UNIVERSIDAD SIMÓN BOLÍVAR

COORDINACIÓN DE INGENIERÍA DE PRODUCCIÓN

IMPLEMENTACIÓN PRELIMINAR DE LA LEY SARBANES-OXLEY

(SECCIÓN 404) EN UNA EMPRESA DISTRIBUIDORA DE GAS

Por
Andrea Cifuentes D’Ascoli

INFORME FINAL DE CURSOS EN COOPERACIÓN

Presentado ante la ilustre Universidad Simón Bolívar
Como Requisito Parcial para Optar al Título de
Ingeniero de Producción

Sartenejas, Febrero 2006

 UNIVERSIDAD SIMÓN BOLÍVAR
COORDINACIÓN DE INGENIERÍA DE PRODUCCIÓN

IMPLEMENTACIÓN PRELIMINAR DE LA LEY SARBANES-OXLEY

(SECCIÓN 404) EN UNA EMPRESA DISTRIBUIDORA DE GAS

Informe de Pasantía realizado en

MENDOZA, DELGADO, LABRADOR & ASOCIADOS.
Miembro de ERNST&YOUNG

AUTOR: Andrea Cifuentes D’Ascoli

Carnet Nº 00-32679

TUTOR ACADÉMICO: Ing. Omar Zurita

TUTOR INDUSTRIAL: Ing. Karina Carrero

Sartenejas, Febrero 2006

ii
 IMPLEMENTACIÓN PRELIMINAR DE LA LEY SARBANES-OXLEY (SECCIÓN
404) EN UNA EMPRESA DISTRIBUIDORA DE GAS

Realizado por:
Andrea Cifuentes

RESUMEN

El presente trabajo surgió de una solicitud de servicios por parte de una empresa internacional
de la industria energética hacia Ernst & Young, en la cual se requiere se le haga un estudio
preliminar para la implementación del la Ley Sarbanes Oxley en cada una de sus filiales con
miras a comenzar a cotizar la bolsa norteamericana en un período aproximado de dos años. Esta
Ley entró en funcionamiento a partir de julio de 2002 luego de una serie de escándalos y
fraudes ejecutados dentro de las compañías públicas.

Para la ejecución del proyecto se estudiaron las principales cuentas significativas de cada
sucursal y se evaluaron aquellos procesos que afectaran directamente las mismas, encontrando
básicamente nueve procesos, los cuales fueron levantados y documentados. El presente trabajo
comienza en la revisión de la documentación de los procesos, concentrándose básicamente en
el de cierre de estados financieros. Para ello se revisó detenidamente el Diagrama de Flujo
existente, se elaboró el “Recorrido” para cada uno de los controles, así como se ejecutó el
mapeo de los riesgos, luego de haber revisado y modificado algunos controles, encontrando la
necesidad de documentar algunas deficiencias por controles claves inexistentes.

A continuación, se realizó un plan de pruebas para cada uno de los controles claves y efectivos,
el cual fue llevado a cabo y documentado de acuerdo a los estándares del Cliente, obteniendo
un 62% de pruebas exitosas.

Durante las fases de documentación y prueba del Proceso de Cierre de Estados Financieros se
observó una falta de comunicación tanto en las políticas de la empresa como en la segregación
de funciones. Se recomienda realizar campañas de educación para los empleados, así como
realizar mejoras de proceso que incluyan automatización de controles y prevención de riesgos.

iii
 AGRADECIMIENTOS

A mi papá, mi mamá y mi hermano porque sin ellos no habría tomo de pasantía, ni carrera, ni
nada. Me formaron excelentemente para ser así y, más allá de este libro o de los cinco años que
estudie, me han ayudado en cada aspecto de mi vida y en cada decisión que he tomado,
haciendo la vida mucho más fácil.

A Erickcito, por haber vivido a plenitud este tomo y estos cinco años universitarios,
apoyándome cada vez que fue necesario y animándome cuando desesperaba…

A mis dos tutores, Karina Carrero y Omar Zurita, por la gran ayuda que me dieron al momento
de realizar y documentar esta pasantía.

A Jeanette y Gaby porque sin sus clásicos recordatorios y ayudas a lo largo de la carrera no
hubiese podido llegar a este punto o al menos no lo estaría logrado en este corto tiempo.

Finalmente, a todas aquellas personas que de alguna manera amenizaron y alegraron estos
cinco años de carrera y estos complicados últimos meses…

iv
 ÍNDICE DE CONTENIDO

RESUMEN ..........................................................................................................................................III
AGRADECIMIENTOS ......................................................................................................................IV
ÍNDICE DE CONTENIDO .................................................................................................................V
ÍNDICE DE TABLAS Y FIGURAS ..............................................................................................VIII
GLOSARIO .........................................................................................................................................IX
CAPÍTULO I.- INTRODUCCIÓN ................................................................................................. - 1 -
I.1 LA EMPRESA.............................................................................................- 1 -
I.2 JUSTIFICACIÓN........................................................................................- 3 -
I.3 ALCANCE...................................................................................................- 3 -
I.4 ANTECEDENTES DEL PROYECTO SOX 404 ......................................- 4 -
I.4.1 Estudio de las Cuentas Significativas .............................................. - 4 -
I.4.2 Estudio de los procesos a ser incluidos en el Proyecto SOX 404 . - 5 -
I.4.3 Levantamiento de la Información ................................................... - 6 -
I.5 OBJETIVOS ................................................................................................- 8 -
I.5.1 Objetivo General ............................................................................... - 8 -
I.5.2 Objetivos Específicos........................................................................ - 9 -
CAPÍTULO II.- MARCO TEÓRICO ...........................................................................................- 10 -
II.1 BOLSA DE VALORES...........................................................................- 10 -
II.1.1 Definición de Bolsa de Valores .................................................... - 10 -
II.1.2 Índices Bursátiles y Tipos de Bolsas ............................................ - 11 -
II.1.3 Definición de una Compañía ante la Bolsa De Valores .............. - 13 -
II.2 LEY SARBANES OXLEY .....................................................................- 14 -
II.2.1 Definición de la Ley Sarbanes Oxley........................................... - 14 -
II.2.2 Antecedentes de la Ley Sarbanes Oxley ...................................... - 14 -
II.2.3 Principales áreas de la Ley Sarbanes-Oxley ................................ - 15 -
II.2.4 Consecuencias primarias de la Ley Sarbanes-Oxley en la auditoria- 19 -
II.3 DEFINICIÓN DE CONTROL INTERNO .......................................- 21 -
II.3.1 De acuerdo a la Security and Exchange Commission 404.......... - 21 -
II.3.2 Definición de Control Interno de acuerdo a la Normativa COSO- 21 -
II.3.3 Tipos de Controles......................................................................... - 24 -
II.4 METODOLOGÍA PARA LA EVALUACIÓN DE CONTROLES DE
TRANSACCIONES .......................................................................................- 25 -
II.5 PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (PCAOB)- 28 -

v
CAPÍTULO III.- DESARROLLO DEL PROYECTO ...............................................................- 30 -
III.1 CULMINACIÓN DE LA FASE DE DOCUMENTACIÓN ................- 30 -
III.1.1 Familiarización con los principales procesos del Proyecto ....... - 30 -
III.1.1.1 Revisión de los Diagramas de Flujo de todos los procesos- 30 -
III.1.1.2 Proceso de Cierre de Estados Financieros ..................... - 31 -
III.1.2 Documentación del “Recorrido” ................................................. - 32 -
III.1.2.1 Definición e Importancia del “Recorrido” ..................... - 32 -
III.1.2.2 Resultados del “Recorrido” en el Proceso de Cierre de Estados
Financieros...................................................................................... - 34 -
III.1.3 Control de Calidad de los Documentos Realizados ................... - 41 -
III.1.3.1 Resultados de la evaluación por parte de la Gerencia ... - 41 -
III.1.3.2 Revisión de los controles existentes ............................... - 42 -
III.1.3.3 Revisión del Mapeo de Riesgos y Controles ................. - 47 -
III.1.3.4 Resultados del Mapeo de Riesgos y Controles del Proceso de Cierre
de Estados Financieros .................................................................. - 48 -
III.1.4 Documentación de la Información en la Matriz de Criterios de Evaluación de
Riesgos ..................................................................................................... - 52 -
III.1.4.1 Descripción de la Matriz de Criterios de Evaluación de Riesgos - 53 -
III.1.4.2 Documentación de los Riesgos y Controles en el RACM- 55 -
III.2 FASE DE PRUEBAS..............................................................................- 56 -
III.2.1 Breve reseña de la Metodología de Pruebas de acuerdo a SOX - 57 -
III.2.2 Creación de un Plan de Pruebas .................................................. - 57 -
III.2.3 Diseños de pruebas del Proceso de Cierre de Estados Financieros- 59 -
III.2.4 Recolección de la Evidencia........................................................ - 67 -
III.2.5 Ejecución de Pruebas ................................................................... - 73 -
III.2.6 Resultados de las Pruebas para el Proceso de Cierre de Estados Financieros
................................................................................................................... - 77 -
III.3 ASEGURAMIENTO DE LA CALIDAD .............................................- 86 -

CAPITULO IV.- ACTIVIDAD COMPLEMENTARIA.............................................................- 88 -

IV.1 ESTUDIO SOBRE LAS BRECHAS IDENTIFICADAS ....................- 88 -
IV.1.1 Evaluación de las brechas............................................................ - 88 -
IV.1.2 Evaluación versus Prioridad ........................................................ - 93 -
CAPÍTULO IV.- CONCLUSIONES Y RECOMENDACIONES..............................................- 95 -
IV.1 CONCLUSIONES..................................................................................- 95 -
IV.2 RECOMENDACIONES ........................................................................- 95 -

REFERENCIAS BIBLIOGRÁFICAS..........................................................................................- 97 -

vi
CAPÍTULO 7.- ANEXOS .............................................................................................................- 98 -
ANEXO 1.- CONTROLES DEL PROCESO DE CIERRE DE ESTADOS FINANCIEROS- 98 -
ANEXO 2.- RESULTADOS DEL MAPEO DE RIESGOS Y CONTROLES PARA EL PROCESO DE
CIERRE DE ESTADOS FINANCIEROS .............................................................. - 102 -
ANEXO 3.- EJEMPLO DE UNA FILA EN UNA MATRIZ DE CRITERIO DE EVALUACIÓN DE
RIESGOS ........................................................................................................ - 106 -

vii
 ÍNDICE DE TABLAS Y FIGURAS

Figura 1.- Matriz de evaluación de las cuentas significativas basado en su saldo y en el riesgo
inherente a ella.................................................................................................................................. - 5 -
Figura 2.- Relación de los Procesos en la Implementación de la Ley SOX 404 para una empresa
de energética ..................................................................................................................................... - 6 -
Figura 3.- Componentes del Cubo Coso y su relación con la Ley Sarbanes Oxley...................- 23 -
Figura 4.- Evaluación de Controles de Transacciones.................................................................- 25 -
Figura 5.- Relación de Controles claves y no claves antes y después del control de calidad....- 44 -
Figura 6.- Ejemplo genérico de plantilla de documentación de la prueba..................................- 74 -
Figura 7.- Ejemplo genérico de una Plantilla de Matriz de Atributos ........................................- 74 -
Figura 8.- Ejemplo Genérico de la Portada de los Papeles de Trabajo.......................................- 75 -
Figura 9.- Ejemplo genérico de la Planilla de Validación de la Prueba......................................- 77 -
Figura 10.- Distribución de los resultados de las pruebas del Proceso de Cierre de Estados
Financieros......................................................................................................................................- 85 -
Figura 11.- Matriz de evaluación de brechas................................................................................- 94 -

Tabla 1.- Descripción del “Recorrido” realizado para cada control cuyo diseño fue efectivo..- 35 -
Tabla 2.- Controles referenciados a otros procesos......................................................................- 38 -
Tabla 3.- Modificaciones en los controles del Proceso................................................................- 45 -
Tabla 4.- Riesgos agregados luego de la revisión del mapeo de Riesgos y Controles ..............- 50 -
Tabla 5.- Tamaño mínimo de la muestra basada en la frecuencia del control (Fuente: Estándares
del Cliente)......................................................................................................................................- 68 -
Tabla 6.- Selección de la muestra para las pruebas del Proceso de Cierre de Estados Financieros..-
70 -
Tabla 7.- Breve descripción de las pruebas que resultaron Exitosas ..........................................- 79 -
Tabla 8.- Evaluación del impacto de las brechas de acuerdo a la cantidad de aseveraciones que
afectan .............................................................................................................................................- 89 -
Tabla 9.- Evaluación del impacto de cada brecha de acuerdo a la cantidad de controles claves
asociados .........................................................................................................................................- 90 -
Tabla 10.- Impacto determinado para cada brecha, junto con la asignación de prioridad.........- 93 -

viii
 GLOSARIO

· COSO: Comité de Organizaciones Patrocinantes de la Comisión Treadway desarrolla un

marco de referencia común para Control Interno que ha sido reconocido como una
estructura que cumple con los requerimientos de las reglas finales de la SEC para el
cumplimiento de la sección 404.

· FASB: Organización del sector privado encargada de establecer y mejorar las normas de
información financiera en los Estados Unidos. Dichas normas están avaladas por la
Comisión de Valores y Cambios (SEC, por sus siglas en inglés) y por el Instituto
Americano de Contadores Públicos.

· Gap: Fisuras o brechas que surgen un proceso por deficiencias o inexistencia de

controles, así como a raíz de pruebas fallidas que indican que un control no esta siendo
operado apropiadamente. Aumentan la probabilidad de ocurrencia de los riesgos a los
cuales se encuentre asociado.

· IT: (Information Technology) Forma abreviada y comúnmente utilizada para denominar

al Departamento de Tecnología de Información, junto con todas sus actividades y
procesos involucrados en él.

· Ítems: artículo que representa parte de la población de la prueba y que junto con el resto,
forma la muestra seleccionada para ser probada durante la fase de ejecución de pruebas.

· Kardex: Sistema utilizado por el Cliente para el almacenamiento y clasificación de los

diferentes inventarios que maneja.

· Know-how: Es un conjunto de informaciones prácticas no patentadas, resultantes de la

experiencia y la comprobación de la empresa, el cual deberá ser considerado secreto por
la empresa, sustancial e identificado. La aportación del Know-How incluye en algunos
supuestos la formación del personal de la empresa

ix
· LPG: (Gas Licuado del Petróleo) Mezcla de gases condensables presentes en el gas
natural o disueltos en el petróleo. Los componentes del GLP, aunque a temperatura y
presión ambientales son gases, son fáciles de condensar, de ahí su nombre. En la práctica,
se puede decir que los GLP son una mezcla de propano y butano. El propano y butano
están presentes en el petróleo crudo y el gas natural, aunque una parte se obtiene durante
el refino de petróleo, sobre todo como subproducto de la desintegración fluídica catalítica.

· OUTSOURCING: Solicitud de apoyo externo que una compañía requiere para manejar
algunas de sus operaciones, las cuales ocupan un tiempo valioso. Este soporte bien puede
utilizarse para aumentar la productividad y las ganancias de las empresas.

· PCAOB: (Public Company Accounting Oversight Borrad) Organización designada por la

Ley para llevar la responsabilidad de dictar lineamientos acerca de estándares
profesionales, ética y competencia que regirán el desarrollo de las actividades contables
orientados a velar por su integridad.

· Reporting Packages: Reportes Anuales donde se expresan los Estados Financieros de la

Compañía de acuerdo a las Normas Norteamericanas

· RPS: (Regional Payroll System) Programa desarrollado por Oracle System para el
manejo de las cuentas relacionadas con Recursos Humanos

· SACS: (Security Audit and Control Solutions) Sistema utilizado por la Contabilidad,
donde se lleva un control de diferentes tipos de actividades ejecutadas, sus reportes son
comúnmente utilizados para elaborar análisis.

· SEC: (Securities and Exchange Commission) Organización estadounidense encargada de

regir y emitir las normativas de control, para todas aquellas empresas que quieran cotizar
en la bolsa de valores norteamericana. Así mismo esta institución fiscaliza el desempeño

x
 del PCAOB, nombra a los miembros del “board”, revisa y aprueba su normativa, así como
su presupuesto.

· Sistema API: (Ajuste por Inflación) Sistema utilizado por el Cliente para manejar todos
los cálculos de ajustes que sean necesarios ejecutar sobre el valor de los activos en libros
con referencia a la inflación.

· SOX 404: Abreviatura de la Ley Sarbanes Oxley en su sección 404.

· Walkthrough o “Recorrido”: Actividad de recorrido donde es evaluada la efectividad

del diseño de los controles que presenta el proceso, a partir de esta actividad se definen
los controles que serán probados en la fase correspondiente.

xi
 -1-

CAPÍTULO I.- INTRODUCCIÓN

I.1 LA EMPRESA

Ernst & Young es una organización global que brinda servicios de Auditoria y Asesoramiento,
Asesoría Tributaria y Asesoría Financiera a compañías pertenecientes a cualquier tipo de
industria, basado en una cultura de innovación e impulso, sensibilidad e interés por el
individuo, así como honestidad y confianza.

Cada uno de estos servicios constituye un grupo de departamentos, dedicándose cada uno a
actividades más específicas. En el área de Auditoria y Asesoramiento se encuentra el
departamento encargado de la Evaluación de Riesgos de Negocio, o BRS por sus siglas en
inglés Business Risk Services, el cual presta una serie de servicios dentro de los cuales esta el
de asesoria en la adecuación e implementación de los requerimientos de la Ley Sarbanes -
Oxley (SOX).

El Acta Sarbanes Oxley fue emitida en julio de 2002 en los Estados Unidos de América luego
de una seria de escándalos financieros, incluyendo aquellos que afectaron a Enron, Tyco
Internacional y WorldCom (ahora MCI).

Las principales disposiciones de esta ley incluyen: evaluar y concluir sobre la efectividad del
sistema de control interno, crear leyes que penalizan la mala conducta corporativa, dictar
reformas para el buen gobierno corporativo, aumentar el rol y la independencia del Comité de
Auditoria y crear una nueva Junta de Supervisión Contable de Empresas que Cotizan en la
bolsa, PCAOB por sus siglas en ingles “Public Company Accounting Oversight Borrad”. Estas
disposiciones la han convertido en uno de los cambios más grandes de las leyes de los Estados
Unidos de América desde 1930. De esta manera las organizaciones reguladas por la SEC
(Security and Exchange Commission) tienen que adecuarse a las normas del SOX y sus
gerencias deben analizar el impacto de estas nuevas normas para sus organizaciones y tomar
medidas al respecto.

Tomando en cuenta que Ernst & Young puede asistir a las organizaciones analizando las
implicaciones de esta ley, preparando un plan de acción acorde a las disposiciones regulatorias
y soportando en el diseño, desarrollo e implantación de una infraestructura adecuada a los
 -2-

requerimientos establecidos por el SOX. El presente caso de estudio se originó a partir de una
solicitud de servicios presentada a Ernst & Young (USA) por una empresa internacional
perteneciente a la industria energética para realizar estudios preliminares sobre la
implementación de la Ley Sarbanes Oxley (Sección 404).

Esta empresa funciona en 11 países operando básicamente en tres segmentos: Servicio de Gas
Natural, Distribución de Poder y Generación de Poder. En la actualidad funciona como una
organización privada, pero estima comenzar a cotizar en la bolsa en un período aproximado de
dos años. Consecuentemente, para convertirse en empresa pública deberá funcionar de acuerdo
al reglamento de la “Security and Exchange Commission” y por lo tanto, cada una de las 15
subsidiarias deberá apegarse a la Ley Sarbanes Oxley antes de que esto ocurra.

La implementación de la Sección 404 de la Ley Sarbanes-Oxley brinda al cliente una gran

ventaja estratégica ante el resto de las empresas tanto privadas como públicas, ya que de esta
manera podrán realizar las remediaciones o mejoras necesarias en el ámbito de los controles
internos y los riesgos que puedan afectar las cuentas significativas. Logrando de esta manera
cumplir con los requerimientos de la Ley y presentar, cuando sea el momento, un informe
desarrollado por la gerencia donde las deficiencias o brechas en los procesos sean reducidas.
Adicionalmente, dicho cliente representa para Ernst & Young una estrategia global de
negocios, ya que el proyecto se desarrolló en las 15 subsidiarias por las 11 firmas asociadas en
los países respectivos y es por ello que decidió abordar el proyecto.

En Venezuela se encuentra una de estas subsidiarias, siendo una de las principales

distribuidoras de gas del país, sus actividades se desarrollan con regiones en las principales
zonas del país que manejan un gran número de sucursales y puntos de venta. Las principales
actividades que realiza son el transporte, almacenamiento y distribución de gas licuado de
petróleo, o LPG por sus siglas en inglés (Liquefied Petroleum Gas), tanto en cilindros como a
granel, a clientes residenciales, comerciales e industriales.

El proyecto ejecutado por Ernst & Young fue desarrollado en dos fases básicamente,
documentación y pruebas, e incluyó etapas de levantamiento y documentación de procesos,
ubicación de riesgos operativos y financieros, estudio de controles internos y pruebas de los
mismos en las diversas áreas de operación de la compañía tales como Cierre de Estados
 -3-

Financieros, Ingresos, Impuestos, Legal, Ingresos, Tesorería, Nómina, Compras y Tecnología

de Información. Esto con el fin de evaluar la efectividad de los controles claves que se
encuentran mitigando los riesgos, internos y externos, y que pueden afectar las principales
cuentas significativas y finalmente los objetivos de la empresa, es decir, evaluar de esta forma
la calidad operacional de la empresa en general.

I.2 JUSTIFICACIÓN

Con la finalidad de prepararse para la entrada a la bolsa de valores norteamericana, una

empresa del área energética solicitó a Ernst & Young la ejecución de un proyecto para
implementación de la Ley Sarbanes Oxley (Sección 404) en todas sus sucursales. De esta
manera, se desarrolló el proyecto correspondiente a la sucursal de la empresa que opera en
Venezuela, en el cual se realizó un estudio de cuales procesos afectan las principales cuentas
significativas, considerando los controles que presentan y los riesgos asociados, con la
finalidad de estudiar el modo de operación de las principales áreas, así como evaluar aquellos
puntos donde existan fisuras que puedan afectar el alcance de los objetivos de la empresa. Este
proyecto incluyó en total nueve procesos, sin embargo el presente trabajo se concentra
únicamente en uno de ellos, el Proceso de Cierre de Estados Financieros.

Cabe resaltar que dentro de un estudio realizado por Ernst & Young 1 sobre las tendencias de
los controles internos durante el primer año de implementación de la Sección 404 de la Ley
Sarbanes-Oxley, se observó que en industrias de Gas y Petróleo el Proceso de Cierre de Estados
Financieros se encuentra dentro de los procesos con más áreas claves identificados para
remediaciones significativas de controles relacionados a la sección 404, con un 40% de áreas
identificadas, luego de Tecnología de Información y Operaciones de Negociaciones Centrales,
ambas con 47%. Es decir, el Proceso de Cierre de Estados Financieros es uno de los más
importantes dentro del alcance del Proyecto desarrollado por el Departamento de BRS.

I.3 ALCANCE

El presente trabajo comienza en la culminación de la primera fase del proyecto realizado a la

empresa: el levantamiento de la información. Durante este cierre se realizarán actividades de
 -4-

supervisión de calidad en los documentos que, a demás de brindar beneficios para el proyecto,
generarán un conocimiento global sobre todos los procesos incluidos. Igualmente, se ejecutarán
actividades específicas para el proceso de Cierre de Estados Financieros, como el “Recorrido”
y el Mapeo de Riesgos y Controles.

Posteriormente, se realizará la fase de pruebas en su totalidad para el Proceso de Cierre de

Estados Financieros, empezando por el diseño de pruebas, pasando por la solicitud de los
requerimientos necesarios para ejecutar las pruebas, siguiendo con la ejecución de las pruebas y
culminando con la documentación de los resultados.

I.4 ANTECEDENTES DEL PROYECTO SOX 404

A continuación se presentan las actividades que fueron desarrolladas por el equipo de trabajo
que comenzó con el Proyecto de Implementación de SOX 404 en el Cliente previamente a que
el presente trabajo fuera ejecutado.

I.4.1 Estudio de las Cuentas Significativas

Conociendo que la Ley Sarbanes Oxley se basa en el estudio de los controles internos de los
principales procesos que afectan las cuentas significativas, es importante conocer este
concepto, una cuenta (o un grupo de cuentas) es significativa si puede contener errores de
importancia o, según criterio gerencial, debería ser evaluada debido a uno o más aspectos. Es
importante señalar que los errores de importancia son aquellos que individual o colectivamente
pueden tener un efecto material sobre los Estados Financieros (Errores Materiales), o que, aun
cuando su efecto no es material en términos de su tamaño, pueden afectar de manera adversa la
reputación de la Compañía si ésta fuera a quedar sin revelar, por ejemplo, actos ilegales o
conflictos de interés.

La gerencia de la Oficina de Dirección de Proyectos del Cliente ubicada en Norteamérica, junto

con el equipo de Ernst&Young de ese país, determinó para cada una de las entidades o
sucursales cuales cuentas son significativas o insignificativas desde su perspectiva. En esta
actividad, se consideraron tanto el balance de las cuentas como los factores de riesgo inherentes
 -5-

que afectan la cuenta que puedan indicar un riesgo de errores de importancia. Para ser
insignificativas, el equipo debió determinar que la cuenta sea inmaterial así como que el riesgo
inherente es bajo. Cuando la cuenta presenta balances materiales o un riesgo inherente alto la
cuenta será considerada como una cuenta significativa, tal y como puede observarse en la
siguiente matriz:

Bajo
Riesgo Inherente

No Significativa Significativa

Significativa Significativa
Alto
Inmaterial Material
Saldo de la Cuenta
Figura 1.- Matriz de evaluación de las cuentas significativas basado en su saldo y en el riesgo inherente a ella

Esta evaluación de la cuentas, además de ser indispensable para toda empresa que desee estar
alineada con la Normativa SOX, brinda grandes beneficios para la toma de decisiones a nivel
gerencial, ya que la misma proporciona herramientas para priorizar sobre las acciones a tomar,
basado en las consecuencias sobre las principales cuentas siginifcativas halladas según la
matriz anterior.

