Espiñeira, Sheldon y Asociados

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
No. 5 - 2010 Contenido Cerrar Imprimir anterior siguiente
Boletín Digital // No. 5 - 2010

Contenido
Haga click en los enlaces para navegar
a través del documento

Página Página
Contenido Cerrar Imprimir anterior siguiente

Haga click en los enlaces para llegar directamente a cada sección

4Introducción 4Controles en los procesos de negocio

4Riesgos en los procesos de negocio 4Evaluación de los controles
4Riesgos de acceso 4Riesgos de ingreso 4Conclusión
4Riesgos de rechazo4Riesgos de procesamiento 4Créditos / Suscribirse
4Algunos ejemplos

41. Riesgos frecuentes en el ciclo de ingresos por

ventas y cuentas por cobrar
42. Riesgos frecuentes en el ciclo de compras y
cuentas por pagar
43. Riesgos frecuentes en el ciclo de Nómina
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Introducción
Podemos iniciar este boletín mostrando el término
riesgo definido por la Organización Internacional
de Estándares ISO (por sus siglas en inglés):
“El potencial de que una amenaza determinada
explote las vulnerabilidades de un activo o
grupo de activos y que ocasione pérdidas o
daños. Usualmente, se mide mediante la
combinación del impacto y de la probabilidad
de ocurrencia”
Por otra parte, de acuerdo con la mayoría de
estudiosos y profesionales, el riesgo también es
definido como:
“La posibilidad de que algo ocurra y que
impacte determinados objetivos, el cual se mide
en términos de consecuencias y esperanza
matemática”.
Los riesgos son futuros eventos inciertos, los
cuales pueden influir en el cumplimiento de los
objetivos de las organizaciones, incluyendo sus
estrategias, finanzas y operaciones”.
De cualquier manera, en las organizaciones, los
riesgos están asociados directamente con sus
activos y a las amenazas a las que están
expuestos. En la actualidad, la variedad de estas
amenazas se han incrementado como producto del
avance de la tecnología, por lo cual la atención
sobre los riesgos tecnológicos ha venido tomando
gran relevancia.
Por otra parte, los riesgos en los procesos de
negocios son aquellos que pudieran impactar a una
organización, los cuales pueden ser de naturaleza
financiera, reguladora u operacional. El origen de
estos riesgos surge como resultado de la
Página Página
Contenido Cerrar Imprimir anterior siguiente
interacción del negocio con su ambiente interno
(recursos humanos, procesos y tecnología) y su
ambiente externo.
Existen dos niveles de riesgo a considerar en los
procesos de una organización, de acuerdo con el
grado de automatización de sus procesos: riesgos
inherentes y de control. Un tercer nivel de riesgo,
detección, como puede observarse en la Figura Nº
1, debe ser considerado y se refiere a que los
errores materiales producidos, como resultado de los
dos factores de riesgo mencionados anteriormente,
no sean detectados oportunamente y por lo tanto no
puedan tomarse las acciones necesarias.
Para visualizar la Figura No. 1
haga click en el icono.
Figura Nº 1: Niveles de riesgo en los procesos de negocio de una
organización
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Introducción (continuación) Riesgos en los procesos de negocio

Toda organización en la cual sus procesos de
negocios descansen sobre sistemas
computarizados, poseen básicamente tres
clasificaciones de riesgo inherentes, tal como se
observa en la Figura Nº 2, a saber:
• Riesgos de procesos de negocio.
• Riesgos de sistemas de información.
• Riesgos de la función de Tecnología de
Información.
Dado que los procesos de negocio, cada vez
más, dependen en gran medida de la tecnología
de la información para operar eficientemente, los
riesgos asociados a esta tecnología han ido
incrementándose. En este sentido, nuevas formas
de riesgo aparecen de acuerdo con el tipo de
industria y el tipo de proceso existente en una
organización. Estos riesgos incluyen riesgos de
aplicaciones y riesgos de operaciones. En cuanto
a los riesgos de aplicaciones, éstos pueden ser
clasificados básicamente en cuatro tipos: acceso,
ingreso, rechazo de información y procesamiento.
Los riesgos de acceso pueden originarse,
principalmente, desde tres áreas:
• Acceso a transacciones o privilegios sensitivos:
en la cual un usuario puede tener acceso a
transacciones que no le corresponden, según
sus funciones. Por ejemplo, un usuario del
Departamento de Ventas con acceso a
visualizar, incluir o modificar información
administrada por el Departamento de Nómina,
tales como: sueldos, horas extras, beneficios
laborales, entre otros.

