gestión de riesgo y control en los procesos de negocio | pwc venezuela
TRANSCRIPT
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
1/25
Espieira, Sheldon y Asociados
No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
2/25
Boletn Digital // No. 5 - 2010
ContenidoHaga click en los enlaces para navegar
a travs del documento
4Introduccin
4Riesgos en los procesos de negocio
4Riesgos de acceso4Riesgos de ingreso
4Riesgos de rechazo4Riesgos de procesamiento
4Algunos ejemplos
41. Riesgos recuentes en el ciclo de ingresos por
ventas y cuentas por cobrar
42. Riesgos recuentes en el ciclo de compras y
cuentas por pagar
43. Riesgos recuentes en el ciclo de Nmina
Haga click en los enlaces para llegar directamente a cada seccin
PginasiguienteCerrar Imprimir
PginaanteriorContenido
4Controles en los procesos de negocio
4Evaluacin de los controles
4Conclusin
4Crditos / Suscribirse
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
3/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Introduccin
Podemos iniciar este boletn mostrando el trminoriesgo denido por la Organizacin Internacional
de Estndares ISO (por sus siglas en ingls):
El potencial de que una amenaza determinadaexplote las vulnerabilidades de un activo o
grupo de activos y que ocasione prdidas odaos. Usualmente, se mide mediante la
combinacin del impacto y de la probabilidadde ocurrencia
Por otra parte, de acuerdo con la mayora de
estudiosos y proesionales, el riesgo tambin esdenido como:
La posibilidad de que algo ocurra y que
impacte determinados objetivos, el cual se mide
en trminos de consecuencias y esperanzamatemtica.
Los riesgos son uturos eventos inciertos, loscuales pueden infuir en el cumplimiento de los
objetivos de las organizaciones, incluyendo sus
estrategias, nanzas y operaciones.
De cualquier manera, en las organizaciones, los
riesgos estn asociados directamente con susactivos y a las amenazas a las que estn
expuestos. En la actualidad, la variedad de estasamenazas se han incrementado como producto del
avance de la tecnologa, por lo cual la atencin
sobre los riesgos tecnolgicos ha venido tomando
gran relevancia.
Por otra parte, los riesgos en los procesos de
negocios son aquellos que pudieran impactar a una
organizacin, los cuales pueden ser de naturaleza
nanciera, reguladora u operacional. El origen deestos riesgos surge como resultado de la
interaccin del negocio con su ambiente interno(recursos humanos, procesos y tecnologa) y su
ambiente externo.
Existen dos niveles de riesgo a considerar en losprocesos de una organizacin, de acuerdo con el
grado de automatizacin de sus procesos: riesgosinherentes y de control. Un tercer nivel de riesgo,
deteccin, como puede observarse en la Figura N1, debe ser considerado y se reere a que los
errores materiales producidos, como resultado de los
dos actores de riesgo mencionados anteriormente,
no sean detectados oportunamente y por lo tanto nopuedan tomarse las acciones necesarias.
Para visualizar la Figura No. 1
haga click en el icono.Figura N 1: Niveles de riesgo en los procesos de negocio de una
organizacin
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
4/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Toda organizacin en la cual sus procesos de
negocios descansen sobre sistemascomputarizados, poseen bsicamente tres
clasicaciones de riesgo inherentes, tal como se
observa en la Figura N 2, a saber:
Riesgosdeprocesosdenegocio.
Riesgosdesistemasdeinformacin.
RiesgosdelafuncindeTecnologade
Inormacin.
Dado que los procesos de negocio, cada vez
ms, dependen en gran medida de la tecnologade la inormacin para operar ecientemente, los
riesgos asociados a esta tecnologa han ido
incrementndose. En este sentido, nuevas ormas
de riesgo aparecen de acuerdo con el tipo de
industria y el tipo de proceso existente en unaorganizacin. Estos riesgos incluyen riesgos de
aplicaciones y riesgos de operaciones. En cuanto
a los riesgos de aplicaciones, stos pueden serclasicados bsicamente en cuatro tipos: acceso,
ingreso, rechazo de inormacin y procesamiento.
