Documente Academic
Documente Profesional
Documente Cultură
Por
Andrea Cifuentes D’Ascoli
ii
IMPLEMENTACIÓN PRELIMINAR DE LA LEY SARBANES-OXLEY (SECCIÓN
404) EN UNA EMPRESA DISTRIBUIDORA DE GAS
Realizado por:
Andrea Cifuentes
RESUMEN
El presente trabajo surgió de una solicitud de servicios por parte de una empresa internacional
de la industria energética hacia Ernst & Young, en la cual se requiere se le haga un estudio
preliminar para la implementación del la Ley Sarbanes Oxley en cada una de sus filiales con
miras a comenzar a cotizar la bolsa norteamericana en un período aproximado de dos años. Esta
Ley entró en funcionamiento a partir de julio de 2002 luego de una serie de escándalos y
fraudes ejecutados dentro de las compañías públicas.
Para la ejecución del proyecto se estudiaron las principales cuentas significativas de cada
sucursal y se evaluaron aquellos procesos que afectaran directamente las mismas, encontrando
básicamente nueve procesos, los cuales fueron levantados y documentados. El presente trabajo
comienza en la revisión de la documentación de los procesos, concentrándose básicamente en
el de cierre de estados financieros. Para ello se revisó detenidamente el Diagrama de Flujo
existente, se elaboró el “Recorrido” para cada uno de los controles, así como se ejecutó el
mapeo de los riesgos, luego de haber revisado y modificado algunos controles, encontrando la
necesidad de documentar algunas deficiencias por controles claves inexistentes.
A continuación, se realizó un plan de pruebas para cada uno de los controles claves y efectivos,
el cual fue llevado a cabo y documentado de acuerdo a los estándares del Cliente, obteniendo
un 62% de pruebas exitosas.
Durante las fases de documentación y prueba del Proceso de Cierre de Estados Financieros se
observó una falta de comunicación tanto en las políticas de la empresa como en la segregación
de funciones. Se recomienda realizar campañas de educación para los empleados, así como
realizar mejoras de proceso que incluyan automatización de controles y prevención de riesgos.
iii
AGRADECIMIENTOS
A mi papá, mi mamá y mi hermano porque sin ellos no habría tomo de pasantía, ni carrera, ni
nada. Me formaron excelentemente para ser así y, más allá de este libro o de los cinco años que
estudie, me han ayudado en cada aspecto de mi vida y en cada decisión que he tomado,
haciendo la vida mucho más fácil.
A Erickcito, por haber vivido a plenitud este tomo y estos cinco años universitarios,
apoyándome cada vez que fue necesario y animándome cuando desesperaba…
A mis dos tutores, Karina Carrero y Omar Zurita, por la gran ayuda que me dieron al momento
de realizar y documentar esta pasantía.
A Jeanette y Gaby porque sin sus clásicos recordatorios y ayudas a lo largo de la carrera no
hubiese podido llegar a este punto o al menos no lo estaría logrado en este corto tiempo.
Finalmente, a todas aquellas personas que de alguna manera amenizaron y alegraron estos
cinco años de carrera y estos complicados últimos meses…
iv
ÍNDICE DE CONTENIDO
RESUMEN ..........................................................................................................................................III
AGRADECIMIENTOS ......................................................................................................................IV
ÍNDICE DE CONTENIDO .................................................................................................................V
ÍNDICE DE TABLAS Y FIGURAS ..............................................................................................VIII
GLOSARIO .........................................................................................................................................IX
CAPÍTULO I.- INTRODUCCIÓN ................................................................................................. - 1 -
I.1 LA EMPRESA.............................................................................................- 1 -
I.2 JUSTIFICACIÓN........................................................................................- 3 -
I.3 ALCANCE...................................................................................................- 3 -
I.4 ANTECEDENTES DEL PROYECTO SOX 404 ......................................- 4 -
I.4.1 Estudio de las Cuentas Significativas .............................................. - 4 -
I.4.2 Estudio de los procesos a ser incluidos en el Proyecto SOX 404 . - 5 -
I.4.3 Levantamiento de la Información ................................................... - 6 -
I.5 OBJETIVOS ................................................................................................- 8 -
I.5.1 Objetivo General ............................................................................... - 8 -
I.5.2 Objetivos Específicos........................................................................ - 9 -
CAPÍTULO II.- MARCO TEÓRICO ...........................................................................................- 10 -
II.1 BOLSA DE VALORES...........................................................................- 10 -
II.1.1 Definición de Bolsa de Valores .................................................... - 10 -
II.1.2 Índices Bursátiles y Tipos de Bolsas ............................................ - 11 -
II.1.3 Definición de una Compañía ante la Bolsa De Valores .............. - 13 -
II.2 LEY SARBANES OXLEY .....................................................................- 14 -
II.2.1 Definición de la Ley Sarbanes Oxley........................................... - 14 -
II.2.2 Antecedentes de la Ley Sarbanes Oxley ...................................... - 14 -
II.2.3 Principales áreas de la Ley Sarbanes-Oxley ................................ - 15 -
II.2.4 Consecuencias primarias de la Ley Sarbanes-Oxley en la auditoria- 19 -
II.3 DEFINICIÓN DE CONTROL INTERNO .......................................- 21 -
II.3.1 De acuerdo a la Security and Exchange Commission 404.......... - 21 -
II.3.2 Definición de Control Interno de acuerdo a la Normativa COSO- 21 -
II.3.3 Tipos de Controles......................................................................... - 24 -
II.4 METODOLOGÍA PARA LA EVALUACIÓN DE CONTROLES DE
TRANSACCIONES .......................................................................................- 25 -
II.5 PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD (PCAOB)- 28 -
v
CAPÍTULO III.- DESARROLLO DEL PROYECTO ...............................................................- 30 -
III.1 CULMINACIÓN DE LA FASE DE DOCUMENTACIÓN ................- 30 -
III.1.1 Familiarización con los principales procesos del Proyecto ....... - 30 -
III.1.1.1 Revisión de los Diagramas de Flujo de todos los procesos- 30 -
III.1.1.2 Proceso de Cierre de Estados Financieros ..................... - 31 -
III.1.2 Documentación del “Recorrido” ................................................. - 32 -
III.1.2.1 Definición e Importancia del “Recorrido” ..................... - 32 -
III.1.2.2 Resultados del “Recorrido” en el Proceso de Cierre de Estados
Financieros...................................................................................... - 34 -
III.1.3 Control de Calidad de los Documentos Realizados ................... - 41 -
III.1.3.1 Resultados de la evaluación por parte de la Gerencia ... - 41 -
III.1.3.2 Revisión de los controles existentes ............................... - 42 -
III.1.3.3 Revisión del Mapeo de Riesgos y Controles ................. - 47 -
III.1.3.4 Resultados del Mapeo de Riesgos y Controles del Proceso de Cierre
de Estados Financieros .................................................................. - 48 -
III.1.4 Documentación de la Información en la Matriz de Criterios de Evaluación de
Riesgos ..................................................................................................... - 52 -
III.1.4.1 Descripción de la Matriz de Criterios de Evaluación de Riesgos - 53 -
III.1.4.2 Documentación de los Riesgos y Controles en el RACM- 55 -
III.2 FASE DE PRUEBAS..............................................................................- 56 -
III.2.1 Breve reseña de la Metodología de Pruebas de acuerdo a SOX - 57 -
III.2.2 Creación de un Plan de Pruebas .................................................. - 57 -
III.2.3 Diseños de pruebas del Proceso de Cierre de Estados Financieros- 59 -
III.2.4 Recolección de la Evidencia........................................................ - 67 -
III.2.5 Ejecución de Pruebas ................................................................... - 73 -
III.2.6 Resultados de las Pruebas para el Proceso de Cierre de Estados Financieros
................................................................................................................... - 77 -
III.3 ASEGURAMIENTO DE LA CALIDAD .............................................- 86 -
REFERENCIAS BIBLIOGRÁFICAS..........................................................................................- 97 -
vi
CAPÍTULO 7.- ANEXOS .............................................................................................................- 98 -
ANEXO 1.- CONTROLES DEL PROCESO DE CIERRE DE ESTADOS FINANCIEROS- 98 -
ANEXO 2.- RESULTADOS DEL MAPEO DE RIESGOS Y CONTROLES PARA EL PROCESO DE
CIERRE DE ESTADOS FINANCIEROS .............................................................. - 102 -
ANEXO 3.- EJEMPLO DE UNA FILA EN UNA MATRIZ DE CRITERIO DE EVALUACIÓN DE
RIESGOS ........................................................................................................ - 106 -
vii
ÍNDICE DE TABLAS Y FIGURAS
Figura 1.- Matriz de evaluación de las cuentas significativas basado en su saldo y en el riesgo
inherente a ella.................................................................................................................................. - 5 -
Figura 2.- Relación de los Procesos en la Implementación de la Ley SOX 404 para una empresa
de energética ..................................................................................................................................... - 6 -
Figura 3.- Componentes del Cubo Coso y su relación con la Ley Sarbanes Oxley...................- 23 -
Figura 4.- Evaluación de Controles de Transacciones.................................................................- 25 -
Figura 5.- Relación de Controles claves y no claves antes y después del control de calidad....- 44 -
Figura 6.- Ejemplo genérico de plantilla de documentación de la prueba..................................- 74 -
Figura 7.- Ejemplo genérico de una Plantilla de Matriz de Atributos ........................................- 74 -
Figura 8.- Ejemplo Genérico de la Portada de los Papeles de Trabajo.......................................- 75 -
Figura 9.- Ejemplo genérico de la Planilla de Validación de la Prueba......................................- 77 -
Figura 10.- Distribución de los resultados de las pruebas del Proceso de Cierre de Estados
Financieros......................................................................................................................................- 85 -
Figura 11.- Matriz de evaluación de brechas................................................................................- 94 -
Tabla 1.- Descripción del “Recorrido” realizado para cada control cuyo diseño fue efectivo..- 35 -
Tabla 2.- Controles referenciados a otros procesos......................................................................- 38 -
Tabla 3.- Modificaciones en los controles del Proceso................................................................- 45 -
Tabla 4.- Riesgos agregados luego de la revisión del mapeo de Riesgos y Controles ..............- 50 -
Tabla 5.- Tamaño mínimo de la muestra basada en la frecuencia del control (Fuente: Estándares
del Cliente)......................................................................................................................................- 68 -
Tabla 6.- Selección de la muestra para las pruebas del Proceso de Cierre de Estados Financieros..-
70 -
Tabla 7.- Breve descripción de las pruebas que resultaron Exitosas ..........................................- 79 -
Tabla 8.- Evaluación del impacto de las brechas de acuerdo a la cantidad de aseveraciones que
afectan .............................................................................................................................................- 89 -
Tabla 9.- Evaluación del impacto de cada brecha de acuerdo a la cantidad de controles claves
asociados .........................................................................................................................................- 90 -
Tabla 10.- Impacto determinado para cada brecha, junto con la asignación de prioridad.........- 93 -
viii
GLOSARIO
· FASB: Organización del sector privado encargada de establecer y mejorar las normas de
información financiera en los Estados Unidos. Dichas normas están avaladas por la
Comisión de Valores y Cambios (SEC, por sus siglas en inglés) y por el Instituto
Americano de Contadores Públicos.
· Ítems: artículo que representa parte de la población de la prueba y que junto con el resto,
forma la muestra seleccionada para ser probada durante la fase de ejecución de pruebas.
ix
· LPG: (Gas Licuado del Petróleo) Mezcla de gases condensables presentes en el gas
natural o disueltos en el petróleo. Los componentes del GLP, aunque a temperatura y
presión ambientales son gases, son fáciles de condensar, de ahí su nombre. En la práctica,
se puede decir que los GLP son una mezcla de propano y butano. El propano y butano
están presentes en el petróleo crudo y el gas natural, aunque una parte se obtiene durante
el refino de petróleo, sobre todo como subproducto de la desintegración fluídica catalítica.
· OUTSOURCING: Solicitud de apoyo externo que una compañía requiere para manejar
algunas de sus operaciones, las cuales ocupan un tiempo valioso. Este soporte bien puede
utilizarse para aumentar la productividad y las ganancias de las empresas.
· RPS: (Regional Payroll System) Programa desarrollado por Oracle System para el
manejo de las cuentas relacionadas con Recursos Humanos
· SACS: (Security Audit and Control Solutions) Sistema utilizado por la Contabilidad,
donde se lleva un control de diferentes tipos de actividades ejecutadas, sus reportes son
comúnmente utilizados para elaborar análisis.
x
del PCAOB, nombra a los miembros del “board”, revisa y aprueba su normativa, así como
su presupuesto.
· Sistema API: (Ajuste por Inflación) Sistema utilizado por el Cliente para manejar todos
los cálculos de ajustes que sean necesarios ejecutar sobre el valor de los activos en libros
con referencia a la inflación.
xi
-1-
I.1 LA EMPRESA
Ernst & Young es una organización global que brinda servicios de Auditoria y Asesoramiento,
Asesoría Tributaria y Asesoría Financiera a compañías pertenecientes a cualquier tipo de
industria, basado en una cultura de innovación e impulso, sensibilidad e interés por el
individuo, así como honestidad y confianza.
Cada uno de estos servicios constituye un grupo de departamentos, dedicándose cada uno a
actividades más específicas. En el área de Auditoria y Asesoramiento se encuentra el
departamento encargado de la Evaluación de Riesgos de Negocio, o BRS por sus siglas en
inglés Business Risk Services, el cual presta una serie de servicios dentro de los cuales esta el
de asesoria en la adecuación e implementación de los requerimientos de la Ley Sarbanes -
Oxley (SOX).
El Acta Sarbanes Oxley fue emitida en julio de 2002 en los Estados Unidos de América luego
de una seria de escándalos financieros, incluyendo aquellos que afectaron a Enron, Tyco
Internacional y WorldCom (ahora MCI).
Las principales disposiciones de esta ley incluyen: evaluar y concluir sobre la efectividad del
sistema de control interno, crear leyes que penalizan la mala conducta corporativa, dictar
reformas para el buen gobierno corporativo, aumentar el rol y la independencia del Comité de
Auditoria y crear una nueva Junta de Supervisión Contable de Empresas que Cotizan en la
bolsa, PCAOB por sus siglas en ingles “Public Company Accounting Oversight Borrad”. Estas
disposiciones la han convertido en uno de los cambios más grandes de las leyes de los Estados
Unidos de América desde 1930. De esta manera las organizaciones reguladas por la SEC
(Security and Exchange Commission) tienen que adecuarse a las normas del SOX y sus
gerencias deben analizar el impacto de estas nuevas normas para sus organizaciones y tomar
medidas al respecto.
Tomando en cuenta que Ernst & Young puede asistir a las organizaciones analizando las
implicaciones de esta ley, preparando un plan de acción acorde a las disposiciones regulatorias
y soportando en el diseño, desarrollo e implantación de una infraestructura adecuada a los
-2-
requerimientos establecidos por el SOX. El presente caso de estudio se originó a partir de una
solicitud de servicios presentada a Ernst & Young (USA) por una empresa internacional
perteneciente a la industria energética para realizar estudios preliminares sobre la
implementación de la Ley Sarbanes Oxley (Sección 404).
Esta empresa funciona en 11 países operando básicamente en tres segmentos: Servicio de Gas
Natural, Distribución de Poder y Generación de Poder. En la actualidad funciona como una
organización privada, pero estima comenzar a cotizar en la bolsa en un período aproximado de
dos años. Consecuentemente, para convertirse en empresa pública deberá funcionar de acuerdo
al reglamento de la “Security and Exchange Commission” y por lo tanto, cada una de las 15
subsidiarias deberá apegarse a la Ley Sarbanes Oxley antes de que esto ocurra.