Adicionalmente, esta matriz determina el alcance de cualquier proyecto de implementación de

la Ley Sarbanes Oxley 404, ya que a partir de ella se evaluarán cuales son los principales
procesos que afectan a éstas cuentas significativas y finalmente éstos serán estudiado y
probados.

I.4.2 Estudio de los procesos a ser incluidos en el Proyecto SOX 404

Una vez definidas las cuentas significativas, este equipo de trabajo, desarrolló para cada
entidad, una matriz donde en la parte izquierda se tienen todas las cuentas significativas,
mientras que en la parte superior se muestran todos los procesos ejecutados en esa entidad. Las
celdas centrales se rellenaron con una X en caso de que el proceso afectara alguna de las
cuentas significativas. De esta manera, se tomaron los nueve procesos que afectaran en mayor
 -6-

magnitud a las cuentas significativas. Adicionalmente, en cualquier proyecto de

implementación de SOX 404 debe estar incluido un estudio sobre la gestión de la gerencia o de
la junta directiva de la empresa, denominado en ingles, Entity Level.

Impuestos
Tesorería Ingresos

Proceso de Cierre de
Estados Financieros

PP&E Nómina Compra

s
Legal
Tecnología de Información
Entity Level

Figura 2.- Relación de los Procesos en la Implementación de la Ley SOX 404 para una empresa de energética

La figura anterior demuestra la manera en que se encuentran relacionados todos los procesos
dentro de la empresa. El proceso de Tecnología de Información y la Gestión de la Gerencia
tiene efectos sobre todos los procesos de la empresa, al igual que los procesos de Impuestos y
Legal, pero estos últimos en menor escala. Finalmente, se tienen en el mismo nivel los procesos
de Tesorería, Ingresos, Propiedad Planta y Equipo, Nómina y Compras, observándose que cada
uno de ellos afecta directamente al proceso de Cierre de Estados Financieros.

I.4.3 Levantamiento de la Información

Luego de definir los procesos que serán evaluados, para comenzar el proyecto realizado por
Ernst & Young, el equipo de trabajo fue dividido de acuerdo a estos procesos. A continuación
cada persona o grupo de personas preparó y desarrolló las entrevistas necesarias para el
levantamiento de los procesos.
 -7-

Estas entrevistas se desarrollaron con el dueño del proceso debido a que es quien, dentro de la
compañía, conoce en detalle el proceso respectivo. Adicionalmente, el dueño del proceso es
capaz de remitir al equipo entrevistador con la persona adecuada en caso de que exista algún
detalle que él/ella no maneje.

A medida que se desarrollan las entrevistas el entrevistador se formuló preguntas del tipo “¿que
puede fallar?”, que representaron los riesgos propios del proceso. Estos riesgos debieron
formularse de tal manera que cumplan con el concepto de riesgo y que no sean simplemente la
falta de un control, es decir, afirmando sobre hechos que realmente afecten los objetivos de la
compañía.

Por otra parte, los controles debieron ser identificados a lo largo de estas entrevistas. Para
aquellos casos que donde un riesgo no presenta algún control capaz de mitigarlo, se levantó un
gap en el control o brecha, como se llamará en adelante a lo largo del proyecto. La
denominación de controles claves se asignó para aquellos capaces de prevenir o detectar un
error importante sobre las cuentas significativas, así como aquellos que se encontraran
mitigando un mayor número de riesgos.

Una vez realizadas todas las entrevistas, cada miembro del equipo procedió a documentar estos
resultados diseñando Diagramas de Flujo en el programa Visio. Estos diagramas se realizaron
de acuerdo a la metodología dictada por Oficina de Dirección de Proyectos, donde en las
primeras páginas se colocan los subprocesos con sus actividades macro y bajo cada uno, los
riesgos asociados a este proceso.

El cuerpo de estos diagramas se distribuye de acuerdo a los subprocesos, y en el mismo se

documentaron actividades, decisiones, documentos, sistemas, inicio y fin. Así como controles y
brechas asociadas y alguna nota de referencia necesaria para detallar algún punto del
subproceso.

Finalmente, se colocaron todos los Controles, el Mapeo de Riesgos y Controles por subproceso,
las Notas de Referencia y una leyenda general. El Mapeo de Riesgos y Controles es una
actividad donde se evalúa cual o cuales controles son capaces de prevenir total o parcialmente
el efecto de cada riesgo inherente en la generación de información financiera. Luego de esta
 -8-

actividad, la relación entre estos riesgos y controles es denominada mitigación, es decir, un

control mitiga un riesgo en caso de que prevenga el efecto del mismo sobre los estados
financieros.

Adicionalmente, el equipo de trabajó comenzó a trabajar con la Matriz de Criterios de

Evaluación de Riesgos completando las primeras columnas, así como solicitando los
requerimientos necesarios para la ejecución del “Recorrido” o recorrido, el cual es un proceso
que se realiza para evaluar la efectividad del diseño de los controles.

El presente trabajo comienza en este punto del Proyecto de Implementación de SOX 404 al
Cliente, cuando el equipo de trabajo está comenzando a documentar las Matrices de Criterios
de Evaluación de Riesgos y se encuentra en la primera parte de la ejecución del “Recorrido”.
Adicionalmente, espera los comentarios sobre los Diagramas de Flujos para realizarle las
correcciones que sean necesarias.

I.5 OBJETIVOS

Una vez definido el comienzo del trabajo, para limitar el alcance del mismo es necesario
describir los objetivos pretender alcanzarse a través del presente proyecto. Es importante
recordar que el alcance de este proyecto se limita al Proceso de Cierre de Estados Financieros.

I.5.1 Objetivo General

Contribuir a la implementación preliminar de las bases del proceso SOX 404 en los procesos
relacionados con las cuentas significativas de una empresa Distribuidora de Gas,
principalmente en el Proceso de Cierre de Estados Financieros, analizando los riesgos de este
proceso, identificando controles que mitiguen a cada uno de ellos y ejecutando procedimientos
de evaluación para verificar la operatividad de los mismos.
 -9-

I.5.2 Objetivos Específicos

· Contribuir a la implementación de las bases del proceso SOX 404 en los procesos
relacionados con las cuentas significativas de la compañía.
· Participar activamente en el levantamiento y documentación del proceso de Cierre de
Estados Financieros, con base en los estándares del Cliente.
· Analizar los Riesgos del proceso de Cierre de Estados Financieros, identificando
controles que mitiguen a cada uno de los riesgos, así como planificar y ejecutar los
procedimientos de evaluación para verificar la efectiva mitigación de los riesgos
identificados.
· Diseñar y ejecutar Planes de Prueba para los principales controles del Proceso de Cierre
de Estados Financieros, así como documentar los resultados basado en los estándares
del Cliente.
· Aplicar procedimientos de Control de Calidad, tanto del Cliente como de Ernst &
Young, a lo largo del Proyecto.
 - 10 -

CAPÍTULO II.- MARCO TEÓRICO

II.1 BOLSA DE VALORES

El presente trabajo se fundamenta en un requerimiento que debe cumplir cualquier empresa que
quiera pertenecer a la Bolsa de Valores Norteamericana, por lo tanto es indispensable conocer
sobre la definición de esta, así como ciertos conceptos fundamentales que pueden surgir.

II.1.1 Definición de Bolsa de Valores

La Bolsa de Valores puede ser comúnmente definida como un mercado, y, como en todo
mercado, se negocian una serie de productos; se ponen en contacto compradores y vendedores.
Efectivamente, en primer término la Bolsa es el punto de encuentro entre dos figuras muy
importantes en una economía: empresas y ahorradores.

Las empresas que necesitan dinero para alcanzar sus objetivos tienen diferentes formas de
conseguirlos, una de las más interesantes es acudir a la Bolsa y vender activos financieros
(acciones, bonos, obligaciones, etc.) que hayan emitido.

Por otro lado, los ahorradores, tanto instituciones como particulares, desean obtener
rentabilidad de sus excedentes y entre las muchas alternativas de inversión que existen, pueden
decidir la compra en Bolsa de los productos emitidos por las empresas.

La Bolsa, por tanto, cumple una función esencial en el crecimiento de toda economía, puesto
que canaliza el ahorro hacia la inversión productiva. Es un instrumento de financiación para las
empresas y de inversión para los ahorradores. Facilita la movilidad de la riqueza.

En su condición de mercado secundario, la Bolsa ofrece a los compradores de valores

mobiliarios la posibilidad de convertirlos en dinero en el momento que lo deseen, resultaría
poco atractivo para los inversores no poder desprenderse fácilmente de sus acciones, bonos,
etc., cuando necesitaran el dinero. La liquidez que la Bolsa ofrece a los inversores hace posible
que sus diferentes horizontes temporales de inversión, generalmente no coincidentes con el
carácter permanente de financiación de la empresa, puedan conjugarse y así cumplir ambos sus
objetivos 2.
 - 11 -

Además, el mercado bursátil resuelve, cada vez con mayor eficiencia, el problema de la
valoración de los activos financieros a través de la libre conjunción de oferta y demanda. Es
decir, en la Bolsa el precio de los productos financieros es un precio objetivo puesto que se
corresponde con el valor que el mercado da por ellos.

Para que todas estas funciones se desarrollen con eficiencia es muy importante la información.
La información es a los mercados lo que la sangre a un organismo vivo, cuanto más limpia y
mejor circule, mejor funcionará todo el sistema. Toda la información que pueda influir en el
mercado debe ser difundida de forma clara y rápida a todos los participantes para que todos
dispongan de las mismas oportunidades. La transparencia informativa es un compromiso
constante de la Bolsa.

La inversión en acciones protege el ahorro frente a la inflación. Las acciones representan partes
de activos reales, cuyo valor monetario crece por efecto de la inflación, por lo que también
aumenta el precio de las acciones.

Por último, un mercado oficial y organizado como es la Bolsa confiere seguridad jurídica a
todas las transacciones que se realizan y facilita la accesibilidad de todos los participantes.

II.1.2 Índices Bursátiles y Tipos de Bolsas

Los índices bursátiles se definen como el resumen del mercado de acciones. La información de
los índices se da en puntos que indican la tendencia del mercado. Los puntos pueden leerse en
números enteros o en porcentajes con respecto a la última sesión de cotización 2.

Para que el inversor pueda visualizar las subidas y bajadas del mercado, la información en
puntos de los índices se representan en forma de un gráfico de curvas. Los índices pueden
agrupar los valores en función de distintos parámetros.

Estos índices son muy útiles para el inversor, ya que le permiten seguir la evolución de valores,
sectores y mercados, y comprobar cómo se comportan con respecto a otros títulos, sectores o
mercados. De esta manera, puede resumirse en primer lugar que los índices permiten obtener
 - 12 -

información en tiempo real sobre el universo de la inversión, mientras que en segundo lugar
aportan seguridad al inversor. Es decir, los índices se componen de empresas representativas y
solventes, de forma que cuando un inversor compra en este índice tiene el respaldo de la
liquidez de estas empresas.

Además, los índices son los puntos de referencia y comparación para los inversores. Por
ejemplo, la mayoría de los fondos de inversión tiene un índice representativo, por lo que
cualquier persona que tenga un fondo debe comparar el rendimiento de éste con el del mercado.

Por otra parte es importante distinguir la existencia de diferentes tipos de bolsa o índices,
establecidos en diferentes países o en el mismo pero con diferentes características, como por
ejemplo El Dow Jones establecido en los Estados Unidos de Norteamérica, es el índice más
seguido del mundo. Está compuesto por los 30 valores industriales más significativos cotizados
en la Bolsa de Nueva York, conocida también como NYSE (New York Stock Exchange). Este
índice tiene la particularidad de que todos los valores pesan lo mismo, independientemente de
su capitalización.

En el NYSE también destaca el Standard & Poor´s, que incorpora 500 valores (400
industriales, 40 financieras, 40 de empresas de servicios y 20 de transporte). Los valores se
eligen en función de su capitalización. No contempla a las medianas y pequeñas empresas y,
por consiguiente, su principal característica es que se calcula dándole más peso a unos valores
que a otros, en función de su mayor o menor influencia en el mercado. Se suele toman como
una referencia más amplia del mercado que el Dow Jones 3.

El Nasdaq Composite y el Nasdaq 100 son los índices que recogen la cotización de los valores
tecnológicos incluidos en el mercado Nasdaq, que ha empezado a destacar tras la irrupción de
las compañías dedicadas a negocios en Internet. Además tiene la peculiaridad de ser el primer
mercado mundial no organizado oficialmente, ya que en él se negocian valores cotizados y de
empresas no admitidas a cotización.
 - 13 -

II.1.3 Definición de una Compañía ante la Bolsa De Valores

El hecho de cotizar en bolsa es todo un acontecimiento para cualquier empresa, presentarse en

la sociedad financiera nacional y mundial y se denomina justamente así, presentación en bolsa.
A partir de ese momento la empresa está en condiciones de emitir acciones requiriendo capital
del mercado de inversores. Como todo tiene un inicio, la primera oferta tiene un carácter muy
especial y es denominada Oferta Pública Inicial, conocida como IPO por sus siglas en ingles:
Initial Public Offering.

Para realizar esa presentación la pequeña empresa que tiene un producto o servicio atractivo
debe concurrir a un Banco de Inversión o a banqueros de inversión quienes acuerdan avalar la
oferta accionaria inicial adquiriéndolas a un precio establecido para luego venderlas
públicamente con un beneficio. Este ente ayuda a la empresa a preparar un prospecto, que es un
documento legal que debe estar disponible para toda persona interesada en la inversión. En el
prospecto se detalla la historia financiera, los productos y servicios ofrecidos, así como la
tecnología, know how y gestión disponibles. En ese documento hay que prevenir a los
inversores acerca de los riesgos que la empresa correrá en su proyecto de crecimiento

Una vez culminado este acuerdo, el proceso sigue con la etapa de atraer inversores a través de
publicaciones en los medios financieros tradicionales con avisos que en el mundo sajón son
conocidos como tombstones o lápidas de sepulcro por la forma de sus bordes negros y su
pesada escritura. A su vez, la entidad bancaria que avala la emisión inicial organiza reuniones
entre los titulares de la empresa y potenciales inversores. El día anterior al lanzamiento se fija
el precio de salida de la acción, el que subirá o bajará dependiendo de la labor de
comercialización previa realizada por la empresa y el banco inversor y de la intuición de los
inversores.

En caso de que una compañía haya emitido acciones pero tiene mayores necesidades de capital,
a través de emisión de acciones encara una segunda ronda de inversión, teniendo sumo cuidado
en no contribuir con ello a devaluar sus propias acciones pues los primeros tenedores de
acciones temerán lógicamente que el valor de equidad de sus acciones se diluya; si las acciones
bajan en lugar de subir algunas corporaciones emplean la táctica de comprar sus propias
acciones confiando en inducir una escalada de compra y consecuente alza de precios.
 - 14 -

II.2 LEY SARBANES OXLEY

Una vez definido el concepto de Bolsa de Valores, es necesario conocer la definición,

descripción y consecuencias de la Ley Sarbanes Oxley, tomando en cuenta que el presente
trabajo fue desarrollado en un Proyecto de Implementación de esta Ley para una empresa
energética.

II.2.1 Definición de la Ley Sarbanes Oxley

La ley Sarbanes-Oxley de 2002 fue firmada por el Presidente de los Estados Unidos George W.
Bush el 30 de julio de 2002 trayendo grandes implicaciones para aquellas compañías
extranjeras que emiten acciones en los Estados Unidos o cuyas acciones cotizan en las bolsas
de valores de los Estados Unidos.

Esta nueva ley tiene como objetivo realzar la responsabilidad corporativa, mejorar la manera en
que la información financiera es distribuida, y combatir el fraude corporativo y contable. Así
mismo, también se creó un comité para vigilar las actividades de la profesión de la auditoria
contable.

II.2.2 Antecedentes de la Ley Sarbanes Oxley

Como respuesta al fracaso de Enron Corporation en 2001, que en ese momento era la séptima
corporación más grande en los Estados Unidos, Sarbanes, en su capacidad de Presidente del
Comité de Banca, Vivienda y Asuntos Urbanos del Senado, llevó a cabo una serie de amplias
audiencias que tuvieron como resultado la aprobación de una ley bipartidista diseñada para
reformar la industria de la contabilidad y restaurar la confianza de los inversionistas que se
había erosionado con el colapso de Enron.

Inmediatamente después de la aprobación de la legislación por parte del Comité de la Banca del
Senado en junio de 2002, las dificultades contables de WorldCom sacudieron aún más a los
mercados financieros y crearon una gran ola de apoyo para la legislación de Sarbanes.
 - 15 -

La “Ley de Reforma de la Contabilidad de Compañías Públicas y Protección de los

Inversionistas” fue firmada y entró en vigencia como ley el 30 de julio de 2002, y se le ha
calificado como la “reforma de más alcance en las prácticas comerciales estadounidenses desde
la época de Franklin Delano Roosevelt.” La ley, que ahora se conoce como la “Ley Sarbanes-
Oxley”, lleva el nombre de los principales patrocinadores de la legislación.

La legislación crea un consejo de supervisión sólido e independiente para supervisar a los

auditores de compañías públicas y le permite a este consejo establecer normas de contabilidad
así como investigar y disciplinar a los contadores. Cubre los conflictos de interés, garantiza la
independencia de los auditores, afianza el gobierno corporativo, exigiendo que los líderes
corporativos sean personalmente responsables de la exactitud de los reportes financieros de su
compañía y establece resguardos para proteger en contra de los conflictos de los analistas de
inversiones.

Como resultado de su trabajo de llevar hacia adelante esta legislación histórica en el Congreso
hasta convertirse en ley, Sarbanes fue honrado en junio de 2003 con el prestigioso Premio de
Ética en el Gobierno llamado Paul H. Douglas de la Universidad de Illinois. El premio,
establecido en 1992 en honor del Senador Douglas, un hombre a menudo llamado “la
conciencia del Senado de los Estados Unidos”, fue diseñado para honrar a quienes han hecho
una contribución significativa en la promoción de la ética 4.

II.2.3 Principales áreas de la Ley Sarbanes-Oxley

La Ley Sarbanes-Oxley es un texto cuyos contenidos principales se agrupan en seis grandes

áreas que afectan a todas las sociedades cotizadas en los mercados americanos: Reportes,
Roles, Conducta, Cumplimiento, Penalidades y Relaciones. Cada una de estas áreas incluyen
una serie de secciones que la compañía debe cumplir, a continuación se presentan las reglas que
componen cada área.

La primera de las áreas, Reportes, se refiere a la mejora en la calidad de la información pública

y en los detalles de la misma, e incluye las siguientes secciones 5:
 - 16 -

· Sección 302: La información pública presentada deberá ser certificada por los directivos
de la sociedad. En este sentido, los directivos certificarán su responsabilidad y
corrección respecto a: los informes trimestrales y anuales; la no existencia de omisiones
o información confusa en los estados financieros; los controles sobre la información que
se envía al mercado y la eficiencia del control interno sobre la misma; la comunicación
de forma efectiva a los auditores y al Comité de Auditoria de los errores o fraudes que
se identifiquen.
· Sección 401: Mejoras en los detalles de información y transacciones fuera de balance y
del contenido de los informes pro-forma.
· Sección 404: Evaluación del control interno financiero: valorado, documentado y
certificado por la Dirección de la sociedad y auditado por el auditor de cuentas. Este
opinará sobre la corrección de lo manifestado por la sociedad y sobre la eficiencia del
control interno financiero a la fecha de cierre de los estados financieros. Es importante
señalar, que el presente trabajo se fundamenta en la implementación de esta sección.
· Sección 409: Los cambios en información pública de la sociedad, que tengan impacto
potencial significativo, en la situación financiera o en las operaciones, deberán ser
informados de forma mucho más rápida y efectiva.

La segunda área, Roles, se refiere al reforzamiento de responsabilidades en el Gobierno

Corporativo de las sociedades, e incluye las siguientes áreas:

· Sección 204: Incremento de comunicaciones directas entre el Auditor y el Comité de

Auditoria en materias como: políticas contables significativas, tratamientos contables
alternativos, etc.
· Sección 301: Regulaciones más completas para los Comités de Auditoria (obligatorios):
serán responsables directos de designar, retribuir y supervisar al Auditor; sus miembros
deberán ser consejeros independientes (no ejecutivos); deberán implantar un canal de
recogida anónima de denuncias; deberán disponer de capacidad de compensación al
auditor y a otros asesores si los consideran necesarios en el desarrollo de sus
responsabilidades.
· Sección 407: Obligación de contar con expertos financieros en el Comité de Auditoria e
informar explícitamente sobre quienes son los consejeros con esta experiencia.
 - 17 -

A continuación se tiene el área relacionada con la Conducta, e implica mejora en las conductas
y comportamientos exigibles: mayores exigencias de responsabilidad en los temas de gestión
indebida de información confidencial, incluyendo las siguientes secciones:

· Sección 303: Se hace explícitamente ilegal la actuación de cualquier consejero o

directivo destinada a influir de forma fraudulenta, coaccionar, manipular o confundir,
intencionadamente, al auditor.
· Sección 403: Las operaciones realizadas por los agentes que pueden disponer de
información reservada/ no pública están sometidas a una exigencia de información a los
mercados en tiempo muy corto y de forma veraz.
· Sección 406: Obligatoriedad de un Código de Ética para los Ejecutivos del Área
Financiera. Los cambios o incumplimientos al Código deben ser informados
públicamente.
· Sección 806: Protección especial para los denunciantes anónimos de conductas ilícitas e
irregulares de la sociedad: en ningún caso podrán ser perseguidas las denuncias
formuladas por este tipo de incumplimientos. Se otorga una protección especial a los
denunciantes de este tipo de irregularidades.

Para continuar, la siguiente área se refiere al cumplimiento señalando un aumento de la

Supervisión a las actuaciones en los mercados cotizados, a incluye las siguientes secciones:

· Secciones 101 y 102: Creación de un organismo público de supervisión, el “Public

Company Accounting Oversight Board” (PCAOB) el cual tendrá capacidad de
supervisión y establecimiento de estándares de auditoria, controles de calidad, normas
de ética e independencia para auditores, etc.; adicionalmente, cualquier compañía que
quiera auditar sociedades cotizadas en mercados americanos deberá estar inscrita
adecuadamente en el PCAOB.
· Sección 104: El PCAOB desarrollará programas continuos de supervisión del trabajo de
las firmas de auditoria para comprobar su cumplimiento efectivo de los estándares
profesionales.
· Sección 108: La SEC podrá reconocer como de general aceptación los principios
contables establecidos por organismos reguladores como el FASB. La SEC deberá
 - 18 -

realizar estudios sobre normas contables basadas en principios frente a las basadas en
aspectos más formales.
· Sección 109: Los emisores de valores en los mercados americanos deberán contribuir
mediante las cuotas que se determinen a la financiación de las actividades del PCAOB y
del FASB.
· Sección 408: La SEC ampliará, de forma importante, las revisiones periódicas sobre los
depósitos (filings) de las compañías.
· Sección 407: Extensión de las responsabilidades profesionales para los abogados.
Estarán obligados a informar cualquier evidencia que dispongan sobre violaciones
materiales de leyes sobre actuaciones con títulos cotizados o incumplimientos de
obligaciones por el Consejero Delegado o por el Secretario del Consejo (o el
responsable legal del mismo). Si se informa a la Dirección y esta no tomara acciones se
informaría directamente a la SEC.

A continuación se tiene el área referente a penalidad que indica un incremento del régimen
sancionador asociado a incumplimientos e incluye las siguientes secciones:

· Sección 304: Deberán reintegrarse los incentivos cobrados o los beneficios realizados
en la venta de acciones por el Consejero Delegado o por el Director Financiero que se
hayan recibido sobre la base de una información financiera fraudulenta que necesite ser
re-evaluada, corregida y publicada nuevamente.
· Sección 804: Extensión de los plazos en que puede perseguirse un fraude cometido y/o
identificado.
· Sección 906: Obligación para el Consejero Deleado y Director Financiero de certificar,
bajo responsabilidad penal, su buena fe en cuanto a que los informes públicos
periódicos: cumplen con todos los requisitos establecidos en la Ley sobre Acciones de
1934 (Securities Exchange Act, 1934), así como presentan, en todos los aspectos
materiales, la situación financiera y los resultados de las operaciones del emisor.
· Secciones 1102 & 802: Responsabilidades penales por manipular, alterar o destruir
documentos o impedir, de otra manera, una investigación oficial. Por otra parte,
extensión de las responsabilidades penales a cualquier persona que altere documentos,
 - 19 -

incluyendo registros documentales de auditoria, con el fin de obstruir o impedir una

investigación.
· Sección 105: Aumento importante de las sanciones a los contables/financieros por no
testificar, facilitar documentación o cooperar, en general, con investigaciones oficiales.

Finalmente, la última área, Relaciones, se refiere a un aumento de exigencia y presión sobre la

independencia efectiva de los auditores e incluye las siguientes áreas:

· Sección 201: Prohibición total para que el auditor de cuentas pueda prestar
determinados servicios a sus clientes de auditoria.
· Sección 202: El Comité de Auditoria deberá autorizar, de forma previa a su
contratación, cualquier servicio permitido que pretenda contratarse con el auditor de
cuentas.
· Sección 203: El socio firmante y el socio revisor deberán rotar cada 5 años.
· Sección 206: Se establecen restricciones importantes para que una entidad contrate
personal del equipo de su auditoria sin que esto pueda suponer un posible problema de
independencia para la firma auditora. Se establece un periodo “de enfriamiento” de un
año en el que no se pueden producir estas contrataciones para puestos clave en relación
directa con la supervisión financiera de la información del emisor.