Para visualizar la Figura No. 2
haga click en el icono.
Figura Nº 2: Clasificaciones de Riesgos
Riesgos de acceso
Los riesgos de acceso se originan cuando
personas, sin la debida autorización, pueden
visualizar o ejecutar funciones de transacciones
en los programas de aplicación o registros de
información, permitiéndoles leer, modificar,
agregar o eliminar información.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
• Segregación de funciones: en la cual un usuario
pudiera tener acceso a transacciones, que en
combinación con las que le corresponden,
pudiera desencadenar acciones no autorizadas
o fraudulentas. Por ejemplo, un usuario que
posea acceso de forma simultánea, para
realizar: pedidos, despachos, facturación,
registro y conciliación de las cuentas por cobrar
de los clientes, pudiera realizar pedidos ficticios
o registrar cuentas por cobrar por montos que
no corresponden con los despachos realizados
a los clientes.
• Administración de usuarios y claves de acceso:
en la cual un usuario pudiera tener acceso a
sistemas o recursos del ambiente que no le
corresponden, incrementando el riesgo de
pérdida de confidencialidad e integridad de la
información que allí reside. Por ejemplo, la
utilización de claves de usuario de fácil
deducción, claves de usuario sin fecha de
vencimiento, usuarios genéricos o en desuso,
facilitan el acceso de intrusos a las aplicaciones,
sistemas e información de la organización.
Los riesgos de acceso, generalmente, se
incrementan cuando se realizan migraciones a
nuevos sistemas de información. En este caso,
debe existir un plan conjunto entre la Función de
Seguridad (CISO: Chief Information Security
Officer) de la Compañía y las áreas funcionales,
para el diseño de roles y privilegios sobre las
transacciones a ejecutar por cada usuario.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Riesgos de ingreso
Este tipo de riesgos de ingreso se presentan
cuando la información ingresada para el
procesamiento de una funcionalidad es imprecisa,
incompleta o duplicada.
En este sentido, un dato mal ingresado en los
registros maestros (clientes, proveedores,
productos, etc.), puede ocasionar errores en
todas las etapas del procesamiento. Por ejemplo,
una industria de servicios, en donde se ingrese
erróneamente un precio menor al real, incide
negativamente en sus ingresos.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
La ausencia de interfaces automáticas o que no
funcionen adecuadamente, entre sistemas
independientes, origina un mayor número de
errores, incrementando los riesgos de ingreso de
información. Ahora bien, este riesgo se disminuye
en el tiempo con la introducción de tecnología.
Por ejemplo, actualmente, es poco común
encontrar organizaciones cuyo proceso de ingreso
de información de facturación sea manual. El uso
cada vez más frecuente de los sistemas
integrados (ERP), han permitido disminuir el
ingreso manual de información, así como la
existencia de sistemas independientes con sus
correspondientes interfaces.
Riesgos de rechazo
Estos riesgos se presentan cuando no se
identifican oportunamente los datos erróneos que
son ingresados en el sistema computarizado, o al
no tener definidos adecuadamente los criterios
para identificar cuándo una transacción es
incorrecta o inaceptable en el ambiente de
procesamiento.
Por ejemplo, un control de validación puede
indicar que un número de cuenta es incorrecto o
que la cantidad de horas trabajadas de un
empleado no es razonable. En estos casos, las
transacciones pueden ser:
• Aceptadas por el sistema y señaladas en un
informe de excepción.
Página Página
Contenido Cerrar Imprimir anterior siguiente
• Destinadas a ser ubicadas en una “cuenta en
suspenso” del sistema, en lugar de ser
procesadas.
• Completamente rechazadas.
En el primer y segundo caso, deben existir
procedimientos posteriores que permitan analizar
e identificar la falla que produjo el rechazo y
corregir lo que sea necesario, inmediatamente. En
el caso que las transacciones sean
completamente rechazadas, generalmente no
existe un análisis posterior. Sin embargo, se debe
asegurar periódicamente, a través de pruebas,
que las rutinas automatizadas que originan el
rechazo funcionan de manera adecuada.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
Existe el riesgo de que algunas transacciones no
sean adecuadamente resueltas y procesadas. En
este caso, se pudieran dejar de tomar en cuenta
transacciones importantes que pudieran afectar
los estados financieros. Por ejemplo, en empresas
de telecomunicaciones o empresas de servicios
eléctricos, el no contar con un proceso periódico
y adecuado para la resolución de transacciones
en suspenso, puede incrementar el riesgo de
fraude e incidir negativamente en los ingresos de
la organización.
Riesgos de procesamiento
Los riesgos de procesamiento están presentes
cuando las transacciones que han sido
ingresadas u originadas por el sistema no son
registradas, son registradas en forma incompleta,
inexactas o registradas en el período contable
incorrecto.
Si el formato de los datos es incorrecto o no se ha
verificado su consistencia con la estructura de los
datos existentes, es posible que los registros
contables sean actualizados en forma incorrecta o
incompleta.
Este tipo de riesgo puede estar relacionado con
los riesgos descritos anteriormente. Si el ingreso
de datos es incorrecto, el resultado del
procesamiento va a ser igualmente incorrecto.
Asimismo, si los datos erróneos no son
rechazados oportunamente, el procesamiento no
va a ser adecuado.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Adicionalmente, el correcto procesamiento de una
rutina automatizada, dependerá también de otros
elementos, tales como: correcta aplicación de
fórmulas, adecuado flujo de información en el
sistema, consideración de casos base y de
excepción en el procesamiento, entre otros.
El riesgo de procesamiento merece especial
atención, en cuanto a los controles a establecer,
ya que la gama de controles es amplia y viene
dada desde controles manuales hasta controles
de verificación automatizados, como son:
detectivos, preventivos y correctivos.
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Riesgos en los procesos de negocio