Riesgos de accesoLos riesgos de acceso se originan cuando
personas, sin la debida autorizacin, pueden
visualizar o ejecutar unciones de transacciones
en los programas de aplicacin o registros deinormacin, permitindoles leer, modicar,
agregar o eliminar inormacin.
Los riesgos de acceso pueden originarse,
principalmente, desde tres reas:
Accesoatransaccionesoprivilegiossensitivos:
en la cual un usuario puede tener acceso a
transacciones que no le corresponden, segn
sus unciones. Por ejemplo, un usuario delDepartamento de Ventas con acceso a
visualizar, incluir o modicar inormacin
administrada por el Departamento de Nmina,tales como: sueldos, horas extras, benecios
laborales, entre otros.
Introduccin (continuacin)
Para visualizar la Figura No. 2haga click en el icono.
Figura N 2: Clasicaciones de Riesgos
Riesgos en los procesos de negocio
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
5/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Segregacindefunciones:enlacualunusuario
pudiera tener acceso a transacciones, que en
combinacin con las que le corresponden,pudiera desencadenar acciones no autorizadas
o raudulentas. Por ejemplo, un usuario queposea acceso de orma simultnea, para
realizar: pedidos, despachos, acturacin,registro y conciliacin de las cuentas por cobrar
de los clientes, pudiera realizar pedidos cticios
o registrar cuentas por cobrar por montos que
no corresponden con los despachos realizadosa los clientes.
Administracindeusuariosyclavesdeacceso:
en la cual un usuario pudiera tener acceso a
sistemas o recursos del ambiente que no lecorresponden, incrementando el riesgo de
prdida de condencialidad e integridad de la
inormacin que all reside. Por ejemplo, la
utilizacin de claves de usuario de cildeduccin, claves de usuario sin echa de
vencimiento, usuarios genricos o en desuso,acilitan el acceso de intrusos a las aplicaciones,
sistemas e inormacin de la organizacin.
Los riesgos de acceso, generalmente, se
incrementan cuando se realizan migraciones a
nuevos sistemas de inormacin. En este caso,debe existir un plan conjunto entre la Funcin de
Seguridad (CISO: Chie Inormation Security
Ocer) de la Compaa y las reas uncionales,
para el diseo de roles y privilegios sobre las
transacciones a ejecutar por cada usuario.
Riesgos de ingreso
Este tipo de riesgos de ingreso se presentan
cuando la inormacin ingresada para elprocesamiento de una uncionalidad es imprecisa,
incompleta o duplicada.
En este sentido, un dato mal ingresado en losregistros maestros (clientes, proveedores,
productos, etc.), puede ocasionar errores en
todas las etapas del procesamiento. Por ejemplo,
una industria de servicios, en donde se ingreseerrneamente un precio menor al real, incide
negativamente en sus ingresos.
Riesgos en los procesos de negocio
(continuacin)
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
6/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
La ausencia de interaces automticas o que no
uncionen adecuadamente, entre sistemas
independientes, origina un mayor nmero deerrores, incrementando los riesgos de ingreso de
inormacin. Ahora bien, este riesgo se disminuyeen el tiempo con la introduccin de tecnologa.
Por ejemplo, actualmente, es poco comn
encontrar organizaciones cuyo proceso de ingreso
de inormacin de acturacin sea manual. El uso
cada vez ms recuente de los sistemasintegrados (ERP), han permitido disminuir el
ingreso manual de inormacin, as como la
existencia de sistemas independientes con sus
correspondientes interaces.
Riesgos de rechazo
Estos riesgos se presentan cuando no se
identican oportunamente los datos errneos queson ingresados en el sistema computarizado, o al
no tener denidos adecuadamente los criteriospara identicar cundo una transaccin es
incorrecta o inaceptable en el ambiente deprocesamiento.
Por ejemplo, un control de validacin puede
indicar que un nmero de cuenta es incorrecto oque la cantidad de horas trabajadas de un
empleado no es razonable. En estos casos, las
transacciones pueden ser:
Aceptadasporelsistemaysealadasenuninorme de excepcin.