II.2.4 Consecuencias primarias de la Ley Sarbanes-Oxley en la auditoria

Como puede observarse, muchas de las secciones de la Ley tienen un impacto, relativamente
directo, en la actividad del auditor. La mismas incluyen una serie de servicios no permitidos
para los auditores: llevanza de contabilidades o preparación de los registros de información
financiera del cliente; diseño o implementación de sistemas de información financiera;
valoraciones, tasaciones u opiniones sobre aportaciones de activos; servicios actuariales;
outsourcing integral de servicios de auditoria interna, funciones de dirección/gestión; gestión
de recursos humanos/servicios de contratación de personal; asesoramiento de inversiones,
actividades de intermediación o servicios de inversión financiera; servicios legales no
relacionados con la auditoria; y, finalmente, cualesquiera otros que la SEC o el PCAOB puedan
establecer en el futuro.
 - 20 -

Realizando un análisis de los punton anteriores y tomando como base el artículo “La Ley
Sarbanes Oxley y los Auditores” de Ernst and Yong, se concluyó que esta definición tan
explícita de incompatibilidades tiene un efecto directo en los trabajos que desarrolla el auditor
en sus clientes y en la relación profesional que se establece entre ambas partes. Así, el principio
fundamental de independencia real exigible al auditor se complementa con la definición formal
de servicios prohibidos.

La Ley parte del supuesto elemental de eliminar cualquier trabajo de la firma auditora que
posteriormente pueda/deba ser auditado por esa misma firma. En este marco, en algunas
ocasiones, las sociedades han preferido separar, de forma más estricta que en el pasado, las
contrataciones de auditoria de las contrataciones de otros servicios profesionales. Esta
regulación no supone diferencias muy importantes o “insalvables” tomando como referencia las
reglamentaciones europeas de auditoria, y/o en particular en España, la Ley Financiera de
noviembre de 2002. Un área dónde la influencia de la Ley Sarbanes-Oxley es indudable, y en
general positiva, es en la obligatoriedad de fortalecer los sistemas de control interno financiero.

La Ley Sarbanes-Oxley obliga a auditar, a partir de una fecha determinada, no sólo los estados
financieros sino también el Control Interno Financiero. El PCAOB ha impuesto una norma
(derivada de la Sección 404 de la Ley) que obliga a que las auditorias de todos los clientes
cotizados en Estados Unidos se realicen aplicando el concepto de Auditoria Integrada. Esta
metodología, descrita en el Estándar de Auditoria nº 2 del PCAOB, ha introducido una
exigencia documental y de evidencia muy importante, tanto para las compañías como para los
auditores. Estas auditorias, cuya finalidad es mejorar la calidad y confiabilidad de la
información financiera, están suponiendo una adaptación de la metodología del auditor al
enfoque de trabajo basado cada vez más en entender los riesgos, los controles, su
identificación, valoración y prueba continua.

Es importante resaltar que la ley ha sido creada con disposición de continuidad, es decir, sus
implicaciones en la profesión auditora y en las empresas auditadas no serán, en ningún caso,
una experiencia puntual sino una situación continua. La idea principal es que la
implementación de la ley deje de ser un proyecto y pase a ser un proceso continuo dentro de la
compañía 6.
 - 21 -

II.3 DEFINICIÓN DE CONTROL INTERNO

Como puede observarse en la parte anterior, uno de los conceptos fundamentales cubiertos por
esta Ley es la importancia que cobran los controles internos dentro de los procesos que afectan
las principales cuentas significativas.

II.3.1 De acuerdo a la Security and Exchange Commission 404

De acuerdo a la Ley Cambiara emitida por la SEC, control interno se define como un proceso
diseñado por, o bajo la supervisión del ejecutivo principal de la entidad registrada y oficiales, o
de las personas financieros principales que realizan las funciones semejantes, y realizados por
la junta directiva de la entidad registrada, la administración y otro personal, para proporcionar
la certeza razonable con respecto a la cobertura financiera y la elaboración de estados
financieros para propósitos externos de acuerdo con principios contables generalmente
aceptados.

Debe incluir aquellas políticas y procedimientos pertenecientes a la conservación los registros

que en el detalle razonable refleja exactamente las transacciones y las disposiciones de las
ventajas de la entidad registrada. Adicionalmente, proporcione la certeza razonable que
transacciones se registran para permitir como sea necesario la preparación de estados
financieros de acuerdo con los principios contables generalmente aceptados, mientras que los
recibos y los gastos de la entidad registrada se hacen de acuerdo con las autorizaciones de la
administración y directores de la entidad registrada. Finalmente, debe proporcionar la certeza
razonable con respecto a la prevención o el descubrimiento oportuno de la adquisición no
autorizada, el uso o la disposición de las ventajas de la entidad registrada que podrían tener un
efecto material sobre los estados financieros 7.

II.3.2 Definición de Control Interno de acuerdo a la Normativa COSO

El Comité de Organizaciones Patrocinantes de la Comisión Treadway, COSO por sus siglas en

ingles, existe desde el año 1985 y a partir de 1987 inicia el desarrollo de un marco de referencia
común para Control Interno, para finalmente, en 1992 emitir el Reporte titulado “Internal
Control-Integrated Framework”. Este marco de referencia ha sido reconocido como una
 - 22 -

estructura que cumple con los requerimientos de las reglas finales de la SEC para el
cumplimiento de la sección 404.

De acuerdo a COSO la definición más utilizada de control interno es como un proceso,

efectuado por una entidad del consejo directivo, gerencia y otro personal, diseñado para
proveer una seguridad razonable referente al alcance de los objetivos en las siguientes
categorías:

· Efectividad y eficiencia de las operaciones.

· Integridad de los reportes financieros.

· Conformidad con las leyes y regulaciones aplicables 8.

Adicionalmente, cuando se evalúa cualquiera de los objetivos anteriores, de acuerdo a la

Organización COSO debe tomarse en cuenta que los siguientes componentes deben existir y estar
operando para concluir que el control interno es efectivo: entorno de control, evaluación de
riesgos, actividades de control, información y comunicación, y seguimiento. A continuación se
describen los puntos a considerar en cada uno de estos componentes:

· Entorno de Control: Integridad, conducta y ética del personal ejecutivo clave; conciencia
de control y estilo de toma de decisiones; compromiso hacia la competencia; dominio y
supervisión de la junta y/o Comité de Auditoria; estructura organizacional, autoridades y
responsabilidades; y procedimientos y políticas de Recursos Humanos.

· Evaluación de Riesgos: Proceso de evaluación de riesgos; mecanismos para anticipar,

identificar y reaccionar ante eventos significativos; y procesos y procedimientos para
identificar cambios contables, prácticas de negocio y control interno.

· Actividades de Control: Existencia de las políticas y procedimientos necesarios; objetivos

financieros claros y supervisón activa de los mismos; segregación lógica de las funciones;
comparación periódica de presupuestos contra real y mayor versus auxiliares; adecuada
salvaguarda de documentos, registros y activos; y existencia de controles activos.

· Información y Comunicación: Emisión de Reportes de gestión adecuados; conexión con

las estrategias de negocio; compromiso de Recursos Humanos y Finanzas para
 - 23 -

desarrollar, evaluar y monitorear sistemas y programas de TI; plan de continuidad de

negocio o plan de desastre para TI; y canales de comunicación para el cumplimiento de
las responsabilidades de los empleados.

· Seguimiento: Evaluación periódica de controles internos; implementación de

recomendaciones de mejora; y función de auditoria interna establecida para monitorear las
actividades.

A continuación se presenta el marco de referencia diseñado por la Organización COSO, el cual

fue desarrollado en 1987 como un marco de referencia común y cumple con los requerimientos
de las reglas finales de la Security and Exchange Commission, para el cumplimiento con la
sección 404

nt
o s de n
ie ne ón ció
im io i
ac i s ma ble
pl r
m pe Em for nta
Cu O In Co

Consideraciones
Unidades de
Negocio
Entorno de Control
sobre Control
Interno que surgen
Funciones

Evaluación de Riesgos
del artículo 404 de
Actividades de Control la Ley Sarbanes
Oxley
Información y Comunicación

Seguimiento y Supervisión

Figura 3.- Componentes del Cubo Coso y su relación con la Ley Sarbanes Oxley.

En la figura se observan los cinco componentes que conforman al cubo coso, así como las
categorías en las cuales estos componentes pueden afectar el alcance los objetivos de la
empresa.

Tal y como se observó en la descripción de las secciones que comprenden la Ley Sarbanes
Oxley, la sección 404 únicamente se refiere a los Reportes Financieros, por las consideraciones
de Control Interno cubiertas por la sección se limitan a la forma en la que afectan cada uno de
los componentes: entorno de control, evaluación de riesgo, actividades de control, información
y comunicaciones y monitoreo sobre los reportes financieros, tanto a nivel de las funciones
como de las unidades de negocio.
 - 24 -

Finalmente, se conoce que el alcance de la Sección 404 de la Ley Sarbanes Oxley

adicionalmente incluye los efectos del entorno de control y de la evaluación de riesgo sobre los
siguientes componentes: cumplimiento y operaciones.

II.3.3 Tipos de Controles

Como ya se ha definido, los controles son procesos que ayudan a lograr los objetivos y a
mitigar los riesgos, basado en la metodología que utilicen para ello los controles se pueden
clasificar en:

· Controles Directivos: Son aquellos que implican instrucciones generales por parte de la
alta gerencia.

· Controles Preventivos: son aquellos que mediante su ejecución impiden que algo falle,
por ejemplo, las claves de acceso en los sistemas impiden que perfiles de usuarios
foráneos puedan entrar a realizar actividades ajenas a sus asignaciones.

· Controles de Detección: son aquellos capaces de detectar una falla, por ejemplo, las
conciliaciones bancarias estudian las posibles diferencias que puedan haberse generado
entre el Libro Mayor y el saldo del Banco.

· Controles Correctivos: son aquellos que corrigen una falla luego de de que ésta haya
ocurrido

Adicionalmente, los controles se pueden clasificar de acuerdo a su relación con el

Departamento de Tecnología de Información (IT) de la siguiente manera:

· Controles Manuales: son aquellos que no utilizan durante su ejecución ningún sistema de
información, por ejemplo, la verificación de la completitud de la mercancía física versus
la factura por parte del encargado del almacén.

· Controles Manuales Dependientes de IT: Son aquellos realizados por una persona pero
utilizando información extraída de algún sistema de información, por ejemplo, cuando un
empleado ejecuta una conciliación bancaria tomando el estado de cuenta del banco y el
reporte del sistema.
 - 25 -

· Controles de Aplicación: son aquellos específicos para cada proceso y que dependen de
una aplicación informática para funcionar, por ejemplo, la verificación de los perfiles de
usuario (nombre, contraseña y accesos) para un sistema determinado.

II.4 METODOLOGÍA PARA LA EVALUACIÓN DE CONTROLES DE

TRANSACCIONES

Una vez conocidos los principales conceptos incluidos en la Ley Sarbanes Oxley, es necesario
describir la metodología comúnmente utilizada en este tipo de Proyectos, para lo cual es
utilizado un diagrama que muestra las principales actividades a ejecutar.

Esta metodología es aplicada por todas las firmas de auditoria para la documentación de
Proyectos de esta índole y es muy similar en todos los casos.

Documentación de la Ley Sarbanes Oxley Sección 404

Estados Cuentas
Financieros Significativas

Procesos ¿Qué puede Controles Evaluar / Reporte

Significativos fallar? Monitorear
Riesgos
Inherentes y Aseveraciones
Claves del de la Gerencia
Negocio

Figura 4.- Evaluación de Controles de Transacciones

En la figura se observan las principales fases para la documentación de la sección 404, a

continuación se explicada brevemente cada una de ellas 9.

En primer lugar, el cliente informa sobre los Estados Financieros y los riesgos claves e
inherentes que tiene el negocio. Una vez comprendida la información anterior, la firma procede
 - 26 -

a identificar Cuentas Significativas para lo cual se deben considerar varios factores, como la
materialidad, naturaleza y composición de la cuenta; volumen de actividad y tamaño,
complejidad y homogeneidad de transacciones individuales; complejidades de contabilidad /
divulgación; riesgo inherente; subjetividad en la determinación del balance de la cuenta;
asuntos que afectan la reputación del balance de la cuenta; asuntos que afectan la reputación de
la compañía; transacciones con empresas relacionas y cambios en las características de la
cuenta.

Al momento de identificar las cuentas significativas es importante tomar en cuenta las

siguientes aserciones, las cuales deben estar presentes en todo estado financiero:

· Existencia: Si existen activos o pasivos de la entidad en una fecha determinada.

· Ocurrencia: Si una transacción o evento que ocurrió está relacionado con el cliente
durante un período determinado.

· Integridad: Si todas las transacciones y cuentas que deben ser presentadas en los estados
financieros están incluidas.

· Valuación: Si las cuentas de activos y pasivos han sido incluidas en los estados
financieros en los momentos apropiados.

· Medición: Si los componentes de ingresos u gastos han sido incluidos en los estados
financieros con los montos apropiados.

· Derechos y Obligaciones: Si los activos son los hechos de la entidad, y los pasivos son las
obligaciones de la entidad en una fecha determinada.

· Presentación / Revelación: La contabilidad y las revelaciones sobre los estados

financieros están conformes a los requisitos de USGAAP.

La importancia de éstas se traduce en la documentación de los riesgos, ya que los mismos son
documentados en la medida que se identifiquen actividades que puedan afectar estas
aseveraciones. Adicionalmente, estas aseveraciones serán de gran utilidad al momento de
 - 27 -

realizar el mapeo de riesgos y controles, ya que para ello se observa cual de ellas afecta el
riesgo y si el control es capaz de mitigar este efecto.

Posteriormente, se procede a identificar los Procesos Significativos, para lo cual es necesario

entender los flujos de transacciones y procesos de negocios que generan los saldos de cuentas
significativas, incluyendo: transacciones de rutina, no-rutinarias, y procesos y transacciones de
estimado; procesos Tecnología de Información; procesos de cierre de estados financieros;
aseveración de presentación y revelación; y flujo de transacciones.

Los flujos de transacciones pueden dividirse en: Inicio (punto en donde los hechos de negocios
son capturados, preparados y enviados al registro); Registro (punto donde los hechos de
negocio o transacciones son registrados contablemente en los libros de la empresa);
Procesamiento / Cambio (cualquier cambio o procesamiento de la data, en libros y registros de
la compañía); y, finalmente, Reporte (punto donde la transacción es reportada en los estados
y/o reportes financieros).

Una vez conocidas las cuentas y los procesos significativos, se procede a identificar los Riesgos
Significativos, mediante la pregunta ¿Qué puede fallar?, es decir, por cada aseveración de
cuenta significaba, pregunte donde pueden ocurrir errores que afecten materialmente en el
procesamiento de las transacciones.

A continuación se procede a identificar Controles Claves, es decir, aquellos controles que

proveen una seguridad razonable de que errores significativos no ocurran o no sean
identificados, tomando en cuenta el tipo de control, quien lo ejecuta y la confiabilidad en TI.

Para continuar se ejecuta la evaluación y monitoreo, donde se evalúa el diseño de los controles
claves, la efectividad de la operatividad de los controles claves y se identificará cualquier
brecha o eficiencia, para su remediación.

Finalmente, se ejecuta un reporte donde se indique lo que se ha observado durante las

diferentes fases del proyecto.
 - 28 -

II.5 PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (PCAOB)

Basado en el cumplimiento de una de las metas de la Ley Sarbanes Oxley, garantizar el

correcto proceder de los auditores externos y garantizar su independencia frente a posibles
presiones de sus clientes, fue creado un organismo regulador de los auditores, el Public
Company Accounting Oversight Borrad, PCAOB por sus siglas en ingles.

De acuerdo a su página principal 10, este organismo tiene como función esencial la supervisión
de la actividad auditora referida a las sociedades que cotizan en la bolsa. El órgano ejecutivo de
este regulador es su Consejo el cual esta compuesto por cinco miembros, de los que sólo dos
representan al sector de los auditores. La PCAOB está adscrita a la SEC, a la que debe remitir
un informe anual de sus actividades y ante la que son recurribles sus resoluciones (Sección
107). Adicionalmente, la PCAOB lleva un registro de auditores en el que deben estar inscritos
todos los auditores de sociedades cotizadas en los Estados Unidos de Norteamérica

La PCAOB ha publicado tres normas, la N°1.- Referencias a las Normas de la PCAB en el

Informa de Auditor; la N°2.- Auditoria de los Controles Internos sobre la información
Financiera llevada a cabo junto con una Auditoria de Estados Financieros; y finalmente la
N°3.- Documentación de la Auditoria.

La primera de ellas establece los estándares para los reportes de los auditores independientes,
por ejemplo, los reportes de opinión que emita el auditor externo debe tener la siguiente
referencia: “Hemos efectuado nuestra auditoria (o revisión), de acuerdo con los estándares de la
Public Company Accounting Oversight Board (United Stated)”. Otro punto importante indica
que el auditor también debe indicar en su informa la ciudad y estado (o ciudad y país) en el cual
fue emitido dicho informe.

La norma de Auditoria N°2 confirma el proceso riguroso requerido a la gerencia, incluyendo la

documentación, e incluye una evaluación de la efectividad del comité de auditoria como parte
de la evaluación general de los componentes COSO (ambiente de control y monitoreo);
requiere que el auditor se base principalmente en la evidencia de su propio equipo; considera
controles compensatorios y las deficiencias de los controles internos; y finalmente para casos
 - 29 -

de debilidad material requiere una opinión adversa sobre la efectividad de los controles
internos.

Esta Norma adicionalmente explica las responsabilidades de la Gerencia: aceptar la

responsabilidad por la efectividad del control interno; evaluar la efectividad del control interno,
basado en un criterio aceptable; dicha evaluación debe estar soportada con suficiente evidencia
y documentación y el alcance de la misma deberá incluir aquellas entidades adquiridas antes de
fin de año, así como entidades contabilizadas como operaciones descontinuadas al cierre del
año; y, finalmente, presentar una aseveración escrita al cierre del año fiscal.

Para concluir, la norma N°3 establece los estándares para la documentación de la auditoria
indicando los principales objetivos y los requerimientos de documentación, así como la
documentación de asuntos específicos como la identificación de los ítems verificados, el
alcance de muestras, la identificación de la población, entre otros. Finalmente establece
parámetros para la retención de documentación de auditoria: al menos 7 años, a partir de la
fecha de emisión del reporte o la fecha de culminación del trabajo de campo y para los casos de
 - 30 -

CAPÍTULO III.- DESARROLLO DEL PROYECTO

III.1 CULMINACIÓN DE LA FASE DE DOCUMENTACIÓN

Como ya se ha mencionado, el presente trabajo comienza cuando los miembros del equipo de
trabajo de Ernst & Young se encontraban culminando la primera fase del proyecto, la
participación en este proceso fue básicamente a nivel de control de calidad lo que generó un
conocimiento de los diferentes procesos que integran el proyecto.

III.1.1 Familiarización con los principales procesos del Proyecto

Para comenzar se apoyó a la Gerencia en la Revisión de los Diagramas de Flujo de cada uno de
los nueve procesos a nivel de redacción y de consistencia entre los dos idiomas en los que se
encuentran documentados.

III.1.1.1 Revisión de los Diagramas de Flujo de todos los procesos

Antes de comenzar a ejecutar las actividades referentes al Proceso de Cierre de Estados

Financieros, se revisaron cuidadosamente los Diagramas de Flujos de los diferentes procesos
que incluye el Proyecto de Implementación de SOS 404 en la empresa. La Gerencia del
Proyecto solicitó se revisaran los diagramas, tanto en español como en ingles, para proceso, de
tal manera de conocer cada uno y verificar algunos puntos específicos.

El primero de esos puntos se debía a que se encontraron ciertas inconsistencias entre la

redacción de las actividades, riesgos, controles, notas de referencias y brechas para cada
idioma. En muchos casos el idioma inglés no había sido utilizado apropiadamente generando
cambios fundamentales en la idea original.

Adicionalmente, se observó que las representaciones de los procesos cumplieran con las
normas básicas de Diagramas de Flujo, es decir, que cada subproceso presentara sólo un inicio
y un fin; que no se ejecutaran actividades paralelas dentro de una misma secuencia; y que todas
las actividades se encontraran conectadas con otra actividad o con el fin.

En líneas generales se encontraron varios recuadros de decisiones que iniciaban acciones en sus
dos opciones para lo cual alguna de las opciones fue documentada en otra página colocando un
 - 31 -

conector luego del recuadro de decisión. Para aquellos casos donde se encontró más de un fin,
igualmente se colocó una referencia cruzada con la página donde se encontrase el último fin.

Finalmente, se revisaron algunos detalles de forma, donde se verificó que todos los símbolos
hubiesen sido adecuadamente utilizados de acuerdo a lo acordado con el cliente, que cada una
de los cuadros de actividades respondieran las preguntas básicas “qué, quién, cuándo y cómo”
y, que los controles identificados como claves se encontraran a lo largo de todo el proceso en
tintados de azul, mientras que los no claves fueran blancos.

III.1.1.2 Proceso de Cierre de Estados Financieros

Una vez conocidos en forma general los nueve procesos, se procedió al estudio particular del
Proceso de Cierre de Estados Financieros, el cual comprende el conjunto de pasos o fases de la
contabilidad que se repiten en cada período contable. En líneas generales, se inicia con el
registro de las transacciones, continúa con la labor de pase de las cantidades registradas del
diario al libro mayor, la elaboración del balance de comprobación, la hoja de trabajo, los
estados financieros, la contabilización en el libro diario de los asientos de ajuste, su traspaso a
las cuentas del libro mayor y, finalmente el balance de comprobación posterior al cierre.

Durante el estudio del Proceso de Cierre de Estados Financieros fue necesario recordar algunos
términos del sistema contable, el cual esta compuesto principalmente por el Libro Mayor
General, última instancia donde se registran las transacciones que afectan un negocio, y los
Libros Auxiliares, instancias donde se registran las transacciones que afectan a un subproceso
de negocio específico.

El proceso de Cierre de Estados Financieros fue dividido durante la fase de levantamiento de

información en los siguientes subprocesos:

· Mantenimiento de la Data / Código de Cuentas.

· Asientos Diarios Manuales.
· Conciliaciones de Cuentas Bancarias.
· Cambio de Moneda Extrajera.
· Actividades de Cierre de Período.
 - 32 -

· “Forecast” / Flujo de Caja.

· Balance de Gas.
· USGAAP Reporting Package.
· Reportes Estatutarios.

Durante esta fase fueron identificados 38 riesgos y 54 controles, de los cuales 27 de ellos son
claves. Adicionalmente, como consecuencia de la falta de uno o más controles fueron
documentados 4 brechas. Finalmente se conoce que 88% de los controles ejecutados en este
proceso son de tipo manual, mientras que 50% se realiza de manera preventiva

III.1.2 Documentación del “Recorrido”

Luego de conocer los detalles del proceso de Cierre de Estados Financieros, se procedió a
ejecutar la primera de las actividades particulares de este proceso, el “Recorrido” o recorrido.

III.1.2.1 Definición e Importancia del “Recorrido”

11
El párrafo número 79 de los Estándares de Auditoria # 01 emitidos por el PCAOB explica la
importancia de construir el “Recorrido” dentro de los Proyectos relacionados con la
Implementación de la Regla 404, de la Ley de Sarbanes-Oxley:

“Los auditores deben realizar por lo menos un “Recorrido” para cada una de las más
importantes clases de transacciones. En un “Recorrido”, el auditor localiza una
transacción desde su origen a lo largo de los Sistemas de Información de la Empresa
hasta que es reflejado en los Reportes Financieros de la Compañía. Los “Recorrido”
suministran al auditor con evidencia para:

· Confirmar el entendimiento del auditor sobre el flujo de

transacciones en el proceso;

· Confirmar el entendimiento del auditor sobre el diseño de los

controles identificados para los cinco componentes de control interno
sobre los reportes financieros, incluyendo aquellos relacionados a la
prevención o detección del fraude;

· Confirmar que el entendimiento del auditor sobre el proceso es

completo determinando si han sido identificados todos los puntos en el
 - 33 -

proceso en los cuales puedan ocurrir tergiversaciones relacionadas con

cada afirmación relevante de los estados financieros;

· Evaluar la efectividad del diseño de los controles; y

· Confirmar si los controles han sido puestos en operación.”

Tomando en cuenta las afirmaciones anteriores puede observarse que la importancia de la

ejecución del “Recorrido” no sólo es una conclusión directa de que el mismo es un punto
obligatorio en proyectos de esta índole, si no que las causas que generaron esa obligatoriedad se
basaron en los beneficios que el mismo proporciona tanto para los ejecutores del proyecto
como para el proyecto en sí.

Utilizando una hoja de Excel previamente diseñada por el Cliente para la documentación inicial
de los controles de cada proceso, se procedió a colocar la información respectiva en cada una
de las columnas, documentando mediante el diagrama de flujo, el número y descripción del
control; si el mismo es o no clave y, por lo tanto, si deberá ser probado en la fase de pruebas.

Posteriormente, se solicitaron los documentos y/o soportes respectivos relacionados con el

control, sin importar la fecha o la localidad de los mismos, únicamente con la finalidad de
observar los diferentes atributos que componen al control. Cabe resaltar que mediante esta
actividad no se pretende probar el cumplimiento del control por parte del dueño del proceso, se
realiza únicamente para evaluar la efectividad del control, así como crear una guía que pueda
ser utilizada como apoyo en la fase de pruebas.

Una vez recolectados todos los soportes y/o evidencias de los controles se documentaron los
resultados de la siguiente manera:

· En caso de que efectivamente se cumplieran todos los atributos del control se le

asignaba una referencia a ese documento y se documentaba lo observado, así como el
nombre del documento.

· Para aquellos grupos de dos o más controles que utilizaran la misma evidencia, el
número de la referencia se asigna de acuerdo al primer control que la utilizó.
 - 34 -

· En caso de que alguno de los atributos del control no esté presente en el soporte
solicitado, igualmente, se documentaron los resultados pero agregando en la columna de
excepciones aquello que no se esta cumpliendo.