(continuación)

Algunos ejemplos
A continuación se presentan algunos ejemplos de
riesgos de negocio que se presentan típicamente
en las actividades del día a día de una
organización. Estos ejemplos muestran los
riesgos en algunos ciclos de negocio, tales como:
ventas y cuentas por cobrar, compras y cuentas
por pagar y nómina, en diversos tipos de
industria.
Sin embargo, la gran mayoría de las
organizaciones posee una serie de actividades
comunes que pueden ser resumidas, como se
muestra en la Figura Nº 3, de la siguiente manera:
planificación de las ventas, pedidos, despacho,
facturación, cuentas por cobrar y gestión de
cobranzas.
Cada una de las actividades se relaciona a través
del flujo de información, que bien pudiera ser
administrado bajo procedimientos manuales o
automatizados. En la Figura Nº 4 puede
observarse este flujo de información.

1. Riesgos frecuentes en el ciclo de ingresos por

ventas y cuentas por cobrar

Las actividades existentes en el ciclo de ingresos
por ventas y cuentas por cobrar pueden variar
dependiendo del tipo de industria y de la filosofía
de administración existente en la organización.
Para visualizar la Figura No. 3 Para visualizar la Figura No. 4
haga click en el icono. haga click en el icono.
Figura Nº 3: Actividades del ciclo de ingresos por ventas y Figura Nº 4: Flujo de información en el ciclo de ingresos por
cuentas por cobrar ventas y cuentas por cobrar
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
En cada una de estas actividades, pudieran
presentarse riesgos de aplicaciones y de
operaciones que afecten la gestión administrativa
y/o financiera de la organización. Un ejemplo de
estos riesgos se presenta en la siguiente tabla:
Para visualizar la tabla haga
click en el icono.
Adicionalmente, los datos maestros de clientes y
de productos pudieran presentar algunas
situaciones, tales como: clientes sin registro de
información fiscal; con condiciones de pago no
autorizadas, en cuanto a límite de crédito y días
de crédito; sin dirección de ubicación o teléfono
contacto; entre otros; así como productos con
descripción incompleta, con precio no actualizado
o con descuentos no autorizados.
Todas estas situaciones planteadas pudieran
ocasionar, entre otros, problemas como: registros
duplicados, procesamiento de cálculos
incorrectos, subestimación o sobrestimación de
los ingresos, tanto para la compañía como para
los clientes y relacionados.
Por otra parte, el riesgo en la gestión de
cobranzas requiere de mecanismos de control
exhaustivos. Las organizaciones en las cuales los
vendedores realizan la gestión de cobranza, se ve
expuesta a un margen mayor de riesgo, en cuanto
Página Página
Contenido Cerrar Imprimir anterior siguiente
al registro oportuno de los cobros realizados o al
fraude, así que los controles deben ser
fortalecidos.
Otro de los aspectos de importancia lo constituye
el hecho de que la Compañía pudiera enfrentarse
con situaciones legales que comprometen su
reputación y originar amonestaciones. Ejemplo de
estas situaciones, es el caso que se presenta
cuando ocurre un mal cálculo de los impuestos
vigentes, la generación de facturas sin la
información fiscal requerida o el incumplimiento
de otros deberes formales.
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Riesgos en los procesos de negocio