El proyecto ejecutado por Ernst & Young fue desarrollado en dos fases básicamente,
documentación y pruebas, e incluyó etapas de levantamiento y documentación de procesos,
ubicación de riesgos operativos y financieros, estudio de controles internos y pruebas de los
mismos en las diversas áreas de operación de la compañía tales como Cierre de Estados
-3-
I.2 JUSTIFICACIÓN
Cabe resaltar que dentro de un estudio realizado por Ernst & Young 1 sobre las tendencias de
los controles internos durante el primer año de implementación de la Sección 404 de la Ley
Sarbanes-Oxley, se observó que en industrias de Gas y Petróleo el Proceso de Cierre de Estados
Financieros se encuentra dentro de los procesos con más áreas claves identificados para
remediaciones significativas de controles relacionados a la sección 404, con un 40% de áreas
identificadas, luego de Tecnología de Información y Operaciones de Negociaciones Centrales,
ambas con 47%. Es decir, el Proceso de Cierre de Estados Financieros es uno de los más
importantes dentro del alcance del Proyecto desarrollado por el Departamento de BRS.
I.3 ALCANCE
supervisión de calidad en los documentos que, a demás de brindar beneficios para el proyecto,
generarán un conocimiento global sobre todos los procesos incluidos. Igualmente, se ejecutarán
actividades específicas para el proceso de Cierre de Estados Financieros, como el “Recorrido”
y el Mapeo de Riesgos y Controles.
A continuación se presentan las actividades que fueron desarrolladas por el equipo de trabajo
que comenzó con el Proyecto de Implementación de SOX 404 en el Cliente previamente a que
el presente trabajo fuera ejecutado.
Conociendo que la Ley Sarbanes Oxley se basa en el estudio de los controles internos de los
principales procesos que afectan las cuentas significativas, es importante conocer este
concepto, una cuenta (o un grupo de cuentas) es significativa si puede contener errores de
importancia o, según criterio gerencial, debería ser evaluada debido a uno o más aspectos. Es
importante señalar que los errores de importancia son aquellos que individual o colectivamente
pueden tener un efecto material sobre los Estados Financieros (Errores Materiales), o que, aun
cuando su efecto no es material en términos de su tamaño, pueden afectar de manera adversa la
reputación de la Compañía si ésta fuera a quedar sin revelar, por ejemplo, actos ilegales o
conflictos de interés.
que afectan la cuenta que puedan indicar un riesgo de errores de importancia. Para ser
insignificativas, el equipo debió determinar que la cuenta sea inmaterial así como que el riesgo
inherente es bajo. Cuando la cuenta presenta balances materiales o un riesgo inherente alto la
cuenta será considerada como una cuenta significativa, tal y como puede observarse en la
siguiente matriz:
Bajo
Riesgo Inherente
No Significativa Significativa
Significativa Significativa
Alto
Inmaterial Material
Saldo de la Cuenta
Figura 1.- Matriz de evaluación de las cuentas significativas basado en su saldo y en el riesgo inherente a ella
Esta evaluación de la cuentas, además de ser indispensable para toda empresa que desee estar
alineada con la Normativa SOX, brinda grandes beneficios para la toma de decisiones a nivel
gerencial, ya que la misma proporciona herramientas para priorizar sobre las acciones a tomar,
basado en las consecuencias sobre las principales cuentas siginifcativas halladas según la
matriz anterior.
Una vez definidas las cuentas significativas, este equipo de trabajo, desarrolló para cada
entidad, una matriz donde en la parte izquierda se tienen todas las cuentas significativas,
mientras que en la parte superior se muestran todos los procesos ejecutados en esa entidad. Las
celdas centrales se rellenaron con una X en caso de que el proceso afectara alguna de las
cuentas significativas. De esta manera, se tomaron los nueve procesos que afectaran en mayor
-6-
Impuestos
Tesorería Ingresos
Proceso de Cierre de
Estados Financieros
Figura 2.- Relación de los Procesos en la Implementación de la Ley SOX 404 para una empresa de energética
La figura anterior demuestra la manera en que se encuentran relacionados todos los procesos
dentro de la empresa. El proceso de Tecnología de Información y la Gestión de la Gerencia
tiene efectos sobre todos los procesos de la empresa, al igual que los procesos de Impuestos y
Legal, pero estos últimos en menor escala. Finalmente, se tienen en el mismo nivel los procesos
de Tesorería, Ingresos, Propiedad Planta y Equipo, Nómina y Compras, observándose que cada
uno de ellos afecta directamente al proceso de Cierre de Estados Financieros.
Luego de definir los procesos que serán evaluados, para comenzar el proyecto realizado por
Ernst & Young, el equipo de trabajo fue dividido de acuerdo a estos procesos. A continuación
cada persona o grupo de personas preparó y desarrolló las entrevistas necesarias para el
levantamiento de los procesos.
-7-
Estas entrevistas se desarrollaron con el dueño del proceso debido a que es quien, dentro de la
compañía, conoce en detalle el proceso respectivo. Adicionalmente, el dueño del proceso es
capaz de remitir al equipo entrevistador con la persona adecuada en caso de que exista algún
detalle que él/ella no maneje.
A medida que se desarrollan las entrevistas el entrevistador se formuló preguntas del tipo “¿que
puede fallar?”, que representaron los riesgos propios del proceso. Estos riesgos debieron
formularse de tal manera que cumplan con el concepto de riesgo y que no sean simplemente la
falta de un control, es decir, afirmando sobre hechos que realmente afecten los objetivos de la
compañía.
Por otra parte, los controles debieron ser identificados a lo largo de estas entrevistas. Para
aquellos casos que donde un riesgo no presenta algún control capaz de mitigarlo, se levantó un
gap en el control o brecha, como se llamará en adelante a lo largo del proyecto. La
denominación de controles claves se asignó para aquellos capaces de prevenir o detectar un
error importante sobre las cuentas significativas, así como aquellos que se encontraran
mitigando un mayor número de riesgos.
Una vez realizadas todas las entrevistas, cada miembro del equipo procedió a documentar estos
resultados diseñando Diagramas de Flujo en el programa Visio. Estos diagramas se realizaron
de acuerdo a la metodología dictada por Oficina de Dirección de Proyectos, donde en las
primeras páginas se colocan los subprocesos con sus actividades macro y bajo cada uno, los
riesgos asociados a este proceso.
Finalmente, se colocaron todos los Controles, el Mapeo de Riesgos y Controles por subproceso,
las Notas de Referencia y una leyenda general. El Mapeo de Riesgos y Controles es una
actividad donde se evalúa cual o cuales controles son capaces de prevenir total o parcialmente
el efecto de cada riesgo inherente en la generación de información financiera. Luego de esta
-8-
El presente trabajo comienza en este punto del Proyecto de Implementación de SOX 404 al
Cliente, cuando el equipo de trabajo está comenzando a documentar las Matrices de Criterios
de Evaluación de Riesgos y se encuentra en la primera parte de la ejecución del “Recorrido”.
Adicionalmente, espera los comentarios sobre los Diagramas de Flujos para realizarle las
correcciones que sean necesarias.
I.5 OBJETIVOS
Una vez definido el comienzo del trabajo, para limitar el alcance del mismo es necesario
describir los objetivos pretender alcanzarse a través del presente proyecto. Es importante
recordar que el alcance de este proyecto se limita al Proceso de Cierre de Estados Financieros.
Contribuir a la implementación preliminar de las bases del proceso SOX 404 en los procesos
relacionados con las cuentas significativas de una empresa Distribuidora de Gas,
principalmente en el Proceso de Cierre de Estados Financieros, analizando los riesgos de este
proceso, identificando controles que mitiguen a cada uno de ellos y ejecutando procedimientos
de evaluación para verificar la operatividad de los mismos.
-9-
· Contribuir a la implementación de las bases del proceso SOX 404 en los procesos
relacionados con las cuentas significativas de la compañía.
· Participar activamente en el levantamiento y documentación del proceso de Cierre de
Estados Financieros, con base en los estándares del Cliente.
· Analizar los Riesgos del proceso de Cierre de Estados Financieros, identificando
controles que mitiguen a cada uno de los riesgos, así como planificar y ejecutar los
procedimientos de evaluación para verificar la efectiva mitigación de los riesgos
identificados.
· Diseñar y ejecutar Planes de Prueba para los principales controles del Proceso de Cierre
de Estados Financieros, así como documentar los resultados basado en los estándares
del Cliente.
· Aplicar procedimientos de Control de Calidad, tanto del Cliente como de Ernst &
Young, a lo largo del Proyecto.
- 10 -
El presente trabajo se fundamenta en un requerimiento que debe cumplir cualquier empresa que
quiera pertenecer a la Bolsa de Valores Norteamericana, por lo tanto es indispensable conocer
sobre la definición de esta, así como ciertos conceptos fundamentales que pueden surgir.
La Bolsa de Valores puede ser comúnmente definida como un mercado, y, como en todo
mercado, se negocian una serie de productos; se ponen en contacto compradores y vendedores.
Efectivamente, en primer término la Bolsa es el punto de encuentro entre dos figuras muy
importantes en una economía: empresas y ahorradores.
Las empresas que necesitan dinero para alcanzar sus objetivos tienen diferentes formas de
conseguirlos, una de las más interesantes es acudir a la Bolsa y vender activos financieros
(acciones, bonos, obligaciones, etc.) que hayan emitido.
Por otro lado, los ahorradores, tanto instituciones como particulares, desean obtener
rentabilidad de sus excedentes y entre las muchas alternativas de inversión que existen, pueden
decidir la compra en Bolsa de los productos emitidos por las empresas.
La Bolsa, por tanto, cumple una función esencial en el crecimiento de toda economía, puesto
que canaliza el ahorro hacia la inversión productiva. Es un instrumento de financiación para las
empresas y de inversión para los ahorradores. Facilita la movilidad de la riqueza.
Además, el mercado bursátil resuelve, cada vez con mayor eficiencia, el problema de la
valoración de los activos financieros a través de la libre conjunción de oferta y demanda. Es
decir, en la Bolsa el precio de los productos financieros es un precio objetivo puesto que se
corresponde con el valor que el mercado da por ellos.
Para que todas estas funciones se desarrollen con eficiencia es muy importante la información.
La información es a los mercados lo que la sangre a un organismo vivo, cuanto más limpia y
mejor circule, mejor funcionará todo el sistema. Toda la información que pueda influir en el
mercado debe ser difundida de forma clara y rápida a todos los participantes para que todos
dispongan de las mismas oportunidades. La transparencia informativa es un compromiso
constante de la Bolsa.
La inversión en acciones protege el ahorro frente a la inflación. Las acciones representan partes
de activos reales, cuyo valor monetario crece por efecto de la inflación, por lo que también
aumenta el precio de las acciones.
Por último, un mercado oficial y organizado como es la Bolsa confiere seguridad jurídica a
todas las transacciones que se realizan y facilita la accesibilidad de todos los participantes.
Los índices bursátiles se definen como el resumen del mercado de acciones. La información de
los índices se da en puntos que indican la tendencia del mercado. Los puntos pueden leerse en
números enteros o en porcentajes con respecto a la última sesión de cotización 2.
Para que el inversor pueda visualizar las subidas y bajadas del mercado, la información en
puntos de los índices se representan en forma de un gráfico de curvas. Los índices pueden
agrupar los valores en función de distintos parámetros.
Estos índices son muy útiles para el inversor, ya que le permiten seguir la evolución de valores,
sectores y mercados, y comprobar cómo se comportan con respecto a otros títulos, sectores o
mercados. De esta manera, puede resumirse en primer lugar que los índices permiten obtener
- 12 -
información en tiempo real sobre el universo de la inversión, mientras que en segundo lugar
aportan seguridad al inversor. Es decir, los índices se componen de empresas representativas y
solventes, de forma que cuando un inversor compra en este índice tiene el respaldo de la
liquidez de estas empresas.
Además, los índices son los puntos de referencia y comparación para los inversores. Por
ejemplo, la mayoría de los fondos de inversión tiene un índice representativo, por lo que
cualquier persona que tenga un fondo debe comparar el rendimiento de éste con el del mercado.
Por otra parte es importante distinguir la existencia de diferentes tipos de bolsa o índices,
establecidos en diferentes países o en el mismo pero con diferentes características, como por
ejemplo El Dow Jones establecido en los Estados Unidos de Norteamérica, es el índice más
seguido del mundo. Está compuesto por los 30 valores industriales más significativos cotizados
en la Bolsa de Nueva York, conocida también como NYSE (New York Stock Exchange). Este
índice tiene la particularidad de que todos los valores pesan lo mismo, independientemente de
su capitalización.
En el NYSE también destaca el Standard & Poor´s, que incorpora 500 valores (400
industriales, 40 financieras, 40 de empresas de servicios y 20 de transporte). Los valores se
eligen en función de su capitalización. No contempla a las medianas y pequeñas empresas y,
por consiguiente, su principal característica es que se calcula dándole más peso a unos valores
que a otros, en función de su mayor o menor influencia en el mercado. Se suele toman como
una referencia más amplia del mercado que el Dow Jones 3.
El Nasdaq Composite y el Nasdaq 100 son los índices que recogen la cotización de los valores
tecnológicos incluidos en el mercado Nasdaq, que ha empezado a destacar tras la irrupción de
las compañías dedicadas a negocios en Internet. Además tiene la peculiaridad de ser el primer
mercado mundial no organizado oficialmente, ya que en él se negocian valores cotizados y de
empresas no admitidas a cotización.
- 13 -
Para realizar esa presentación la pequeña empresa que tiene un producto o servicio atractivo
debe concurrir a un Banco de Inversión o a banqueros de inversión quienes acuerdan avalar la
oferta accionaria inicial adquiriéndolas a un precio establecido para luego venderlas
públicamente con un beneficio. Este ente ayuda a la empresa a preparar un prospecto, que es un
documento legal que debe estar disponible para toda persona interesada en la inversión. En el
prospecto se detalla la historia financiera, los productos y servicios ofrecidos, así como la
tecnología, know how y gestión disponibles. En ese documento hay que prevenir a los
inversores acerca de los riesgos que la empresa correrá en su proyecto de crecimiento
Una vez culminado este acuerdo, el proceso sigue con la etapa de atraer inversores a través de
publicaciones en los medios financieros tradicionales con avisos que en el mundo sajón son
conocidos como tombstones o lápidas de sepulcro por la forma de sus bordes negros y su
pesada escritura. A su vez, la entidad bancaria que avala la emisión inicial organiza reuniones
entre los titulares de la empresa y potenciales inversores. El día anterior al lanzamiento se fija
el precio de salida de la acción, el que subirá o bajará dependiendo de la labor de
comercialización previa realizada por la empresa y el banco inversor y de la intuición de los
inversores.
En caso de que una compañía haya emitido acciones pero tiene mayores necesidades de capital,
a través de emisión de acciones encara una segunda ronda de inversión, teniendo sumo cuidado
en no contribuir con ello a devaluar sus propias acciones pues los primeros tenedores de
acciones temerán lógicamente que el valor de equidad de sus acciones se diluya; si las acciones
bajan en lugar de subir algunas corporaciones emplean la táctica de comprar sus propias
acciones confiando en inducir una escalada de compra y consecuente alza de precios.
- 14 -
La ley Sarbanes-Oxley de 2002 fue firmada por el Presidente de los Estados Unidos George W.
Bush el 30 de julio de 2002 trayendo grandes implicaciones para aquellas compañías
extranjeras que emiten acciones en los Estados Unidos o cuyas acciones cotizan en las bolsas
de valores de los Estados Unidos.
Esta nueva ley tiene como objetivo realzar la responsabilidad corporativa, mejorar la manera en
que la información financiera es distribuida, y combatir el fraude corporativo y contable. Así
mismo, también se creó un comité para vigilar las actividades de la profesión de la auditoria
contable.