Destinadasaserubicadasenunacuentaen
suspenso del sistema, en lugar de ser
procesadas.Completamenterechazadas.
En el primer y segundo caso, deben existir
procedimientos posteriores que permitan analizare identicar la alla que produjo el rechazo y
corregir lo que sea necesario, inmediatamente. En
el caso que las transacciones sean
completamente rechazadas, generalmente noexiste un anlisis posterior. Sin embargo, se debe
asegurar peridicamente, a travs de pruebas,
que las rutinas automatizadas que originan el
rechazo uncionan de manera adecuada.
Riesgos en los procesos de negocio
(continuacin)
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
7/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Existe el riesgo de que algunas transacciones no
sean adecuadamente resueltas y procesadas. En
este caso, se pudieran dejar de tomar en cuentatransacciones importantes que pudieran aectar
los estados nancieros. Por ejemplo, en empresasde telecomunicaciones o empresas de servicios
elctricos, el no contar con un proceso peridicoy adecuado para la resolucin de transacciones
en suspenso, puede incrementar el riesgo de
raude e incidir negativamente en los ingresos de
la organizacin.
Riesgos de procesamiento
Los riesgos de procesamiento estn presentes
cuando las transacciones que han sido
ingresadas u originadas por el sistema no son
registradas, son registradas en orma incompleta,
inexactas o registradas en el perodo contable
incorrecto.
Si el ormato de los datos es incorrecto o no se havericado su consistencia con la estructura de los
datos existentes, es posible que los registroscontables sean actualizados en orma incorrecta o
incompleta.
Este tipo de riesgo puede estar relacionado conlos riesgos descritos anteriormente. Si el ingreso
de datos es incorrecto, el resultado del
procesamiento va a ser igualmente incorrecto.
Asimismo, si los datos errneos no son
rechazados oportunamente, el procesamiento nova a ser adecuado.
Riesgos en los procesos de negocio
(continuacin)
Adicionalmente, el correcto procesamiento de una
rutina automatizada, depender tambin de otros
elementos, tales como: correcta aplicacin dermulas, adecuado fujo de inormacin en el
sistema, consideracin de casos base y deexcepcin en el procesamiento, entre otros.
El riesgo de procesamiento merece especial
atencin, en cuanto a los controles a establecer,
ya que la gama de controles es amplia y viene
dada desde controles manuales hasta controlesde vericacin automatizados, como son:
detectivos, preventivos y correctivos.
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
8/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Algunos ejemplos
A continuacin se presentan algunos ejemplos de
riesgos de negocio que se presentan tpicamenteen las actividades del da a da de una
organizacin. Estos ejemplos muestran losriesgos en algunos ciclos de negocio, tales como:
ventas y cuentas por cobrar, compras y cuentaspor pagar y nmina, en diversos tipos de
industria.
1. Riesgos recuentes en el ciclo de ingresos porventas y cuentas por cobrar
Las actividades existentes en el ciclo de ingresos
por ventas y cuentas por cobrar pueden variar
dependiendo del tipo de industria y de la losoade administracin existente en la organizacin.
Sin embargo, la gran mayora de las
organizaciones posee una serie de actividades
comunes que pueden ser resumidas, como semuestra en la Figura N 3, de la siguiente manera:
planicacin de las ventas, pedidos, despacho,acturacin, cuentas por cobrar y gestin de
cobranzas.
Cada una de las actividades se relaciona a travs
del fujo de inormacin, que bien pudiera ser
administrado bajo procedimientos manuales oautomatizados. En la Figura N 4 puede
observarse este fujo de inormacin.
Riesgos en los procesos de negocio
(continuacin)
Figura N 3: Actividades del ciclo de ingresos por ventas y
cuentas por cobrar
Figura N 4: Flujo de inormacin en el ciclo de ingresos por
ventas y cuentas por cobrar
Para visualizar la Figura No. 3haga click en el icono.
Para visualizar la Figura No. 4haga click en el icono.