(continuación)

2. Riesgos frecuentes en el ciclo de compras y
cuentas por pagar
La gestión de compras y cuentas por pagar,
típicamente realizada por una organización,
incluye una serie de actividades que pueden
observarse en la Figura Nº 5.
Para ampliar: haga click sobre la imagen La gestión de compras o procura puede ser muy
variada de un tipo de industria a otra. Existen
compañías que compran diferentes tipos de
Ciclo de Compras y Cuentas por Pagar
materiales o mercancías, de acuerdo con su
utilización ya sea materia prima, insumos,
Gestión de repuestos o material de oficina, en donde una
Planificación Compras
Datos Maestros compañía de servicios pudiera reducir estos tipos
de inventario y en el caso de una institución
financiera, aunque no posee compras de materia
Cuentas Gestión de
por Pagar
Interfaces
Existencias
prima, la adquisición de materiales de oficina o
papelería puede ser bastante significativa.

Registro
Contable

Figura Nº 5:
Actividades típicas del ciclo de
compras y cuentas por pagar qRetorno
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
Para cada tipo de compras, existen riesgos
específicos asociados y también diferentes
maneras de controlarlos. Por ejemplo, un riesgo en
la compra de materiales podría originarse cuando
la cantidad de mercancía adquirida es desviada de
su destino programado. Por otra parte, un riesgo
significativo en la compra de repuestos se debe
controlar en el momento de su recepción, en
donde se devuelva la mercancía que no está
acorde con las condiciones pactadas; mientras
que al contratar un servicio se entiende que no
posee la figura de la devolución y los proveedores
deben ser medidos, constantemente, por la calidad
del servicio.
Algunos ejemplos de riesgo o falta de control
presentes en el ciclo de compras y cuentas por
pagar, se mencionan a continuación:
• Falta de criterios adecuados y específicos para
tipos, cantidades, especificaciones y
condiciones de mercancía.
• No impedir o detectar oportunamente registros
incorrectos en cuanto a precio, cantidad,
importe, proveedor o número de cuenta.
• No ingresar parcial o totalmente los pedidos o
documentos de recepción para su
procesamiento.
• Omitir la emisión de órdenes de compra.
• Inadecuada segregación de funciones.
• No realizar seguimiento a los pedidos
pendientes por recibir.
Página Página
Contenido Cerrar Imprimir anterior siguiente
• Inadecuados niveles de aprobación de las
compras.
• No detectar y/o resolver oportunamente las
diferencias entre pedidos, recepción y facturas.
• No controlar la adquisición de mercancías
según los estándares de calidad definidos.
• Falta de revisión y/o detección de compras con
precios excesivos o no autorizados.
• Compras de mercancías o materiales no
autorizadas, no requeridas o que no estén en el
orden de prioridad de la compañía.
• Efectuar compras a proveedores extranjeros, sin
cumplir con las cuotas proyectadas de
importación y obviando los requerimientos
legales.
• Compras a proveedores cuyos intereses sean
contrarios a los de la compañía.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Riesgos en los procesos de negocio
(continuación)
• Realizar compras con acentuada antelación que
afecten la liquidez de la compañía, costos
adicionales de almacenaje, pérdidas y
extemporaneidad de los productos.
De manera similar que en el ciclo de ventas y
cuentas por cobrar, otro riesgo frecuentemente
presentado en el ciclo de compras y cuentas por
pagar, se refiere a una inadecuada administración
de los datos maestros, los cuales, por su falta de
precisión y/o integridad, afectan los libros de
compras, y por tanto originan incumplimiento de
deberes formales.
Por otra parte, las organizaciones deben hacer
seguimiento de la calidad de sus proveedores,
con criterios como: calidad de la mercancía o
servicio, oportunidad de entrega, cumplimiento de
cantidades, entre otros. En este sentido, el
sistema de información debe tener la capacidad
de manejar dicha información y permitir generar
indicadores de gestión, los cuales sirven de base
objetiva para supervisar la calidad de los servicios
recibidos de los proveedores.
Asimismo, la planificación de las compras resulta
generalmente de un análisis de las futuras ventas
y, por lo tanto, del material necesario para cubrir
con esas ventas. En este sentido, una
planificación no adecuada pudiera originar
subestimación o sobrestimación de las compras
que pudiera afectar el proceso productivo.
Página Página
Contenido Cerrar Imprimir anterior siguiente
La gestión de pagos es otro factor de riesgo
importante que debe ser debidamente planificado
y controlado, ya que pudieran existir pagos a
proveedores ficticios o pagos por encima del
monto estipulado.
3. Riesgos frecuentes en el ciclo de Nómina
Los costos laborales generalmente representan
un monto significativo en los costos de cualquier
organización. Es además un costo periódico que
significa una erogación de dinero en efectivo al
personal.
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Al igual que los ciclos evaluados anteriormente, la Para ampliar: haga click sobre la imagen La actividad de políticas salariales incluye todo lo
administración del ciclo de nómina y/o de los relacionado con los cálculos de asignaciones,
costos laborales, depende del tipo de industria. Ciclo de Nómina beneficios económicos otorgados al trabajador y
Una empresa de manufactura pudiera tener como deducciones.
política el asignar bonos de producción por
cantidades producidas, mientras que para una Definición Aplicación A continuación, se presentan algunos de los
Maestro
empresa de servicios los pagos de nómina de Políticas de Políticas riesgos o faltas de control asociados a este ciclo:
de Personal
Salariales Salariales
corresponden a las horas trabajadas por sus
empleados, siendo los pagos adicionales las • No registrar correctamente los datos de control
horas extras. Registro Contable de presencia, hojas de tiempo, horas extras,
entre otros.
En este sentido, en la Figura Nº 6, se muestran las Infraestructura Tecnológica • Que no exista un adecuado seguimiento sobre
actividades que generalmente se llevan a cabo en aspectos como: hojas de tiempo, control de
el ciclo de nómina. presencia y horas extras.
• Que no exista una adecuada segregación de
funciones.
Figura Nº 6: Actividades del ciclo de
nómina qRetorno
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Riesgos en los procesos de negocio Controles en los procesos de negocio