Como respuesta al fracaso de Enron Corporation en 2001, que en ese momento era la séptima
corporación más grande en los Estados Unidos, Sarbanes, en su capacidad de Presidente del
Comité de Banca, Vivienda y Asuntos Urbanos del Senado, llevó a cabo una serie de amplias
audiencias que tuvieron como resultado la aprobación de una ley bipartidista diseñada para
reformar la industria de la contabilidad y restaurar la confianza de los inversionistas que se
había erosionado con el colapso de Enron.
Inmediatamente después de la aprobación de la legislación por parte del Comité de la Banca del
Senado en junio de 2002, las dificultades contables de WorldCom sacudieron aún más a los
mercados financieros y crearon una gran ola de apoyo para la legislación de Sarbanes.
- 15 -
Como resultado de su trabajo de llevar hacia adelante esta legislación histórica en el Congreso
hasta convertirse en ley, Sarbanes fue honrado en junio de 2003 con el prestigioso Premio de
Ética en el Gobierno llamado Paul H. Douglas de la Universidad de Illinois. El premio,
establecido en 1992 en honor del Senador Douglas, un hombre a menudo llamado “la
conciencia del Senado de los Estados Unidos”, fue diseñado para honrar a quienes han hecho
una contribución significativa en la promoción de la ética 4.
· Sección 302: La información pública presentada deberá ser certificada por los directivos
de la sociedad. En este sentido, los directivos certificarán su responsabilidad y
corrección respecto a: los informes trimestrales y anuales; la no existencia de omisiones
o información confusa en los estados financieros; los controles sobre la información que
se envía al mercado y la eficiencia del control interno sobre la misma; la comunicación
de forma efectiva a los auditores y al Comité de Auditoria de los errores o fraudes que
se identifiquen.
· Sección 401: Mejoras en los detalles de información y transacciones fuera de balance y
del contenido de los informes pro-forma.
· Sección 404: Evaluación del control interno financiero: valorado, documentado y
certificado por la Dirección de la sociedad y auditado por el auditor de cuentas. Este
opinará sobre la corrección de lo manifestado por la sociedad y sobre la eficiencia del
control interno financiero a la fecha de cierre de los estados financieros. Es importante
señalar, que el presente trabajo se fundamenta en la implementación de esta sección.
· Sección 409: Los cambios en información pública de la sociedad, que tengan impacto
potencial significativo, en la situación financiera o en las operaciones, deberán ser
informados de forma mucho más rápida y efectiva.
A continuación se tiene el área relacionada con la Conducta, e implica mejora en las conductas
y comportamientos exigibles: mayores exigencias de responsabilidad en los temas de gestión
indebida de información confidencial, incluyendo las siguientes secciones:
realizar estudios sobre normas contables basadas en principios frente a las basadas en
aspectos más formales.
· Sección 109: Los emisores de valores en los mercados americanos deberán contribuir
mediante las cuotas que se determinen a la financiación de las actividades del PCAOB y
del FASB.
· Sección 408: La SEC ampliará, de forma importante, las revisiones periódicas sobre los
depósitos (filings) de las compañías.
· Sección 407: Extensión de las responsabilidades profesionales para los abogados.
Estarán obligados a informar cualquier evidencia que dispongan sobre violaciones
materiales de leyes sobre actuaciones con títulos cotizados o incumplimientos de
obligaciones por el Consejero Delegado o por el Secretario del Consejo (o el
responsable legal del mismo). Si se informa a la Dirección y esta no tomara acciones se
informaría directamente a la SEC.
A continuación se tiene el área referente a penalidad que indica un incremento del régimen
sancionador asociado a incumplimientos e incluye las siguientes secciones:
· Sección 304: Deberán reintegrarse los incentivos cobrados o los beneficios realizados
en la venta de acciones por el Consejero Delegado o por el Director Financiero que se
hayan recibido sobre la base de una información financiera fraudulenta que necesite ser
re-evaluada, corregida y publicada nuevamente.
· Sección 804: Extensión de los plazos en que puede perseguirse un fraude cometido y/o
identificado.
· Sección 906: Obligación para el Consejero Deleado y Director Financiero de certificar,
bajo responsabilidad penal, su buena fe en cuanto a que los informes públicos
periódicos: cumplen con todos los requisitos establecidos en la Ley sobre Acciones de
1934 (Securities Exchange Act, 1934), así como presentan, en todos los aspectos
materiales, la situación financiera y los resultados de las operaciones del emisor.
· Secciones 1102 & 802: Responsabilidades penales por manipular, alterar o destruir
documentos o impedir, de otra manera, una investigación oficial. Por otra parte,
extensión de las responsabilidades penales a cualquier persona que altere documentos,
- 19 -
· Sección 201: Prohibición total para que el auditor de cuentas pueda prestar
determinados servicios a sus clientes de auditoria.
· Sección 202: El Comité de Auditoria deberá autorizar, de forma previa a su
contratación, cualquier servicio permitido que pretenda contratarse con el auditor de
cuentas.
· Sección 203: El socio firmante y el socio revisor deberán rotar cada 5 años.
· Sección 206: Se establecen restricciones importantes para que una entidad contrate
personal del equipo de su auditoria sin que esto pueda suponer un posible problema de
independencia para la firma auditora. Se establece un periodo “de enfriamiento” de un
año en el que no se pueden producir estas contrataciones para puestos clave en relación
directa con la supervisión financiera de la información del emisor.
Como puede observarse, muchas de las secciones de la Ley tienen un impacto, relativamente
directo, en la actividad del auditor. La mismas incluyen una serie de servicios no permitidos
para los auditores: llevanza de contabilidades o preparación de los registros de información
financiera del cliente; diseño o implementación de sistemas de información financiera;
valoraciones, tasaciones u opiniones sobre aportaciones de activos; servicios actuariales;
outsourcing integral de servicios de auditoria interna, funciones de dirección/gestión; gestión
de recursos humanos/servicios de contratación de personal; asesoramiento de inversiones,
actividades de intermediación o servicios de inversión financiera; servicios legales no
relacionados con la auditoria; y, finalmente, cualesquiera otros que la SEC o el PCAOB puedan
establecer en el futuro.
- 20 -
Realizando un análisis de los punton anteriores y tomando como base el artículo “La Ley
Sarbanes Oxley y los Auditores” de Ernst and Yong, se concluyó que esta definición tan
explícita de incompatibilidades tiene un efecto directo en los trabajos que desarrolla el auditor
en sus clientes y en la relación profesional que se establece entre ambas partes. Así, el principio
fundamental de independencia real exigible al auditor se complementa con la definición formal
de servicios prohibidos.
La Ley parte del supuesto elemental de eliminar cualquier trabajo de la firma auditora que
posteriormente pueda/deba ser auditado por esa misma firma. En este marco, en algunas
ocasiones, las sociedades han preferido separar, de forma más estricta que en el pasado, las
contrataciones de auditoria de las contrataciones de otros servicios profesionales. Esta
regulación no supone diferencias muy importantes o “insalvables” tomando como referencia las
reglamentaciones europeas de auditoria, y/o en particular en España, la Ley Financiera de
noviembre de 2002. Un área dónde la influencia de la Ley Sarbanes-Oxley es indudable, y en
general positiva, es en la obligatoriedad de fortalecer los sistemas de control interno financiero.
La Ley Sarbanes-Oxley obliga a auditar, a partir de una fecha determinada, no sólo los estados
financieros sino también el Control Interno Financiero. El PCAOB ha impuesto una norma
(derivada de la Sección 404 de la Ley) que obliga a que las auditorias de todos los clientes
cotizados en Estados Unidos se realicen aplicando el concepto de Auditoria Integrada. Esta
metodología, descrita en el Estándar de Auditoria nº 2 del PCAOB, ha introducido una
exigencia documental y de evidencia muy importante, tanto para las compañías como para los
auditores. Estas auditorias, cuya finalidad es mejorar la calidad y confiabilidad de la
información financiera, están suponiendo una adaptación de la metodología del auditor al
enfoque de trabajo basado cada vez más en entender los riesgos, los controles, su
identificación, valoración y prueba continua.
Es importante resaltar que la ley ha sido creada con disposición de continuidad, es decir, sus
implicaciones en la profesión auditora y en las empresas auditadas no serán, en ningún caso,
una experiencia puntual sino una situación continua. La idea principal es que la
implementación de la ley deje de ser un proyecto y pase a ser un proceso continuo dentro de la
compañía 6.
- 21 -
Como puede observarse en la parte anterior, uno de los conceptos fundamentales cubiertos por
esta Ley es la importancia que cobran los controles internos dentro de los procesos que afectan
las principales cuentas significativas.
De acuerdo a la Ley Cambiara emitida por la SEC, control interno se define como un proceso
diseñado por, o bajo la supervisión del ejecutivo principal de la entidad registrada y oficiales, o
de las personas financieros principales que realizan las funciones semejantes, y realizados por
la junta directiva de la entidad registrada, la administración y otro personal, para proporcionar
la certeza razonable con respecto a la cobertura financiera y la elaboración de estados
financieros para propósitos externos de acuerdo con principios contables generalmente
aceptados.
estructura que cumple con los requerimientos de las reglas finales de la SEC para el
cumplimiento de la sección 404.
· Entorno de Control: Integridad, conducta y ética del personal ejecutivo clave; conciencia
de control y estilo de toma de decisiones; compromiso hacia la competencia; dominio y
supervisión de la junta y/o Comité de Auditoria; estructura organizacional, autoridades y
responsabilidades; y procedimientos y políticas de Recursos Humanos.
nt
o s de n
ie ne ón ció
im io i
ac i s ma ble
pl r
m pe Em for nta
Cu O In Co
Consideraciones
Unidades de
Negocio
Entorno de Control
sobre Control
Interno que surgen
Funciones
Evaluación de Riesgos
del artículo 404 de
Actividades de Control la Ley Sarbanes
Oxley
Información y Comunicación
Seguimiento y Supervisión
Figura 3.- Componentes del Cubo Coso y su relación con la Ley Sarbanes Oxley.
En la figura se observan los cinco componentes que conforman al cubo coso, así como las
categorías en las cuales estos componentes pueden afectar el alcance los objetivos de la
empresa.
Tal y como se observó en la descripción de las secciones que comprenden la Ley Sarbanes
Oxley, la sección 404 únicamente se refiere a los Reportes Financieros, por las consideraciones
de Control Interno cubiertas por la sección se limitan a la forma en la que afectan cada uno de
los componentes: entorno de control, evaluación de riesgo, actividades de control, información
y comunicaciones y monitoreo sobre los reportes financieros, tanto a nivel de las funciones
como de las unidades de negocio.
- 24 -
Como ya se ha definido, los controles son procesos que ayudan a lograr los objetivos y a
mitigar los riesgos, basado en la metodología que utilicen para ello los controles se pueden
clasificar en:
· Controles Directivos: Son aquellos que implican instrucciones generales por parte de la
alta gerencia.
· Controles Preventivos: son aquellos que mediante su ejecución impiden que algo falle,
por ejemplo, las claves de acceso en los sistemas impiden que perfiles de usuarios
foráneos puedan entrar a realizar actividades ajenas a sus asignaciones.
· Controles de Detección: son aquellos capaces de detectar una falla, por ejemplo, las
conciliaciones bancarias estudian las posibles diferencias que puedan haberse generado
entre el Libro Mayor y el saldo del Banco.
· Controles Correctivos: son aquellos que corrigen una falla luego de de que ésta haya
ocurrido
· Controles Manuales: son aquellos que no utilizan durante su ejecución ningún sistema de
información, por ejemplo, la verificación de la completitud de la mercancía física versus
la factura por parte del encargado del almacén.
· Controles Manuales Dependientes de IT: Son aquellos realizados por una persona pero
utilizando información extraída de algún sistema de información, por ejemplo, cuando un
empleado ejecuta una conciliación bancaria tomando el estado de cuenta del banco y el
reporte del sistema.
- 25 -
· Controles de Aplicación: son aquellos específicos para cada proceso y que dependen de
una aplicación informática para funcionar, por ejemplo, la verificación de los perfiles de
usuario (nombre, contraseña y accesos) para un sistema determinado.
Una vez conocidos los principales conceptos incluidos en la Ley Sarbanes Oxley, es necesario
describir la metodología comúnmente utilizada en este tipo de Proyectos, para lo cual es
utilizado un diagrama que muestra las principales actividades a ejecutar.
Esta metodología es aplicada por todas las firmas de auditoria para la documentación de
Proyectos de esta índole y es muy similar en todos los casos.
Estados Cuentas
Financieros Significativas
En primer lugar, el cliente informa sobre los Estados Financieros y los riesgos claves e
inherentes que tiene el negocio. Una vez comprendida la información anterior, la firma procede
- 26 -
a identificar Cuentas Significativas para lo cual se deben considerar varios factores, como la
materialidad, naturaleza y composición de la cuenta; volumen de actividad y tamaño,
complejidad y homogeneidad de transacciones individuales; complejidades de contabilidad /
divulgación; riesgo inherente; subjetividad en la determinación del balance de la cuenta;
asuntos que afectan la reputación del balance de la cuenta; asuntos que afectan la reputación de
la compañía; transacciones con empresas relacionas y cambios en las características de la
cuenta.
· Ocurrencia: Si una transacción o evento que ocurrió está relacionado con el cliente
durante un período determinado.
· Integridad: Si todas las transacciones y cuentas que deben ser presentadas en los estados
financieros están incluidas.
· Valuación: Si las cuentas de activos y pasivos han sido incluidas en los estados
financieros en los momentos apropiados.
· Medición: Si los componentes de ingresos u gastos han sido incluidos en los estados
financieros con los montos apropiados.
· Derechos y Obligaciones: Si los activos son los hechos de la entidad, y los pasivos son las
obligaciones de la entidad en una fecha determinada.
La importancia de éstas se traduce en la documentación de los riesgos, ya que los mismos son
documentados en la medida que se identifiquen actividades que puedan afectar estas
aseveraciones. Adicionalmente, estas aseveraciones serán de gran utilidad al momento de
- 27 -
realizar el mapeo de riesgos y controles, ya que para ello se observa cual de ellas afecta el
riesgo y si el control es capaz de mitigar este efecto.
Los flujos de transacciones pueden dividirse en: Inicio (punto en donde los hechos de negocios
son capturados, preparados y enviados al registro); Registro (punto donde los hechos de
negocio o transacciones son registrados contablemente en los libros de la empresa);
Procesamiento / Cambio (cualquier cambio o procesamiento de la data, en libros y registros de
la compañía); y, finalmente, Reporte (punto donde la transacción es reportada en los estados
y/o reportes financieros).
Una vez conocidas las cuentas y los procesos significativos, se procede a identificar los Riesgos
Significativos, mediante la pregunta ¿Qué puede fallar?, es decir, por cada aseveración de
cuenta significaba, pregunte donde pueden ocurrir errores que afecten materialmente en el
procesamiento de las transacciones.
Para continuar se ejecuta la evaluación y monitoreo, donde se evalúa el diseño de los controles
claves, la efectividad de la operatividad de los controles claves y se identificará cualquier
brecha o eficiencia, para su remediación.
De acuerdo a su página principal 10, este organismo tiene como función esencial la supervisión
de la actividad auditora referida a las sociedades que cotizan en la bolsa. El órgano ejecutivo de
este regulador es su Consejo el cual esta compuesto por cinco miembros, de los que sólo dos
representan al sector de los auditores. La PCAOB está adscrita a la SEC, a la que debe remitir
un informe anual de sus actividades y ante la que son recurribles sus resoluciones (Sección
107). Adicionalmente, la PCAOB lleva un registro de auditores en el que deben estar inscritos
todos los auditores de sociedades cotizadas en los Estados Unidos de Norteamérica
La primera de ellas establece los estándares para los reportes de los auditores independientes,
por ejemplo, los reportes de opinión que emita el auditor externo debe tener la siguiente
referencia: “Hemos efectuado nuestra auditoria (o revisión), de acuerdo con los estándares de la
Public Company Accounting Oversight Board (United Stated)”. Otro punto importante indica
que el auditor también debe indicar en su informa la ciudad y estado (o ciudad y país) en el cual
fue emitido dicho informe.
de debilidad material requiere una opinión adversa sobre la efectividad de los controles
internos.