· Finalmente, a partir de los resultados anteriores se evaluó la efectividad del diseño de

cada control. Para verificar esto, se tomaron las aserciones respectivas a los riesgos que
el control esta mitigando y se evaluó si éstas son cubiertas efectivamente por el control.

Originalmente el “Recorrido” se encontraba ubicado en la quinta hoja (Walkthrough Template)

de trabajo de la Matriz de Criterios de Evaluación de Riesgos sin embargo, esto fue cambiado
al final de la fase de documentación por indicaciones del Cliente, ya que el mismo consideró
separando ambos documentos se obtuvo un mayor orden de la información.

III.1.2.2 Resultados del “Recorrido” en el Proceso de Cierre de Estados Financieros

Para el momento en que se ingresó en el proyecto, ya el equipo del proyecto habían generado y
solicitado la lista de requerimientos necesarios para la construcción del “Recorrido”. Para el
caso del Proceso de Cierre de Estados Financieros ya la mayoría de los requerimientos había
sido entregada por el cliente, pero no se había comenzado a documentar el “Recorrido”.

Para comenzar la realización del “Recorrido” se verificó la completitud de la información

necesaria para la ejecución del mismo, encontrado que tres de los controles no presentaban
evidencia alguna para verificar el cumplimiento del control. Mientras que dos evidencias
realmente no representaban una evidencia del control.

En ambos casos se solicitaron nuevamente los requerimientos, realizando una pequeña reunión
con el dueño del proceso, es decir, el Contador Corporativo, de tal manera de explicarle
claramente lo que se esta solicitando para evitar confusiones y que se entregara nuevamente la
documentación equivocada.
 - 35 -

Tabla 1.- Descripción del “Recorrido” realizado para cada control cuyo diseño fue efectivo
Control Descripción del Recorrido ejecutado para evaluar la efectividad del diseño del
Control
1, 2 y 30 Se observó una comunicación a través de correos electrónicos donde se indicaba la
requisición de creación de una cuenta en el código de cuentas por parte del Analista de
Contabilidad Corporativo para el Contador Corporativo, quien posteriormente le
comunicó esta solicitud al Administrador Funcional de Oracle. Finalmente, el correo
incluía las modificaciones ejecutadas por el administrador funcional y una respuesta
donde este informa al Contador y al Analista que ya los cambios fueron exitosamente
realizados.
3 Se tomó de Oracle Financiero el detalle del Libro Mayor correspondiente a Junio 2005 y
se observó en una hoja de Excel un análisis del mes en curso en comparación con el mes
anterior, no se observaron evidencias de la persona que realizó el análisis y el mismo no
fue ejecutado antes del cierre de mes, sin embargo, el diseño del control fue calificado
como efectivo.
4 Se observó una lista manual de las cuentas a ser manualmente registradas al final del
período que incluía el día, tipo de registro y monto a registrar. No se pudo verificar el
nombre de la persona que realizó esta lista, sin embargo, el control fue calificado como
efectivo.
5 Se observó el análisis de las variaciones analíticas y composiciones de los saldos de las
cuentas de la Región Andina en Marzo de 2005, el documento no presentó la firma de
quien lo elaboró ni la fecha en la cual fue realizado, sin embargo, el control será
calificado como efectivamente diseñado.
6 Se observó un archivo de Excel denominado “Conciliación Intercompañías 2005”
suministrado por el Asistente de Contabilidad Corporativa donde se evidencia el análisis
que mensualmente ha realizado hasta la fecha con todas las cuentas intercompañías, el
mismo presenta las evidencias identificadas y se explica que serán ajustadas el mes
siguiente.
7 De acuerdo al Contador Corporativo durante el año 2005 sólo se realizó un ajuste, el día
27 de Julio, de esta manera, se observó una lista emitida por Oracle para esa fecha donde
pudo verificarse tanto la firma del contador como la razón del ajuste.
8 Se observó la actualización de la tasa en las cuentas definidas como moneda extranjera
realizada en el mes de Marzo por el Analista de Contabilidad Corporativo, debido al
control de cambio éste es el único período del año 2005 donde la tasa fue modificada.
9 y 10 Para constatar la ejecución de este control se tomó la conciliación bancaria
correspondiente a Abril 2005 con sus respectivos soportes (estado de cuenta bancario y
copia del Libro Mayor). En la conciliación se observó la firma de quien lo realizó, la
fecha en que se elaboró, que el balance final era igual al del estado de cuenta bancario
entregado como soporte y que el mismo coincidiera con el Libro Mayor. Adicionalmente,
se verificaron evidencias de la revisión y aprobación por parte del Contador Corporativo.

11 y 13 A continuación se probó el control # 11 el cual indica que el Analista de la Región

mensualmente concilia los saldos. Para verificar este control se observó la conciliación
bancaria entre los balances correspondientes a los Estados de Cuenta Bancarios con los
saldos del Libro, pudiéndose apreciar la firma del Analista de la Región en señal de que
lo realizó, la fecha en la cual fue ejecutado y la firma del Contador Regional en señal de
haberlo revisado y aprobado.
 - 36 -

… Continuación de la Tabla 1, descripción del “Recorrido”

12 y 14 Posteriormente se probó el control # 12, el cual se refiere a que el Gerente de Oficina de
cada Sucursal debe preparar mensualmente las conciliaciones bancarias. En la
documentación soporte se verificó que los saldos entre el estado de cuenta y el sistema
coincidieran, así como que la conciliación presentaba la fecha y la firma del Gerente de
Oficina. Adicionalmente se observó la firma de aprobación correspondiente al Gerente
de la Sucursal.
Cabe resaltar que estos no son controles claves, la similitud con los controles #11 y 13 se
debe a que los primeros se realizan únicamente para el control propio de la Sucursal y no
es revisado ni aprobado por ningún ente superior a la misma.
16 y 17 Se observó un Balance de Antigüedad correspondiente a Febrero de 2005, donde se
evidencia que los saldos efectivamente concilian, así como la firma del Gerente de
Oficina en señal de haberlo ejecutado y la firma de aprobación por parte del Gerente de la
Sucursal.
18 y 19 Se observó la conciliación de cuentas correspondiente a Febrero 2005 preparada por el
Analista de la Región donde se conciliaron los siguientes documentos: Reporte de Oracle
de Cuentas por Cobrar, Movimientos Manuales de las Cuentas por Cobrar de la Sucursal
y Resumen de Cuentas por Cobrar según SACS. Adicionalmente, en esta evidencia se
verificó la revisión y aprobación de estas conciliaciones por parte del Contador Regional.

27 Se tomó el reporte físico correspondiente a junio el cual evidencia el detalle de los

diferentes activos (depreciables y no depreciables) y se observó la comparación entre lo
indicado en el Sistema API y lo indicado en el Sistema Oracle (Libro Mayor). Como
excepción se documentó que para la conciliación obtenida no se observó la firma de quien
la realizó; sin embargo se calificó como un control efectivamente diseñado que por ser
clave dentro del proceso, será probado durante la fase de pruebas.

28 Se tomó el Análisis Comparativo entre Oracle Financiero y el Modulo de Inventario

(Kardex) correspondiente a la sucursal de Caracas en el mes de Mayo. Anexo a la tabla se
observaron extractos del Balance de Comprobación Desplegado por Regiones de Gas y el
Resumen Histórico de Transacciones. Pudo observarse que los balances finales
coincidían, sin embargo, no se observó la firma de quien realizó el análisis. Por otra parte,
se conoció que debido a problemas con la valorización del inventario el análisis fue
elaborado antes del cierre mensual. Igual que en el caso anterior, estas excepciones fueron
documentadas pero el control fue calificado como efectivamente diseñado.

33 Se observó el análisis de los Reportes Financieros (Marzo 2005) realizado por el

Contador Regional y la evidencia de que el mismo fue enviado al Gerente de la Región.
34 y 53 En primer lugar se observó un análisis que comparaba los saldos correspondientes al
Sistema SACS con el Sistema Oracle Financiero, la persona que ejecuta este análisis
aclaró que él tomaba las conciliaciones realizadas en las Regiones como base para la
explicación de las diferencias identificadas. En este análisis no se observó ni la fecha de
elaboración ni evidencias de la persona que lo ejecuta.
Para evaluar el control 53 se tomó un análisis que contenía los saldos del archivo anterior
pero donde cada Región era separada de acuerdo a las principales cuentas corporativas y
estos valores eran comparados con Oracle Financiero. Igualmente, para este control no se
observó ni la fecha ni la persona que lo ejecutó. A pesar de no observar parte de la
evidencia, el diseño de ambos controles fue calificado como efectivo.
 - 37 -

… Continuación de la Tabla 1, descripción del “Recorrido”

35 Para evidenciar este control se observó una impresión de pantalla del Sistema donde se
evidenciaba que sólo el Contador Corporativo y el Analista de Activos Fijos tienen
acceso para utilizar el API.
36 y 37 Se obtuvo la Conciliación correspondiente a la división de transporte en el mes de
Diciembre 2004, donde pudo verificarse que los saldos del auxiliar conciliaban con los
del libro mayor, adicionalmente, se observó el análisis de las partidas no monetarias.
40 Se obtuvo un correo electrónico enviado de Casa Matriz para el Presidente y el Comité
donde se evidencia la aprobación del Plan Anual de Presupuesto.
41 Se observó un correo electrónico enviado desde Oficina de Dirección de Proyectos
correspondiente a Diciembre de 2004 aprobando el presupuesto anual del año 2005.
42 Se observó la manera en que el asistente registra las partidas que no han sido actualizadas
de los módulos de Compras, Inventario, Cuantas por Pagar y Activos Fijos en el sistema
Oracle Financiero.
44 Se obtuvo una conciliación correspondiente a Abril 2005 y se observó que para la misma
son utilizados los siguientes reportes: análisis de antigüedad, informes de avance y el
Balance de Comprobación detallado de Oracle Financiero, los saldos de éstos son
comparados y respectivamente analizados.
El documento obtenido, no presentaba la firma de quien lo ejecutó y se observaron
diferencias sin explicación, sin embargo, el diseño control fue calificado como efectivo.

45 Se observó el Análisis de los Estados de Ganancias y Pérdidas correspondiente a Febrero

2005 realizado por el Vicepresidente de Operaciones, donde se comparan el presente año
con el año anterior; en el análisis se observan evidencias del análisis de las variaciones
significativas.
46 Se observó un archivo de Excel denominado Control de Documentos realizado por el
Contralor Operacional, con fecha de elaboración 29 de Julio 2005, donde podía
evidenciarse el seguimiento realizado a los documentos recibidos y procesados por las
regiones y sucursales.
47 En un principio, este control indicaba que el Asistente de Contabilidad Corporativo
mensualmente concilia las balances del soporte de RPS versus la Contabilidad General
para todas las cuentas por cobrar a empleados. Sin embargo, al momento de solicitar la
información la Contabilidad Corporativa explicó que existen dos conciliaciones de
cuentas por cobrar a empleados, una para el personal del Corporativo y otra para el resto
del personal, es decir, Regiones y Sucursales. La primera de ellas es mensualmente
realizada por el Asistente de Contabilidad Corporativa, mientras que la segunda es
realizada trimestralmente, en esta dirección el control fue cambiado de tal manera que
especificara la ejecución de ambas conciliaciones en fechas distintas.
Una vez modificado el control, se observó la conciliación de empleados correspondiente a
Mayo 2005 verificando la firma de quien la elaboró así como la fecha, sin embargo,
existe una diferencias sin explicación. Igualmente, se observó la conciliación de cuentas
por cobrar
49 Se observó un correo enviado por el Analista de Contabilidad Corporativa el día 5 de
agosto de 2005 informando a todos los Departamentos que el período de cierres contables
correspondiente a Agosto se había ejecutado, por lo tanto las cifras eran las definitivas
para ese período.
 - 38 -

… Continuación de la Tabla 1, descripción del “Recorrido”

51 Se observó el calendario de cierre contable correspondiente al mes de julio, el
seguimiento realizado por las gerencias corporativas se evidenció a través de correos
electrónicos.
52 Se observó un correo electrónico correspondiente al mes de Julio 2005, donde el
Administrador de Oracle informa al Contador Corporativo y al Contralor Operacional
sobre una creación en el código de cuentas.
54 Se observó una impresión de pantalla suministrada por el Gerente de Sistema donde se
evidencia el archivo dentro de las carpetas digitales correspondientes al usuario
“Coordinador de Presupuesto”.

De esta manera se utilizaron todas las evidencias obtenidas en la primera y segunda solicitud. A
continuación se realizaron aquellos controles de Cierre de Estados Financieros que se
encuentran presentes en otros procesos y que, consecuentemente, fueron relacionados con ellos
para evitar la redundancia de información y la ejecución de trabajos análogos.

Dentro del Proyecto de Implementación de la Ley SOX 404 en el cliente, existen ciertos
controles que se ejecutan en más de un proceso y de esta manera fueron documentados. El
Proceso de Cierre de Estados Financieros presenta controles similares a los siguientes procesos:
Tesorería, Ingresos, Impuestos y Compras. Los controles correspondientes a los tres primeros
fueron referenciados a éste proceso, es decir, que tanto el “Recorrido” como las pruebas serán
realizados durante la ejecución del Proceso de Cierre de Estados Financieros. Mientras que para
el último proceso, Compras, los controles correspondientes fueron evaluados y probados
durante la ejecución del mismo. A continuación se presentan estos controles junto a la
referencia del control al cual fue relacionado:

Tabla 2.- Controles referenciados a otros procesos

Referenciado a
Control
Control Proceso
20 13 Compras
21 15 Compras
22 16 Compras
23 17 Compras
24 14 Compras
25 15 Compras
48 39 Compras
 - 39 -

De esta manera se tiene un total de siete controles documentados en el Proceso de Cierre

Financiero pero que serán ejecutados durante la fase de pruebas del proceso de Compras.

Para culminar las actividades de “Recorrido” se documentaron aquellos controles para los que
no se obtuvo evidencia.

· Control 15: El Analista de Contabilidad Regional mensualmente compara las

Conciliaciones Bancarias de la Sucursal versus las Conciliaciones Bancarias de la
Región, con la finalidad de establecer diferencias entre ambos. Para este control no se
obtuvo evidencia, por lo tanto su diseño fue calificado como inefectivo y fue asociado la
siguiente brecha: “No se evidencia la comparación mensual realizada por el Analista de
Contabilidad Regional entre la “Conciliación Bancaria de la Sucursal” y la
“Conciliación Bancaria de la Región”, para identificar diferencias observando que todos
los saldos de las conciliaciones de sucursales sean iguales a los que esta incluidos en la
conciliación de la región”.

· Control 26: El Contador Corporativo revisa y aprueba los Reporting Packages antes de
enviarlos a Oficina de Dirección de Proyectos. El diseño de este control fue calificado
como inefectivo ya que de acuerdo al Coordinador de Presupuesto no existe evidencia
de esta aprobación.

· Control 29: El Analista de Contabilidad Corporativa mensualmente concilia las cuentas

por cobrar en una hoja de Excel. Se conoció que este control no esta siendo ejecutado,
por lo tanto el diseño del mismo es infectivo.

· Control 31: El Sistema Oracle esta configurado para asociar cuentas a las líneas de
estados financieros correspondientes. A pesar de que no se realizó el “Recorrido” para
este control, se decidió calificarlo como efectivo y probarlo en la fase correspondiente

· Control 32: El Contralor Corporativo mensualmente revisa y aprueba los Reporting

Flash. De acuerdo al Coordinador de Presupuesto no existe una aprobación ni se deja
evidencia de la revisión. Este control fue calificado como inefectivo, generando la
siguiente brecha: “Durante el ‘Recorrido’ no se observó algún Reporting Flash para
verificar la revisión y aprobación realizada por el Contralor Corporativo”.
 - 40 -

· Control 38: El Asistente de Contabilidad Corporativo realiza una revisión analítica de

los reportes estatutarios emitidos con base en los meses anteriores. La frecuencia de la
revisión dependerá de la ejecución del reporte. De acuerdo al dueño del control no
existe evidencia del mismo, por lo tanto su diseño fue calificado como inefectivo. Como
éste es un control clave, es decir, que influye directamente sobre los reportes
financieros, se levantó la siguiente brecha: “En el ‘Recorrido’ no se observaron
evidencias del análisis de los Reportes Estatutarios realizados por el Asistente de
Contabilidad Corporativa”. Esta brechase agregó en cada actividad y riesgo donde
apareciera el control 38.

· Control 39: El Comité de Presupuesto local aprueba el Plan Anual en presencia de todas
las gerencias en una reunión anual. Para este control no se obtuvo evidencia, por lo
tanto su diseño fue calificado como inefectivo.

· Control 43: El Analista de Contabilidad Corporativa concilia los saldos de los auxiliares
versus la Contabilidad General para establecer diferencias. El diseño del control fue
catalogado como inefectivo debido a que el mismo no esta siendo ejecutado.

· Control 50: El Contador de Ajustes por Inflación mensualmente verifica los estados
financieros y los reportes incluidos en el Reporting Package. De acuerdo al Contador
Corporativo, este control no es ejecutado por el Contador de Ajustes por Inflación.

De esta manera se tiene que 8 de los 54 controles evaluados presentan un diseño infectivo, es
decir, 15% de los controles no están mitigando realmente los riesgos asociados. Este es un
porcentaje significativo tomando en cuenta las consecuencias que puede generar sobre los estados
financieros.

La razón principal por la cual estos controles fueron calificados como inefectivos es un déficit en
el diseño y comunicación de la segregación de funciones. En primer lugar, aproximadamente la
mitad de los controles calificados como inefectivos está siendo ejecutado de manera similar en
otro control, es decir, durante la fase de levantamiento de información ambos controles no fueron
documentados correctamente, pero esto es una consecuencia directa de que el personal no conoce
realmente sus funciones y dos personas en cargos distintos pueden haber dicho que ejecutan un
 - 41 -

control similar, o, dos personas en un mismo cargo pueden interpretar el control de maneras
distintas; en cualquiera de los dos casos se pudieron haber documentado dos controles a partir de
un mismo control.

Adicionalmente, la falta de comunicación de la segregación de funciones en el personal hace que

los dueños de los procesos no conozcan realmente cual son los controles que debe realizar y las
razones por las cuales deben hacerlo, generando controles que no se están ejecutando
correctamente, ya que los ejecutan a su manera.

III.1.3 Control de Calidad de los Documentos Realizados

Finalmente, para realizar el cierre de la primera fase del Proyecto de Implementación de la Ley
Sarbanes Oxley, se realizó en conjunto con la gerencia una evaluación de los documentos hasta
ahora ejecutados por el equipo de trabajo, encontrando que cada integrante debía revisar dentro
de su trabajo la metodología empleada para documentar los controles y los riesgos.

III.1.3.1 Resultados de la evaluación por parte de la Gerencia

En primer lugar se encontró que no todos los riesgos habían sido definidos, así como que en
muchos casos el Modelo Normativo no se había utilizado correctamente como punto de partida.
Adicionalmente, algunos de los controles identificados no mitigaban efectivamente el riesgo o
lo mitigan parcialmente y no existe un control que lo complemente. Para poder remediar ambas
situaciones se revisó el mapeo de riesgos y controles para todos los procesos, tomando como
base el Modelo Normativo como se explica más adelante.

Con respecto a los controles, se observaron deficiencias en la redacción de los mismos, ya que
la misma en repetidas ocasiones genera ambigüedades. De esta manera se evaluará para
asegurar que la redacción de cada control por sí sola responda las preguntas “quien, que,
cuando y como”. Adicionalmente, se encontró la necesidad de analizar los controles claves y no
claves, así como cerciorar que los controles no existentes sean identificados como brechas.
 - 42 -

En primer lugar se revisaron cada uno de los controles de la siguiente manera: primero se
verificó si los controles existentes estuvieran redactados de tal manera de que indicaran quien
realiza la acción, que ejecuta, con que frecuencia lo hace y como lo elabora. En algunos casos
fue necesario remitirse al Diagrama de Flujo o al propio dueño del proceso para poder
completar la redacción del control. A medida que se revisaba la completitud del control, se
verificó si el mismo debía o no ser clave. Posteriormente, se revisó el mapeo de riesgos y
controles y a medida que se desarrollaban estas actividades, se verificó la existencia de todos
los controles necesarios, en caso de alguna deficiencia se redactó la brecha respectiva.

III.1.3.2 Revisión de los controles existentes

Tomando en cuenta los comentarios antes mencionados, se revisaron todos los controles que se
tenían, encontrando la necesidad de realizar los cambios que se muestran a continuación.

El primer cambio se produjo entre los controles 1 y 2, los cuales fueron fusionados debido a la
similitud presente entre ellos, manteniendo el número de control 1 e indicando que “únicamente
el Contador Corporativo esta autorizado para aprobar cambios, adiciones y eliminaciones al
código de cuentas en el Sistema Oracle. El/ella debe procesar únicamente las solicitudes del
Contador Regional, Asistente de Contabilidad Regional, Analista de Contabilidad Corporativa
y el Asistente de Contabilidad Corporativa.”

Los siguientes seis controles se mantuvieron sin cambios, a excepción del número de
referencia, el cual, como consecuencia de la fusión de los dos primeros, se disminuyó en uno,
es decir, el control 3 ahora es 2. Este cambio de la numeración se mantuvo hasta el antiguo
control 8, ya que en su lugar se agregó un control.

El nuevo control 8 indica que “Todas las modificaciones en la tasa de cambio son registradas
por el Administrador de Oracle y aprobadas por el Departamento de Tesorería a través de un
correo electrónico”. Este control fue omitido durante el levantamiento del proceso debido al
control de cambio que aplica en Venezuela desde el año 2003. Sin embargo, es importante que
el mismo sea incluido para evaluar su operatividad en el momento en que la tasa de cambio fue
modificada (Marzo 2005), así como que quede documentado para el momento en que culmine
 - 43 -

el control de cambio. Finalmente, fue necesario solicitar la evidencia correspondiente para

documentar este control en el “Recorrido”, obteniendo una impresión de pantalla donde se
evidencia la persona que ejecutó el cambio en la tasa, así un correo electrónico enviado por el
Banco a todos los Departamentos, incluyendo el de Tesorería.

Los siguientes trece controles se mantuvieron sin cambios y la siguiente modificación realizada
fue la fusión de los controles 22 y 23. Debido a modificaciones en el proceso de Compras, estos
controles fueron unidos y modificados para generar el siguiente control: “El Gerente de Oficina
de la Sucursal mensualmente concilia el inventario de materiales en cilindros, comparando el
inventario del cierre del mes versus el Reporte de Inventario generado de Kardex. Los
siguientes documentos son utilizados: Formato de Inventario y Archivo Master de Materiales
(SACS)”. Es importante señalar que para esta modificación no fue necesario solicitar nueva
evidencia ya que este control se encuentra referenciado al proceso de compras. Como
consecuencia de esta unión, se diminuyó en una unidad la numeración de cada uno controles
posteriores.

El siguiente cambio realizado comprendía a los controles 41 y 42, numeración original. Debido
a su similitud, ambos controles fueron fusionados, resultando: “Una vez al año, el Plan de
Presupuesto Anual es aprobado por el Comité de Presupuestos y enviado al Presidente de la
Compañía para su presentación y posterior aprobación de Oficina de Dirección de Proyectos.
Esta aprobación es recibida a través de un correo electrónico”. Este cambio no generó
modificaciones en la documentación del “Recorrido”, sin embargo, nuevamente la numeración
de los controles siguientes será modificada.

Continuando con el mapeo de riesgos y el estudio de los controles, la siguiente modificación se

produjo en los controles 43 y 44, numeración original, los cuales fueron unidos con el control
29, ahora 28, obteniendo: El Analista de Contabilidad Corporativa mensualmente realiza la
conciliación del Auxiliar de Cuentas por Pagar versus el Libro Mayor. El/ella analiza las
partidas abiertas en el módulo de cuentas por pagar, 15 días después del cierre. Este cambio no
genera variaciones en el “Recorrido”, mas afecta la numeración de los controles siguientes.

El último cambio que se realizó fue la unión de los controles 49 y 50, numeración antigua, para
generar el siguiente control: “El Coordinador de Presupuesto mensualmente verifica a través de
 - 44 -

un correo electrónico enviado por la Gerencia de Contabilidad Corporativa que las cifras
financieras a ser utilizadas en el Reporting Package son las finales”. Esta modificación no
generó cambios en el “Recorrido”, únicamente afecta la numeración de los controles siguientes.

Por último, el “Recorrido” fue actualizado basado en los cambios realizados a los controles,
para lo cual: se borraron los controles que fueron eliminados y/o fusionados, se agregó el
control 08 y se sustituyó la redacción de todos los controles. Se realizó para cada uno de los
controles con la finalidad de asegurar la constancia de la información entre los diferentes
documentos que incluye en proyecto, ya que durante la ejecución del mapeo algunas palabras
de los controles fueron modificadas y/o reorganizadas.

A nivel de la evaluación de la importancia de los controles, se tiene que 82% de los controles
pasó a ser clave dentro del proceso, a diferencia del 50% que se tenía antes de realizar esta
actividad, tal y como se muestra en la siguiente figura.

45
40
35
30
25
20
15
10
5
0
Antes de la Después de la
evaluación evaluación

Controles Claves Controles no Claves

Figura 5.- Relación de Controles claves y no claves antes y después del control de calidad

La principal razón de estas modificaciones fue que originalmente no se evaluaron la totalidad

de las consecuencias sobre los estados financieros en caso de que el control no estuviese
operando. Es importante señalar que el Proceso de Cierre de Estados Financieros, como ya se
ha mencionado, es uno de los más importantes en un proyecto de implementación de SOX 404,
por lo tanto es razonable que la mayoría de sus controles sean claves.
 - 45 -

La segunda variación importante afecta la numeración de los controles, a continuación se

muestra una tabla donde se observan los resultados principales de la actividad, tanto a nivel de
numeración como a nivel de evaluación. La tabla muestra el número que tenía el control antes
de la actividad (“Número de Control Original”), esta numeración fue la que se utilizó durante el
levantamiento del “Recorrido”. A continuación la tabla muestra la nueva numeración de cada
control, así como la comparación entre aquellos que originalmente eran claves y los que lo
serán a partir de esta actividad.