(continuación)

• Que las asignaciones y deducciones no sean
ingresadas correctamente y en el período al cual
corresponde.
• Que las asignaciones y deducciones no sean
calculadas de forma exacta.
• Que los impuestos sobre la nómina no se
determinen y registren de acuerdo con las
normas legales vigentes.
• Por el ingreso de datos ficticios al sistema de
nómina que alteren los montos a pagar a uno o
varios trabajadores.
• Por pagos de nómina no realizados por el
importe, período o empleado correcto.
• Que la contabilización de la nómina y de pagos
manuales (cheques o sobres) no se ingresen
correctamente o en el período adecuado.
• Por la realización de pagos por caja y anticipos
no controlados adecuadamente.
Adicional a los riesgos existentes, desde el punto
de vista económico, debe tomarse en cuenta la
susceptibilidad que tiene este ciclo con respecto
al entorno regulatorio y controles sindicales que
pudiera afectar negativamente a la organización,
en caso de errores involuntarios o fallas
intencionales.
Todo proceso de negocio debe contemplar una
serie de controles que mitiguen los riesgos
existentes. En este sentido, los controles pueden
ser automatizados o manuales, dependiendo del
grado de automatización que exista en el proceso,
no obstante, un control puede ser manual y,
posteriormente, ser automatizado. En todo caso,
el costo de un control no debería exceder los
beneficios que otorgan los activos involucrados,
la mitigación de riesgo y el valor del objetivo del
control per se.
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Controles en los procesos de negocio

(continuación)

El control es definido por la organización ISACA
(Information Systems Audit and Control
Association), como: las políticas, procedimientos,
prácticas y estructuras organizativas diseñadas
para brindar garantía adicional de que se lograrán
los objetivos del negocio y se impedirán,
detectarán o corregirán los acontecimientos no
deseadosî.
Por otra parte, un objetivo de control es una
declaración del resultado o del propósito que se
desea alcanzar mediante procedimientos de
o corrija una anomalía determinada. En otras
palabras, que mitigue los riesgos para los cuales
fue diseñado. En la Figura Nº 7 puede observarse
la clasificación de los controles.
Para ampliar: haga click sobre la imagen
Correctivo
Riesgo Control
Correctivo
Los controles preventivos, están diseñados para
impedir o restringir la ocurrencia de un error,
omisión o intrusión no autorizada. Por ejemplo:
validaciones del sistema de información en el
ingreso de datos (clave de usuario, montos,
fechas, entre otros), definición de políticas y
procedimientos para la restricción de los accesos
Detectivo a los usuarios o bloqueo de cuentas de usuarios
Riesgo Control por tener cierto tiempo sin conectarse a los
sistemas.

implementación de controles en una actividad Riesgo

particular.