Para concluir, la norma N°3 establece los estándares para la documentación de la auditoria
indicando los principales objetivos y los requerimientos de documentación, así como la
documentación de asuntos específicos como la identificación de los ítems verificados, el
alcance de muestras, la identificación de la población, entre otros. Finalmente establece
parámetros para la retención de documentación de auditoria: al menos 7 años, a partir de la
fecha de emisión del reporte o la fecha de culminación del trabajo de campo y para los casos de
- 30 -
Como ya se ha mencionado, el presente trabajo comienza cuando los miembros del equipo de
trabajo de Ernst & Young se encontraban culminando la primera fase del proyecto, la
participación en este proceso fue básicamente a nivel de control de calidad lo que generó un
conocimiento de los diferentes procesos que integran el proyecto.
Para comenzar se apoyó a la Gerencia en la Revisión de los Diagramas de Flujo de cada uno de
los nueve procesos a nivel de redacción y de consistencia entre los dos idiomas en los que se
encuentran documentados.
Adicionalmente, se observó que las representaciones de los procesos cumplieran con las
normas básicas de Diagramas de Flujo, es decir, que cada subproceso presentara sólo un inicio
y un fin; que no se ejecutaran actividades paralelas dentro de una misma secuencia; y que todas
las actividades se encontraran conectadas con otra actividad o con el fin.
En líneas generales se encontraron varios recuadros de decisiones que iniciaban acciones en sus
dos opciones para lo cual alguna de las opciones fue documentada en otra página colocando un
- 31 -
conector luego del recuadro de decisión. Para aquellos casos donde se encontró más de un fin,
igualmente se colocó una referencia cruzada con la página donde se encontrase el último fin.
Finalmente, se revisaron algunos detalles de forma, donde se verificó que todos los símbolos
hubiesen sido adecuadamente utilizados de acuerdo a lo acordado con el cliente, que cada una
de los cuadros de actividades respondieran las preguntas básicas “qué, quién, cuándo y cómo”
y, que los controles identificados como claves se encontraran a lo largo de todo el proceso en
tintados de azul, mientras que los no claves fueran blancos.
Una vez conocidos en forma general los nueve procesos, se procedió al estudio particular del
Proceso de Cierre de Estados Financieros, el cual comprende el conjunto de pasos o fases de la
contabilidad que se repiten en cada período contable. En líneas generales, se inicia con el
registro de las transacciones, continúa con la labor de pase de las cantidades registradas del
diario al libro mayor, la elaboración del balance de comprobación, la hoja de trabajo, los
estados financieros, la contabilización en el libro diario de los asientos de ajuste, su traspaso a
las cuentas del libro mayor y, finalmente el balance de comprobación posterior al cierre.
Durante el estudio del Proceso de Cierre de Estados Financieros fue necesario recordar algunos
términos del sistema contable, el cual esta compuesto principalmente por el Libro Mayor
General, última instancia donde se registran las transacciones que afectan un negocio, y los
Libros Auxiliares, instancias donde se registran las transacciones que afectan a un subproceso
de negocio específico.
Durante esta fase fueron identificados 38 riesgos y 54 controles, de los cuales 27 de ellos son
claves. Adicionalmente, como consecuencia de la falta de uno o más controles fueron
documentados 4 brechas. Finalmente se conoce que 88% de los controles ejecutados en este
proceso son de tipo manual, mientras que 50% se realiza de manera preventiva
Luego de conocer los detalles del proceso de Cierre de Estados Financieros, se procedió a
ejecutar la primera de las actividades particulares de este proceso, el “Recorrido” o recorrido.
11
El párrafo número 79 de los Estándares de Auditoria # 01 emitidos por el PCAOB explica la
importancia de construir el “Recorrido” dentro de los Proyectos relacionados con la
Implementación de la Regla 404, de la Ley de Sarbanes-Oxley:
“Los auditores deben realizar por lo menos un “Recorrido” para cada una de las más
importantes clases de transacciones. En un “Recorrido”, el auditor localiza una
transacción desde su origen a lo largo de los Sistemas de Información de la Empresa
hasta que es reflejado en los Reportes Financieros de la Compañía. Los “Recorrido”
suministran al auditor con evidencia para:
Utilizando una hoja de Excel previamente diseñada por el Cliente para la documentación inicial
de los controles de cada proceso, se procedió a colocar la información respectiva en cada una
de las columnas, documentando mediante el diagrama de flujo, el número y descripción del
control; si el mismo es o no clave y, por lo tanto, si deberá ser probado en la fase de pruebas.
Una vez recolectados todos los soportes y/o evidencias de los controles se documentaron los
resultados de la siguiente manera:
· Para aquellos grupos de dos o más controles que utilizaran la misma evidencia, el
número de la referencia se asigna de acuerdo al primer control que la utilizó.
- 34 -
· En caso de que alguno de los atributos del control no esté presente en el soporte
solicitado, igualmente, se documentaron los resultados pero agregando en la columna de
excepciones aquello que no se esta cumpliendo.
Para el momento en que se ingresó en el proyecto, ya el equipo del proyecto habían generado y
solicitado la lista de requerimientos necesarios para la construcción del “Recorrido”. Para el
caso del Proceso de Cierre de Estados Financieros ya la mayoría de los requerimientos había
sido entregada por el cliente, pero no se había comenzado a documentar el “Recorrido”.
En ambos casos se solicitaron nuevamente los requerimientos, realizando una pequeña reunión
con el dueño del proceso, es decir, el Contador Corporativo, de tal manera de explicarle
claramente lo que se esta solicitando para evitar confusiones y que se entregara nuevamente la
documentación equivocada.
- 35 -
Tabla 1.- Descripción del “Recorrido” realizado para cada control cuyo diseño fue efectivo
Control Descripción del Recorrido ejecutado para evaluar la efectividad del diseño del
Control
1, 2 y 30 Se observó una comunicación a través de correos electrónicos donde se indicaba la
requisición de creación de una cuenta en el código de cuentas por parte del Analista de
Contabilidad Corporativo para el Contador Corporativo, quien posteriormente le
comunicó esta solicitud al Administrador Funcional de Oracle. Finalmente, el correo
incluía las modificaciones ejecutadas por el administrador funcional y una respuesta
donde este informa al Contador y al Analista que ya los cambios fueron exitosamente
realizados.
3 Se tomó de Oracle Financiero el detalle del Libro Mayor correspondiente a Junio 2005 y
se observó en una hoja de Excel un análisis del mes en curso en comparación con el mes
anterior, no se observaron evidencias de la persona que realizó el análisis y el mismo no
fue ejecutado antes del cierre de mes, sin embargo, el diseño del control fue calificado
como efectivo.
4 Se observó una lista manual de las cuentas a ser manualmente registradas al final del
período que incluía el día, tipo de registro y monto a registrar. No se pudo verificar el
nombre de la persona que realizó esta lista, sin embargo, el control fue calificado como
efectivo.
5 Se observó el análisis de las variaciones analíticas y composiciones de los saldos de las
cuentas de la Región Andina en Marzo de 2005, el documento no presentó la firma de
quien lo elaboró ni la fecha en la cual fue realizado, sin embargo, el control será
calificado como efectivamente diseñado.
6 Se observó un archivo de Excel denominado “Conciliación Intercompañías 2005”
suministrado por el Asistente de Contabilidad Corporativa donde se evidencia el análisis
que mensualmente ha realizado hasta la fecha con todas las cuentas intercompañías, el
mismo presenta las evidencias identificadas y se explica que serán ajustadas el mes
siguiente.
7 De acuerdo al Contador Corporativo durante el año 2005 sólo se realizó un ajuste, el día
27 de Julio, de esta manera, se observó una lista emitida por Oracle para esa fecha donde
pudo verificarse tanto la firma del contador como la razón del ajuste.
8 Se observó la actualización de la tasa en las cuentas definidas como moneda extranjera
realizada en el mes de Marzo por el Analista de Contabilidad Corporativo, debido al
control de cambio éste es el único período del año 2005 donde la tasa fue modificada.
9 y 10 Para constatar la ejecución de este control se tomó la conciliación bancaria
correspondiente a Abril 2005 con sus respectivos soportes (estado de cuenta bancario y
copia del Libro Mayor). En la conciliación se observó la firma de quien lo realizó, la
fecha en que se elaboró, que el balance final era igual al del estado de cuenta bancario
entregado como soporte y que el mismo coincidiera con el Libro Mayor. Adicionalmente,
se verificaron evidencias de la revisión y aprobación por parte del Contador Corporativo.
35 Para evidenciar este control se observó una impresión de pantalla del Sistema donde se
evidenciaba que sólo el Contador Corporativo y el Analista de Activos Fijos tienen
acceso para utilizar el API.
36 y 37 Se obtuvo la Conciliación correspondiente a la división de transporte en el mes de
Diciembre 2004, donde pudo verificarse que los saldos del auxiliar conciliaban con los
del libro mayor, adicionalmente, se observó el análisis de las partidas no monetarias.
40 Se obtuvo un correo electrónico enviado de Casa Matriz para el Presidente y el Comité
donde se evidencia la aprobación del Plan Anual de Presupuesto.
41 Se observó un correo electrónico enviado desde Oficina de Dirección de Proyectos
correspondiente a Diciembre de 2004 aprobando el presupuesto anual del año 2005.
42 Se observó la manera en que el asistente registra las partidas que no han sido actualizadas
de los módulos de Compras, Inventario, Cuantas por Pagar y Activos Fijos en el sistema
Oracle Financiero.
44 Se obtuvo una conciliación correspondiente a Abril 2005 y se observó que para la misma
son utilizados los siguientes reportes: análisis de antigüedad, informes de avance y el
Balance de Comprobación detallado de Oracle Financiero, los saldos de éstos son
comparados y respectivamente analizados.
El documento obtenido, no presentaba la firma de quien lo ejecutó y se observaron
diferencias sin explicación, sin embargo, el diseño control fue calificado como efectivo.
De esta manera se utilizaron todas las evidencias obtenidas en la primera y segunda solicitud. A
continuación se realizaron aquellos controles de Cierre de Estados Financieros que se
encuentran presentes en otros procesos y que, consecuentemente, fueron relacionados con ellos
para evitar la redundancia de información y la ejecución de trabajos análogos.
Dentro del Proyecto de Implementación de la Ley SOX 404 en el cliente, existen ciertos
controles que se ejecutan en más de un proceso y de esta manera fueron documentados. El
Proceso de Cierre de Estados Financieros presenta controles similares a los siguientes procesos:
Tesorería, Ingresos, Impuestos y Compras. Los controles correspondientes a los tres primeros
fueron referenciados a éste proceso, es decir, que tanto el “Recorrido” como las pruebas serán
realizados durante la ejecución del Proceso de Cierre de Estados Financieros. Mientras que para
el último proceso, Compras, los controles correspondientes fueron evaluados y probados
durante la ejecución del mismo. A continuación se presentan estos controles junto a la
referencia del control al cual fue relacionado:
Para culminar las actividades de “Recorrido” se documentaron aquellos controles para los que
no se obtuvo evidencia.
· Control 26: El Contador Corporativo revisa y aprueba los Reporting Packages antes de
enviarlos a Oficina de Dirección de Proyectos. El diseño de este control fue calificado
como inefectivo ya que de acuerdo al Coordinador de Presupuesto no existe evidencia
de esta aprobación.
· Control 31: El Sistema Oracle esta configurado para asociar cuentas a las líneas de
estados financieros correspondientes. A pesar de que no se realizó el “Recorrido” para
este control, se decidió calificarlo como efectivo y probarlo en la fase correspondiente
· Control 39: El Comité de Presupuesto local aprueba el Plan Anual en presencia de todas
las gerencias en una reunión anual. Para este control no se obtuvo evidencia, por lo
tanto su diseño fue calificado como inefectivo.
· Control 43: El Analista de Contabilidad Corporativa concilia los saldos de los auxiliares
versus la Contabilidad General para establecer diferencias. El diseño del control fue
catalogado como inefectivo debido a que el mismo no esta siendo ejecutado.
· Control 50: El Contador de Ajustes por Inflación mensualmente verifica los estados
financieros y los reportes incluidos en el Reporting Package. De acuerdo al Contador
Corporativo, este control no es ejecutado por el Contador de Ajustes por Inflación.
De esta manera se tiene que 8 de los 54 controles evaluados presentan un diseño infectivo, es
decir, 15% de los controles no están mitigando realmente los riesgos asociados. Este es un
porcentaje significativo tomando en cuenta las consecuencias que puede generar sobre los estados
financieros.
La razón principal por la cual estos controles fueron calificados como inefectivos es un déficit en
el diseño y comunicación de la segregación de funciones. En primer lugar, aproximadamente la
mitad de los controles calificados como inefectivos está siendo ejecutado de manera similar en
otro control, es decir, durante la fase de levantamiento de información ambos controles no fueron
documentados correctamente, pero esto es una consecuencia directa de que el personal no conoce
realmente sus funciones y dos personas en cargos distintos pueden haber dicho que ejecutan un
- 41 -
control similar, o, dos personas en un mismo cargo pueden interpretar el control de maneras
distintas; en cualquiera de los dos casos se pudieron haber documentado dos controles a partir de
un mismo control.
Finalmente, para realizar el cierre de la primera fase del Proyecto de Implementación de la Ley
Sarbanes Oxley, se realizó en conjunto con la gerencia una evaluación de los documentos hasta
ahora ejecutados por el equipo de trabajo, encontrando que cada integrante debía revisar dentro
de su trabajo la metodología empleada para documentar los controles y los riesgos.
En primer lugar se encontró que no todos los riesgos habían sido definidos, así como que en
muchos casos el Modelo Normativo no se había utilizado correctamente como punto de partida.
Adicionalmente, algunos de los controles identificados no mitigaban efectivamente el riesgo o
lo mitigan parcialmente y no existe un control que lo complemente. Para poder remediar ambas
situaciones se revisó el mapeo de riesgos y controles para todos los procesos, tomando como
base el Modelo Normativo como se explica más adelante.
Con respecto a los controles, se observaron deficiencias en la redacción de los mismos, ya que
la misma en repetidas ocasiones genera ambigüedades. De esta manera se evaluará para
asegurar que la redacción de cada control por sí sola responda las preguntas “quien, que,
cuando y como”. Adicionalmente, se encontró la necesidad de analizar los controles claves y no
claves, así como cerciorar que los controles no existentes sean identificados como brechas.
- 42 -
En primer lugar se revisaron cada uno de los controles de la siguiente manera: primero se
verificó si los controles existentes estuvieran redactados de tal manera de que indicaran quien
realiza la acción, que ejecuta, con que frecuencia lo hace y como lo elabora. En algunos casos
fue necesario remitirse al Diagrama de Flujo o al propio dueño del proceso para poder
completar la redacción del control. A medida que se revisaba la completitud del control, se
verificó si el mismo debía o no ser clave. Posteriormente, se revisó el mapeo de riesgos y
controles y a medida que se desarrollaban estas actividades, se verificó la existencia de todos
los controles necesarios, en caso de alguna deficiencia se redactó la brecha respectiva.
Tomando en cuenta los comentarios antes mencionados, se revisaron todos los controles que se
tenían, encontrando la necesidad de realizar los cambios que se muestran a continuación.
El primer cambio se produjo entre los controles 1 y 2, los cuales fueron fusionados debido a la
similitud presente entre ellos, manteniendo el número de control 1 e indicando que “únicamente
el Contador Corporativo esta autorizado para aprobar cambios, adiciones y eliminaciones al
código de cuentas en el Sistema Oracle. El/ella debe procesar únicamente las solicitudes del
Contador Regional, Asistente de Contabilidad Regional, Analista de Contabilidad Corporativa
y el Asistente de Contabilidad Corporativa.”