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
9/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
En cada una de estas actividades, pudieran
presentarse riesgos de aplicaciones y de
operaciones que aecten la gestin administrativay/o nanciera de la organizacin. Un ejemplo de
estos riesgos se presenta en la siguiente tabla:
Riesgos en los procesos de negocio
(continuacin)
Para visualizar la tabla hagaclick en el icono.
Adicionalmente, los datos maestros de clientes y
de productos pudieran presentar algunassituaciones, tales como: clientes sin registro de
inormacin scal; con condiciones de pago noautorizadas, en cuanto a lmite de crdito y das
de crdito; sin direccin de ubicacin o telono
contacto; entre otros; as como productos con
descripcin incompleta, con precio no actualizadoo con descuentos no autorizados.
Todas estas situaciones planteadas pudieran
ocasionar, entre otros, problemas como: registrosduplicados, procesamiento de clculos
incorrectos, subestimacin o sobrestimacin de
los ingresos, tanto para la compaa como para
los clientes y relacionados.
Por otra parte, el riesgo en la gestin de
cobranzas requiere de mecanismos de control
exhaustivos. Las organizaciones en las cuales los
vendedores realizan la gestin de cobranza, se veexpuesta a un margen mayor de riesgo, en cuanto
al registro oportuno de los cobros realizados o al
raude, as que los controles deben ser
ortalecidos.
Otro de los aspectos de importancia lo constituyeel hecho de que la Compaa pudiera enrentarse
con situaciones legales que comprometen sureputacin y originar amonestaciones. Ejemplo de
estas situaciones, es el caso que se presenta
cuando ocurre un mal clculo de los impuestos
vigentes, la generacin de acturas sin lainormacin scal requerida o el incumplimiento
de otros deberes ormales.
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
10/25
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
11/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Para cada tipo de compras, existen riesgos
especcos asociados y tambin dierentes
maneras de controlarlos. Por ejemplo, un riesgo enla compra de materiales podra originarse cuando
la cantidad de mercanca adquirida es desviada desu destino programado. Por otra parte, un riesgo
signicativo en la compra de repuestos se debecontrolar en el momento de su recepcin, en
donde se devuelva la mercanca que no est
acorde con las condiciones pactadas; mientras
que al contratar un servicio se entiende que noposee la gura de la devolucin y los proveedores
deben ser medidos, constantemente, por la calidad
del servicio.
Algunos ejemplos de riesgo o alta de control
presentes en el ciclo de compras y cuentas por
pagar, se mencionan a continuacin:
Faltadecriteriosadecuadosyespeccosparatipos, cantidades, especicaciones y
condiciones de mercanca.Noimpedirodetectaroportunamenteregistros
incorrectos en cuanto a precio, cantidad,
importe, proveedor o nmero de cuenta.
Noingresarparcialototalmentelospedidosodocumentos de recepcin para su
procesamiento.
Omitirlaemisinderdenesdecompra.
Inadecuadasegregacindefunciones.
Norealizarseguimientoalospedidospendientes por recibir.
Inadecuadosnivelesdeaprobacindelas
compras.
Nodetectary/oresolveroportunamentelasdierencias entre pedidos, recepcin y acturas.
Nocontrolarlaadquisicindemercancassegn los estndares de calidad denidos.
Faltaderevisiny/odeteccindecomprasconprecios excesivos o no autorizados.
Comprasdemercancasomaterialesno
autorizadas, no requeridas o que no estn en el
orden de prioridad de la compaa.Efectuarcomprasaproveedoresextranjeros,sin
cumplir con las cuotas proyectadas de
importacin y obviando los requerimientos
legales.
Comprasaproveedorescuyosinteresesseancontrarios a los de la compaa.
Riesgos en los procesos de negocio
(continuacin)
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
12/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Realizarcomprasconacentuadaantelacinque
aecten la liquidez de la compaa, costos
adicionales de almacenaje, prdidas yextemporaneidad de los productos.
De manera similar que en el ciclo de ventas y
cuentas por cobrar, otro riesgo recuentementepresentado en el ciclo de compras y cuentas por
pagar, se reere a una inadecuada administracin
de los datos maestros, los cuales, por su alta de
precisin y/o integridad, aectan los libros decompras, y por tanto originan incumplimiento de
deberes ormales.