La efectividad de un control puede ser medida en

términos de la probabilidad que detecte, prevenga Figura Nº 7: Clasificación
de los controles qRetorno
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Controles en los procesos de negocio
(continuación)
Los controles detectivos, como su nombre lo
indica, detectan y reportan los errores, omisiones
y uso o entradas no autorizadas en el momento
que éstos se presenten. Por ejemplo, el establecer
pistas de auditoría o logs que permitan identificar
a los usuarios que han efectuado modificaciones
a datos específicos, como también la emisión de
mensajes de alerta cuando un cliente sobrepasa
su límite de crédito. Los controles detectivos,
normalmente, requieren de un análisis, por parte
del personal de la Compañía, con el fin de tomar
las acciones adecuadas, oportunamente.
Los controles correctivos están diseñados para
corregir los errores, omisiones y los usos e
intrusiones no autorizados. Estos controles están
asociados con los controles detectivos y
complementan su acción. Como ejemplos de este
tipo de controles, tenemos los planes de
contingencia o la toma periódica de respaldos a la
información generada por los sistemas.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Evaluación de los controles
Los controles deben ser periódicamente
evaluados, con el fin de determinar su nivel de
eficacia, con respecto de los riesgos que están
mitigando. La evaluación debe tomar en cuenta la
evolución de las nuevas formas de riesgo que se
presentan en la Compañía, como resultado de los
cambios en las adaptaciones tecnológicas y en el
ambiente de la organización, como también como
consecuencia de nuevas políticas o
procedimientos, regulaciones legales, entre otros.
La evaluación de los controles debe arrojar como
resultado: sí los controles que están mitigando los
riesgos son efectivos, sí son suficientes, sí
necesitan fortalecerse o reemplazarse por nuevos
esquemas de control.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Evaluación de los controles
(continuación)
Existen diversas formas de evaluación de los
controles, entre los cuales se pueden indicar los
siguientes:
• Evaluaciones rutinarias.
• Auditorías sobre controles.
• Indicadores de gestión.
Las evaluaciones rutinarias son aquellas que se
realizan sobre las actividades normales del día a
día. No quiere decir esto que se conviertan en
controles sobre controles, generalmente se puede
ejecutar sobre los controles más críticos o los que
están recientemente implantados y requieren de
un período de prueba y adaptación. Puede
también establecerse una rotación de pruebas a
los controles que permita evaluar diversos
controles de una forma rutinaria.
Otra manera de evaluar los controles es mediante
la aplicación de auditorías, tanto internas como
externas. Generalmente, debe comenzar con una
planificación, donde se identifiquen los riesgos
para posteriormente desarrollar un programa de
auditoría que comprenda objetivos y
procedimientos. El proceso de auditoría requiere
que se reúnan evidencias sobre los hallazgos
detectados en la evaluación y que se reporten de
una manera objetiva.
El propósito básico de una auditoría es identificar
los objetivos de control y los controles
relacionados que se ocupan del objetivo. Parte
importante de las auditorías sobre los controles,
son las pruebas de cumplimiento y substantivas.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Las pruebas de cumplimiento, determina si los
controles están siendo aplicados en una forma
que cumple con las políticas y procedimientos de
la gerencia y pueden ser evaluados, mediante la
selección de muestras de procesos o actividades
o por observación exhaustiva. Por su parte, las
pruebas substantivas fundamenta la integridad de
un procesamiento real. Mediante estas pruebas,
se toma la totalidad de la información de un
período determinado o con una característica
determinada y se verifica la correcta aplicación de
los controles.
A medida que la auditoría brinde satisfacción a
través de pruebas de cumplimiento, se pudiera
disminuir la cantidad de pruebas substantivas
necesarias.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Evaluación de los controles
(continuación)
Con respecto a los indicadores de gestión, como
forma complementaria de medir los controles, cada
vez son más utilizados por las organizaciones, ya
que permiten hacer un monitoreo constante y han
permitido hacer más competitivas a las
organizaciones.
Las organizaciones deben realizar un estudio sobre
los indicadores útiles según su tipo de industria y
condiciones específicas, y posteriormente describir
cuáles son los indicadores clave que van a ser
medidos de forma regular.
Existen tres tipos básicos de indicadores:
• Key Performance Indicators (KPI), normalmente
utilizado para monitorear la eficiencia
operacional.
• Key Control Indicators (KCI), utilizado para
medir la efectividad de los controles.
• Key Risk Indicators (KRI), que son básicamente
una selección de KPIs y KCIs realizada por los
administradores de riesgo, con el fin de
monitorear los riesgos.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Una organización pudiera decidir hacer la mejor
combinación posible para la evaluación de sus
controles, de acuerdo con los aspectos
mencionados anteriormente. En todo caso, lo más
importante es crear un hábito continuo de
evaluación de controles que permita mitigar los
riesgos existentes y más allá pensar en los futuros
riesgos a los que se enfrentará la organización.
Boletín Digital // No. 5 - 2010
Boletín de Asesoría Gerencial
Gestión de Riesgo y Control en los Procesos de Negocio
Conclusión
Los procesos de negocio en cualquier tipo de
industria son comúnmente apoyados cada vez
más por sistemas de información y plataformas
tecnológicas, que a su vez cada día poseen
mayores funcionalidades y complejidades. Esta
situación genera nuevas formas de riesgo que
podemos englobar en tres clasificaciones: Riesgo
de procesos de negocio, riesgo de sistemas de
información y riesgos de la función de tecnología
de información.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Estas tres clasificaciones están altamente
interrelacionadas, dado que si ocurre algún
evento en la función de tecnología de información,
pudiera afectar directamente a los procesos de
negocio. Lo mismo pudiera ocurrir si se produce
algún evento en los sistemas de información. Esta
situación lleva a las organizaciones a refinar su
control interno, de modo de incluir controles
manuales y automatizados dirigidos a cada una
de las tres clasificaciones mencionadas.
Estos controles pueden ser preventivos,
detectivos o correctivos de acuerdo con su
función natural. Si bien es cierto que estos
controles pueden ser diseñados e implantados en
un momento determinado, la dinámica de los
negocios hoy en día exige la evaluación periódica
de su efectividad y en caso de ser necesaria la
restructuración de los mismos.
Boletín Digital // No. 5 - 2010