Los siguientes seis controles se mantuvieron sin cambios, a excepción del número de
referencia, el cual, como consecuencia de la fusión de los dos primeros, se disminuyó en uno,
es decir, el control 3 ahora es 2. Este cambio de la numeración se mantuvo hasta el antiguo
control 8, ya que en su lugar se agregó un control.
El nuevo control 8 indica que “Todas las modificaciones en la tasa de cambio son registradas
por el Administrador de Oracle y aprobadas por el Departamento de Tesorería a través de un
correo electrónico”. Este control fue omitido durante el levantamiento del proceso debido al
control de cambio que aplica en Venezuela desde el año 2003. Sin embargo, es importante que
el mismo sea incluido para evaluar su operatividad en el momento en que la tasa de cambio fue
modificada (Marzo 2005), así como que quede documentado para el momento en que culmine
- 43 -
Los siguientes trece controles se mantuvieron sin cambios y la siguiente modificación realizada
fue la fusión de los controles 22 y 23. Debido a modificaciones en el proceso de Compras, estos
controles fueron unidos y modificados para generar el siguiente control: “El Gerente de Oficina
de la Sucursal mensualmente concilia el inventario de materiales en cilindros, comparando el
inventario del cierre del mes versus el Reporte de Inventario generado de Kardex. Los
siguientes documentos son utilizados: Formato de Inventario y Archivo Master de Materiales
(SACS)”. Es importante señalar que para esta modificación no fue necesario solicitar nueva
evidencia ya que este control se encuentra referenciado al proceso de compras. Como
consecuencia de esta unión, se diminuyó en una unidad la numeración de cada uno controles
posteriores.
El siguiente cambio realizado comprendía a los controles 41 y 42, numeración original. Debido
a su similitud, ambos controles fueron fusionados, resultando: “Una vez al año, el Plan de
Presupuesto Anual es aprobado por el Comité de Presupuestos y enviado al Presidente de la
Compañía para su presentación y posterior aprobación de Oficina de Dirección de Proyectos.
Esta aprobación es recibida a través de un correo electrónico”. Este cambio no generó
modificaciones en la documentación del “Recorrido”, sin embargo, nuevamente la numeración
de los controles siguientes será modificada.
El último cambio que se realizó fue la unión de los controles 49 y 50, numeración antigua, para
generar el siguiente control: “El Coordinador de Presupuesto mensualmente verifica a través de
- 44 -
un correo electrónico enviado por la Gerencia de Contabilidad Corporativa que las cifras
financieras a ser utilizadas en el Reporting Package son las finales”. Esta modificación no
generó cambios en el “Recorrido”, únicamente afecta la numeración de los controles siguientes.
Por último, el “Recorrido” fue actualizado basado en los cambios realizados a los controles,
para lo cual: se borraron los controles que fueron eliminados y/o fusionados, se agregó el
control 08 y se sustituyó la redacción de todos los controles. Se realizó para cada uno de los
controles con la finalidad de asegurar la constancia de la información entre los diferentes
documentos que incluye en proyecto, ya que durante la ejecución del mapeo algunas palabras
de los controles fueron modificadas y/o reorganizadas.
A nivel de la evaluación de la importancia de los controles, se tiene que 82% de los controles
pasó a ser clave dentro del proceso, a diferencia del 50% que se tenía antes de realizar esta
actividad, tal y como se muestra en la siguiente figura.
45
40
35
30
25
20
15
10
5
0
Antes de la Después de la
evaluación evaluación
Figura 5.- Relación de Controles claves y no claves antes y después del control de calidad
El anexo 01 muestra los controles obtenidos para el proceso de cierre financiero, los cuales se
encuentran representados tanto ahí como en el Diagrama de Flujo como triángulos. La
diferencia de color representa la importancia del control, es decir, un triangulo azul representa
un control clave, mientras que un triángula blanco un control no clave.
33 32 S S
34 33 S S
35 34 N N
36 35 N N
37 36 S S
38 37 N S
39 38 S S
40 39 N S
41 39 S
42 40 N S
43 28 N
44 28 S
45 41 N S
46 42 S N
47 43 S S
48 44 S S
49 45 N S
50 45 N
51 46 S S
52 47 N S
53 48 N S
54 49 N N
50 S
A continuación se resume puntualmente los resultados hasta ahora obtenidos, puede observarse
que una población original de 54 controles se convirtió en 50 luego de diversas fusiones.
Igualmente, se presenta la relación de controles efectivos e inefectivos basado en el estudio del
diseño elaborado durante el “Recorrido”. Es importante señalar que únicamente serán probados
aquellos controles claves con diseño efectivo.
Diseño Diseño
Total
efectivo inefectivo
A continuación, se realizó una revisión del mapeo de riesgos y controles que fue ejecutado
durante el levantamiento de la información. Es importante señalar que los riesgos pueden estar
redactados tanto en forma negativa: “No todos los asientos registrados corresponden a
transacciones efectuadas y válidas”; como de forma positiva: “Los asientos registrados
corresponden a transacciones efectuadas y válidas”, esta última fue la solicitada por el cliente.
Una vez definidos todos los riesgos asociados al subproceso, se evaluó cada uno de ellos con la
finalidad de determinar cuál/cuáles de las siete aserciones puede afectar. Finalmente, se
procedió a evaluar la mitigación de los riesgos por parte de los controles presentes en el
subproceso respectivo. Para afirmar que un control mitiga un riesgo se observan las aserciones
relacionadas a ese riesgo y se verifica que el control efectivamente es capaz de mitigar cada una
de ellas.
Para ello se utilizó el Modelo Normativo que se encuentra en una base de datos clasificada
según la actividad y tipo de la empresa. Por ejemplo, para el caso en estudio, las actividades
realizadas por el cliente se encuentran dentro de la clasificación Energía, Aguas Abajo, debido
a que la principal actividad de la empresa es la distribución, almacenamiento y venta de Gas
Licuado a todo tipo de clientes, comerciales, residenciales e industriales.
Contenido que indica los diferentes procesos de la clasificación junto al número de hoja de
trabajo en que se encuentra, y a continuación se tiene cada hoja de trabajo enumerada.
Posteriormente, cada miembro del equipo se encargó de evaluar su proceso en esta matriz, para
ello fue necesario dirigirse a la hoja de trabajo correspondiente, donde encontraría en la parte
superior los sectores de la industria a la cual corresponde este proceso, el nombre del proceso y
el tipo de transacción. Al lado de esta información se observa un ejemplo de las cuentas
significativas afectadas por el proceso. En la parte inferior se encuentra la matriz, a la izquierda
de ésta están los ejemplo de preguntas “qué puede fallar”, las cuales representan posibles
riesgos del proceso. En la parte superior derecha de la matriz se encuentran ejemplos de
controles característicos del proceso. Finalmente, las celdas internas de la matriz están
completadas de acuerdo a la identificación de controles considerando las preguntas “que puede
fallar”. Adicionalmente, las posiciones donde se consideró que un riesgo mitigara un control
fueron completadas con las iniciales del tipo de control: P (Manual-Preventivo), D (Manual-
Detectivo), IT (IT Manual-Dependiente) y A (Aplicación).
III.1.3.4 Resultados del Mapeo de Riesgos y Controles del Proceso de Cierre de Estados
Financieros
- 49 -
Los resultados generales de la revisión del mapeo de riesgos y controles para el Proceso de
Cierre de Estados Financieros pueden observarse en el Anexo # 02. A continuación se
presentan lo más significativo de estos resultados, así como las actividades particulares de este
proceso que debieron ser ejecutadas para llevar a cabo este mapeo o asociación de riesgos y
controles.
Se conoce que los principales riesgos que usualmente existen en el Proceso de Cierre de
Estados Financieros son los siguientes:
Para evaluar los riesgos generales del Proceso de Cierre de Estados Financieros, así como los
particulares de cada subproceso, se tomaron los riesgos anteriores junto con los otros 37
documentados en la fase inicial, y modificados anteriormente.
A continuación, se verificó que cada uno de los riesgos antes mencionados estuvieran
representados al menos una vez en el nuevo listado de riesgos. Encontrando la necesidad de
agregar los siguientes diez riesgos:
Tabla 4.- Riesgos agregados luego de la revisión del mapeo de Riesgos y Controles
Es importante señalar que los riesgos anteriores presentan la numeración definitiva, la cual fue
colocada una vez definidos todos los riesgos a agregar y luego de ubicar cada uno en los
subprocesos correspondientes.
Los riesgos antes mencionados fueron agregados para asegurar la completitud de los que se
encuentran en el Modelo Normativo. Es importante señalar que los mismos no se encuentran
redactados exactamente igual a éste debido a que ya existían algunos riesgos similares. Sin
embargo, no se encontraban en su totalidad y no podían ser agregados a los existentes ya que
eran mitigados con controles diferentes.
Número de
Riesgos
La primera brecha agregada se referencia a los riesgos 13, 14, 15, 21 y 22 e indica que “No
existe seguridad de que los asientos contables sean posteados correctamente”. El siguiente fue
- 52 -
el riesgo 17, para el cual se agregó la siguiente fisura: “No existe seguridad de que las cuentas
de Nómina sean registradas correctamente en los Estados Financieros”.
A continuación, fue necesario agregar una brecha en los riesgos 21 y 28 indicando que “No se
evidencia suficiente de la revisión, y autorización de ajustes y reclasificaciones, producto de
análisis y conciliaciones de cuentas mensuales”.
El riesgo 31 presentó una deficiencia que generó la siguiente brecha: “No existe seguridad de
las autorizaciones para reabrir un período contable por parte del Contador Corporativo, lo que
genera que puedan existir asientos contables posteados en períodos contables erróneos”.
Esta cantidad de brechas se considera elevada tomando en cuenta los efectos que pueda generar
en los estados financieros. La totalidad de estas fisuras se debe a ausencias de controles claves
en el proceso que disminuyan la probabilidad de ocurrencia de un riesgo. Como ya se ha
mencionado, esta ausencia de controles se debe principalmente a problemas en la segregación
de funciones dentro de la compañía.
La Matriz de Criterios de Evaluación de Riesgos, RACM por sus siglas en inglés, es una
herramienta utilizada para la documentación final de los procesos que fueron estudiados
durante el proyecto. Consiste en una hoja de Excel clasificada según los subprocesos que
conforman el proceso y estructurada en base a los controles que mitigan los diferentes riesgos.
De esta manera, el RACM consolida los resultados obtenidos hasta el momento, así como los
que se obtendrán en la fase de pruebas y remediación, para cada uno de los riegos y controles
presentados en cada subproceso.
La primera de estas clasificaciones, Subprocesos, incluye el nombre del subproceso así como el
dueño del mismo. Mientras que la segunda presenta el riesgo que esta siendo mitigado por el
control junto con el número que fue asignado en el Diagrama de Flujo. Debido a que un
subproceso incluye más de un riesgo y éstos, a su vez, pueden estar presente en más de un
subproceso o pueden ser mitigados por más de un control, ambos, tanto los subprocesos como
los riesgos, pueden repetirse a lo largo de RACM.
En las siguientes siete columnas, se tienen las siete clases de afirmaciones identificadas en la
Declaración de Estándares de Auditoria: Existencia, Ocurrencia, Valoración, Medición,
Completitud, Derechos y Obligaciones y, finalmente, Presentación y Divulgación. Estas
- 54 -
Para el caso de la cuarta clasificación, Controles, es necesario colocar la redacción del control
junto con el número asignado en el Diagrama de Flujo. Adicionalmente, el cargo del encargado
de ejecutar el control o dueño del control, la frecuencia con la cual se ejecuta, el componente
COSO al cual corresponde el control, el tipo de control, si el mismo es o no clave, su fecha de
implementación (en caso de que fuese menor a 12 meses) y, finalmente, la evaluación de la
efectividad del diseño del control. Igualmente un control puede presentarse más de una vez a lo
largo del RACM ya que puede ejecutarse en dos o más subprocesos mitigando dos o más
riesgos.
La quinta y sexta clasificación serán completadas a medida que se realice la fase de pruebas. La
división Pruebas incluyen el número, descripción y tipo de la prueba, las condiciones de falla,
sistemas utilizados en la prueba, suposiciones, descripción de la población que será utilizada en
la ejecución de la prueba, fecha de inicio y de culminación del período de prueba, tamaño de la
muestra, método de selección de la muestra, ejecutor de la prueba, fecha de ejecución,
descripción de los resultados de la prueba, cantidad de muestras fallidas, el resultado de la
prueba (fallido, exitoso) y, finalmente, referencia a los papeles de trabajo utilizados.
Dado que el RACM es una matriz que concentra toda la información y resultados obtenidos
durante el Proyecto, su documentación incluye actividades en cada una de las fases. En primer
lugar, con la información que ya se tiene, es posible completar toda la información referente a
los subprocesos, riesgos y controles. A continuación, se realizará el diseño de pruebas y,
finalmente, una vez que éstas se hayan ejecutado se documentarán los resultados en las celdas
correspondientes.
De esta manera, para la realizar el RACM se tomó el primer subproceso del Mapeo de Riesgos
y Controles y se rellenó la primera celda del RACM. Para continuar, se colocaron en la celda
siguiente los respectivos dueños de cada subproceso, los cuales se obtuvieron a partir de un
documento suministrado por el Cliente donde se especificaban cada uno de los diferentes
cargos de la compañía junto con sus respectivos roles.
Finalmente, para cada control del riesgo, se copió del Diagrama de Flujo la descripción, el
número y si éste era clave. El dueño del control, la frecuencia del mismo, el Componente
COSO, el tipo de control y el método fueron extraídos de la redacción del control. Mientras que
su efectividad se obtuvo luego de la ejecución del “Recorrido”. Cabe resaltar que en ninguno de
los casos fue necesario especificar la Implementación del Control ya que todos los controles
han sido ejecutados en la Compañía por más de doce meses.
De esta manera se completaron todos los controles del primer riesgo, manteniendo las primeras
12 celdas iguales para cada uno de ellos. Los siguientes riesgos se realizaron de la misma
manera, manteniendo toda la información referente al subproceso permanente. A continuación
se realizaron el resto de los subprocesos siguiendo la misma metodología.
- 56 -
Para el caso del Proceso de Cierre de Estados Financieros, las primeras tres divisiones del
RACM fueron completadas durante la fase de documentación de los procesos. Una vez
revisados cada uno de los procesos por el Gerente del Proyecto se realizaron las correcciones
necesarias.
Sin embargo, durante las actividades de Mapeo de Riesgos y Controles se generaron cambios
significativos en el proceso de Cierre de Estados Financieros. Estos cambios afectan
directamente al RACM, considerando que este se encuentra organizado en base a los controles
y los riesgos que éstos mitigan.
De esta manera, antes de comenzar a realizar los cambios respectivos dentro del RACM se
evaluaron tanto la alternativa de realizarlo nuevamente, como la de ejecutar las modificaciones
sobre el RACM existente.
La primera de ellas implicaba borrar todo el RACM y completar uno a uno los pasos antes
descritos. Si bien es cierto que esta alternativa podría considerarse como una tarea que
implicaría desechar un trabajo que ya se realizó, haciéndolo nuevamente se asegura la
consistencia entre la versión original del mapeo y las modificaciones que se le hicieron, así
como entre los diferentes documentos ejecutados en el Proyecto. La segunda alternativa podría
verse como un ahorro de tiempo y trabajo, ya que la mayoría de los controles presentan la
información completa en los respectivos riesgos que mitigan. Sin embargo, tomando en cuenta
que durante el mapeo de controles la mayoría de los riesgos fue modificado y que los controles
fueron cambiados tanto en su numeración como en su calificación, el tiempo invertido en
modificar cada uno de ellos aunado al tiempo necesario para garantizar la homogeneidad de la
información sería equivalente a realizar de nuevo el RACM completo. De esta manera se
comenzó nuevamente a realizar el RACM del Proceso de Cierre de Estados Financieros,
siguiendo los pasos antes descritos.