El anexo 01 muestra los controles obtenidos para el proceso de cierre financiero, los cuales se
encuentran representados tanto ahí como en el Diagrama de Flujo como triángulos. La
diferencia de color representa la importancia del control, es decir, un triangulo azul representa
un control clave, mientras que un triángula blanco un control no clave.

Tabla 3.- Modificaciones en los controles del Proceso

Número de Control ¿Es clave según el ¿Es clave luego de
Nueva Numeración
Original diseño original? la revisión?
1 1 N S
2 1 N
3 2 N S
4 3 N S
5 4 N N
6 5 S S
7 6 N S
8 7 S S
8 S
9 9 S S
10 10 S S
11 11 S S
12 12 N N
13 13 S S
14 14 N N
15 15 N N
16 16 N S
17 17 N S
18 18 S S
19 19 S S
20 20 N N
21 21 S S
22 22 S S
23 22 S
24 23 S S
25 24 S S
26 25 N S
27 26 S S
28 27 S S
29 28 N S
30 29 S S
31 30 N S
32 31 N S
 - 46 -

33 32 S S
34 33 S S
35 34 N N
36 35 N N
37 36 S S
38 37 N S
39 38 S S
40 39 N S
41 39 S
42 40 N S
43 28 N
44 28 S
45 41 N S
46 42 S N
47 43 S S
48 44 S S
49 45 N S
50 45 N
51 46 S S
52 47 N S
53 48 N S
54 49 N N
50 S

A continuación se resume puntualmente los resultados hasta ahora obtenidos, puede observarse
que una población original de 54 controles se convirtió en 50 luego de diversas fusiones.
Igualmente, se presenta la relación de controles efectivos e inefectivos basado en el estudio del
diseño elaborado durante el “Recorrido”. Es importante señalar que únicamente serán probados
aquellos controles claves con diseño efectivo.

Diseño Diseño
Total
efectivo inefectivo

· Resultados obtenidos en el “Recorrido” 46 8 54

· Se fusionaros tres de los ocho controles

inefectivos con controles cuyo diseño fue - 3
catalogado de efectivo 46 5 51

· Se unieron tres controles en uno, de los cuales - 1 - 1

dos eran efectivos y uno era inefectivo 45 4 49

· Finalmente, un par de controles efectivos fue - 1

fusionado 44 4 48

· Se agregaron dos controles con diseño efectivo al + 2

proceso 46 4 50
 - 47 -

Finalmente, a partir de la tabla 2 se conoce que el proceso presenta en definitiva 41 controles

claves, de los cuales cinco serán probados en el proceso de Compras. Adicionalmente, se tiene
que tres de estos controles claves resultaron tener un diseño inefectivo, por lo tanto en la fase
de pruebas serán probados 33 controles.

Es importante recordar que originalmente se relacionaron siete controles al proceso de

Compras, sin embargo, uno de ellos resultó con diseño inefectivo y otros dos fueron
fusionados, por esta razón sólo cinco afectan la totalidad de controles a probar.

III.1.3.3 Revisión del Mapeo de Riesgos y Controles

A continuación, se realizó una revisión del mapeo de riesgos y controles que fue ejecutado
durante el levantamiento de la información. Es importante señalar que los riesgos pueden estar
redactados tanto en forma negativa: “No todos los asientos registrados corresponden a
transacciones efectuadas y válidas”; como de forma positiva: “Los asientos registrados
corresponden a transacciones efectuadas y válidas”, esta última fue la solicitada por el cliente.

Una vez definidos todos los riesgos asociados al subproceso, se evaluó cada uno de ellos con la
finalidad de determinar cuál/cuáles de las siete aserciones puede afectar. Finalmente, se
procedió a evaluar la mitigación de los riesgos por parte de los controles presentes en el
subproceso respectivo. Para afirmar que un control mitiga un riesgo se observan las aserciones
relacionadas a ese riesgo y se verifica que el control efectivamente es capaz de mitigar cada una
de ellas.

Para ello se utilizó el Modelo Normativo que se encuentra en una base de datos clasificada
según la actividad y tipo de la empresa. Por ejemplo, para el caso en estudio, las actividades
realizadas por el cliente se encuentran dentro de la clasificación Energía, Aguas Abajo, debido
a que la principal actividad de la empresa es la distribución, almacenamiento y venta de Gas
Licuado a todo tipo de clientes, comerciales, residenciales e industriales.

Una vez definida la clasificación, se utilizó el Modelo Normativo correspondiente. Esta se

encuentra en un archivo de Excel, donde la primera hoja de trabajo presenta la Tabla de
 - 48 -

Contenido que indica los diferentes procesos de la clasificación junto al número de hoja de
trabajo en que se encuentra, y a continuación se tiene cada hoja de trabajo enumerada.

Posteriormente, cada miembro del equipo se encargó de evaluar su proceso en esta matriz, para
ello fue necesario dirigirse a la hoja de trabajo correspondiente, donde encontraría en la parte
superior los sectores de la industria a la cual corresponde este proceso, el nombre del proceso y
el tipo de transacción. Al lado de esta información se observa un ejemplo de las cuentas
significativas afectadas por el proceso. En la parte inferior se encuentra la matriz, a la izquierda
de ésta están los ejemplo de preguntas “qué puede fallar”, las cuales representan posibles
riesgos del proceso. En la parte superior derecha de la matriz se encuentran ejemplos de
controles característicos del proceso. Finalmente, las celdas internas de la matriz están
completadas de acuerdo a la identificación de controles considerando las preguntas “que puede
fallar”. Adicionalmente, las posiciones donde se consideró que un riesgo mitigara un control
fueron completadas con las iniciales del tipo de control: P (Manual-Preventivo), D (Manual-
Detectivo), IT (IT Manual-Dependiente) y A (Aplicación).

Es importante señalar que este tipo de Normativas se ha construido de acuerdo a varios

modelos de compañías, sin embargo al momento de aplicarlo a la empresa se tomó en cuenta
que existen una serie de riesgos adicionales provocados por el modo de operar del Cliente,
donde la mayoría de los controles son del tipo manual.

Es importante señalar que originalmente el Mapeo de Riesgos y Controles se encontraba

distribuido por subproceso. Sin embargo, esto fue cambiado y durante esta revisión del mapeo
se colocaron los riesgos de manera continua con sus controles respectivos. Este cambio se debe
a que la distribución de riesgos por subproceso ya se encuentra en las primeras páginas y en
muchos casos los riesgos se repiten entre ellos, lo que genera una redundancia de información,
tanto a nivel de la correspondencia de riesgos y controles como en el mapeo propiamente, ya
que cada riesgo se repetía tantas veces como subprocesos a los cuales estaba relacionado.

III.1.3.4 Resultados del Mapeo de Riesgos y Controles del Proceso de Cierre de Estados
Financieros
 - 49 -

Los resultados generales de la revisión del mapeo de riesgos y controles para el Proceso de
Cierre de Estados Financieros pueden observarse en el Anexo # 02. A continuación se
presentan lo más significativo de estos resultados, así como las actividades particulares de este
proceso que debieron ser ejecutadas para llevar a cabo este mapeo o asociación de riesgos y
controles.

Como ya se mencionó, para la ejecución de la revisión se tomó el Modelo Normativo

correspondiente a Energy, Downstream, sin embargo, este documento es propiedad
confidencial de Ernst&Young, por lo tanto no puede presentarse. No obstante, a continuación
se presentan los principales resultados de la revisión del mapeo y la comparación del mismo
con el Modelo Normativo.

Antes de comenzar a evaluar el Modelo Normativo es importante resaltar que se revisaron

detenidamente cada uno de los riesgos documentados por el equipo encargado de levantar la
información para este proceso. Se encontró en seis oportunidades que dos o más riesgos podían
ser unidos ya que la información que presentaban era muy similar, lo que generaba que
afectaran de igual manera los objetivos de la empresa y que los controles que los mitigaran
fueran los mismos.

Adicionalmente, se encontró un riesgo con información muy compleja y con afirmaciones

separadas que afectaban de manera diferente a los objetivos de la empresa y que,
consecuentemente, los controles que lo mitigaban se basaban en hechos distintos. Este riesgo
fue separado en dos.

Se conoce que los principales riesgos que usualmente existen en el Proceso de Cierre de
Estados Financieros son los siguientes:

1. Los eventos rutinarios y no rutinarios son debidamente posteados.

2. El Sistema calcula correctamente totales y subtotales.

3. Asientos contables duplicados o ficticios no son posteados.
4. Asientos correspondientes a ajustes y eliminaciones son ejecutados por el monto
correcto.
5. La data en el auxiliar es transferida al libro mayor correctamente.
 - 50 -

6. Los registros contables son posteados en las cuentas contables adecuadas.

7. Las revelaciones de los Estados Financieros requeridas por el USGAAP son realizadas.
8. Los estados financieros son exactos.
9. El Balance de Comprobación y el Estado Financiero concilian.
10. Todos los derechos y obligaciones de la Compañía están debidamente reflejados en los
Estados Financieros.

Para evaluar los riesgos generales del Proceso de Cierre de Estados Financieros, así como los
particulares de cada subproceso, se tomaron los riesgos anteriores junto con los otros 37
documentados en la fase inicial, y modificados anteriormente.

A continuación, se verificó que cada uno de los riesgos antes mencionados estuvieran
representados al menos una vez en el nuevo listado de riesgos. Encontrando la necesidad de
agregar los siguientes diez riesgos:

Tabla 4.- Riesgos agregados luego de la revisión del mapeo de Riesgos y Controles

13 Los asientos contables son autorizados por el personal adecuado.

Todos los asientos contables necesarios son posteados en el período

14
contable correcto, aprovisionados y registrados en su totalidad.
El Sistema restringe apropiadamente el acceso para registrar y postear
15
asientos contables.
Las conciliaciones para cuentas significativas son ejecutadas
19
oportunamente y revisadas apropiadamente
Los ajustes contables necesarios son identificados y registrados
21
oportunamente
Los saldos en las cuentas transitorias son regularizados oportunamente a
22
la apropiada cuenta del Mayor General.
Todas las fuentes de información de eventos y transacciones son
28
identificadas y capturadas.
Sólo personal autorizado tiene la capacidad de abrir períodos, una vez
31
que éstos han sido cerrados
Las actividades intercompañía son identificadas apropiadamente y
32
consolidadas
Los reportes de forecast y flujo de efectivo son apropiadamente
37
revisados y aprobados.
 - 51 -

Es importante señalar que los riesgos anteriores presentan la numeración definitiva, la cual fue
colocada una vez definidos todos los riesgos a agregar y luego de ubicar cada uno en los
subprocesos correspondientes.

Los riesgos antes mencionados fueron agregados para asegurar la completitud de los que se
encuentran en el Modelo Normativo. Es importante señalar que los mismos no se encuentran
redactados exactamente igual a éste debido a que ya existían algunos riesgos similares. Sin
embargo, no se encontraban en su totalidad y no podían ser agregados a los existentes ya que
eran mitigados con controles diferentes.

A continuación se presentan las principales actividades que modificaron la totalidad de riesgos

en el Proceso de Cierre de Estados Financieros, así como la cantidad definitiva que será
manejada a lo largo del proyecto.

Número de
Riesgos

· Riesgos documentados durante el levantamiento de la información 38

· Se fusionaron seis de los riesgos existentes por similitud entre sus - 6
redacciones 32
+ 1
· Se dividió un riesgo por la completitud de se redacción 33

· Luego de la comparación con el Modelo Normativo, se agregaron diez + 10

riesgos 43
Una vez definida la totalidad de riesgos presentes en el Proceso de Cierre de Estados
Financieros, se procedió a revisar el mapeo existente y a evaluar los controles que podrían
mitigar tanto los riesgos agregados como los anteriores. Como ya se mencionó, este mapeo
puede encontrarse en el Anexo 02. Al momento de realizar esta evaluación se encontró la
carencia de cuatro controles claves para mitigar seis riesgos. De esta manera se agregaron
cuatro brechas al proceso, y se ubicaron en el Diagrama de Flujo en aquellos lugares donde el
control ha debido operar.

La primera brecha agregada se referencia a los riesgos 13, 14, 15, 21 y 22 e indica que “No
existe seguridad de que los asientos contables sean posteados correctamente”. El siguiente fue
 - 52 -

el riesgo 17, para el cual se agregó la siguiente fisura: “No existe seguridad de que las cuentas
de Nómina sean registradas correctamente en los Estados Financieros”.

A continuación, fue necesario agregar una brecha en los riesgos 21 y 28 indicando que “No se
evidencia suficiente de la revisión, y autorización de ajustes y reclasificaciones, producto de
análisis y conciliaciones de cuentas mensuales”.

El riesgo 31 presentó una deficiencia que generó la siguiente brecha: “No existe seguridad de
las autorizaciones para reabrir un período contable por parte del Contador Corporativo, lo que
genera que puedan existir asientos contables posteados en períodos contables erróneos”.

Finalmente, se tiene un total de 43 riesgos presentes en todo el Proceso de Cierre de Estados

Financieros, junto con 12 brechas que aumentan la probabilidad de que estos riesgos
efectivamente afecten los objetivos de la empresa.

Esta cantidad de brechas se considera elevada tomando en cuenta los efectos que pueda generar
en los estados financieros. La totalidad de estas fisuras se debe a ausencias de controles claves
en el proceso que disminuyan la probabilidad de ocurrencia de un riesgo. Como ya se ha
mencionado, esta ausencia de controles se debe principalmente a problemas en la segregación
de funciones dentro de la compañía.

III.1.4 Documentación de la Información en la Matriz de Criterios de Evaluación de

Riesgos

Los resultados de todo el Proyecto se documentan en la Matriz de Criterios de Evaluación de

Riesgos, la cual es ejecutada por proceso e incluye cada una de las fases del proyecto, un
ejemplo de ella puede observarse en el Anexo # 03. A lo largo de todo el trabajo se hará
referencia ala RACM colocando los nombres de las columnas en español y entre paréntesis los
nombres que se observan en la Matriz los cuales se encuentran en ingles.
 - 53 -

III.1.4.1 Descripción de la Matriz de Criterios de Evaluación de Riesgos

La Matriz de Criterios de Evaluación de Riesgos, RACM por sus siglas en inglés, es una
herramienta utilizada para la documentación final de los procesos que fueron estudiados
durante el proyecto. Consiste en una hoja de Excel clasificada según los subprocesos que
conforman el proceso y estructurada en base a los controles que mitigan los diferentes riesgos.
De esta manera, el RACM consolida los resultados obtenidos hasta el momento, así como los
que se obtendrán en la fase de pruebas y remediación, para cada uno de los riegos y controles
presentados en cada subproceso.

El RACM se encuentra clasificado por columnas y la información se documenta

progresivamente en las filas inferiores. La primera línea del RACM clasifica de manera general
las columnas antes mencionadas e incluye: Subprocesos, Riesgos, Afirmaciones, Controles,
Pruebas y Remediaciones. A continuación cada una de estas clasificaciones se subdivide para
generar el conjunto de información que será llenado con los resultados obtenidos a lo largo del
proceso.

La primera de estas clasificaciones, Subprocesos, incluye el nombre del subproceso así como el
dueño del mismo. Mientras que la segunda presenta el riesgo que esta siendo mitigado por el
control junto con el número que fue asignado en el Diagrama de Flujo. Debido a que un
subproceso incluye más de un riesgo y éstos, a su vez, pueden estar presente en más de un
subproceso o pueden ser mitigados por más de un control, ambos, tanto los subprocesos como
los riesgos, pueden repetirse a lo largo de RACM.

Afirmaciones comprende tanto cuentas significativas como las afirmaciones en sí. En la

primera columna se documentan las principales cuentas significativas afectadas por el
subproceso, para completar esta información se utiliza la Matriz de Cuentas Significativas y
Procesos para el caso de una compañía Energética - Aguas Abajo, disponible en la base de
datos de Ernst & Young.

En las siguientes siete columnas, se tienen las siete clases de afirmaciones identificadas en la
Declaración de Estándares de Auditoria: Existencia, Ocurrencia, Valoración, Medición,
Completitud, Derechos y Obligaciones y, finalmente, Presentación y Divulgación. Estas
 - 54 -

columnas serán completadas con una X considerando si el riesgo respectivo afecta la

afirmación.

Para el caso de la cuarta clasificación, Controles, es necesario colocar la redacción del control
junto con el número asignado en el Diagrama de Flujo. Adicionalmente, el cargo del encargado
de ejecutar el control o dueño del control, la frecuencia con la cual se ejecuta, el componente
COSO al cual corresponde el control, el tipo de control, si el mismo es o no clave, su fecha de
implementación (en caso de que fuese menor a 12 meses) y, finalmente, la evaluación de la
efectividad del diseño del control. Igualmente un control puede presentarse más de una vez a lo
largo del RACM ya que puede ejecutarse en dos o más subprocesos mitigando dos o más
riesgos.

La quinta y sexta clasificación serán completadas a medida que se realice la fase de pruebas. La
división Pruebas incluyen el número, descripción y tipo de la prueba, las condiciones de falla,
sistemas utilizados en la prueba, suposiciones, descripción de la población que será utilizada en
la ejecución de la prueba, fecha de inicio y de culminación del período de prueba, tamaño de la
muestra, método de selección de la muestra, ejecutor de la prueba, fecha de ejecución,
descripción de los resultados de la prueba, cantidad de muestras fallidas, el resultado de la
prueba (fallido, exitoso) y, finalmente, referencia a los papeles de trabajo utilizados.

La clasificación Remediación incluye todo lo referente a las brechas identificadas tanto a lo

largo del levantamiento de la información como durante la fase de pruebas, incluye la
referencia de la brecha, la persona y la fecha en que fue identificada, una breve descripción, el
detalle de la brecha y si está o no relacionada con Tecnología de Información. Adicionalmente,
contiene la probabilidad de ocurrencia, la magnitud del asunto, prioridad, el plan de
remediación (a corto y largo plazo), la persona responsable, fecha de inicio, fecha objetivo de
culminación, porcentaje de culminación, estatus de remediación y, una vez completado, fecha
del próximo control de ocurrencia.
 - 55 -

III.1.4.2 Documentación de los Riesgos y Controles en el RACM

Dado que el RACM es una matriz que concentra toda la información y resultados obtenidos
durante el Proyecto, su documentación incluye actividades en cada una de las fases. En primer
lugar, con la información que ya se tiene, es posible completar toda la información referente a
los subprocesos, riesgos y controles. A continuación, se realizará el diseño de pruebas y,
finalmente, una vez que éstas se hayan ejecutado se documentarán los resultados en las celdas
correspondientes.

De esta manera, para la realizar el RACM se tomó el primer subproceso del Mapeo de Riesgos
y Controles y se rellenó la primera celda del RACM. Para continuar, se colocaron en la celda
siguiente los respectivos dueños de cada subproceso, los cuales se obtuvieron a partir de un
documento suministrado por el Cliente donde se especificaban cada uno de los diferentes
cargos de la compañía junto con sus respectivos roles.

Posteriormente, se tomó el primer riesgo junto con su respectivo número y se copiaron en la

tercera y cuarta columna del RACM. Las siguientes columnas referentes a las cuentas
significativas afectadas así como las cinco afirmaciones se completaron con la Matriz de
Cuentas Significativas y Procesos, así como con la evaluación de la influencia del riesgo en la
afirmación.

Finalmente, para cada control del riesgo, se copió del Diagrama de Flujo la descripción, el
número y si éste era clave. El dueño del control, la frecuencia del mismo, el Componente
COSO, el tipo de control y el método fueron extraídos de la redacción del control. Mientras que
su efectividad se obtuvo luego de la ejecución del “Recorrido”. Cabe resaltar que en ninguno de
los casos fue necesario especificar la Implementación del Control ya que todos los controles
han sido ejecutados en la Compañía por más de doce meses.

De esta manera se completaron todos los controles del primer riesgo, manteniendo las primeras
12 celdas iguales para cada uno de ellos. Los siguientes riesgos se realizaron de la misma
manera, manteniendo toda la información referente al subproceso permanente. A continuación
se realizaron el resto de los subprocesos siguiendo la misma metodología.
 - 56 -

Para el caso del Proceso de Cierre de Estados Financieros, las primeras tres divisiones del
RACM fueron completadas durante la fase de documentación de los procesos. Una vez
revisados cada uno de los procesos por el Gerente del Proyecto se realizaron las correcciones
necesarias.

Sin embargo, durante las actividades de Mapeo de Riesgos y Controles se generaron cambios
significativos en el proceso de Cierre de Estados Financieros. Estos cambios afectan
directamente al RACM, considerando que este se encuentra organizado en base a los controles
y los riesgos que éstos mitigan.

De esta manera, antes de comenzar a realizar los cambios respectivos dentro del RACM se
evaluaron tanto la alternativa de realizarlo nuevamente, como la de ejecutar las modificaciones
sobre el RACM existente.

La primera de ellas implicaba borrar todo el RACM y completar uno a uno los pasos antes
descritos. Si bien es cierto que esta alternativa podría considerarse como una tarea que
implicaría desechar un trabajo que ya se realizó, haciéndolo nuevamente se asegura la
consistencia entre la versión original del mapeo y las modificaciones que se le hicieron, así
como entre los diferentes documentos ejecutados en el Proyecto. La segunda alternativa podría
verse como un ahorro de tiempo y trabajo, ya que la mayoría de los controles presentan la
información completa en los respectivos riesgos que mitigan. Sin embargo, tomando en cuenta
que durante el mapeo de controles la mayoría de los riesgos fue modificado y que los controles
fueron cambiados tanto en su numeración como en su calificación, el tiempo invertido en
modificar cada uno de ellos aunado al tiempo necesario para garantizar la homogeneidad de la
información sería equivalente a realizar de nuevo el RACM completo. De esta manera se
comenzó nuevamente a realizar el RACM del Proceso de Cierre de Estados Financieros,
siguiendo los pasos antes descritos.

III.2 FASE DE PRUEBAS

Una vez culminada la fase de documentación de los procesos, se procede a ejecutar la fase de
pruebas, en la que se evalúa la operatividad de los controles claves y con diseño efectivo
 - 57 -

durante un periodo determinado, finalmente, se documentan estos resultados en base a los

estándares dictados por el Cliente.

III.2.1 Breve reseña de la Metodología de Pruebas de acuerdo a SOX

Con la completitud de la información de los controles en el RACM se culmina la fase de

documentación y se comienza la Fase de Pruebas. De acuerdo a la Metodología de pruebas de
SOX, esta fase puede dividirse en cuatro de actividades principales como se muestra a
continuación:

· Creación de un Diseño de Prueba: incluye el desarrollo de un borrador para el diseño

de prueba y procedimientos, así como la revisión y aprobación del plan de prueba.

· Recolección de la Evidencia: comprende las actividades necesarias para determinar la

accesibilidad de la evidencia, definir las poblaciones y seleccionar el tamaño de la
muestra y coordinar la recolección de la evidencia.

· Ejecución del Plan de Prueba: encierra todo lo referente a la ejecución de las pruebas,
incluyendo la validación de las conclusiones, así como la documentación y reporte de
los resultados.

· Aseguramiento de la calidad: implica el cumplimiento de las estándares de calidad, la

revisión del progreso y calidad del trabajo, así como la conducción de revisiones de
calidad.

III.2.2 Creación de un Plan de Pruebas

La Creación de un Diseño de Pruebas representa la primera etapa de la última fase del proyecto
y por lo tanto la calidad de su ejecución afecta directamente el resto del trabajo. La base
fundamental del Diseño de Pruebas es la RACM, generando para cada proceso un plan aplicado
únicamente a los controles claves.

En primer lugar se completará el Diseño de Pruebas para aquellos controles claves donde el
diseño resultó ser efectivo. Mientras que aquellos controles con diseño inefectivo el diseño de
pruebas será ejecutado una vez culminada la remediación de los mismos.
 - 58 -

Para comenzar, con la finalidad de obtener aquellos controles que formaran parte del Diseño de
Pruebas se filtró la RACM en las columnas denominadas Control Clave (Key Control Y/N)
(Control Clave SI/NO) y Evaluación de la Efectividad del Diseño del Control (Control Design
Effectiveness Assessment). Antes de comenzar el desarrollo de los Diseños de Pruebas, se
verificó la completitud de la información en las restantes columnas: Subproceso, Riesgos,
Aserciones y secciones del control, además se comparó con el “Recorrido” el resultado de la
evaluación de la efectividad del diseño. Es importante señalar que para aquellos controles que
se encuentran más de una vez en el RACM sólo se realizó un Diseño de Pruebas, el cual fue
repetido en los otros.

A continuación, para cada control clave cuyo diseño fue calificado como efectivo, se
completaron las siguientes columnas de la RACM:

· Número de Prueba (Test Number): Los números de las pruebas se enumeraron de

manera secuencial; para aquellos casos donde debió ejecutarse más de una prueba en un
control, se insertó una fila en el RACM debajo del control que estaba siendo probado y
se documentaron las primeras columnas con la misma información, hasta llegar a esta
columna donde se asignó el número siguiente de control.

· Descripción de los Pasos de la Prueba (Test Step Description): En esta columna se

documentaron los procedimientos necesarios para ejecutar la prueba, tomando en
cuenda las actividades que se deben realizar y los sistemas o documentos que serán
utilizados. El diseño de esta metodología se realizó considerando que el mismo
demostrara la mitigación del riesgo por parte del control para las aserciones afectadas.

· Tipo de Prueba (Test Type): Una vez desarrollado el diseño de la prueba, se determinó
el tipo de prueba a realizar: Inquisición (preguntando al dueño del proceso sobre la
operación del control); Observación (revisando documentación del control relevante);
Inspección (observando la operación del control en tiempo real) y Re-ejecución
(realizando la operación del control utilizando transacciones seleccionadas).

· Condiciones de Falla (Failure Conditions): Se describió las condiciones en las cuales la

prueba fallaría.
 - 59 -

· Sistema Asociado (System Involved): Se documentó si algún sistema es utilizado en la

ejecución del control y/o en la obtención de la documentación soporte del mismo.

