar Imprimir Página anterior Página siguiente Si desea suscribirse haga click en la barra El Boletín Asesoría Gerencial es publicado por la Línea de Servicios de Asesoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers. El presente boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. *connectedthinking es una marca registrada de PricewaterhouseCoopers. Todas las otras marcas mencionadas son propiedad de sus respectivos dueños. PricewaterhouseCoopers niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp 1999-03CS141 Teléfono máster: (58-212) 700 6666 © 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3 Boletín Digital // No. 5 - 2010 Figura Nº 1: Niveles de riesgo en los procesos de negocio de una organización Regresar al boletín Aumentar Imprimir Control Inherente Riesgos Detección Boletín Digital // No. 5 - 2010 Figura Nº 2: Clasificaciones de Riesgos Regresar al boletín Aumentar Imprimir Proceso 1 Sistemas de Información Nómina Inventario Proceso 2 Venta Riesgos de Procesos UÊVÌÛ`>`iÃÊ>Õ>ià UÊVÌÛ`>`iÃÊ>ÕÌ>Ìâ>`>à Proceso n Cont Fact Riesgos Funcionales UÊVViÃÊ­«iÀviÃÊÞÊ>ÕÌÀâ>Viî UÊ}ÀiÃÊ`iÊ`>Ìà UÊ,iV >âÊ`iÊ`>Ìà UÊ*ÀViÃ>iÌ Módulo Seguridad DBMS Sistema Operativo LAN WAN Plataforma Tecnológica Internet Riesgos de la Función de TI UÊ"À}>â>VÊÞÊ>`ÃÌÀ>VÊ`iÊ tecnología de información UÊVViÃÊ>Ê>Ê«>Ì>vÀ>ÊÌiVógica UÊ ÌÀÊ`iÊV>LÃÊvÀ?ÌVà UÊ*>Ê`iÊÀiVÕ«iÀ>VÊiÊV>ÃÊ`iÊ contingencia Boletín Digital // No. 5 - 2010 Figura Nº 3: Actividades del ciclo de ingresos por ventas y cuentas por cobrar Regresar al boletín Aumentar Imprimir Ciclo de Ingresos Planificación Pedidos Despacho Facturación Cuentas por Cobrar Gestión de Cobranzas Registro Contable Infraestructura Tecnológica Boletín Digital // No. 5 - 2010 Figura Nº 4: Flujo de información en el ciclo de ingresos por ventas y cuentas por cobrar Regresar al boletín Aumentar Imprimir BD Pedidos de Productos Ingresos de Ordenes de Pedidos UÊ>iÃÌÀÊ`iÊ iÌià UÊ>iÃÌÀÊ`iÊ«À`ÕVÌà UÊ>iÃÌÀÊ`iÊiÝÃÌiV>à UÊ,ÕÌ>ÃÊ`iÊ`ÃÌÀLÕVón UÊÃÌ>Ê`iÊV>À}> UÊÛiÌÊ`iÊÛiÌ>À BD Tramitación de pedido y ruteo Transacción de pedido BD Facturación BD Facturación Factura firmada ÕiÌ>ÃÊ«ÀÊVLÀ>À µÕ`>Vón ÕiÌ>ÃÊ«ÀÊ LÀ>À Boletín Digital // No. 5 - 2010 Tabla Ejemplos de riesgos Regresar al boletín Aumentar Imprimir Riesgos Posible área afectada Acceso de personas no autorizadas Aprobación, modificación, inclusión o eliminación de: • Información de las órdenes de pedido recibidas • Elaboración de notas de entrega sin orden de pedido • Modificación de las unidades de la orden de pedido o notas de entrega • Despacho de mercancia sin pedido asociado • Ingreso de unidades superiores a la orden de pedido • Modificación de los precios o tarifas de aduana o notas de crédito • Modificación de los descuentos correspondientes a los clientes • Modificación de las unidades por facturar Aprobación de ajustes en las facturas o notas de crédito Los datos ingresados pueden ser imprecisos, incompletos o ser ingresados más de una vez Los datos como precios, cantidades, condiciones de pagos, límites de crédito y tasas de impuestos en documentos como: • Ordenes de pedido • Movimientos de inventario • Facturas o notas de crédito Los datos rechazados pueden no ser identificados, analizados o corregidos oportunamente • Pagos de clientes • Ordenes de pedido • Movimientos de inventario • Facturas o notas de crédito • Pagos de clientes • Partidas en suspenso Los datos no son procesados en forma completa y precisa en el período contable adecuado • Saltos de correlativos • Registro inadecuado de las cuentas por cobrar o de las cobranzas en los estados de cuenta de los clientes • Información incompleta al cierre de los estados financieros Transferencias desde y hacia otros sistemas