Una vez culminada la fase de documentación de los procesos, se procede a ejecutar la fase de
pruebas, en la que se evalúa la operatividad de los controles claves y con diseño efectivo
- 57 -
· Ejecución del Plan de Prueba: encierra todo lo referente a la ejecución de las pruebas,
incluyendo la validación de las conclusiones, así como la documentación y reporte de
los resultados.
La Creación de un Diseño de Pruebas representa la primera etapa de la última fase del proyecto
y por lo tanto la calidad de su ejecución afecta directamente el resto del trabajo. La base
fundamental del Diseño de Pruebas es la RACM, generando para cada proceso un plan aplicado
únicamente a los controles claves.
En primer lugar se completará el Diseño de Pruebas para aquellos controles claves donde el
diseño resultó ser efectivo. Mientras que aquellos controles con diseño inefectivo el diseño de
pruebas será ejecutado una vez culminada la remediación de los mismos.
- 58 -
Para comenzar, con la finalidad de obtener aquellos controles que formaran parte del Diseño de
Pruebas se filtró la RACM en las columnas denominadas Control Clave (Key Control Y/N)
(Control Clave SI/NO) y Evaluación de la Efectividad del Diseño del Control (Control Design
Effectiveness Assessment). Antes de comenzar el desarrollo de los Diseños de Pruebas, se
verificó la completitud de la información en las restantes columnas: Subproceso, Riesgos,
Aserciones y secciones del control, además se comparó con el “Recorrido” el resultado de la
evaluación de la efectividad del diseño. Es importante señalar que para aquellos controles que
se encuentran más de una vez en el RACM sólo se realizó un Diseño de Pruebas, el cual fue
repetido en los otros.
A continuación, para cada control clave cuyo diseño fue calificado como efectivo, se
completaron las siguientes columnas de la RACM:
· Tipo de Prueba (Test Type): Una vez desarrollado el diseño de la prueba, se determinó
el tipo de prueba a realizar: Inquisición (preguntando al dueño del proceso sobre la
operación del control); Observación (revisando documentación del control relevante);
Inspección (observando la operación del control en tiempo real) y Re-ejecución
(realizando la operación del control utilizando transacciones seleccionadas).
Antes de comenzar a desarrollar los Diseños de Pruebas es importante recordar que el Proceso
de Cierre de Estados Financieros cuenta con 50 controles, de los cuales 41 fueron calificados
como claves y de éstos, tres resultaron inefectivos durante la evaluación del diseño y otros 5
fueron referenciados al proceso de compras. Obteniendo así un total de 33 controles claves y
efectivos a los cuales es necesario diseñar, ejecutar y documentar un plan de pruebas. Cabe
resaltar que la totalidad de las pruebas a realizar son tipo inspección.
El primer control es el único dentro de todo el proyecto para el cual fue necesario desarrollar
dos diseños de pruebas separados. El primero de ellos (Prueba 1) establece el siguiente
procedimiento de inspección: “Verificar con la lista de acceso de Oracle que sólo el Contador
Corporativo esta autorizado para aprobar cambios, adiciones y eliminaciones en el código de
cuentas”, las condiciones de falla pueden ocurrir si no sólo el Contador Corporativo esta
autorizado para aprobar cambios, adiciones o eliminaciones en el código de cuentas.
El segundo diseño de pruebas estipula verificar que el Contador Corporativo ha autorizado los
cambios, adiciones y eliminaciones en el código de cuentas, así como verificar que todas las
creaciones o eliminaciones de cuentas son procesadas por el contador Corporativo y solicitadas
a través de un correo electrónico por el Asistente de Contabilidad Regional, Analista de
Contabilidad Corporativa o Asistente de Contabilidad Corporativa. Las condiciones de falla
para esta prueba de inspección se producen si alguna modificación en el código de cuentas no
está soportada con la aprobación y/o el correo electrónico donde alguno de los asistentes o
analistas de contabilidad la solicita.
El siguiente diseño de prueba fue desarrollado para probar el control 02, los pasos a seguir
durante esta prueba son: “Verificar que los Balances de Comprobación del mes en curso y el
- 60 -
mes anterior presenten evidencia de una comparación, adicionalmente, verificar que las cuentas
que debieron ser analizadas debido a su naturaleza fueron resaltadas”. Esta prueba falla en caso
de que cualquiera de los Balances de Comprobación no presente evidencias de comparación y/o
que las cuentas que debieron ser analizadas no se encuentren resaltadas.
El diseño de prueba 06 corresponde a este mismo número de control, para el cual se diseñó el
siguiente procedimiento: “Verificar que las autorizaciones de los Ajustes, Registros y
Reclasificaciones de las cuentas en el Libro Mayor del Sistema Oracle son mensualmente
efectuadas por el Contador Corporativo a través de un correo electrónico, observando,
adicionalmente, que la razón, importancia relativa y materialidad han sido consideradas dentro
de este correo”. Esta prueba involucra al Sistema Oracle dentro de su ejecución. Finalmente, la
prueba falla en caso de que no exista evidencia alguna de la autorización de los ajustes,
registros y reclasificaciones en el Libro Mayor, así como que no se hayan considerado la razón,
importancia relativa y materialidad.
Se realizó el diseño de pruebas del control 07, señalando que para probar el mismo se debe
“verificar que cada vez que la tasa de cambio sea modificada, el Contador Corporativo revisa
todos los registros realizados en las cuentas definidas como Cuenta Extranjera en el Libro
- 61 -
Mayor, adicionalmente, verificar si existe alguna evidencia de esta revisión, así como si puede
observarse su firma y la fecha en la que fue elaborado”. Esta prueba falla en caso de que para la
muestra seleccionada no existan evidencias de la revisión realizada por el Contador
Corporativo en las Cuentas Extranjeras cada vez que la tasa de cambio sea modificada, así
como que no se observe su firma o la fecha en la que fue preparado el documento.
Se realizó el diseño de prueba del control 09: “verificar la firma dejada por el Analista de
Contabilidad Corporativo una vez que realiza en Excel las conciliaciones Bancarias de las
cuentas corporativas, así como la fecha de ejecución y la conciliación con la documentación
soporte”. Esta es una prueba no tiene ningún sistema asociado y que falla en caso de que no
exista evidencia de la conciliación de cuentas corporativas realizada por el Analista o que se
observen evidencias no identificadas.
Como continuación de la prueba anterior se realizó el diseño de prueba 10, desarrollado para
probar el control 10 obteniendo el siguiente procedimiento: “verificar que cada página de la
Conciliación Bancaria de Cuentas Corporativas este firmada por el Contador Corporativo como
prueba de su revisión y aprobación”. Esta prueba falla en caso de que alguna de las pruebas de
la conciliación no se encuentre firmada por el Contador Corporativo.
Se desarrolló el diseño de prueba 12 para el control 13, señalando “verificar que las
Conciliaciones Bancarias de las Cuentas de las Sucursales son firmadas por el Contador
Regional como prueba de su revisión y aprobación”. Esta prueba no involucra ningún sistema y
falla en caso de que no se observen evidencias de la revisión y aprobación por parte del
Contador Regional de las Conciliación Bancaria de las Cuentas de las Sucursales.
Se realizó el diseño de prueba 13 del control 14, para el cual se diseñó el siguiente
procedimiento “Verificar que todas las Conciliaciones Bancarias realizadas por los Gerentes de
Oficina de las Sucursales se encuentren firmadas por el Gerente de la Sucursal como prueba de
su revisión y aprobación”. Esta prueba no involucra ningún sistema y falla en caso de que no
pueda evidenciarse la revisión del Gerente de la Sucursal en las Conciliaciones Bancarias que
prepara el Gerente de Oficina de la misma.
El siguiente diseño de prueba se refiere al control 17, el cual señala “verificar que el Resumen
del Análisis de Antigüedad de Cuentas por Pagar es aprobado y firmado por el Gerente de la
Sucursal”. Esta prueba falla en caso de que el Resumen no se encuentre firmado por el Gerente
de la Sucursal.
Se desarrolló el diseño de pruebas para el control 18: “verificar que la Conciliación de Cuentas
por Cobrar realizada por el Analista de Contabilidad Regional sea mensualmente preparada, así
como observar que en caso de diferencias entre el auxiliar y el mayor, las mismas sean
debidamente explicadas”. Esta prueba involucra tanto al Sistema Oracle como SACS ya que a
partir de éstos se extraen los reportes que alimentarán la conciliación. La prueba falla en caso
de que no pueda evidenciarse la conciliación, o que se observen diferencias sin explicación.
- 63 -
Los siguientes cuatro controles (21, 22, 23 y 24), calificados como claves y evaluados como
efectivos, fueron referenciados al proceso de compras por lo tanto no se desarrolla para ellos un
diseño de pruebas, y, consecuentemente, no se les asigna un número de prueba.
A continuación se realizó el diseño de prueba 19, referido al control 26, el cual indica “verificar
en la conciliación entre el Auxiliar de Activos Fijos y el Libro Mayor las evidencias de cuándo
fue ejecutada así como si fue realizada por el Analista de Contabilidad Corporativa,
adicionalmente verificar que si existen diferencias entre la documentación soporte, las mismas
hayan sido identificadas y aclaradas”. Esta prueba utiliza reportes del Sistema Oracle como
documentación soporte y falla en caso de que no exista evidencia de la fecha en que fue
elaborado, de la persona que lo realizó o que se observen evidencias no identificadas y/o
aclaradas.
El siguiente diseño de pruebas fue el 21, correspondiente al control 28, e indica “verificar que
las conciliaciones de Cuentas por Pagar versus el Libro Mayor sean oportunamente realizadas
por el Contador Corporativo, así como verificar las evidencias del análisis de las partidas
pendientes en el Módulo de Cuentas por Pagar”. Este es una prueba que utiliza soportes del
Sistema Oracle durante su ejecución. Las condiciones de falla ocurren en caso de que no se
tengan evidencias del análisis preparado, los montos comparados no concilien y no existan
notas explicativas y/o no se observe el análisis de las partidas pendientes.
El pruebas correspondiente al número 23, se refiere al control 30, e indica “verificar que los
cambios ejecutados en el código de cuentas hayan sido adecuadamente mapeados en los
Estados Financieros”. Este es una prueba que requiere de un soporte de Oracle para ser
ejecutado y falla en caso de que no se observen evidencias del mapeo de las cuentas.
Se realizó el diseño de pruebas del control 36, señalando “verificar que las pruebas detalladas y
globales de las partidas no monetarias trimestralmente sean ejecutadas por el Contador de
Ajuste por Inflación”. Esta prueba falla en caso de que no se observen evidencias del análisis,
de cuando fue ejecutado o de quien lo preparó.
A continuación se realizó el diseño de prueba 29 para el control 43, el cual establece “verificar
si la conciliación entre los soportes de RPS y la Contabilidad General fue oportunamente
preparada por el Analista de Contabilidad, así como verificar si las diferencias fueron
identificadas y explicadas en la celda de comentarios de la hoja de trabajo”. Esta es una prueba
que falla en caso de que la conciliación no presente evidencias de que se haya preparado a
tiempo o si las diferencias no fueron identificadas y/o explicadas.
El siguiente control para el cual correspondía desarrollar un diseño de pruebas era el número
44, sin embargo, este fue referenciado al proceso de compras.
cifras finales enviados por el Contador Corporativo a través de un correo electrónico donde
confirma que la información disponible en el sistema ya es la definitiva”. Esta es una prueba
que no involucra sistema alguno y que puede fallar en caso de que se observe que el
Coordinador de Presupuesto no utilizó las cifras definitivas en la ejecución del Reporting
Package.
Para continuar se realizó el diseño de prueba 31 referido al control 46, resultando el siguiente
procedimiento: “verificar que existe un Calendario de Fechas Topes para los Cierres Contables
que debe ser cumplido por las Sucursales, Regiones y Gerencias Corporativas, adicionalmente
verificar que este calendario es semanalmente monitoreado por las Gerencias de Contabilidad
Corporativa y Contraloría Operacional”. Las condiciones de falla se producen si el Calendario
de Fechas Tope para los Cierres Contables no existe o, a pesar de que existe, no se observa
evidencia del seguimiento realizado por las Gerencias de Contabilidad Corporativa y/o
Contraloría Operacional.
Se realizó el diseño de prueba 33, control 48, obteniendo como procedimiento: “verificar que
los Resúmenes de Antigüedad de Cuentas por Cobrar de Cuentas Corporativas sean
mensualmente ejecutados por el Gerente de Créditos y Cobranza, adicionalmente verificar que
estos resúmenes sean enviados al Tesorero Corporativo a través de un correo electrónico”. Esta
prueba no involucra ningún sistema de información y las condiciones de falla ocurren si los
resúmenes no han sido mensualmente ejecutados por el Gerente de Créditos y Cobranza, o sí se
han realizado mas no han sido enviados al Tesorero para su revisión.
Entrevistar al personal gerencial sobre las procedimientos financieros y de cierre”. Esta prueba
incluye dos de las clasificaciones estudiadas: inspección e inquisición. Las condiciones de falla
comprenden la posibilidad de que no exista un manual de procedimientos que defina los
procesos de cierre y reporte financiero o que este procedimiento no este debidamente
comunicado al personal correspondiente.
Una vez definido el diseño de pruebas es posible conocer la información que será necesaria
para ejecutar los planes. El primer paso para la recolección de la evidencia es definir y solicitar
los requerimientos. Para ello se tomó cada uno de los diseños antes ejecutados y cada miembro
del equipo realizó una lista con todos los requerimientos necesarios para la fase de pruebas de
su proceso.
Una vez que todas las listas habían sido realizadas, cada miembro del equipo las envió vía
correo electrónico y se colocaron en un mismo documento verificando que un requerimiento no
estuviese en más de un proceso y, en caso de que esto ocurriera, se hizo referencia al primer
proceso que lo solicitó.
Antes de solicitar formalmente la lista de requerimientos se realizó una reunión con el Gerente
de Auditoria del Cliente con la finalidad de validar los diferentes documentos y/o soportes
solicitados. Durante esta reunión, algunos procesos presentaron requerimientos que tuvieron
que ser reformulados para facilitar el entendimiento del dueño del proceso y la entrega de los
documentos.
Los controles que se ejecutan en todas las Regiones o Sucursales se trataron de la siguiente
manera: en caso de que el control se realice periódicamente se generó una lista con todos los
documentos que debieron ser emitidos durante el período de prueba. Por otra parte, para
aquellos controles no periódicos, por ejemplo la emisión de las facturas de venta, se le solicitó
al cliente un listado de todos los documentos que se habían generado hasta el momento.
- 68 -
· Periodo de prueba (“Test Period Start Date” y “Test Period End Date”): el período de
prueba para todos los controles comenzó el 1ro de enero de 2005 y culminó el 31 de
julio 2005.
A medida que se recibían los requerimientos se revisaban de tal manera de asegurar que la
población recibida estuviese completa y fuese lo que se solicitó. En los casos donde esto no
ocurriera se contactó al dueño del proceso para resolver el asunto.