Por otra parte, las organizaciones deben hacer
seguimiento de la calidad de sus proveedores,con criterios como: calidad de la mercanca o
servicio, oportunidad de entrega, cumplimiento de
cantidades, entre otros. En este sentido, el
sistema de inormacin debe tener la capacidadde manejar dicha inormacin y permitir generar
indicadores de gestin, los cuales sirven de baseobjetiva para supervisar la calidad de los servicios
recibidos de los proveedores.
Asimismo, la planicacin de las compras resulta
generalmente de un anlisis de las uturas ventas
y, por lo tanto, del material necesario para cubrircon esas ventas. En este sentido, una
planicacin no adecuada pudiera originar
subestimacin o sobrestimacin de las compras
que pudiera aectar el proceso productivo.
La gestin de pagos es otro actor de riesgo
importante que debe ser debidamente planicado
y controlado, ya que pudieran existir pagos aproveedores cticios o pagos por encima del
monto estipulado.
3. Riesgos recuentes en el ciclo de Nmina
Los costos laborales generalmente representan
un monto signicativo en los costos de cualquierorganizacin. Es adems un costo peridico que
signica una erogacin de dinero en eectivo al
personal.
Riesgos en los procesos de negocio
(continuacin)
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
13/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Al igual que los ciclos evaluados anteriormente, la
administracin del ciclo de nmina y/o de los
costos laborales, depende del tipo de industria.Una empresa de manuactura pudiera tener como
poltica el asignar bonos de produccin porcantidades producidas, mientras que para una
empresa de servicios los pagos de nminacorresponden a las horas trabajadas por sus
empleados, siendo los pagos adicionales las
horas extras.
En este sentido, en la Figura N 6, se muestran las
actividades que generalmente se llevan a cabo en
el ciclo de nmina.
La actividad de polticas salariales incluye todo lo
relacionado con los clculos de asignaciones,
benecios econmicos otorgados al trabajador ydeducciones.
A continuacin, se presentan algunos de los
riesgos o altas de control asociados a este ciclo:
Noregistrarcorrectamentelosdatosdecontrol
de presencia, hojas de tiempo, horas extras,
entre otros.Quenoexistaunadecuadoseguimientosobre
aspectos como: hojas de tiempo, control de
presencia y horas extras.
Quenoexistaunaadecuadasegregacinde
unciones.
Para ampliar: haga click sobre la imagen
qRetorno
Figura N 6: Actividades del ciclo de
nmina
Ciclo de Nmina
Definicin
de Polticas
Salariales
Registro Contable
Infraestructura Tecnolgica
Aplicacin
de Polticas
Salariales
Maestro
de Personal
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
14/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Riesgos en los procesos de negocio
(continuacin)
Quelasasignacionesydeduccionesnosean
ingresadas correctamente y en el perodo al cual
corresponde.Quelasasignacionesydeduccionesnosean
calculadas de orma exacta.Quelosimpuestossobrelanminanose
determinen y registren de acuerdo con lasnormas legales vigentes.
Porelingresodedatoscticiosalsistemade
nmina que alteren los montos a pagar a uno o
varios trabajadores.Porpagosdenminanorealizadosporel
importe, perodo o empleado correcto.
Quelacontabilizacindelanminaydepagos
manuales (cheques o sobres) no se ingresen
correctamente o en el perodo adecuado.Porlarealizacindepagosporcajayanticipos
no controlados adecuadamente.
Adicional a los riesgos existentes, desde el punto
de vista econmico, debe tomarse en cuenta la
susceptibilidad que tiene este ciclo con respectoal entorno regulatorio y controles sindicales que
pudiera aectar negativamente a la organizacin,en caso de errores involuntarios o allas
intencionales.
Todo proceso de negocio debe contemplar una
serie de controles que mitiguen los riesgos
existentes. En este sentido, los controles puedenser automatizados o manuales, dependiendo del
grado de automatizacin que exista en el proceso,no obstante, un control puede ser manual y,
posteriormente, ser automatizado. En todo caso,el costo de un control no debera exceder los
benecios que otorgan los activos involucrados,
la mitigacin de riesgo y el valor del objetivo del
controlper se.