· Aseveraciones (Assumptions): Se describieron las suposiciones que el equipo realizó

para desarrollar el procedimiento de la prueba.

III.2.3 Diseños de pruebas del Proceso de Cierre de Estados Financieros

Antes de comenzar a desarrollar los Diseños de Pruebas es importante recordar que el Proceso
de Cierre de Estados Financieros cuenta con 50 controles, de los cuales 41 fueron calificados
como claves y de éstos, tres resultaron inefectivos durante la evaluación del diseño y otros 5
fueron referenciados al proceso de compras. Obteniendo así un total de 33 controles claves y
efectivos a los cuales es necesario diseñar, ejecutar y documentar un plan de pruebas. Cabe
resaltar que la totalidad de las pruebas a realizar son tipo inspección.

El primer control es el único dentro de todo el proyecto para el cual fue necesario desarrollar
dos diseños de pruebas separados. El primero de ellos (Prueba 1) establece el siguiente
procedimiento de inspección: “Verificar con la lista de acceso de Oracle que sólo el Contador
Corporativo esta autorizado para aprobar cambios, adiciones y eliminaciones en el código de
cuentas”, las condiciones de falla pueden ocurrir si no sólo el Contador Corporativo esta
autorizado para aprobar cambios, adiciones o eliminaciones en el código de cuentas.

El segundo diseño de pruebas estipula verificar que el Contador Corporativo ha autorizado los
cambios, adiciones y eliminaciones en el código de cuentas, así como verificar que todas las
creaciones o eliminaciones de cuentas son procesadas por el contador Corporativo y solicitadas
a través de un correo electrónico por el Asistente de Contabilidad Regional, Analista de
Contabilidad Corporativa o Asistente de Contabilidad Corporativa. Las condiciones de falla
para esta prueba de inspección se producen si alguna modificación en el código de cuentas no
está soportada con la aprobación y/o el correo electrónico donde alguno de los asistentes o
analistas de contabilidad la solicita.

El siguiente diseño de prueba fue desarrollado para probar el control 02, los pasos a seguir
durante esta prueba son: “Verificar que los Balances de Comprobación del mes en curso y el
 - 60 -

mes anterior presenten evidencia de una comparación, adicionalmente, verificar que las cuentas
que debieron ser analizadas debido a su naturaleza fueron resaltadas”. Esta prueba falla en caso
de que cualquiera de los Balances de Comprobación no presente evidencias de comparación y/o
que las cuentas que debieron ser analizadas no se encuentren resaltadas.

El diseño de prueba 04 para el control 03 indica: “Verificar que el Contador de la Región

prepara la lista de las cuentas a ser manualmente registradas, así como verificar que estas
cuentas fueron registradas oportunamente mediante una comparación entre el día de
preparación de la lista y el día cuando fue registrado en el Sistema Oracle”. Esta prueba
involucra al Sistema Oracle y falla en caso de que no exista dicha lista o que las cuentas no
fueron oportunamente registradas.

El diseño de prueba 05 corresponde al control 05 y establece “verificar que el documento de

Excel ‘Conciliaciones Intercompañía’ es mensualmente realizado y que los saldo de cuentas
por pagar y por cobrar con cada una de las compañías que consolidan con la empresa concilien,
y, en caso de diferencias, que éstas hayan sido debidamente explicadas”. Esta es una prueba no
involucra sistema alguno, y cuyas condiciones de falla se presentan en caso de que la
Conciliación Intercompañía no se haya realizado mensualmente o que las diferencias presentes
no estén debidamente explicadas.

El diseño de prueba 06 corresponde a este mismo número de control, para el cual se diseñó el
siguiente procedimiento: “Verificar que las autorizaciones de los Ajustes, Registros y
Reclasificaciones de las cuentas en el Libro Mayor del Sistema Oracle son mensualmente
efectuadas por el Contador Corporativo a través de un correo electrónico, observando,
adicionalmente, que la razón, importancia relativa y materialidad han sido consideradas dentro
de este correo”. Esta prueba involucra al Sistema Oracle dentro de su ejecución. Finalmente, la
prueba falla en caso de que no exista evidencia alguna de la autorización de los ajustes,
registros y reclasificaciones en el Libro Mayor, así como que no se hayan considerado la razón,
importancia relativa y materialidad.

Se realizó el diseño de pruebas del control 07, señalando que para probar el mismo se debe
“verificar que cada vez que la tasa de cambio sea modificada, el Contador Corporativo revisa
todos los registros realizados en las cuentas definidas como Cuenta Extranjera en el Libro
 - 61 -

Mayor, adicionalmente, verificar si existe alguna evidencia de esta revisión, así como si puede
observarse su firma y la fecha en la que fue elaborado”. Esta prueba falla en caso de que para la
muestra seleccionada no existan evidencias de la revisión realizada por el Contador
Corporativo en las Cuentas Extranjeras cada vez que la tasa de cambio sea modificada, así
como que no se observe su firma o la fecha en la que fue preparado el documento.

Siguiendo en la línea de las modificaciones en la tasa de cambio, se desarrollo el diseño de

pruebas para el control 08, indicando “verificar que todas las modificaciones en la tasa de
cambio fueron registradas por el Administrador de Oracle, luego de una aprobación por parte
del Departamento de Tesorería”. Esta prueba involucra al Sistema Oracle y falla en caso de que
las modificaciones en la tasa de cambio no sean oportunamente registradas por el
Administrador de Oracle o que éstas no presenten evidencias de la aprobación por parte del
Departamento de Tesorería.

Se realizó el diseño de prueba del control 09: “verificar la firma dejada por el Analista de
Contabilidad Corporativo una vez que realiza en Excel las conciliaciones Bancarias de las
cuentas corporativas, así como la fecha de ejecución y la conciliación con la documentación
soporte”. Esta es una prueba no tiene ningún sistema asociado y que falla en caso de que no
exista evidencia de la conciliación de cuentas corporativas realizada por el Analista o que se
observen evidencias no identificadas.

Como continuación de la prueba anterior se realizó el diseño de prueba 10, desarrollado para
probar el control 10 obteniendo el siguiente procedimiento: “verificar que cada página de la
Conciliación Bancaria de Cuentas Corporativas este firmada por el Contador Corporativo como
prueba de su revisión y aprobación”. Esta prueba falla en caso de que alguna de las pruebas de
la conciliación no se encuentre firmada por el Contador Corporativo.

El siguiente diseño de prueba concierne al control 11 y establece “verificar la evidencia dejada

por el Analista de Contabilidad Regional cuando realiza en Excel las Conciliaciones Bancarias
de las Cuentas de las Sucursales, adicionalmente debe verificarse si las mismas fueron
oportunamente realizadas y si las diferencias entre los Estados de Cuenta del Banco y el Libro
Mayor fueron identificadas y explicadas”. Esa prueba involucra al sistema Oracle y falla en
caso de que no exista evidencia de que las Conciliaciones Bancarias de las Cuentas de cada
 - 62 -

Sucursal fueron oportunamente realizadas, o en caso de que se observen diferencias no

explicadas entre la documentación soporte.

Se desarrolló el diseño de prueba 12 para el control 13, señalando “verificar que las
Conciliaciones Bancarias de las Cuentas de las Sucursales son firmadas por el Contador
Regional como prueba de su revisión y aprobación”. Esta prueba no involucra ningún sistema y
falla en caso de que no se observen evidencias de la revisión y aprobación por parte del
Contador Regional de las Conciliación Bancaria de las Cuentas de las Sucursales.

Se realizó el diseño de prueba 13 del control 14, para el cual se diseñó el siguiente
procedimiento “Verificar que todas las Conciliaciones Bancarias realizadas por los Gerentes de
Oficina de las Sucursales se encuentren firmadas por el Gerente de la Sucursal como prueba de
su revisión y aprobación”. Esta prueba no involucra ningún sistema y falla en caso de que no
pueda evidenciarse la revisión del Gerente de la Sucursal en las Conciliaciones Bancarias que
prepara el Gerente de Oficina de la misma.

Se desarrolló el diseño de pruebas del control 16 de la siguiente manera “Verificar que el

Resumen del Análisis de Antigüedad de Cuentas por Cobrar sea mensualmente preparado y
firmado por el Gerente de Oficina de la Región, así como observar si en caso de diferencia los
mismas se encuentren debidamente identificadas y explicadas”. Esta prueba falla en caso de
que el análisis no se realice, no se encuentre firmado o presente diferencias sin explicación.

El siguiente diseño de prueba se refiere al control 17, el cual señala “verificar que el Resumen
del Análisis de Antigüedad de Cuentas por Pagar es aprobado y firmado por el Gerente de la
Sucursal”. Esta prueba falla en caso de que el Resumen no se encuentre firmado por el Gerente
de la Sucursal.

Se desarrolló el diseño de pruebas para el control 18: “verificar que la Conciliación de Cuentas
por Cobrar realizada por el Analista de Contabilidad Regional sea mensualmente preparada, así
como observar que en caso de diferencias entre el auxiliar y el mayor, las mismas sean
debidamente explicadas”. Esta prueba involucra tanto al Sistema Oracle como SACS ya que a
partir de éstos se extraen los reportes que alimentarán la conciliación. La prueba falla en caso
de que no pueda evidenciarse la conciliación, o que se observen diferencias sin explicación.
 - 63 -

El diseño de la prueba 17 corresponde al control 19 e indica “verificar las evidencias de

revisión y aprobación dejadas por Contador Corporativo sobre las Conciliaciones de Cuentas
por Cobrar realizadas por el Analista de Contabilidad Regional”. Esta no involucra ningún
sistema y sus condiciones de falla se presentan en caso de que en la Conciliación de Cuentas
por Cobrar no se observen evidencias de la aprobación por parte del Contador Corporativo.

Los siguientes cuatro controles (21, 22, 23 y 24), calificados como claves y evaluados como
efectivos, fueron referenciados al proceso de compras por lo tanto no se desarrolla para ellos un
diseño de pruebas, y, consecuentemente, no se les asigna un número de prueba.

Posteriormente se realizó el diseño de pruebas 18 correspondiente al control 25 obteniendo el

siguiente procedimiento “verificar la revisión y aprobación de los Reporting Packages por parte
del Contralor Corporativo, quien deberá firmar cada página de los reportes”. Esta prueba no
involucra ningún sistema de control y falla en caso de que alguna de las páginas del reporte no
se encuentre firmada por el Contralor Operacional.

A continuación se realizó el diseño de prueba 19, referido al control 26, el cual indica “verificar
en la conciliación entre el Auxiliar de Activos Fijos y el Libro Mayor las evidencias de cuándo
fue ejecutada así como si fue realizada por el Analista de Contabilidad Corporativa,
adicionalmente verificar que si existen diferencias entre la documentación soporte, las mismas
hayan sido identificadas y aclaradas”. Esta prueba utiliza reportes del Sistema Oracle como
documentación soporte y falla en caso de que no exista evidencia de la fecha en que fue
elaborado, de la persona que lo realizó o que se observen evidencias no identificadas y/o
aclaradas.

Para continuar, se realizó el diseño de prueba 20 para el control 27 desarrollando el siguiente

procedimiento: “verificar que la Conciliación entre al Auxiliar de Inventarios y el Libro Mayor
fue ejecutada oportunamente y presenta evidencias de quien la realizó, adicionalmente,
verificar que si existen diferencias las mismas hayan sido debidamente identificadas y
explicadas”. Igual que en el caso anterior, esta es una prueba que utiliza reportes del Sistema
Oracle como documentación soporte y que falla en caso de que no exista evidencia de la fecha
en que fue elaborado, de la persona que lo realizó o que se observen evidencias no identificadas
y/o aclaradas.
 - 64 -

El siguiente diseño de pruebas fue el 21, correspondiente al control 28, e indica “verificar que
las conciliaciones de Cuentas por Pagar versus el Libro Mayor sean oportunamente realizadas
por el Contador Corporativo, así como verificar las evidencias del análisis de las partidas
pendientes en el Módulo de Cuentas por Pagar”. Este es una prueba que utiliza soportes del
Sistema Oracle durante su ejecución. Las condiciones de falla ocurren en caso de que no se
tengan evidencias del análisis preparado, los montos comparados no concilien y no existan
notas explicativas y/o no se observe el análisis de las partidas pendientes.

Se realizó el diseño de prueba 22 relacionado con el control 29, estableciendo el siguiente

procedimiento: “verificar con la lista de accesos del Sistema Oracle el personal que puede
ejecutar cambios en el código de cuentas”. Para esta prueba se ejecutará una inspección en el
sistema Oracle, y fallará en caso de que el Administrador de Oracle no sea la única persona
capaz de realizar cambios en el código de cuentas.

El pruebas correspondiente al número 23, se refiere al control 30, e indica “verificar que los
cambios ejecutados en el código de cuentas hayan sido adecuadamente mapeados en los
Estados Financieros”. Este es una prueba que requiere de un soporte de Oracle para ser
ejecutado y falla en caso de que no se observen evidencias del mapeo de las cuentas.

Posteriormente se desarrolló el diseño de prueba 24 para el control 32: “verificar si el Balance

de Comprobación ha sido trimestralmente ejecutado por el Contador Regional, observando en
el análisis la fecha y la persona que lo ejecutó, así como verificar que en caso de diferencias las
mismas fuesen identificadas y clarificadas. Adicionalmente, revisar la evidencia dejada por el
Contador Corporativo luego de su revisión y aprobación”. Esta es una prueba que no requiere
ningún sistema para ser desarrollada. Las condiciones de falla ocurren si no se observan
evidencia del Balance del Comprobación, de cuándo fue preparado, de quién lo ejecutó, o de la
revisión y aprobación del Contador Corporativo.

El siguiente diseño de prueba corresponde al control 33, señalando “verificar en el Resumen de

Antigüedad de Cuentas por Cobrar la comparación entre Oracle Financiero y los saldos de las
Sucursales, adicionalmente, observar que en caso de diferencias, las mismas hayan sido
identificadas y debidamente explicadas”. Esta es una prueba que requiere de los Sistema Oracle
y SACS para ser ejecutada. Las condiciones de falla ocurren cuando no se tiene evidencia de la
 - 65 -

comparación o si se observan diferencias entre los saldos de la documentación soporte que no

han sido identificadas o explicadas.

Se realizó el diseño de pruebas del control 36, señalando “verificar que las pruebas detalladas y
globales de las partidas no monetarias trimestralmente sean ejecutadas por el Contador de
Ajuste por Inflación”. Esta prueba falla en caso de que no se observen evidencias del análisis,
de cuando fue ejecutado o de quien lo preparó.

Se desarrolló para el control 40 el diseño de prueba 27, obteniendo el siguiente procedimiento:

“verificar que el registro de la partidas pendientes por actualizar en cada Módulo del Libro
Mayor sea diariamente ejecutado”. De esta manera se tiene una prueba donde las condiciones
de falla ocurren si se observa que los registros de partidas pendientes de actualizar no se hayan
ejecutado diariamente.

La prueba 28 corresponde al control 41 y se desarrolló de la siguiente manera: “verificar si el

análisis de razonabilidad del Estado de Ganancias y Pérdidas es mensualmente ejecutado por el
Vicepresidente de Operaciones, observando evidencias de la investigación realizada sobre de
las variaciones significativas con las Sucursales”. Las condiciones de falla se presentan en caso
de que el análisis no haya sido ejecutado oportunamente por el Vicepresidente de Operaciones,
o en caso de identificar diferencias significativas que no fueron investigadas con la sucursal
correspondiente. Esta prueba utiliza reportes de Oracle como soporte para su ejecución.

A continuación se realizó el diseño de prueba 29 para el control 43, el cual establece “verificar
si la conciliación entre los soportes de RPS y la Contabilidad General fue oportunamente
preparada por el Analista de Contabilidad, así como verificar si las diferencias fueron
identificadas y explicadas en la celda de comentarios de la hoja de trabajo”. Esta es una prueba
que falla en caso de que la conciliación no presente evidencias de que se haya preparado a
tiempo o si las diferencias no fueron identificadas y/o explicadas.

El siguiente control para el cual correspondía desarrollar un diseño de pruebas era el número
44, sin embargo, este fue referenciado al proceso de compras.

Se desarrollo el diseño de prueba 45 para el control 30, obteniendo el siguiente procedimiento:

“verificar que el Coordinador de Presupuesto para preparar los Reporting Packages utilice los
 - 66 -

cifras finales enviados por el Contador Corporativo a través de un correo electrónico donde
confirma que la información disponible en el sistema ya es la definitiva”. Esta es una prueba
que no involucra sistema alguno y que puede fallar en caso de que se observe que el
Coordinador de Presupuesto no utilizó las cifras definitivas en la ejecución del Reporting
Package.

Para continuar se realizó el diseño de prueba 31 referido al control 46, resultando el siguiente
procedimiento: “verificar que existe un Calendario de Fechas Topes para los Cierres Contables
que debe ser cumplido por las Sucursales, Regiones y Gerencias Corporativas, adicionalmente
verificar que este calendario es semanalmente monitoreado por las Gerencias de Contabilidad
Corporativa y Contraloría Operacional”. Las condiciones de falla se producen si el Calendario
de Fechas Tope para los Cierres Contables no existe o, a pesar de que existe, no se observa
evidencia del seguimiento realizado por las Gerencias de Contabilidad Corporativa y/o
Contraloría Operacional.

El diseño de prueba 32 corresponde al control 47 e indica “verificar que las creaciones o

eliminaciones de una cuenta en el Sistema Oracle son aprobadas por el Contador Corporativo e
informadas al Contralor Operacional a través de un correo electrónico”. Las condiciones de
falla de esta prueba se presentan si no se observan evidencias de la aprobación del Contador
Corporativo o del mail enviado al Contralor Operativo informado sobre la creación o
eliminación de la cuenta. Para la ejecución de esta prueba se requiere el uso del Sistema Oracle.

Se realizó el diseño de prueba 33, control 48, obteniendo como procedimiento: “verificar que
los Resúmenes de Antigüedad de Cuentas por Cobrar de Cuentas Corporativas sean
mensualmente ejecutados por el Gerente de Créditos y Cobranza, adicionalmente verificar que
estos resúmenes sean enviados al Tesorero Corporativo a través de un correo electrónico”. Esta
prueba no involucra ningún sistema de información y las condiciones de falla ocurren si los
resúmenes no han sido mensualmente ejecutados por el Gerente de Créditos y Cobranza, o sí se
han realizado mas no han sido enviados al Tesorero para su revisión.

Finalmente, se desarrolló el diseño de prueba 34 referente al control 50, estableciendo como

procedimiento “verificar que los procedimientos que definen los cierres financieros y los
procesos de reporte están claramente definidos y comunicados a lo largo de toda la compañía.
 - 67 -

Entrevistar al personal gerencial sobre las procedimientos financieros y de cierre”. Esta prueba
incluye dos de las clasificaciones estudiadas: inspección e inquisición. Las condiciones de falla
comprenden la posibilidad de que no exista un manual de procedimientos que defina los
procesos de cierre y reporte financiero o que este procedimiento no este debidamente
comunicado al personal correspondiente.

III.2.4 Recolección de la Evidencia

Una vez definido el diseño de pruebas es posible conocer la información que será necesaria
para ejecutar los planes. El primer paso para la recolección de la evidencia es definir y solicitar
los requerimientos. Para ello se tomó cada uno de los diseños antes ejecutados y cada miembro
del equipo realizó una lista con todos los requerimientos necesarios para la fase de pruebas de
su proceso.

Una vez que todas las listas habían sido realizadas, cada miembro del equipo las envió vía
correo electrónico y se colocaron en un mismo documento verificando que un requerimiento no
estuviese en más de un proceso y, en caso de que esto ocurriera, se hizo referencia al primer
proceso que lo solicitó.

Antes de solicitar formalmente la lista de requerimientos se realizó una reunión con el Gerente
de Auditoria del Cliente con la finalidad de validar los diferentes documentos y/o soportes
solicitados. Durante esta reunión, algunos procesos presentaron requerimientos que tuvieron
que ser reformulados para facilitar el entendimiento del dueño del proceso y la entrega de los
documentos.

Los controles que se ejecutan en todas las Regiones o Sucursales se trataron de la siguiente
manera: en caso de que el control se realice periódicamente se generó una lista con todos los
documentos que debieron ser emitidos durante el período de prueba. Por otra parte, para
aquellos controles no periódicos, por ejemplo la emisión de las facturas de venta, se le solicitó
al cliente un listado de todos los documentos que se habían generado hasta el momento.
 - 68 -

Mientras se esperaron los requerimientos se completaron las columnas correspondientes de la

RACM como se indica a continuación:

· Descripción de la Población (Population Description): Se documentaron las

características de la población, incluyendo toda la documentación soporte solicitada.

· Periodo de prueba (“Test Period Start Date” y “Test Period End Date”): el período de
prueba para todos los controles comenzó el 1ro de enero de 2005 y culminó el 31 de
julio 2005.

A medida que se recibían los requerimientos se revisaban de tal manera de asegurar que la
población recibida estuviese completa y fuese lo que se solicitó. En los casos donde esto no
ocurriera se contactó al dueño del proceso para resolver el asunto.

A continuación se procedió a determinar el tamaño de la muestra basado en los estándares

dictados por el cliente, los cuales están clasificados de acuerdo a la frecuencia del control. A
continuación se presenta una tabla donde se observan el tamaño mínimo de la muestra que debe
ser probada durante la ejecución de las pruebas, tomando en cuenta la frecuencia del control
que será probado.

Tabla 5.- Tamaño mínimo de la muestra basada en la frecuencia del control (Fuente: Estándares del Cliente)
“As
Frecuencia Occurs” Control Control Control Control Control
Continuo
del Control (Basado en la Semanal Mensual Mensual Trimestral Anual
frecuencia de
los eventos)
Utilice la
Tamaño
frecuencia
mínimo de 60 25 12 3 2 1
promedio
la muestra
del control

Para el caso de controles As Occurs, es decir, que no tiene una frecuencia determinada, se
determinaron cuántos ítems hay en la población correspondiente al período de pruebas. A
continuación se calculó un promedio para determinar cuál de las frecuencias anteriores sería
utilizada, tomando la que se acerque más al promedio y en caso de dudas se tomó la que
solicitara mayor cantidad de ítems a probar. Por ejemplo, si la población es 25 (el control operó
25 veces durante el período de prueba), al dividir este número entre los siete meses de prueba,
se obtiene que un promedio de 3.57 ítems al mes, lo cual puede se aproxima a un control
semanal, por lo tanto serían seleccionados 12 de los 25 ítems.
 - 69 -

Una vez elegido el tamaño de la muestra se seleccionó de la población la cantidad de ítems

correspondientes. Para esta actividad existen básicamente cuatro metodologías de selección. La
primera de ellas es el método más comúnmente utilizado, denominado Números Aleatorios
Ilimitados, cada ítem en la población tiene igual probabilidad de ser seleccionado. La segunda,
Intervalos, comienza de manera aleatoria y presenta intervalos uniformes entre cada ítem
seleccionado. En tercer lugar se encuentra la Estratificación en la cual la población es
segregada en dos o más categorías que son seleccionadas de manera separada. Finalmente, en la
cuarta metodología, Azar, la muestra es seleccionada sin ninguna vía sistemática.

La mayoría de las muestras a seleccionar fueron extraídas por la metodología Números

Aleatorios Ilimitados, mediante el paquete ACL. Este software es el más comúnmente utilizado
por los profesionales del área de auditoria y finanzas para la extracción de data, análisis de la
información, detección de fraude y monitoreo continuo. Este software ofrece la capacidad de
analizar más efectiva y eficientemente la información, generando reportes fáciles de utilizar, así
como identificando posibles excepciones y encontrando errores y fraudes potenciales.

Para generar las muestras aleatorias se creó un nuevo proyecto en ACL tomando como base la
población correspondiente al control a probar. Posteriormente se generó la muestra utilizando
el comando Simple y, dentro de él, especificando el tipo de muestreo, tamaño de la población,
número de ítems a seleccionar y el lugar donde de quería fuera guardado el archivo con la
muestra. La principal ventaja de este comando de ACL es que el mismo trata cada ítem
individualmente y todos tienen igual probabilidad de ser elegidos.

Se extrajeron de la población los ítems seleccionados dentro de la muestra, junto con su

respectiva evidencia soporte. En caso de que se tuviera el original, se sacó copia de los
documentos necesarios para poder entregar a la brevedad posible todos los originales que
fueron recibidos.

Finalmente, se procedió a completar en la RACM las columnas correspondientes al tamaño de

la muestra (“Sample Size”) y método de selección de la muestra (“Sample Selection Method”).

A continuación se presentan los resultados obtenidos para la recolección de la evidencia de

Proceso de Cierre de Estados Financieros. Es importante señalar que de acuerdo a los acuerdos
 - 70 -

con el Cliente todas las pruebas serán ejecutadas en el mismo período, comenzando el 1ro de
enero 2005 y culminando el 31 de julio 2005.

A continuación se presenta una tabla resumen que incluye el número d prueba, el tamaño de la
muestra seleccionada, el método utilizado, el nombre del Documento a solicitar y algún
comentario que explique porque se ha tomado ese tamaño de muestra. Es importante señalar
que en cuento al método de selección es importante señalar que de las cuatro categorías antes
mencionada, únicamente se utilizaron dos de ellas Estratificación (Est) y Números Aleatorios
Ilimitados (NAI).