Tabla 5.- Tamaño mínimo de la muestra basada en la frecuencia del control (Fuente: Estándares del Cliente)
“As
Frecuencia Occurs” Control Control Control Control Control
Continuo
del Control (Basado en la Semanal Mensual Mensual Trimestral Anual
frecuencia de
los eventos)
Utilice la
Tamaño
frecuencia
mínimo de 60 25 12 3 2 1
promedio
la muestra
del control
Para el caso de controles As Occurs, es decir, que no tiene una frecuencia determinada, se
determinaron cuántos ítems hay en la población correspondiente al período de pruebas. A
continuación se calculó un promedio para determinar cuál de las frecuencias anteriores sería
utilizada, tomando la que se acerque más al promedio y en caso de dudas se tomó la que
solicitara mayor cantidad de ítems a probar. Por ejemplo, si la población es 25 (el control operó
25 veces durante el período de prueba), al dividir este número entre los siete meses de prueba,
se obtiene que un promedio de 3.57 ítems al mes, lo cual puede se aproxima a un control
semanal, por lo tanto serían seleccionados 12 de los 25 ítems.
- 69 -
Para generar las muestras aleatorias se creó un nuevo proyecto en ACL tomando como base la
población correspondiente al control a probar. Posteriormente se generó la muestra utilizando
el comando Simple y, dentro de él, especificando el tipo de muestreo, tamaño de la población,
número de ítems a seleccionar y el lugar donde de quería fuera guardado el archivo con la
muestra. La principal ventaja de este comando de ACL es que el mismo trata cada ítem
individualmente y todos tienen igual probabilidad de ser elegidos.
con el Cliente todas las pruebas serán ejecutadas en el mismo período, comenzando el 1ro de
enero 2005 y culminando el 31 de julio 2005.
A continuación se presenta una tabla resumen que incluye el número d prueba, el tamaño de la
muestra seleccionada, el método utilizado, el nombre del Documento a solicitar y algún
comentario que explique porque se ha tomado ese tamaño de muestra. Es importante señalar
que en cuento al método de selección es importante señalar que de las cuatro categorías antes
mencionada, únicamente se utilizaron dos de ellas Estratificación (Est) y Números Aleatorios
Ilimitados (NAI).
Tabla 6.- Selección de la muestra para las pruebas del Proceso de Cierre de Estados Financieros
Tamaño Método
Prue Nombre del
de la de Comentario
ba Documento
muestra selección
Lista de Usuarios
01 /
1 N/A del Sistema
22
Oracle
Durante el período se ejecutaron 3
Modificaciones modificaciones en el código de cuentas. A pesar
02 /
3 N/A en el Código de de que éste podría aproximarse a un control
32
Cuentas trimestral, para garantizar la completitud de la
prueba, se decidió tomar la población completa
Análisis del
03 3 NAI Balance de Control mensual ejecutado sólo en el Corporativo
Comprobación
La frecuencia de este control es mensual, sin
Cuentas a ser
embargo, dado que el mismo es realizado en
04 12 Est/ NAI manualmente
todas las sucursales cada mes se ejecutan 5 listas;
registradas
aproximándose a un control semanal
Conciliaciones
05 3 NAI Control mensual ejecutado sólo en el Corporativo
Intercompañía
Se levantó una lista de todos los Ajustes,
Ajustes, Registros Registros y Reclasificaciones realizados en el
06 25 Est/ NAI o período, obteniendo una población total de 183
Reclasificaciones ítems, la cual puede aproximarse a una
frecuencia diaria
- 71 -
Registros
Realizados en las
07 1 N/A cuentas definidas
como moneda
extranjera
Las pruebas 07 y 08 están asociadas a las
modificaciones de la tasa de cambio de moneda
Evidencia de la
extranjera, dado el control de cambio presente en
persona que
Venezuela para el período esta prueba sólo
ejecutó el cambio
presentan una muestra asociada (Marzo2005).
en la tasa y
08 1 N/A
aprobación de
esta por el
Departamento de
Tesorería.
Conciliaciones de
las Cuentas
Este es un control mensual ejecutado en todas las
Bancarias de las
Sucursales, fue aproximado a un control continuo
13 60 Est/ NAI Sucursales
ya que durante el período se genera una
realizadas por los
población de 420 ítems.
Gerentes de
Oficina
20 / Análisis de
3 NAI Control mensual ejecutado sólo en el Corporativo
27 Inventarios
Análisis de
21 3 NAI Cuentas por Control mensual ejecutado sólo en el Corporativo
Pagar
Configuración del
Código de Prueba asociada a la configuración del Sistema
23 1 N/A
Cuentas en Oracle
Oracle
Análisis de los Este control se ejecuta trimestralmente en las
Estados cinco Regiones, fue tomado como mensual ya
24 3 Est/ NAI
Financieros de las que generó una población de 10 ítems durante el
Regiones período
Comparaciones
entre el Balance
25 3 NAI Control mensual ejecutado sólo en el Corporativo
de Antigüedad y
el Sistema Oracle
Análisis de las
Control trimestral ejecutado sólo en el
26 2 NAI partidas no
Corporativo
monetarias
Análisis del
Estado de
28 3 NAI Control mensual ejecutado sólo en el Corporativo
Ganancias y
Pérdidas.
Conciliaciones de Control ejecutado trimestralmente para las
Cuentas por Regiones y mensualmente para el Corporativo,
29 12 Est/ NAI
Cobrar a generando una población de 17 ítems, lo cual se
Empleados. aproxima a una frecuencia semanal
Calendarios de
31 3 NAI Control mensual ejecutado sólo en el Corporativo
Cierres Contables
Resúmenes de
Antigüedad de las
33 3 NAI Cuentas por Control mensual ejecutado sólo en el Corporativo
Pagar del
Corporativo.
Manual de
34 1 N/A procedimientos
financieros
Una vez definidos todos los parámetros de los planes de pruebas y recibida la información
solicitada, se procedió a la ejecución de éstos diseños.
- 73 -
Durante la ejecución de las pruebas en algunos casos fue necesario solicitar requerimientos
adicionales. En este sentido, se generó una lista de “Nuevos Requerimientos” que fue entregada
a cada dueño de proceso, luego de haber realizado una validación sobre la documentación
solicitada.
Luego de ejecutar la prueba, los estándares de condiciones de falla fueron entregados por el
cliente, e indican que una prueba pasa si no se encuentran excepciones o, encontrando una
excepción en una prueba de un control recurrente manual (Control Diario), se solicitan 25 ítems
adicionales y no se observan excepciones. Por otra parte, una prueba falla si no existe evidencia
para validar la operación del control; si se encuentra una o más excepciones cuando se esta
probando controles manuales no recurrentes (semanales, mensuales, trimestrales, anuales); si se
encuentra una o más excepciones cuando se esta probando un control automatizado; y
finalmente si se encuentran una o más excepciones en la muestra expandida para controles
recurrentes manuales.
WP Ref. _______
Location:
Process Name:
Sub-process Name:
Test Date:
Tester:
Control Owner:
Test Results:
[Document discussion with control owner and others interviewed during the test. Be sure
to include all information obtained from executing test steps.]
Test Conclusion:
[Pass, Fail]
Control: The Accounting Manager reviews each invoice to ensure the service charges are included and the date of service is within the last 30 days. Once the review is
complete the manager signs the invoice.
Attribute A B C D E F G H I J
Mgr Service Charge Date of service within 30
Sample # Description Signature included days of invoice date
1 Invoice 123 A B C
2 Invoice 888 A B C
3 Invoice 677 X B C
4 Invoice 989 A B C
5 Invoice 432 A B C
6
7
8
9
10
NOTES
Reference Comments Resolution Exceptions
The manager
signature was
X missing Gap identified
las Notas Explicativas se definen para cada prueba las letras de los atributos
correspondientes.
Una vez ejecutadas y documentadas todas las pruebas se procedió a completar la RACM en las
siguientes columnas con la información respectiva:
En caso de que la prueba falle, adicionalmente es necesario completar las siguientes columnas
de la RACM:
· Referencia de la brecha (Gap Ref #): Continuando con la numeración previa establecida
para las brechas identificadas en el levantamiento de la información, se asignó una
referencia numérica a cada una.
· Identificado por (Identified by): Iniciales de la persona que identificó la brecha,
usualmente es quien ejecutó la prueba.
· Fecha de Identificación (Date identified): Fecha en la cual fue identificada.
· Título de la brecha (Gap Title): Breve descripción del asunto.
· Detalle de la brecha (Gap Detail): Descripción detallada de la brecha, se debe incluir el
detalle del problema y alguna causa que haya sido identificada.
· Relación con la Tecnología de Información (IT/Non – IT): Se escoge entre IT y No-IT
dependiendo de si el control tiene que ver con algún asunto de IT.
Finalmente, una vez culminado la ejecución de la pruebas de cada proceso se coordinó una
reunión con el dueño del proceso y el Contralor Financiero para validar los resultados de la
prueba. Durante la cual se discutieron todos aquellos controles que resultaron fallidos. En
algunos casos, el dueño del proceso indicó que el resultado de la prueba podría cambiar con la
entrega de cierta información adicional. En este sentido, se otorgó un plazo de espera de esta
nueva evidencia.
Vencido el plazo, para aquellos controles que permanecieron fallidos se completó la última
plantilla denominada Reunión de Validación de la Prueba (Test Validation Meeting) donde se
documentaron los resultados de la Reunión de Validación.
- 77 -
Antes de comenzar la ejecución de las pruebas, se tomó la evidencia obtenida para cada una de
ellas y se verificó si ésta realmente servía para verificar si el control estaba operando. Para
aquellos casos que no fuera así, se documentaron en el formato de “Nuevos Requerimientos”.
Luego de revisar todas las evidencias obtenidas, se encontró que cinco pruebas presentaban la
información incompleta o errónea. La primera de ellas es la número 31, referente a los
calendarios de cierres contables, para la cual se obtuvo el calendario anual de cierres contables,
sin embargo, el control indica que se ejecuta un calendario de cierres financieros
mensualmente, por lo tanto fue necesario solicitar nuevamente la evidencia.
La siguiente prueba para la cual no se tenía evidencia era la 04. Sin embargo, luego de varias
reuniones con el Contador Corporativo y conversaciones con Contadores Regionales, se
- 78 -
conoció que éstos no realizan una lista de las cuentas a ser manualmente registradas en el
Sistema Oracle. De esta manera, por carencia de documentación soporte este control fue
catalogado como inefectivo. Generando de esta manera una brecha Non-IT que indica lo
siguiente: “De acuerdo a lo conversado con el Contador Corporativo no existe una lista de las
cuentas a ser manualmente registradas en el Sistema Oracle. Sin embargo, como parte del
“Recorrido” se obtuvo esta lista. Como resultado, no puede asegurarse que las cuentas que
necesitan ser registradas están siendo apropiadamente tratadas”.
Otra prueba que carecía de evidencia fue la 13, para la cual se necesitaba revisar las
Conciliaciones Bancarias de las cuentas de las Sucursales ejecutadas por el Gerente de Oficina,
sin embargo, se observó un correo correspondiente al 26 de marzo 2003 donde el Contralor
Operacional indica a todos los Gerentes de Sucursal que esta conciliación dejaba de ser
obligatoria ya que también era ejecutada por el contador de la Región, adicionalmente durante
la Reunión de Validación se conoció esta conciliación era preparada únicamente para que la
sucursal llevara un control interno. Sin embargo, debido a que la prueba quedó fallida, se
redactó la siguiente brecha: “Desde el año 2003 la ejecución de las Conciliaciones Bancarias de
las Sucursales es obligatoria punidamente para los Asistentes de Contabilidad Corporativa, más
no para los Gerentes de Oficina y Gerentes de la Región”
En cuanto a la prueba 26, no se había recibido la documentación soporte requerida. Durante una
reunión, el Contador Corporativo explicó que este control es actualmente operativo pero que su
frecuencia es diferente, antiguamente se ejecutaba trimestralmente para reportar las cifras
- 79 -
financieras al Mercado Nacional. Sin embargo, desde 2005 estos reportes son preparados
únicamente cuando el Departamento de Contraloría o el de Auditores Externos lo requiere y
durante el período en cuestión esto no ocurrió. De esta manera, esta prueba no resulta ser ni
fallida ni exitosa, pero el resultado de ella será tomado en cuenta para una nueva redacción del
control.
A continuación se presenta una tabla donde se muestran los resultados de los controles
exitosos junto con algún comentario que haya surgido durante la ejecución de la prueba.
Comentarios:
Una de las muestras representaba un cambio en la estructura del código de
cuentas por lo tanto su ejecución fue informada tanto al Contralor Operativo
como al Financiero. Esta información deberá ser tomada en cuenta la redacción
del control
3 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.
Comentarios:
Se obtuvo un documento digital de las Conciliaciones Intercompañía que
incluye todos los meses desde diciembre 2003, para realizar la prueba se tuvo
que arreglar la tabla dinámica de acuerdo a los meses necesitados según la
generación de la muestra.
Durante la Validación de los Resultados se advirtió al dueño del proceso que
mensualmente deberían quedar evidencias del archivo.
- 80 -
Comentarios:
Originalmente, esta prueba era fallida porque no se tenían evidencias de la
revisión de los Resúmenes de Balances de Antigüedad de Cuentas por Cobrar,
sin embargo, luego de la validación de los resultados se obtuvieron los correos
electrónicos correspondientes donde se evidencia que tanto la Contraloría
Operacional como el Departamento de Auditoria recibieron los resúmenes.
9 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
5 Conciliaciones Bancarias corresponden a una división que utiliza otro sistema
de ventas, por lo tanto los formatos son diferentes.
11 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
Para 3 de las muestras no se recibió la Conciliación Bancaria debido a que las
cuentas fueron abiertas en Junio. Para dejar evidencia de ello se obtuvieron las
respectivas cartas de apertura.
Una de las muestras no presenta movimientos desde que fue aperturada. De
acuerdo con lo conversado con la Asistente de Tesorería, para esta cuenta
nunca se han recibido Estados de Cuenta Bancarios.
12 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
Para 3 de las muestras no se recibió la Conciliación Bancaria debido a que las
cuentas fueron abiertas en Junio. Para dejar evidencia de ello se obtuvieron las
respectivas cartas de apertura.
Una de las muestras no presenta movimientos desde que fue aperturada. De
acuerdo con lo conversado con la Asistente de Tesorería, para esta cuenta
nunca se han recibido Estados de Cuenta Bancarios.
16 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.
Comentarios:
En las tres muestras seleccionadas, el saldo de la Región Oriente
correspondiente al Libro Mayor no concilia con el que se encuentra en el
Auxiliar. Durante la Reunión de Validación el Contador Corporativo explicó
que esta diferencia fue erróneamente registrada durante la migración al Sistema
Oracle por un usuario desconocido. Finalmente, nos entregó una impresión de
pantalla donde se observa el saldo real de esa Sucursal en el Sistema Oracle,
luego d una corrección que se ejecuta mensualmente.
21 0 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.
Comentarios:
Originalmente, se obtuvo una muestra digital de los Análisis de los Balances de
Comprobación, la cual presentaba evidencias de la revisión, sin embargo, no se
observaba por parte de quien ni si había sido aprobada.
Durante la Reunión de Validación el Contador Corporativo explicó que su
Departamento trimestralmente recibe las conciliaciones de los Contadores
Regionales, para luego revisarlas y aprobarlas. De esta manera, el Contador
Corporativo entregó los correos electrónicos donde se evidencia esta
transmisión de los Análisis de los Balances de Comprobación.
25 1 No se encontraron excepciones ni comentarios para ninguno de los Pass
atributos en la muestra seleccionada.
Comentarios:
En la muestra seleccionada sólo se observó una partida pendiente por
actualizar, sin embargo no se tenía la evidencia de que ésta hubiese sido
apropiadamente actualizada en el Sistema Oracle hasta que se realizó la
Reunión de Validación.
Luego de la Reunión de Validación se conoció que las diferencias en la división
de Transporte corresponden a piezas en consignación.
28 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
De acuerdo a lo conversado con el Gerente de Estadística con el Análisis de
Estados de Ganancias y Pérdidas se comparan las cifras del presenta año versus
el anterior, calculando el promedio de crecimiento y decrecimiento e
investigando aquellas sucursales que se encuentren fuera de éstos.