Controles en los procesos de negocio
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
15/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Controles en los procesos de negocio
(continuacin)
El control es denido por la organizacin ISACA
(Inormation Systems Audit and Control
Association), como: las polticas, procedimientos,prcticas y estructuras organizativas diseadas
para brindar garanta adicional de que se lograrnlos objetivos del negocio y se impedirn,
detectarn o corregirn los acontecimientos nodeseados.
Por otra parte, un objetivo de control es una
declaracin del resultado o del propsito que sedesea alcanzar mediante procedimientos de
implementacin de controles en una actividad
particular.
La eectividad de un control puede ser medida entrminos de la probabilidad que detecte, prevenga
o corrija una anomala determinada. En otraspalabras, que mitigue los riesgos para los cuales
ue diseado. En la Figura N 7 puede observarse
la clasicacin de los controles.
Los controles preventivos, estn diseados paraimpedir o restringir la ocurrencia de un error,
omisin o intrusin no autorizada. Por ejemplo:
validaciones del sistema de inormacin en el
ingreso de datos (clave de usuario, montos,echas, entre otros), denicin de polticas y
procedimientos para la restriccin de los accesos
a los usuarios o bloqueo de cuentas de usuarios
por tener cierto tiempo sin conectarse a lossistemas.
Para ampliar: haga click sobre la imagen
qRetorno
Figura N 7: Clasicacin
de los controles
Riesgo Control
Riesgo
Correctivo
Correctivo Detectivo
Riesgo Control
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
16/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Los controles detectivos, como su nombre lo
indica, detectan y reportan los errores, omisiones
y uso o entradas no autorizadas en el momentoque stos se presenten. Por ejemplo, el establecer
pistas de auditora o logs que permitan identicara los usuarios que han eectuado modicaciones
a datos especcos, como tambin la emisin demensajes de alerta cuando un cliente sobrepasa
su lmite de crdito. Los controles detectivos,
normalmente, requieren de un anlisis, por parte
del personal de la Compaa, con el n de tomarlas acciones adecuadas, oportunamente.
Los controles correctivos estn diseados para
corregir los errores, omisiones y los usos e
intrusiones no autorizados. Estos controles estnasociados con los controles detectivos y
complementan su accin. Como ejemplos de este
tipo de controles, tenemos los planes de
contingencia o la toma peridica de respaldos a lainormacin generada por los sistemas.
Los controles deben ser peridicamente
evaluados, con el n de determinar su nivel de
ecacia, con respecto de los riesgos que estnmitigando. La evaluacin debe tomar en cuenta la
evolucin de las nuevas ormas de riesgo que sepresentan en la Compaa, como resultado de los
cambios en las adaptaciones tecnolgicas y en elambiente de la organizacin, como tambin como
consecuencia de nuevas polticas o
procedimientos, regulaciones legales, entre otros.
La evaluacin de los controles debe arrojar como
resultado: s los controles que estn mitigando los
riesgos son eectivos, s son sucientes, s
necesitan ortalecerse o reemplazarse por nuevos
esquemas de control.
Controles en los procesos de negocio
(continuacin)
Evaluacin de los controles
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
17/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Existen diversas ormas de evaluacin de los
controles, entre los cuales se pueden indicar los
siguientes:
Evaluacionesrutinarias.Auditorassobrecontroles.
Indicadoresdegestin.
Las evaluaciones rutinarias son aquellas que se
realizan sobre las actividades normales del da a
da. No quiere decir esto que se conviertan encontroles sobre controles, generalmente se puede
ejecutar sobre los controles ms crticos o los que
estn recientemente implantados y requieren de
un perodo de prueba y adaptacin. Puede
tambin establecerse una rotacin de pruebas alos controles que permita evaluar diversos
controles de una orma rutinaria.
Otra manera de evaluar los controles es mediante
la aplicacin de auditoras, tanto internas como
externas. Generalmente, debe comenzar con unaplanicacin, donde se identiquen los riesgos
para posteriormente desarrollar un programa deauditora que comprenda objetivos y
procedimientos. El proceso de auditora requiereque se renan evidencias sobre los hallazgos
detectados en la evaluacin y que se reporten de
una manera objetiva.