Boletín de Asesoría Gerencial

Gestión de Riesgo y Control en los Procesos de Negocio

Página Página
Contenido Cerrar Imprimir anterior siguiente

Si desea suscribirse haga click en la barra

El Boletín Asesoría Gerencial es publicado por la

Línea de Servicios de Asesoría Gerencial (Advisory)
de Espiñeira, Sheldon y Asociados, Firma miembro
de PricewaterhouseCoopers.

El presente boletín es de carácter informativo y no

expresa opinión de la Firma. Si bien se han tomado
todas las precauciones del caso en la preparación
de este material, Espiñeira, Sheldon y Asociados no
asume ninguna responsabilidad por errores u
omisiones; tampoco asume ninguna responsabilidad
por daños y perjuicios resultantes del uso de la
información contenida en el presente documento.
*connectedthinking es una marca registrada de
PricewaterhouseCoopers. Todas las otras marcas
mencionadas son propiedad de sus respectivos
dueños. PricewaterhouseCoopers niega cualquier
derecho sobre estas marcas
© 2010 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida
que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una
de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y
Editado por Espiñeira, Sheldon y Asociados Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni
Depósito Legal pp 1999-03CS141 tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni
podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL.
Teléfono máster: (58-212) 700 6666 R.I.F.: J-00029977-3
Boletín Digital // No. 5 - 2010

Figura Nº 1:
Niveles de riesgo en los procesos de negocio de una organización
Regresar
al boletín Aumentar Imprimir

Inherente Control

Riesgos

Detección
Boletín Digital // No. 5 - 2010

Figura Nº 2:
Clasificaciones de Riesgos
Regresar
al boletín Aumentar Imprimir

Riesgos de Procesos
Proceso Proceso Proceso UÊ
V̈ۈ`>`iÃÊ>˜Õ>iÃ
1 2 n UÊ
V̈ۈ`>`iÃÊ>Õ̜“>̈â>`>Ã