Tabla 6.- Selección de la muestra para las pruebas del Proceso de Cierre de Estados Financieros
Tamaño Método
Prue Nombre del
de la de Comentario
ba Documento
muestra selección
Lista de Usuarios
01 /
1 N/A del Sistema
22
Oracle
Durante el período se ejecutaron 3
Modificaciones modificaciones en el código de cuentas. A pesar
02 /
3 N/A en el Código de de que éste podría aproximarse a un control
32
Cuentas trimestral, para garantizar la completitud de la
prueba, se decidió tomar la población completa

Análisis del
03 3 NAI Balance de Control mensual ejecutado sólo en el Corporativo
Comprobación
La frecuencia de este control es mensual, sin
Cuentas a ser
embargo, dado que el mismo es realizado en
04 12 Est/ NAI manualmente
todas las sucursales cada mes se ejecutan 5 listas;
registradas
aproximándose a un control semanal
Conciliaciones
05 3 NAI Control mensual ejecutado sólo en el Corporativo
Intercompañía
Se levantó una lista de todos los Ajustes,
Ajustes, Registros Registros y Reclasificaciones realizados en el
06 25 Est/ NAI o período, obteniendo una población total de 183
Reclasificaciones ítems, la cual puede aproximarse a una
frecuencia diaria
 - 71 -

…Continuación de la Tabla 06.- Selección de la muestra

Registros
Realizados en las
07 1 N/A cuentas definidas
como moneda
extranjera
Las pruebas 07 y 08 están asociadas a las
modificaciones de la tasa de cambio de moneda
Evidencia de la
extranjera, dado el control de cambio presente en
persona que
Venezuela para el período esta prueba sólo
ejecutó el cambio
presentan una muestra asociada (Marzo2005).
en la tasa y
08 1 N/A
aprobación de
esta por el
Departamento de
Tesorería.

Conciliaciones de Control ejecutado mensualmente para las 20

09 / las Cuentas Cuentas Bancarias del Corporativo, generando
25 Est/ NAI
10 Bancarias una población de 140 ítems, aproximándose a un
Corporativas control con frecuencia diaria
Conciliaciones de Este es un control mensual ejecutado en todas las
11 / las Cuentas Sucursales, fue aproximado a un control continuo
60 Est/ NAI
12 Bancarias de las ya que durante el período se genera una
Sucursales población de 420 ítems.

Conciliaciones de
las Cuentas
Este es un control mensual ejecutado en todas las
Bancarias de las
Sucursales, fue aproximado a un control continuo
13 60 Est/ NAI Sucursales
ya que durante el período se genera una
realizadas por los
población de 420 ítems.
Gerentes de
Oficina

Balances de Este es un control mensual ejecutado en todas las

14 / Antigüedad de Sucursales, fue aproximado a un control continuo
60 Est/ NAI
15 Cuentas por ya que durante el período se genera una
Cobrar población de 420 ítems.

Conciliaciones de Este es un control mensual ejecutado en todas las

16 / Cuentas por Sucursales, fue aproximado a un control continuo
60 Est/ NAI
17 Cobrar de las ya que durante el período se genera una
Sucursales población de 420 ítems.
 - 72 -

…Continuación de la Tabla 06.- Selección de la muestra

20 / Análisis de
3 NAI Control mensual ejecutado sólo en el Corporativo
27 Inventarios
Análisis de
21 3 NAI Cuentas por Control mensual ejecutado sólo en el Corporativo
Pagar
Configuración del
Código de Prueba asociada a la configuración del Sistema
23 1 N/A
Cuentas en Oracle
Oracle
Análisis de los Este control se ejecuta trimestralmente en las
Estados cinco Regiones, fue tomado como mensual ya
24 3 Est/ NAI
Financieros de las que generó una población de 10 ítems durante el
Regiones período

Comparaciones
entre el Balance
25 3 NAI Control mensual ejecutado sólo en el Corporativo
de Antigüedad y
el Sistema Oracle

Análisis de las
Control trimestral ejecutado sólo en el
26 2 NAI partidas no
Corporativo
monetarias
Análisis del
Estado de
28 3 NAI Control mensual ejecutado sólo en el Corporativo
Ganancias y
Pérdidas.
Conciliaciones de Control ejecutado trimestralmente para las
Cuentas por Regiones y mensualmente para el Corporativo,
29 12 Est/ NAI
Cobrar a generando una población de 17 ítems, lo cual se
Empleados. aproxima a una frecuencia semanal
Calendarios de
31 3 NAI Control mensual ejecutado sólo en el Corporativo
Cierres Contables
Resúmenes de
Antigüedad de las
33 3 NAI Cuentas por Control mensual ejecutado sólo en el Corporativo
Pagar del
Corporativo.
Manual de
34 1 N/A procedimientos
financieros

Una vez definidos todos los parámetros de los planes de pruebas y recibida la información
solicitada, se procedió a la ejecución de éstos diseños.
 - 73 -

III.2.5 Ejecución de Pruebas

Las pruebas fueron ejecutadas utilizando el procedimiento diseñado y la totalidad de la muestra

seleccionada. Para registrar las actividades y resultados de las pruebas existen una serie de
plantillas diseñadas por el Cliente, las cuales fueron completadas asegurándose de que una
persona ajena al proyecto pueda ejecutar la prueba para generar su propia conclusión.

Durante la ejecución de las pruebas en algunos casos fue necesario solicitar requerimientos
adicionales. En este sentido, se generó una lista de “Nuevos Requerimientos” que fue entregada
a cada dueño de proceso, luego de haber realizado una validación sobre la documentación
solicitada.

Luego de ejecutar la prueba, los estándares de condiciones de falla fueron entregados por el
cliente, e indican que una prueba pasa si no se encuentran excepciones o, encontrando una
excepción en una prueba de un control recurrente manual (Control Diario), se solicitan 25 ítems
adicionales y no se observan excepciones. Por otra parte, una prueba falla si no existe evidencia
para validar la operación del control; si se encuentra una o más excepciones cuando se esta
probando controles manuales no recurrentes (semanales, mensuales, trimestrales, anuales); si se
encuentra una o más excepciones cuando se esta probando un control automatizado; y
finalmente si se encuentran una o más excepciones en la muestra expandida para controles
recurrentes manuales.

A continuación se presentan las tres principales plantillas utilizadas al comienzo de la ejecución

de las pruebas:

· Plantilla para la Documentación de la Prueba: Documento de Word donde se registraron

los detalles de entrevistas, observaciones del control y actividades realizadas durante
una prueba de inspección o re-ejecución, así como el resultado de la prueba.
 - 74 -

WP Ref. _______

Location:
Process Name:
Sub-process Name:

Test Date:

Tester:

Control Owner:

Test Reference Number (from RACM):

Test Results:
[Document discussion with control owner and others interviewed during the test. Be sure
to include all information obtained from executing test steps.]

Test Conclusion:
[Pass, Fail]

Figura 6.- Ejemplo genérico de plantilla de documentación de la prueba

· Plantilla de la Matriz de Atributos de la Prueba: Documento en Excel donde se

registraron los resultados de cada atributo para cada muestra. Los atributos de una
prueba son extraídos de la redacción del procedimiento. En caso de excepciones y/o
notas explicativas, las mismas son documentadas en la parte inferior.

Control: The Accounting Manager reviews each invoice to ensure the service charges are included and the date of service is within the last 30 days. Once the review is
complete the manager signs the invoice.

Attribute A B C D E F G H I J
Mgr Service Charge Date of service within 30
Sample # Description Signature included days of invoice date
1 Invoice 123 A B C
2 Invoice 888 A B C
3 Invoice 677 X B C
4 Invoice 989 A B C
5 Invoice 432 A B C
6
7
8
9
10

NOTES
Reference Comments Resolution Exceptions
The manager
signature was
X missing Gap identified

Figura 7.- Ejemplo genérico de una Plantilla de Matriz de Atributos

· Portada de los Papeles de Trabajo: Este documento de Word se colocó al principio de

todas las muestras seleccionadas, especificando las pruebas asociadas a ella. En caso de
más de una prueba, la muestra es colocada en la primera prueba donde se utiliza y en el
propósito se documentan los diferentes controles que serán probados, mientras que en
 - 75 -

las Notas Explicativas se definen para cada prueba las letras de los atributos
correspondientes.

Figura 8.- Ejemplo Genérico de la Portada de los Papeles de Trabajo

Una vez ejecutadas y documentadas todas las pruebas se procedió a completar la RACM en las
siguientes columnas con la información respectiva:

· Probador (Tester): Iniciales de la persona que ejecutó la prueba.

· Fecha de la Prueba (Test Date): Fecha en la cual se realizó la prueba.
· Resultados de la Prueba (Test Result): Descripción de los resultados obtenidos, para todos
los casos, se tomó lo que fue redactado en el resultado de la prueba del “Test Memo”.
· Número de Fallas (# of Failures): Número de ítems en la muestra que no pasaron la
prueba.
· La Prueba pasa o falla (Test Pass or Fail): Basado en los estándares antes mencionados,
el resultado final de la prueba: Pasado o Fallido (Pass/Fail).
· Papeles de Trabajo Referentes (Work paper referentes): Referencias de todos los papeles
de trabajo que fueron utilizados y/o generados en la prueba.
 - 76 -

En caso de que la prueba falle, adicionalmente es necesario completar las siguientes columnas
de la RACM:

· Referencia de la brecha (Gap Ref #): Continuando con la numeración previa establecida
para las brechas identificadas en el levantamiento de la información, se asignó una
referencia numérica a cada una.
· Identificado por (Identified by): Iniciales de la persona que identificó la brecha,
usualmente es quien ejecutó la prueba.
· Fecha de Identificación (Date identified): Fecha en la cual fue identificada.
· Título de la brecha (Gap Title): Breve descripción del asunto.
· Detalle de la brecha (Gap Detail): Descripción detallada de la brecha, se debe incluir el
detalle del problema y alguna causa que haya sido identificada.
· Relación con la Tecnología de Información (IT/Non – IT): Se escoge entre IT y No-IT
dependiendo de si el control tiene que ver con algún asunto de IT.

Finalmente, una vez culminado la ejecución de la pruebas de cada proceso se coordinó una
reunión con el dueño del proceso y el Contralor Financiero para validar los resultados de la
prueba. Durante la cual se discutieron todos aquellos controles que resultaron fallidos. En
algunos casos, el dueño del proceso indicó que el resultado de la prueba podría cambiar con la
entrega de cierta información adicional. En este sentido, se otorgó un plazo de espera de esta
nueva evidencia.

Vencido el plazo, para aquellos controles que permanecieron fallidos se completó la última
plantilla denominada Reunión de Validación de la Prueba (Test Validation Meeting) donde se
documentaron los resultados de la Reunión de Validación.
 - 77 -

Figura 9.- Ejemplo genérico de la Planilla de Validación de la Prueba

III.2.6 Resultados de las Pruebas para el Proceso de Cierre de Estados Financieros

Antes de comenzar la ejecución de las pruebas, se tomó la evidencia obtenida para cada una de
ellas y se verificó si ésta realmente servía para verificar si el control estaba operando. Para
aquellos casos que no fuera así, se documentaron en el formato de “Nuevos Requerimientos”.

Luego de revisar todas las evidencias obtenidas, se encontró que cinco pruebas presentaban la
información incompleta o errónea. La primera de ellas es la número 31, referente a los
calendarios de cierres contables, para la cual se obtuvo el calendario anual de cierres contables,
sin embargo, el control indica que se ejecuta un calendario de cierres financieros
mensualmente, por lo tanto fue necesario solicitar nuevamente la evidencia.

La segunda prueba fue la 8, referente a la aprobación y ejecución de la tasa de cambio. Para

evidenciar la persona que ejecutó el cambio fue entregada una impresión de pantalla, mientras
que para la evidencia de la aprobación por parte de Tesorería se tenía un correo electrónico
donde se observa que el Banco informa a todos los Departamentos sobre la modificación, sin
embargo este correo por sí solo no demuestra que el Tesorería aprobó el cambio en la tasa.

La siguiente prueba para la cual no se tenía evidencia era la 04. Sin embargo, luego de varias
reuniones con el Contador Corporativo y conversaciones con Contadores Regionales, se
 - 78 -

conoció que éstos no realizan una lista de las cuentas a ser manualmente registradas en el
Sistema Oracle. De esta manera, por carencia de documentación soporte este control fue
catalogado como inefectivo. Generando de esta manera una brecha Non-IT que indica lo
siguiente: “De acuerdo a lo conversado con el Contador Corporativo no existe una lista de las
cuentas a ser manualmente registradas en el Sistema Oracle. Sin embargo, como parte del
“Recorrido” se obtuvo esta lista. Como resultado, no puede asegurarse que las cuentas que
necesitan ser registradas están siendo apropiadamente tratadas”.

Otra prueba que carecía de evidencia fue la 13, para la cual se necesitaba revisar las
Conciliaciones Bancarias de las cuentas de las Sucursales ejecutadas por el Gerente de Oficina,
sin embargo, se observó un correo correspondiente al 26 de marzo 2003 donde el Contralor
Operacional indica a todos los Gerentes de Sucursal que esta conciliación dejaba de ser
obligatoria ya que también era ejecutada por el contador de la Región, adicionalmente durante
la Reunión de Validación se conoció esta conciliación era preparada únicamente para que la
sucursal llevara un control interno. Sin embargo, debido a que la prueba quedó fallida, se
redactó la siguiente brecha: “Desde el año 2003 la ejecución de las Conciliaciones Bancarias de
las Sucursales es obligatoria punidamente para los Asistentes de Contabilidad Corporativa, más
no para los Gerentes de Oficina y Gerentes de la Región”

Para la evidencia correspondiente a la prueba 17, se conversó con el Contador Corporativo

quien alegó que él no es la persona encargada de aprobar las Conciliaciones de Cuentas por
Cobrar, que esto es tarea del Gerente de Crédito y Cobranza. Sin embargo, esta persona dijo
que él tampoco es quien aprueba estas conciliaciones, que él únicamente la utiliza para generar
otros reportes. Consecuentemente, por déficit de evidencias la prueba fue fallida y se levantó la
siguiente brecha: “El contador Corporativo a través de un correo electrónico negó ser la
persona que aprueba las conciliaciones de Cuentas por Cobrar, alegando que esta aprobación
proviene del Gerente de Créditos y Cobranza. Sin embargo, este Gerente dijo no ser quien
aprobaba estas conciliaciones. Por lo tanto no existe un ente que revise y apruebe las
Conciliaciones de Cuentas por Cobrar.”

En cuanto a la prueba 26, no se había recibido la documentación soporte requerida. Durante una
reunión, el Contador Corporativo explicó que este control es actualmente operativo pero que su
frecuencia es diferente, antiguamente se ejecutaba trimestralmente para reportar las cifras
 - 79 -

financieras al Mercado Nacional. Sin embargo, desde 2005 estos reportes son preparados
únicamente cuando el Departamento de Contraloría o el de Auditores Externos lo requiere y
durante el período en cuestión esto no ocurrió. De esta manera, esta prueba no resulta ser ni
fallida ni exitosa, pero el resultado de ella será tomado en cuenta para una nueva redacción del
control.

En varios procesos del Proyecto el Departamento de Business Risk Services de Enstr&Young se

apoyó en el Departamento de Tecnología de Información para ejecutar las pruebas referentes a
verificaciones en algún sistema. Las pruebas 01 y 22 fueron realizadas por este Departamento,
en ambos casos el resultado de la prueba fue fallido. Agregando respectivamente las siguientes
brechas: “No existen responsabilidades o roles definidos en el Sistema Oracle Financiero para
aprobar cambios, adiciones y eliminaciones en el Código de Cuentas” y “El perfil súper usuario
es el único capaz de ejecutar los cambios, adiciones y modificaciones en el código de cuentas,
sin embargo, no sólo el Funcional de Oracle esta configurado dentro de este perfil”.

A continuación se presenta una tabla donde se muestran los resultados de los controles
exitosos junto con algún comentario que haya surgido durante la ejecución de la prueba.

Tabla 7.- Breve descripción de las pruebas que resultaron Exitosas

Número Cantidad Resultado
de la de ítems Nota explicativa de la
Prueba fallidos Prueba
2 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
Una de las muestras representaba un cambio en la estructura del código de
cuentas por lo tanto su ejecución fue informada tanto al Contralor Operativo
como al Financiero. Esta información deberá ser tomada en cuenta la redacción
del control
3 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.

5 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
Se obtuvo un documento digital de las Conciliaciones Intercompañía que
incluye todos los meses desde diciembre 2003, para realizar la prueba se tuvo
que arreglar la tabla dinámica de acuerdo a los meses necesitados según la
generación de la muestra.
Durante la Validación de los Resultados se advirtió al dueño del proceso que
mensualmente deberían quedar evidencias del archivo.
 - 80 -

…Continuación Tabla 7, Descripción de las pruebas que resultaron exitosas

7 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
Originalmente, esta prueba era fallida porque no se tenían evidencias de la
revisión de los Resúmenes de Balances de Antigüedad de Cuentas por Cobrar,
sin embargo, luego de la validación de los resultados se obtuvieron los correos
electrónicos correspondientes donde se evidencia que tanto la Contraloría
Operacional como el Departamento de Auditoria recibieron los resúmenes.
9 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
5 Conciliaciones Bancarias corresponden a una división que utiliza otro sistema
de ventas, por lo tanto los formatos son diferentes.
11 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
Para 3 de las muestras no se recibió la Conciliación Bancaria debido a que las
cuentas fueron abiertas en Junio. Para dejar evidencia de ello se obtuvieron las
respectivas cartas de apertura.
Una de las muestras no presenta movimientos desde que fue aperturada. De
acuerdo con lo conversado con la Asistente de Tesorería, para esta cuenta
nunca se han recibido Estados de Cuenta Bancarios.
12 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
Para 3 de las muestras no se recibió la Conciliación Bancaria debido a que las
cuentas fueron abiertas en Junio. Para dejar evidencia de ello se obtuvieron las
respectivas cartas de apertura.
Una de las muestras no presenta movimientos desde que fue aperturada. De
acuerdo con lo conversado con la Asistente de Tesorería, para esta cuenta
nunca se han recibido Estados de Cuenta Bancarios.
16 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.

18 0 No se encontraron excepciones ni comentarios para ninguno de los Pass

atributos en la muestra seleccionada.

19 0 No se encontraron excepciones ni comentarios para ninguno de los Pass

atributos en la muestra seleccionada.
 - 81 -

…Continuación Tabla 7, Descripción de las pruebas que resultaron exitosas

20 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
En las tres muestras seleccionadas, el saldo de la Región Oriente
correspondiente al Libro Mayor no concilia con el que se encuentra en el
Auxiliar. Durante la Reunión de Validación el Contador Corporativo explicó
que esta diferencia fue erróneamente registrada durante la migración al Sistema
Oracle por un usuario desconocido. Finalmente, nos entregó una impresión de
pantalla donde se observa el saldo real de esa Sucursal en el Sistema Oracle,
luego d una corrección que se ejecuta mensualmente.
21 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.

23 1 No se encontraron excepciones ni comentarios para ninguno de los Pass

atributos en la muestra seleccionada.

24 3 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
Originalmente, se obtuvo una muestra digital de los Análisis de los Balances de
Comprobación, la cual presentaba evidencias de la revisión, sin embargo, no se
observaba por parte de quien ni si había sido aprobada.
Durante la Reunión de Validación el Contador Corporativo explicó que su
Departamento trimestralmente recibe las conciliaciones de los Contadores
Regionales, para luego revisarlas y aprobarlas. De esta manera, el Contador
Corporativo entregó los correos electrónicos donde se evidencia esta
transmisión de los Análisis de los Balances de Comprobación.
25 1 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.

27 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
En la muestra seleccionada sólo se observó una partida pendiente por
actualizar, sin embargo no se tenía la evidencia de que ésta hubiese sido
apropiadamente actualizada en el Sistema Oracle hasta que se realizó la
Reunión de Validación.
Luego de la Reunión de Validación se conoció que las diferencias en la división
de Transporte corresponden a piezas en consignación.
28 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
De acuerdo a lo conversado con el Gerente de Estadística con el Análisis de
Estados de Ganancias y Pérdidas se comparan las cifras del presenta año versus
el anterior, calculando el promedio de crecimiento y decrecimiento e
investigando aquellas sucursales que se encuentren fuera de éstos.
 - 82 -

…Continuación Tabla 7, Descripción de las pruebas que resultaron exitosas

29 0 No se encontraron excepciones ni comentarios para ninguno de los Pass

atributos en la muestra seleccionada.

30 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass

seleccionada.

Comentarios:
Durante la ejecución de esta prueba se consideró que a través de un correo
electrónico no es posible garantizar que las cifras utilizadas en los Reporting
Packages fuesen las definitivas. Por lo tanto, se realizó una comparación entre
los Estados Financieros del USGAAP y los Reporting Packages, sin encontrar
diferencias entre ellos. De esta manera sí es posible garantizar que las cifras
utilizadas fueron las definitivas
31 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
Para los dos primeros meses de la muestra seleccionada no se ejecutaron
Calendarios de Cierres Contables por problemas en el sistema. Sin embargo, se
observaron correos electrónicos donde los Departamentos respectivos
realizaban seguimientos a las entregas.
Para el tercer ítem no se observaron evidencias del seguimiento, sin embargo,
luego de la reunión de validación se obtuvieron las mismas.
34 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.

Comentarios:
Se observó el Manual de Procedimientos, más no fue posible interrogar a parte
del personal debido a que este manual fue finalmente aprobado en Septiembre
de 2005, por lo tanto no ha sido comunicado aún.

De esta manera se observan las pruebas correspondientes a los 21 controles que reflejaron estar
operándose efectivamente, y por lo tanto tuvieron un resultado exitoso. En la tabla se tiene que
la mayoría de las pruebas presentan comentarios los cuales reflejan actividades adicionales al
procedimiento diseñado o notas explicativas de algunas pruebas que originalmente fueron
fallidas pero que, luego de la Reunión de Validación se obtuvo la documentación necesaria para
ser exitosas.

A continuación se tienen el resto de las pruebas, en su mayoría fallidas, junto con una
explicación de lo observado y las razones por las cuales falló.

Dentro de las pruebas para las cuales se recibieron evidencias, la primera que resultó fallida fue
la 06, ya que ninguna de las muestras presenta el correo electrónico donde el Contador
Corporativo aprueba los Ajustes, Registros y Reclasificaciones y, adicionalmente, seis muestras
 - 83 -

no presentan documentación soporte que evidencien las razones, importancia relativa y

materialidad del ajuste. Luego de la Reunión de Validación el Contador Corporativo informó
que el aprueba las modificaciones a través de su firma, sin embargo, luego de revisar toda la
muestra se tiene que hay tres ítems que no fueron firmados, por tanto la prueba fue fallida. En
este sentido se agregó la siguiente brecha (No-IT) al proceso:”Los ajustes, registros y
reclasificaciones no presentan evidencias de la aprobación por el Contador Corporativo, así
como no tienen evidencia soporte para verificar la razón, importancia relativa y materialidad
del ajuste”.

La siguiente fue la prueba 08, durante la Reunión de Validación el Contador Corporativo

señaló que buscaría el correo electrónico donde se aprueba la modificación, sin embargo la
búsqueda se ejecutó sin éxito y no existe alguna evidencia que pruebe que el Departamento de
Tesorería aprobó la modificación de la tasa de cambio, quedando de esta manera la prueba
como fallida y generando la siguiente brecha: “No existe evidencia de la aprobación del
Departamento de Tesorería sobre las modificaciones en la tasa de cambio. Aún cuando sólo fue
ejecutado una vez al año debido al control de cambio presente en Venezuela. Los comentarios
recibidos del Contador Corporativo alegan que esta aprobación no era necesaria debido a que el
cambio fue bien conocido por todo el país”.

El resultado de la siguiente prueba fue aceptado por completo por el Contador Corporativo, ya
que en prueba 10 era necesario verificar su firma en las Conciliaciones Bancarias como muestra
de su revisión y aprobación, sin embargo, seis de las muestras no se encontraban firmadas.
Otras cinco muestras corresponden a una división diferente y las conciliaciones son preparadas
por su Contador, por lo tanto no presentan la firma del Contador Corporativo, pero ésta no es
necesaria para efectos de la operatividad del control por lo tanto se agregó la siguiente brecha:
“Las conciliaciones Bancarias de las Cuentas Corporativas no tienen evidencias de alguna
revisión y aprobación”.

La siguiente prueba fallida fue la 14, cuyos principales atributos eran que el Resumen del
Análisis de Antigüedad presentara evidencias de la persona que lo preparó y que las diferencias
entre los Resúmenes de los Balances de Antigüedad de Cuentas por Cobrar y los Registros de
Cuentas por Cobrar fueran identificadas. Sin embargo, ocho de las muestras presentaban
diferencias sin explicación. Adicionalmente, cuatro muestras no presentaban evidencias de la
 - 84 -

persona que las realizó. De esta manera se levantó la siguiente brecha: “Los Resúmenes de los
Análisis de Antigüedad de Cuentas por Cobrar no demuestran quien los ejecutó y presentan
evidencias no identificadas ni explicadas en la correspondiente celda diseñada para la
explicación de las mismas”. La prueba 15 utiliza la misma muestra de la 14 e igualmente
resultó fallida, ya que cuatro muestras no presentaron la firma del Gerente de la Sucursal como
prueba de su revisión, generando la siguiente brecha: “Los Resúmenes de los Análisis de
Antigüedad de las Cuentas por Cobrar no presentan evidencias de la revisión y aprobación del
Gerente de la Sucursal”.

A continuación se tiene la prueba 32, donde era necesario verificar si todas las requisiciones
para una creación o eliminación el código de cuentas eran generadas por el Contador
Corporativo y enviadas vía correo electrónico al Contralor Operacional para su aprobación. Sin
embargo, en una de las muestras no se observó este último correo. De esta manera se asoció la
siguiente brecha a este control: “No todas las requisiciones para crear o eliminar una cuenta en
el código de cuentas son informadas al Contralor Operacional”.

Finalmente, se tiene la prueba 33, la cual falló debido a que dos de las tres muestras solicitadas
no presentaron evidencias de la aprobación del Tesorero Corporativo para los Resúmenes de
Cuentas por Cobrar Corporativas. Adicionalmente, luego de la Reunión de Validación se
conoció que el Gerente de Créditos y Cobranzas le envía vía correo electrónico los resúmenes,
pero ni él ni el Tesorero guardan esta evidencia. De esta manera se levantó la siguiente brecha:
“No existe evidencia del correo electrónico donde el Gerente de Créditos y Cobranzas le envía
los Resúmenes de Cuentas por Cobrar Corporativas al Tesorero Corporativo, por lo tanto no
puede asegurarse que los mismos sean revisados y aprobados”.