El propsito bsico de una auditora es identicar
los objetivos de control y los controles
relacionados que se ocupan del objetivo. Parte
importante de las auditoras sobre los controles,
son las pruebas de cumplimiento y substantivas.
Las pruebas de cumplimiento, determina si los
controles estn siendo aplicados en una orma
que cumple con las polticas y procedimientos dela gerencia y pueden ser evaluados, mediante la
seleccin de muestras de procesos o actividadeso por observacin exhaustiva. Por su parte, las
pruebas substantivas undamenta la integridad deun procesamiento real. Mediante estas pruebas,
se toma la totalidad de la inormacin de un
perodo determinado o con una caracterstica
determinada y se verica la correcta aplicacin delos controles.
A medida que la auditora brinde satisaccin a
travs de pruebas de cumplimiento, se pudiera
disminuir la cantidad de pruebas substantivasnecesarias.
Evaluacin de los controles
(continuacin)
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
18/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Con respecto a los indicadores de gestin, como
orma complementaria de medir los controles, cada
vez son ms utilizados por las organizaciones, yaque permiten hacer un monitoreo constante y han
permitido hacer ms competitivas a lasorganizaciones.
Las organizaciones deben realizar un estudio sobre
los indicadores tiles segn su tipo de industria y
condiciones especcas, y posteriormente describir
cules son los indicadores clave que van a sermedidos de orma regular.
Existen tres tipos bsicos de indicadores:
KeyPerformanceIndicators(KPI),normalmenteutilizado para monitorear la eciencia
operacional.KeyControlIndicators(KCI),utilizadopara
medir la eectividad de los controles.KeyRiskIndicators(KRI),quesonbsicamente
unaseleccindeKPIsyKCIsrealizadaporlos
administradores de riesgo, con el n de
monitorear los riesgos.
Evaluacin de los controles
(continuacin)
Una organizacin pudiera decidir hacer la mejor
combinacin posible para la evaluacin de sus
controles, de acuerdo con los aspectosmencionados anteriormente. En todo caso, lo ms
importante es crear un hbito continuo deevaluacin de controles que permita mitigar los
riesgos existentes y ms all pensar en los uturosriesgos a los que se enrentar la organizacin.
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
19/25
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Conclusin
Los procesos de negocio en cualquier tipo deindustria son comnmente apoyados cada vez
ms por sistemas de inormacin y plataormas
tecnolgicas, que a su vez cada da poseen
mayores uncionalidades y complejidades. Esta
situacin genera nuevas ormas de riesgo quepodemos englobar en tres clasicaciones: Riesgo
de procesos de negocio, riesgo de sistemas de
inormacin y riesgos de la uncin de tecnologade inormacin.
Estas tres clasicaciones estn altamenteinterrelacionadas, dado que si ocurre algn
evento en la uncin de tecnologa de inormacin,
pudiera aectar directamente a los procesos de
negocio. Lo mismo pudiera ocurrir si se produce
algn evento en los sistemas de inormacin. Estasituacin lleva a las organizaciones a renar su
control interno, de modo de incluir controles
manuales y automatizados dirigidos a cada unade las tres clasicaciones mencionadas.
Estos controles pueden ser preventivos,
detectivos o correctivos de acuerdo con suuncin natural. Si bien es cierto que estos
controles pueden ser diseados e implantados en
un momento determinado, la dinmica de los
negocios hoy en da exige la evaluacin peridicade su eectividad y en caso de ser necesaria la
restructuracin de los mismos.
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
20/25
PginasiguienteCerrar Imprimir
PginaanteriorContenido
Boletn Digital // No. 5 - 2010
Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio
El Boletn Asesora Gerencial es publicado por la
Lnea de Servicios de Asesora Gerencial (Advisory)
de Espieira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers.