Riesgos Funcionales
UÊ
VViÜʭ«iÀvˆiÃÊÞÊ>Õ̜Àˆâ>Vˆœ˜iî
Nómina Inventario Venta Cont Fact Uʘ}ÀiÜÊ`iÊ`>̜Ã
Sistemas
UÊ,iV…>âœÊ`iÊ`>̜Ã
de Información
UÊ*ÀœViÃ>“ˆi˜Ìœ
Módulo Seguridad
DBMS Riesgos de la Función de TI
UÊ"À}>˜ˆâ>Vˆ˜ÊÞÊ>`“ˆ˜ˆÃÌÀ>Vˆ˜Ê`iÊ
Sistema Operativo tecnología de información
UÊ
VViÜÊ>ʏ>Ê«>Ì>vœÀ“>ÊÌiV˜œógica
LAN
UÊ
œ˜ÌÀœÊ`iÊV>“LˆœÃʈ˜vœÀ“?̈VœÃ
WAN UÊ*>˜Ê`iÊÀiVÕ«iÀ>Vˆ˜Êi˜ÊV>ÜÊ`iÊ
contingencia
Plataforma
Internet
Tecnológica
Boletín Digital // No. 5 - 2010

Figura Nº 3:
Actividades del ciclo de ingresos por ventas y cuentas por cobrar
Regresar
al boletín Aumentar Imprimir

Ciclo de Ingresos

Planificación Pedidos Despacho

Cuentas por Gestión de

Facturación Cobranzas
Cobrar

Registro Contable

Infraestructura Tecnológica
Boletín Digital // No. 5 - 2010

Figura Nº 4:
Flujo de información en el ciclo de ingresos por ventas y cuentas por cobrar
Regresar
al boletín Aumentar Imprimir

BD

Pedidos de Productos Ingresos de Ordenes UÊ>iÃÌÀœÊ`iÊ

ˆi˜ÌiÃ
de Pedidos UÊ>iÃÌÀœÊ`iÊ«Àœ`ÕV̜Ã
UÊ>iÃÌÀœÊ`iÊi݈ÃÌi˜Vˆ>Ã

UÊ,ÕÌ>ÃÊ`iÊ`ˆÃÌÀˆLÕVˆón
UʈÃÌ>Ê`iÊV>À}>
Uʜۈ“ˆi˜ÌœÊ`iʈ˜Ûi˜Ì>Àˆœ

Tramitación de pedido
BD y ruteo Transacción de pedido BD

Facturación BD
Facturación

Factura firmada

ˆµÕˆ`>Vˆón

Õi˜Ì>ÃÊ«œÀÊVœLÀ>À
Õi˜Ì>ÃÊ«œÀÊ
œLÀ>À
Boletín Digital // No. 5 - 2010
Tabla
Ejemplos de riesgos
Riesgos
Acceso de personas no
autorizadas
Los datos ingresados
pueden ser imprecisos,
incompletos o ser
ingresados más de una
vez
Los datos rechazados
pueden no ser
identificados, analizados o
corregidos oportunamente
Los datos no son
procesados en forma
completa y precisa en el
período contable
adecuado
Regresar
al boletín Aumentar Imprimir
Posible área afectada
Aprobación, modificación, inclusión o eliminación de:
• Información de las órdenes de pedido recibidas
• Elaboración de notas de entrega sin orden de pedido
• Modificación de las unidades de la orden de pedido o notas de entrega
• Despacho de mercancia sin pedido asociado
• Ingreso de unidades superiores a la orden de pedido
• Modificación de los precios o tarifas de aduana o notas de crédito
• Modificación de los descuentos correspondientes a los clientes
• Modificación de las unidades por facturar
Aprobación de ajustes en las facturas o notas de crédito
Los datos como precios, cantidades, condiciones de pagos, límites de crédito
y tasas de impuestos en documentos como:
• Ordenes de pedido
• Movimientos de inventario
• Facturas o notas de crédito
• Pagos de clientes
• Ordenes de pedido
• Movimientos de inventario
• Facturas o notas de crédito
• Pagos de clientes
• Partidas en suspenso
• Saltos de correlativos
• Registro inadecuado de las cuentas por cobrar o de las cobranzas en los
estados de cuenta de los clientes
• Información incompleta al cierre de los estados financieros
Transferencias desde y hacia otros sistemas