A continuación se tiene un gráfico que representa de manera general los resultados de las
pruebas para este proceso.
 - 85 -

3%

35%

62%

Pruebas Exitosas Pruebas Fallidas N/A

Figura 10.- Distribución de los resultados de las pruebas del Proceso de Cierre de Estados Financieros

En la gráfica anterior se observa que 62% de las pruebas pasaron, sin embargo, existe un 35%
de controles que no están operando adecuadamente. En este sentido se tiene que las dos
principales razones de falla fueron la ausencia de evidencia para probar el control o la omisión
de algunos de los atributos por parte del ejecutor. Tanto la primera como la segunda se derivan
de que muchas políticas de la empresa no han sido efectivamente comunicadas a todo el
personal del Corporativo, así como de las Regiones y Sucursales. Por lo tanto, los controles
documentados durante el proceso de levantamiento de la información son aplicados en las
Sucursales y Regiones visitadas, pero posiblemente si se levantara un proceso para cada
Sucursal y/o Región se encontrara procesos iguales ejecutados de manera diferente.

Adicionalmente, se tiene que no existe un ente que vigile constantemente el cumplimiento de

los diversos controles, por ejemplo, pocas veces se revisa si las conciliaciones que teóricamente
debieran estar firmadas por la persona que la ejecutó así como por quien la revisó y aprobó
presentan realmente ambas firmas.

Finalmente, la manualidad de los procesos influye en la cantidad de controles ejecutados por el

personal, así como en la reincidencia de algunas revisiones sobre un mismo documento. Si
todas las Sucursales y Regiones alimentaran un mismo Sistema de Información el número de
controles para este proceso desminuiría considerablemente, ya que los reportes podrían ser
generados automáticamente por el sistema, sin necesidad de tener un control para la persona
 - 86 -

que lo ejecuta, un control para la persona que lo revisa y aprueba, y otro control para el
momento en que se envía al Corporativo.

III.3 ASEGURAMIENTO DE LA CALIDAD

Una de las actividades de apoyo al Gerente del proyecto consistió en un aseguramiento de la

calidad, para lo cual existieron una serie de puntos que debieron ser considerados durante la
documentación soporte de las pruebas y que fueron revisados al final del proyecto. El primero
de ellos fue la consistencia entro los papeles de trabajo, e indica que toda la documentación
relacionada a las pruebas debió ser preparada de acuerdo a los estándares indicados por el
cliente, los cuales proveen consistencia entre las diferentes localidades. Los papeles de trabajo
debieron ser guardados electrónicamente y en aquellos casos donde la documentación soporte
no estuviese disponible en electrónica, la misma debió ser escaneada para convertirla a este
formato.

El siguiente punto considerado fue procurar el nivel mínimo de papeles de trabajo. Cada equipo
debió completar una RACM para cada proceso, junto con los respectivos memos y matrices, así
como la fuente de documentos probados relacionada.

Cada uno de estos documentos debió presentarse con claridad, era indispensable que cada
trabajo que se hubiese realizado en la prueba fuera exactamente descrito, generalmente, si el
lector no puede responder las preguntas Quién-Qué-Dónde-Cuándo-Cómo-Por qué luego de
leer el documento, el mismo necesitaba ser clarificado.

Adicionalmente, cada diseño de pruebas debió tener un grupo de papeles de trabajo, tomando
en cuenta que el mismo fue desarrollado únicamente para aquellos controles claves de cada
proceso, la referencia debió ser como se describe a continuación: Localidad-Proceso-Control-
Prueba-Documento. Este tipo de referencia fue dictada por el cliente, y el mismo también
indicó la manera en que se abreviaría cada localidad, así como cada proceso. De igual manera,
indicaron los respectivos números de cada documento: memo (01), matriz de atributos (06),
coversheet (13) y cada documentación soporte con este mismo número.
 - 87 -

Finalmente, se realizaron las recomendaciones por el Gerente del equipo con respecto a cada
proceso. Las cuales fueron encontradas luego de realizar una revisión basada en un formado
entregado por el cliente (“Quality Review Checklist”) y fueron documentados en el
“Workpaper review comments”, un documento donde quedan archivados los últimos
comentarios realizados con respecto al proceso. Ambos archivos fueron enviados junto con el
resto de papeles de trabajo a Oficina de Dirección de Proyectos.

Basado en los puntos anteriores, en primer lugar, al igual que todos los miembros del equipo, se
realizó una revisión personal del principal proceso desarrollado, es decir, Proceso de Cierre de
Estados Financieros. Encontrando que muchos de los papeles de trabajo estaban referenciados
de acuerdo a la numeración antigua. Originalmente la numeración de los documentos era:
memo (01), matriz de atributos (02) y “coversheet” (03), por lo tanto los documentos que se
habían ejecutado al comienzo presentaban esta referencia.

Adicionalmente, cada documento debe estar referenciado a un papel de trabajo de acuerdo a la

información que haya utilizado para poder ser desarrollado. Es decir, el memo debe estar
referenciado a la matriz de atributos indicado “Ver como se desarrolló la prueba en ‘matriz de
atributos’”; a su vez, la matriz de atributos debe indicar “Ver la evidencia soporte en
‘coversheet”. Finalmente, el “coversheet” se referencia a dos documentos básicamente, la lista
de población y el documento creado por ACL una vez que se generó la muestra.

Consecuentemente, además de revisar detenidamente si cada una de estas referencias había sido
documentada, era necesario observar si las mismas presentaban la nueva numeración. En el
proceso de Cierre de Estados Financieros, no se presentaron casos donde hubiese que cambiar
la numeración, ya que la mayoría de los documentos fueron generados antes de que el cliente
indicara que deseaba esta referencia entre papeles de trabajo. De esta manera, se refirió cada
documento respectivamente como se dijo anteriormente.

Finalmente, se revisó si estos parámetros habían sido cumplidos en los procesos de Ingresos,
Impuestos y Legal. En los cuales no se encontraron errores en la mayoría de los papeles de
trabajo. Con autorización del miembro del equipo respectivo, se ejecutaron las pequeñas
modificaciones necesarias para la adecuación de los documentos a los estándares exigidos por
el cliente.
 - 88 -

CAPITULO IV.- ACTIVIDAD COMPLEMENTARIA

IV.1 ESTUDIO SOBRE LAS BRECHAS IDENTIFICADAS

A continuación se realizó un estudio sobre las brechas identificadas y la manera en que las
mismas deben ser remediadas, tomando en cuenta su importancia en el proceso y la prioridad
asignada por el Cliente. Para conocer la importancia de las mismas, se desarrolló una
evaluación basada en el impacto que cada brecha tiene sobre la presentación de los estados
financieros.

IV.1.1 Evaluación de las brechas

La presente evaluación se desarrolló tomando en cuenta dos aspectos principalmente: la

cantidad de aserciones afectadas por cada brecha y el número de controles claves presentes en
los riesgos asociados a la brecha.

Para comenzar se consideró para cada brecha los riesgos que pudieran surgir a raíz de ella,
tomando en cuenta cuántas de las siete aseveraciones (existencia, ocurrencia, integridad,
valuación, medición, derechos / obligaciones y presentación / revelación) pudieran verse
afectadas por las consecuencias de esta brecha sobre el riesgo.

Es importante recordar que dentro de la Matriz de Criterios de Evaluación de Riesgos se tienen

relacionado cada riesgo con las aserciones que afectaría en caso de que ocurra, de esta manera a
partir de la información relacionada con cada brecha se cuantificaron la cantidad total de
aserciones afectadas.

A continuación, se ponderaron los resultados obtenidos, en caso de que la brecha afectara una o
dos aserciones su impacto sobre el proceso se calificó como bajo; si el mismo estaba presente
en tres o cuatro aseveraciones el impacto es medio; y finalmente, el impacto es alto para
aquellos casos en que la brecha se encuentre relacionado a más de cinco aserciones.

En la siguiente tabla se observan los resultados obtenidos durante esta parte de la evaluación:
 - 89 -

Tabla 8.- Evaluación del impacto de las brechas de acuerdo a la cantidad de aseveraciones que afectan
Cantidad de
Impacto sobre el
Número de Gap aserciones
proceso
afectadas
1 2 Bajo
2 4 Medio
3 6 Alto
4 4 Medio
5 5 Alto
6 5 Alto
7 2 Bajo
8 1 Bajo
9 6 Alto
10 6 Alto
11 1 Bajo
12 4 Medio
13 1 Bajo
14 4 Medio
15 4 Medio
16 3 Medio
17 4 Medio
18 4 Medio
19 4 Medio
20 4 Medio
21 4 Medio
22 2 Bajo
23 3 Medio

De esta manera se tiene que la mitad de las brechas puede afectar medianamente la
aseveraciones y como consecuencia los estados financieros del Cliente. Por otra parte, se tienen
5 brechas con un alto impacto sobre los estados financieros y otras 6 afectando levemente las
aseveraciones.

A continuación, se ejecutó la segunda parte de la evaluación de las brechas, la cual esta basada
en un indicador que relaciona cantidad de controles claves que se encuentran para cada riesgo
asociado ala brecha. Mediante esta evaluación se analizan las posibilidades de que la brecha
afecte a los riesgos asociados, y estos consecuentemente perjudiquen a los estados financieros,
a través de un análisis de la cantidad de controles claves que garanticen que el riesgo no ocurra
a pesar de la existencia de la brecha.
 - 90 -

Para este análisis se utilizó igualmente la RACM, pero en este caso observando los números de
los riesgos a los que cada brecha esta relacionada. A partir del mapeo de riesgos y controles y
con la información anterior, se enumeraron la cantidad de controles claves asociados a los
riesgos relacionados a cada brecha. Posteriormente, se calculó el promedio de cada uno,
sumando la cantidad de controles claves encontrados y dividiéndolo entre el número total de
riesgos. Finalmente, el impacto de la brecha sobre el proceso se asignó de acuerdo a los valores
máximos y mínimos.

La máxima cantidad de controles que se encuentran mitigando los riesgos asociados a las
diferentes brechas es 18, sin embargo, este valor fue extraído para el análisis de ponderación ya
que el mismo se encuentra muy alejado del siguiente mayor (14.33), por lo tanto se tomó este
último como máximo valor. De esta manera, se tomó como bajo impacto aquellas brechas que
se relacionaran con un promedio de al menos 10 controles claves, lo que presentaran un
promedio de controles claves asociados a los riesgos de la brecha comprendido entre 5 y 10 se
les calificará de medio impacto y, finalmente, aquellas brechas presentes en riesgos con un
promedio de controles claves menor a cinco se catalogaron de alto impacto sobre el Proceso de
Cierre de Estados Financieros. A continuación se presentan los resultados obtenidos:

Tabla 9.- Evaluación del impacto de cada brecha de acuerdo a la cantidad de controles claves asociados
Cantidad de Impacto del
Número de Riesgos Promedio de
controles gap sobre el
Gap asociados controles
claves proceso
1 8 7 7.00 Medio
1 2
2 2
2 2.00 Alto
4 1
5 3
8 7
11 4
3 15 0 5.20 Alto
34 8
35 7
8 7
10 1
4 2.25 Alto
17 1
33 0
 - 91 -

… Continuación Tabla 9, evaluación de las brechas de acuerdo a los controles claves asociados
13 0
14 0
16 6
5 5.17 Alto
21 16
22 1
34 8
11 4
6 31 0 4.00 Alto
34 8
7 19 18 18.00 Bajo
8 37 1 1.00 Alto
10 1
11 4
16 6
9 17 1 4.00 Alto
30 1
34 8
35 7
8 7
12 8
18 4
19 18
10 8.88 Medio
20 1
21 16
28 9
34 8
38 2
11 2.00 Alto
40 2
29 2
41 4
12 2.00 Alto
42 1
43 1
13 23 2 2.00 Alto
19 18
14 21 16 14.33 Bajo
28 9
4 1
15 5 3 2.00 Alto
6 2
19 18
16 17.00 Bajo
21 16
19 18
17 21 16 14.33 Bajo
28 9
18 4
18 11.00 Medio
19 18
 - 92 -

… Continuación Tabla 9, evaluación de las brechas de acuerdo a los controles claves asociados
18 4
19 19 18 10.33 Medio
28 9
19 18
20 21 16 14.33 Bajo
28 9
1 2
21 2 2 2.33 Alto
5 3
22 6 2 2.00 Alto
8 7
23 6.50 Medio
16 6

A diferencia del estudio anterior, en este caso se tiene que la mitad de las brechas tiene un
impacto alto sobre el proceso, mientras que los restantes 10 se encuentran igualmente
distribuidos entre impacto medio y bajo. La razón fundamental de esta diferencia se centra en
que ambos análisis están fundamentados en aspectos diferentes, puede presentarse una brecha
que esta asociada a un único riesgo, por lo tanto posiblemente las aseveraciones que afecta
serán reducidas, pero ese riesgo tiene asociado un gran número de controles claves, como es el
caso del gap 7.

Para unificar ambos resultados se asignó una ponderación de 50% para cada valor, ya que se
considera que ambas conclusiones representan igual importancia sobre este análisis. Para este
cálculo se asignaron valores de 3, 2 y 1 para los impactos bajo, medio y alto respectivamente,
con la finalidad de poder hallar un valor promedio entre los resultados de cada estudio.

En la siguiente tabla se presentan los resultados obtenidos, en la primera columna representa el

número de la brecha, mientras que la segunda contiene el resultado obtenido del cálculo del
promedio entre las dos evaluaciones, en la tercera columna se observa el impacto de la brecha a
nivel de bajo, medio y alto y la última columna presenta la asignación de prioridad fijada por
la Gerencia del Cliente.

En la misma se observa que la mayoría de las brechas presenta una prioridad alta de acuerdo a
la calificación realizada por la Gerencia del Cliente. De acuerdo a los resultados obtenidos
durante la evaluación realizada, se tiene que gran parte de los controles presenta un impacto
medio.
 - 93 -

Tabla 10.- Impacto determinado para cada brecha, junto con la asignación de prioridad
Prioridad
Número de Promedio del Impacto sobre
establecida por
Gap impacto el proceso
Cliente
1 2.5 Baja 1
2 1.5 Media 2
3 1 Alta 1
4 1.5 Media 1
5 1 Alta 1
6 1 Alta 1
7 3 Baja 1
8 2 Media 2
9 1 Alta 1
10 1.5 Alta 1
11 2 Media 1
12 1.5 Media 2
13 2 Media 1
14 2.5 Baja 1
15 1.5 Media 2
16 2.5 Baja 2
17 2.5 Baja 1
18 2 Media 1
19 2 Media 2
20 2.5 Baja 1
21 1.5 Media 2
22 2 Media 1
23 2 Media 1

IV.1.2 Evaluación versus Prioridad

Una vez obtenidos los resultados de la evaluación de impactos de cada brecha, se procedió a
relacionar los mismos con la prioridad asignada por el Cliente, a través de una matriz que
permite analizar los controles según el grupo donde se ubiquen en relación a la evaluación y a
la prioridad.

En la siguiente matriz se observan los resultados antes descritos, es decir, la mayoría de las
brechas generan un impacto medio sobre el proceso y has sido priorizados por el Cliente. Las
brechas están representadas por pequeños círculos con el número correspondiente en el centro,
en la parte inferior se encuentran los niveles de prioridad asignada por el cliente, mientras que
al lado izquierdo esta el resultado de la evaluación del impacto.
 - 94 -

Alto

Impacto sobre el proceso de Cierre de

5 3
10

9 6

Estados Financieros
11
15 19 13 4
Medio 2 8
23
12
18 22
21 22

20
17
14
16 7 1
Bajo
Baja Alta

Prioridad Asignada por el Cliente

Figura 11.- Matriz de evaluación de brechas

En la matriz anterior se observa que las brechas 3, 5, 6, 9 y 10 son prioridades de negocio, ya

que los mismos presentan una gran importancia para el cliente y una evaluación de impacto
alta, los mismos pueden estar generando consecuencias materiales sobre la presentación de los
Estados Financieros. Por esta razón, éste debe ser el primer grupo para el cual se debe realizar
un diseño de remediación, además de una evaluación de los efectos materiales que pueden estar
generando estas brechas sobre el Proceso de Cierre de Estados Financieros, así como sobre la
Compañía del Cliente en general. Adicionalmente, es indispensable que una vez culminada la
fase de remediación éstas 5 brechas se encuentren presente en todas las pruebas siguientes de
tal manera de garantizar que los mismos han sido suprimidos por completo del proceso.

El segundo grupo de importancia es el que se encuentra en la esquina inferior derecha, aquellas

brechas cuyo impacto en el proceso es bajo, pero que son prioridad para la Gerencia del
Cliente. Este grupo representa oportunidades de mejora dentro del proceso, ya que estas
brechas, por tener un bajo impacto en el proceso, pueden ser remediadas más fácilmente que en
el caso anterior, por lo tanto los resultados de esta corrección se pueden apreciar a corto plazo.

A continuación, debe ejecutarse la remediación de las brechas cuyo impacto es medio y que
han sido priorizadas por la gerencia del Cliente y, posteriormente, el grupo con bajo impacto y
poca prioridad. Finalmente, se ejecuta el proceso de remediación de la brecha 16, la cual
presenta bajo impacto sobre la compañía y baja prioridad por parte de la gerencia del cliente.
 - 95 -

CAPÍTULO IV.- CONCLUSIONES Y RECOMENDACIONES

IV.1 CONCLUSIONES

La actividad de recorrido o “Recorrido” arrojó 15% de controles con diseño inefectivo, lo que
genera dudas sobre la documentación de los controles.

Luego de evaluar cada uno de los controles, se realizaron modificaciones importantes que
generaron cambios en la cantidad y la evaluación de a los controles, finalmente se tuvo un total
de 50 controles, de los cuales 4 presentan diseño inefectivo y 45 son claves en el proceso. Se
levantaron brechas para cada control inefectivo.

El número total de riesgos o probabilidades de que los objetivos de la empresa se vean

afectados es 43, de los cuales 86% presenta al menos un control clave que lo mitigue, mientras
que el restante 14% no se tiene evidencia para decir que esta siendo efectivamente mitigado.

Se ejecutaron 42 pruebas de las cuales 38% fue fallida, en su mayoría debido a una mala
aplicación de los controles por parte de los encargados.

Se observaron 22 brechas en todo el proceso, los cuales pueden afectar directa y materialmente
las cuentas significativas.

El elevado número de controles manuales, 88%, genera grandes dificultades al momento de

garantizar la integridad de los Estados Financieros de la Compañía.

IV.2 RECOMENDACIONES

La mayoría de los controles no son uniformemente conocidos por todo el personal que labora
para la empresa a nivel nacional, por lo que se recomienda realizar entrenamientos donde se les
explique a todas las Regiones y Sucursales las actividades que les corresponde de acuerdo a su
cargo. Este punto es de gran importancia ya que afecta directamente uno de los objetivos
principales de la Ley Sarbanes Oxley: la segregación de funciones.
 - 96 -

Para garantizar el cumplimiento de las funciones se recomienda una verificación periódica

superior a la existente, posterior a la del Contador Corporativo, de tal manera que éste también
se vea obligado a cumplir con las actividades de revisión pautadas.

Promover métodos electrónicos para la ejecución de controles tanto preventivos como

detectivos que disminuyan la cantidad de papeles físicos de trabajo. Disminuyendo de esta
manera las ejecuciones y aprobaciones manuales, y generándolas vía correo electrónicos

Crear un sistema periódico de evaluación interna por parte del personal que realiza los
controles, con la finalidad de generar un proceso en el que cada individuo sea capaz de evaluar
su propio desempeño y se disminuyan las carencias de evidencias al momento de realizar las
pruebas generales.

Evaluar en cada uno de los controles fallidos e inexistentes si existe un control sustituto capaz
de mitigar de igual manera el riesgo asociado y que para el momento del levantamiento de la
información no se estuviese operando.

Realizar al menos cada trimestre una reejecución de las pruebas de los controles fallidos o
inexistentes que deben ser remediados al culminar este proyecto, con la finalidad de evaluar el
desempeño de los mismos.

Generar un plan a largo plazo que disminuya el número de controles manuales y aumente los
automáticos, ya que los controles manuales son más fáciles de omitir pudiendo generar
inconsistencias en los Estados Financieros. En este sentido, es importante tomar en cuenta las
capacidades económicas de la empresa, así como los controles que deben crearse en caso de
que las actividades sean ejecutadas por un sistema.

Ejecutar el estudio de brechas comenzado en la actividad complementaria, con la finalidad de

profundizar en la evaluación de los mismos y generar una ponderación individual para la fase
de remediación de los brechas.
 - 97 -

REFERENCIAS BIBLIOGRÁFICAS

1.- “Emerging Trends in Internal Controls, Fourth Survey and Industry Insights”, Publicación
interna Ernst & Young, pag. 8-9 (2005)

2.- www.monografias.com/trabajos14/bolsa/bolsa.shtml

3.- www.enlacesfinancieros.com/guiadeinversion/clavesparainvertir4.htm

4.- http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act_of_2002

5.- “La Ley Sarbanes Oxley y la Auditoria”, Jose Díaz Morales, publicación interna Ernst &
Young, (2002)

6.- http://www.ey.com/global/download.nsf/Spain/Artículo_Ley_Sarvanes- Oxley.pdf

7.- http://www.sec.gov/info/accountants/stafficreporting.htm

8.- http://www.coso.org/key.htm

9.- “Evaluating Internal Controls” Consideration for Evaluating Internal Controls at the Entity
Level. Publicación interna de Ernst and Young, (2003)

10.- http://www.pcaobus.org/About_the_PCAOB/index.aspx

11.- “Estándares de Auditoria N° 1, Referencias en Reportes de Auditoria a los estándares de la

PCAOB”, Publicación de la PCAOB, (2004)
 - 98 -

CAPÍTULO 7.- ANEXOS

Anexo 1.- Controles del proceso de Cierre de Estados Financieros
- 99 -
- 100 -
- 101 -
 - 102 -

Anexo 2.- Resultados del Mapeo de Riesgos y Controles para el Proceso de Cierre de Estados Financieros

Proceso de Cierre de Estados Financieros.

Riesgos y Controles Mitigantes - Pág. 1/4

1 Todos los cambios en el código de cuentas, corresponden a 2

transacciones válidas e integras de la información contable. 2 47

2
2 El código de cuentas es usado correcta y consistentemente 2 47

El código de cuentas es consistente con los PCGA en Venezuela y 2

3
EE.UU.

Todas las adiciones, modificaciones o eliminaciones en el código 2

4 de cuentas están autorizadas y realizados completa y 1
precisamente.

2
5 Cuentas ficticias o duplicadas no son creadas. 1 2 47

6 El Sistema apropiadamente restringe el acceso para modificar la 1 29

data en el código de cuenta.

Las cuentas del Mayor General son asociadas precisamente al 30

7 proceso de consolidación

8 Los asientos contables corresponden a transacciones efectuadas 1 3 4 10

y no son erróneamente registrados, omitidos o duplicados. 2 3 4 11 15 18 26 27 28

Las transacciones generadas por los sistemas periféricos (RPS y

SACS) son registradas en el Módulo correspondiente adecuada y
9 oportunamente, el cual alimenta correctamente la información en 2 4 18 26 27 28
el Balance General y es asignado a la cuenta respectiva.

Todos los eventos y / o transacciones no rutinarios son

10 procesados adecuadamente en el período contable respectivo y 4
6
reportados consistentemente

Print Date: Tentative & Preliminary

Page 40 of 45
Last Revision Date: For Discussion Purposes Only.
- 103 -
- 104 -
- 105 -
 - 106 -

Anexo 3.- Ejemplo de una fila en una Matriz de Criterio de Evaluación de Riesgos

Presentation & Disclosure

Rights & Obligations
Completeness
Measurement
Occurrence
Existence

Valuation
Sub Process Risk
Risk Significant Accounts Affected Control
process Owner Ref

Foreign Ricardo Foreign exchange 23 All Balance Sheet Accounts and all All modifications of the
Currency Salas rate data is Income Statement Accounts. exchange rate are recorded by
Translation accurately entered the Oracle Administrator and
into the system approved by the Treasury
x Department via e-mail

(1)

(1)

Control Control
Key
Control Control Control COSO Control Control Implementation Design Test Test
Control Test Step Description
Ref Owner Frequency Component Type Method Date (if <12 Effectiveness number Type
(Y/N)
months) Assessment

8 Oracle D Control Activity/ P M Y Effective 8 Verify that all the INS

Administrator Information and modification of the
Communication exchange rate were
recorded by the Oracle
Administrator. Verify
that the Treasury
Department approves
that record through an
e-mail.
(2)
 - 107 -

(2)

Testing Testing Sample

System Population Sample Test Test Result (Description,
Failure Conditions Assumptions Period Period Selection Tester
Involved Description Size Date Root Cause)
Start End Method

There are modification of the Oracle All the 1/1/05 7/31/05 1 R AC 11/4/2005 With the study sample, we
exchange rate that are not modifications verified on a print screen of
recorded in Oracle by the done in the the modification done in
Oracle Administrator. There exchange March that the person who
are records that were not rate carried out the change was a
approved by Treasury Treasury Analyst. Due to the
Department. Exchange Rates are
controlled by the Government,
during the Testing Period this
rate was modified just once
(March 2005) (3)

# of
(3) Failures
in
Sample
Test Gap Title
Gap Ref. Identified Date IT / Non-
Pass or Work paper References (Short Gap Detail
# By Identified IT
Fail? Description)

1 Fail VEN_FSC_08_08_01, 13 AC 11/4/2005 Lack of There is no evidence of the approval by the Treasury Non - IT
VEN_FSC_08_08_02 evidence of Department over exchange rate change. Even though
VEN_FSC_08_08_06, the approval it was carried only one time this year due to since 3
VEN_FSC_08_08_11 of exchange years ago Venezuela has an exchange control and the
VEN_FSC_08_08_13 rate change rate has been modified only once during the year. The
comments that we received from Corporate Accountant
is that an approval was not necessary due to the
change was well know by everybody.