El presente boletn es de carcter inormativo y no
expresa opinin de la Firma. Si bien se han tomado
todas las precauciones del caso en la preparacin
de este material, Espieira, Sheldon y Asociados no
asume ninguna responsabilidad por errores u
omisiones; tampoco asume ninguna responsabilidad
por daos y perjuicios resultantes del uso de la
inormacin contenida en el presente documento.
*connectedthinking es una marca registrada de
PricewaterhouseCoopers. Todas las otras marcas
mencionadas son propiedad de sus respectivos
dueos. PricewaterhouseCoopers niega cualquier
derecho sobre estas marcas
Editado por Espieira, Sheldon y Asociados
Depsito Legal pp 1999-03CS141
Telono mster: (58-212) 700 6666
Si desea suscribirse haga click en la barra
2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida
que el contexto lo exija PricewaterhouseCoopers puede reerirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y
Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio proesional ni
tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni
podr ejercer control sobre el juicio proesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL.R.I.F.: J-00029977-3
mailto:[email protected]:[email protected] -
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
21/25
Boletn Digital // No. 5 - 2010
Figura N 1:
Niveles de riesgo en los procesos de negocio de una organizacin
Aumentar ImprimirRegresaral boletn
Riesgos
ControlInherente
Deteccin
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
22/25
Boletn Digital // No. 5 - 2010
Figura N 2:
Clasifcaciones de Riesgos
Aumentar ImprimirRegresaral boletn
WAN
LAN
Sistema Operativo
DBMS
Mdulo Seguridad
Internet
Nmina Inventario
Proceso
1
Proceso
2
Proceso
n
Venta Cont Fact
Riesgos de Procesos
Sistemas
de Informacin
Plataforma
Tecnolgica
Riesgos Funcionales
Riesgos de la Funcin de TI
tecnologa de informacin
gica
contingencia
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
23/25
Boletn Digital // No. 5 - 2010
Figura N 3:
Actividades del ciclo de ingresos por ventas y cuentas por cobrar
Aumentar ImprimirRegresaral boletn
Ciclo de Ingresos
Planificacin Pedidos Despacho
Gestin deCobranzas
Cuentas porCobrar
Facturacin
Registro Contable
Infraestructura Tecnolgica
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
24/25
Boletn Digital // No. 5 - 2010
Figura N 4:
Flujo de inormacin en el ciclo de ingresos por ventas y cuentas por cobrar
Aumentar ImprimirRegresaral boletn
Pedidos de Productos Ingresos de Ordenes
de Pedidos
Tramitacin de pedidoy ruteo
Facturacin
n
BD
BD Transaccin de pedido BD
n
Factura firmada
Facturacin BD
-
8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela
25/25
Boletn Digital // No. 5 - 2010
Tabla
Ejemplos de riesgos
Aumentar ImprimirRegresaral boletn
Aprobacin, modifcacin, inclusin o eliminacin de:
Informacin de las rdenes de pedido recibidas Elaboracin de notas de entrega sin orden de pedido
Modicacin de las unidades de la orden de pedido o notas de entrega
Despacho de mercancia sin pedido asociado Ingreso de unidades superiores a la orden de pedido Modicacin de los precios o tarifas de aduana o notas de crdito
Modicacin de los descuentos correspondientes a los clientes Modicacin de las unidades por facturar
Aprobacin de ajustes en las facturas o notas de crdito
Los datos como precios, cantidades, condiciones de pagos, lmites de crditoy tasas de impuestos en documentos como:
Ordenes de pedido Movimientos de inventario
Facturas o notas de crdito
Pagos de clientes Ordenes de pedido
Movimientos de inventario Facturas o notas de crdito
Pagos de clientes Partidas en suspenso
Saltos de correlativos
Registro inadecuado de las cuentas por cobrar o de las cobranzas en losestados de cuenta de los clientes
Informacin incompleta al cierre de los estados nancierosTransferencias desde y hacia otros sistemas
Acceso de personas no
autorizadas
Los datos ingresadospueden ser imprecisos,
incompletos o seringresados ms de una
vez
Los datos rechazadospueden no ser
identifcados, analizados ocorregidos oportunamente
Los datos no son
procesados en ormacompleta y precisa en el
perodo contableadecuado
Riesgos Posible rea afectada