- 82 -
Comentarios:
Durante la ejecución de esta prueba se consideró que a través de un correo
electrónico no es posible garantizar que las cifras utilizadas en los Reporting
Packages fuesen las definitivas. Por lo tanto, se realizó una comparación entre
los Estados Financieros del USGAAP y los Reporting Packages, sin encontrar
diferencias entre ellos. De esta manera sí es posible garantizar que las cifras
utilizadas fueron las definitivas
31 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
Para los dos primeros meses de la muestra seleccionada no se ejecutaron
Calendarios de Cierres Contables por problemas en el sistema. Sin embargo, se
observaron correos electrónicos donde los Departamentos respectivos
realizaban seguimientos a las entregas.
Para el tercer ítem no se observaron evidencias del seguimiento, sin embargo,
luego de la reunión de validación se obtuvieron las mismas.
34 0 No se encontraron excepciones para ninguno de los atributos en la muestra Pass
seleccionada.
Comentarios:
Se observó el Manual de Procedimientos, más no fue posible interrogar a parte
del personal debido a que este manual fue finalmente aprobado en Septiembre
de 2005, por lo tanto no ha sido comunicado aún.
De esta manera se observan las pruebas correspondientes a los 21 controles que reflejaron estar
operándose efectivamente, y por lo tanto tuvieron un resultado exitoso. En la tabla se tiene que
la mayoría de las pruebas presentan comentarios los cuales reflejan actividades adicionales al
procedimiento diseñado o notas explicativas de algunas pruebas que originalmente fueron
fallidas pero que, luego de la Reunión de Validación se obtuvo la documentación necesaria para
ser exitosas.
A continuación se tienen el resto de las pruebas, en su mayoría fallidas, junto con una
explicación de lo observado y las razones por las cuales falló.
Dentro de las pruebas para las cuales se recibieron evidencias, la primera que resultó fallida fue
la 06, ya que ninguna de las muestras presenta el correo electrónico donde el Contador
Corporativo aprueba los Ajustes, Registros y Reclasificaciones y, adicionalmente, seis muestras
- 83 -
El resultado de la siguiente prueba fue aceptado por completo por el Contador Corporativo, ya
que en prueba 10 era necesario verificar su firma en las Conciliaciones Bancarias como muestra
de su revisión y aprobación, sin embargo, seis de las muestras no se encontraban firmadas.
Otras cinco muestras corresponden a una división diferente y las conciliaciones son preparadas
por su Contador, por lo tanto no presentan la firma del Contador Corporativo, pero ésta no es
necesaria para efectos de la operatividad del control por lo tanto se agregó la siguiente brecha:
“Las conciliaciones Bancarias de las Cuentas Corporativas no tienen evidencias de alguna
revisión y aprobación”.
La siguiente prueba fallida fue la 14, cuyos principales atributos eran que el Resumen del
Análisis de Antigüedad presentara evidencias de la persona que lo preparó y que las diferencias
entre los Resúmenes de los Balances de Antigüedad de Cuentas por Cobrar y los Registros de
Cuentas por Cobrar fueran identificadas. Sin embargo, ocho de las muestras presentaban
diferencias sin explicación. Adicionalmente, cuatro muestras no presentaban evidencias de la
- 84 -
persona que las realizó. De esta manera se levantó la siguiente brecha: “Los Resúmenes de los
Análisis de Antigüedad de Cuentas por Cobrar no demuestran quien los ejecutó y presentan
evidencias no identificadas ni explicadas en la correspondiente celda diseñada para la
explicación de las mismas”. La prueba 15 utiliza la misma muestra de la 14 e igualmente
resultó fallida, ya que cuatro muestras no presentaron la firma del Gerente de la Sucursal como
prueba de su revisión, generando la siguiente brecha: “Los Resúmenes de los Análisis de
Antigüedad de las Cuentas por Cobrar no presentan evidencias de la revisión y aprobación del
Gerente de la Sucursal”.
A continuación se tiene la prueba 32, donde era necesario verificar si todas las requisiciones
para una creación o eliminación el código de cuentas eran generadas por el Contador
Corporativo y enviadas vía correo electrónico al Contralor Operacional para su aprobación. Sin
embargo, en una de las muestras no se observó este último correo. De esta manera se asoció la
siguiente brecha a este control: “No todas las requisiciones para crear o eliminar una cuenta en
el código de cuentas son informadas al Contralor Operacional”.
Finalmente, se tiene la prueba 33, la cual falló debido a que dos de las tres muestras solicitadas
no presentaron evidencias de la aprobación del Tesorero Corporativo para los Resúmenes de
Cuentas por Cobrar Corporativas. Adicionalmente, luego de la Reunión de Validación se
conoció que el Gerente de Créditos y Cobranzas le envía vía correo electrónico los resúmenes,
pero ni él ni el Tesorero guardan esta evidencia. De esta manera se levantó la siguiente brecha:
“No existe evidencia del correo electrónico donde el Gerente de Créditos y Cobranzas le envía
los Resúmenes de Cuentas por Cobrar Corporativas al Tesorero Corporativo, por lo tanto no
puede asegurarse que los mismos sean revisados y aprobados”.
A continuación se tiene un gráfico que representa de manera general los resultados de las
pruebas para este proceso.
- 85 -
3%
35%
62%
Figura 10.- Distribución de los resultados de las pruebas del Proceso de Cierre de Estados Financieros
En la gráfica anterior se observa que 62% de las pruebas pasaron, sin embargo, existe un 35%
de controles que no están operando adecuadamente. En este sentido se tiene que las dos
principales razones de falla fueron la ausencia de evidencia para probar el control o la omisión
de algunos de los atributos por parte del ejecutor. Tanto la primera como la segunda se derivan
de que muchas políticas de la empresa no han sido efectivamente comunicadas a todo el
personal del Corporativo, así como de las Regiones y Sucursales. Por lo tanto, los controles
documentados durante el proceso de levantamiento de la información son aplicados en las
Sucursales y Regiones visitadas, pero posiblemente si se levantara un proceso para cada
Sucursal y/o Región se encontrara procesos iguales ejecutados de manera diferente.
que lo ejecuta, un control para la persona que lo revisa y aprueba, y otro control para el
momento en que se envía al Corporativo.
El siguiente punto considerado fue procurar el nivel mínimo de papeles de trabajo. Cada equipo
debió completar una RACM para cada proceso, junto con los respectivos memos y matrices, así
como la fuente de documentos probados relacionada.
Cada uno de estos documentos debió presentarse con claridad, era indispensable que cada
trabajo que se hubiese realizado en la prueba fuera exactamente descrito, generalmente, si el
lector no puede responder las preguntas Quién-Qué-Dónde-Cuándo-Cómo-Por qué luego de
leer el documento, el mismo necesitaba ser clarificado.
Adicionalmente, cada diseño de pruebas debió tener un grupo de papeles de trabajo, tomando
en cuenta que el mismo fue desarrollado únicamente para aquellos controles claves de cada
proceso, la referencia debió ser como se describe a continuación: Localidad-Proceso-Control-
Prueba-Documento. Este tipo de referencia fue dictada por el cliente, y el mismo también
indicó la manera en que se abreviaría cada localidad, así como cada proceso. De igual manera,
indicaron los respectivos números de cada documento: memo (01), matriz de atributos (06),
coversheet (13) y cada documentación soporte con este mismo número.
- 87 -
Finalmente, se realizaron las recomendaciones por el Gerente del equipo con respecto a cada
proceso. Las cuales fueron encontradas luego de realizar una revisión basada en un formado
entregado por el cliente (“Quality Review Checklist”) y fueron documentados en el
“Workpaper review comments”, un documento donde quedan archivados los últimos
comentarios realizados con respecto al proceso. Ambos archivos fueron enviados junto con el
resto de papeles de trabajo a Oficina de Dirección de Proyectos.
Basado en los puntos anteriores, en primer lugar, al igual que todos los miembros del equipo, se
realizó una revisión personal del principal proceso desarrollado, es decir, Proceso de Cierre de
Estados Financieros. Encontrando que muchos de los papeles de trabajo estaban referenciados
de acuerdo a la numeración antigua. Originalmente la numeración de los documentos era:
memo (01), matriz de atributos (02) y “coversheet” (03), por lo tanto los documentos que se
habían ejecutado al comienzo presentaban esta referencia.
Consecuentemente, además de revisar detenidamente si cada una de estas referencias había sido
documentada, era necesario observar si las mismas presentaban la nueva numeración. En el
proceso de Cierre de Estados Financieros, no se presentaron casos donde hubiese que cambiar
la numeración, ya que la mayoría de los documentos fueron generados antes de que el cliente
indicara que deseaba esta referencia entre papeles de trabajo. De esta manera, se refirió cada
documento respectivamente como se dijo anteriormente.
Finalmente, se revisó si estos parámetros habían sido cumplidos en los procesos de Ingresos,
Impuestos y Legal. En los cuales no se encontraron errores en la mayoría de los papeles de
trabajo. Con autorización del miembro del equipo respectivo, se ejecutaron las pequeñas
modificaciones necesarias para la adecuación de los documentos a los estándares exigidos por
el cliente.
- 88 -
A continuación se realizó un estudio sobre las brechas identificadas y la manera en que las
mismas deben ser remediadas, tomando en cuenta su importancia en el proceso y la prioridad
asignada por el Cliente. Para conocer la importancia de las mismas, se desarrolló una
evaluación basada en el impacto que cada brecha tiene sobre la presentación de los estados
financieros.
Para comenzar se consideró para cada brecha los riesgos que pudieran surgir a raíz de ella,
tomando en cuenta cuántas de las siete aseveraciones (existencia, ocurrencia, integridad,
valuación, medición, derechos / obligaciones y presentación / revelación) pudieran verse
afectadas por las consecuencias de esta brecha sobre el riesgo.
A continuación, se ponderaron los resultados obtenidos, en caso de que la brecha afectara una o
dos aserciones su impacto sobre el proceso se calificó como bajo; si el mismo estaba presente
en tres o cuatro aseveraciones el impacto es medio; y finalmente, el impacto es alto para
aquellos casos en que la brecha se encuentre relacionado a más de cinco aserciones.
En la siguiente tabla se observan los resultados obtenidos durante esta parte de la evaluación:
- 89 -
Tabla 8.- Evaluación del impacto de las brechas de acuerdo a la cantidad de aseveraciones que afectan
Cantidad de
Impacto sobre el
Número de Gap aserciones
proceso
afectadas
1 2 Bajo
2 4 Medio
3 6 Alto
4 4 Medio
5 5 Alto
6 5 Alto
7 2 Bajo
8 1 Bajo
9 6 Alto
10 6 Alto
11 1 Bajo
12 4 Medio
13 1 Bajo
14 4 Medio
15 4 Medio
16 3 Medio
17 4 Medio
18 4 Medio
19 4 Medio
20 4 Medio
21 4 Medio
22 2 Bajo
23 3 Medio
De esta manera se tiene que la mitad de las brechas puede afectar medianamente la
aseveraciones y como consecuencia los estados financieros del Cliente. Por otra parte, se tienen
5 brechas con un alto impacto sobre los estados financieros y otras 6 afectando levemente las
aseveraciones.
A continuación, se ejecutó la segunda parte de la evaluación de las brechas, la cual esta basada
en un indicador que relaciona cantidad de controles claves que se encuentran para cada riesgo
asociado ala brecha. Mediante esta evaluación se analizan las posibilidades de que la brecha
afecte a los riesgos asociados, y estos consecuentemente perjudiquen a los estados financieros,
a través de un análisis de la cantidad de controles claves que garanticen que el riesgo no ocurra
a pesar de la existencia de la brecha.
- 90 -
Para este análisis se utilizó igualmente la RACM, pero en este caso observando los números de
los riesgos a los que cada brecha esta relacionada. A partir del mapeo de riesgos y controles y
con la información anterior, se enumeraron la cantidad de controles claves asociados a los
riesgos relacionados a cada brecha. Posteriormente, se calculó el promedio de cada uno,
sumando la cantidad de controles claves encontrados y dividiéndolo entre el número total de
riesgos. Finalmente, el impacto de la brecha sobre el proceso se asignó de acuerdo a los valores
máximos y mínimos.
La máxima cantidad de controles que se encuentran mitigando los riesgos asociados a las
diferentes brechas es 18, sin embargo, este valor fue extraído para el análisis de ponderación ya
que el mismo se encuentra muy alejado del siguiente mayor (14.33), por lo tanto se tomó este
último como máximo valor. De esta manera, se tomó como bajo impacto aquellas brechas que
se relacionaran con un promedio de al menos 10 controles claves, lo que presentaran un
promedio de controles claves asociados a los riesgos de la brecha comprendido entre 5 y 10 se
les calificará de medio impacto y, finalmente, aquellas brechas presentes en riesgos con un
promedio de controles claves menor a cinco se catalogaron de alto impacto sobre el Proceso de
Cierre de Estados Financieros. A continuación se presentan los resultados obtenidos:
Tabla 9.- Evaluación del impacto de cada brecha de acuerdo a la cantidad de controles claves asociados
Cantidad de Impacto del
Número de Riesgos Promedio de
controles gap sobre el
Gap asociados controles
claves proceso
1 8 7 7.00 Medio
1 2
2 2
2 2.00 Alto
4 1
5 3
8 7
11 4
3 15 0 5.20 Alto
34 8
35 7
8 7
10 1
4 2.25 Alto
17 1
33 0
- 91 -
… Continuación Tabla 9, evaluación de las brechas de acuerdo a los controles claves asociados
13 0
14 0
16 6
5 5.17 Alto
21 16
22 1
34 8
11 4
6 31 0 4.00 Alto
34 8
7 19 18 18.00 Bajo
8 37 1 1.00 Alto
10 1
11 4
16 6
9 17 1 4.00 Alto
30 1
34 8
35 7
8 7
12 8
18 4
19 18
10 8.88 Medio
20 1
21 16
28 9
34 8
38 2
11 2.00 Alto
40 2
29 2
41 4
12 2.00 Alto
42 1
43 1
13 23 2 2.00 Alto
19 18
14 21 16 14.33 Bajo
28 9
4 1
15 5 3 2.00 Alto
6 2
19 18
16 17.00 Bajo
21 16
19 18
17 21 16 14.33 Bajo
28 9
18 4
18 11.00 Medio
19 18
- 92 -
… Continuación Tabla 9, evaluación de las brechas de acuerdo a los controles claves asociados
18 4
19 19 18 10.33 Medio
28 9
19 18
20 21 16 14.33 Bajo
28 9
1 2
21 2 2 2.33 Alto
5 3
22 6 2 2.00 Alto
8 7
23 6.50 Medio
16 6
A diferencia del estudio anterior, en este caso se tiene que la mitad de las brechas tiene un
impacto alto sobre el proceso, mientras que los restantes 10 se encuentran igualmente
distribuidos entre impacto medio y bajo. La razón fundamental de esta diferencia se centra en
que ambos análisis están fundamentados en aspectos diferentes, puede presentarse una brecha
que esta asociada a un único riesgo, por lo tanto posiblemente las aseveraciones que afecta
serán reducidas, pero ese riesgo tiene asociado un gran número de controles claves, como es el
caso del gap 7.
Para unificar ambos resultados se asignó una ponderación de 50% para cada valor, ya que se
considera que ambas conclusiones representan igual importancia sobre este análisis. Para este
cálculo se asignaron valores de 3, 2 y 1 para los impactos bajo, medio y alto respectivamente,
con la finalidad de poder hallar un valor promedio entre los resultados de cada estudio.
En la misma se observa que la mayoría de las brechas presenta una prioridad alta de acuerdo a
la calificación realizada por la Gerencia del Cliente. De acuerdo a los resultados obtenidos
durante la evaluación realizada, se tiene que gran parte de los controles presenta un impacto
medio.
- 93 -
Tabla 10.- Impacto determinado para cada brecha, junto con la asignación de prioridad
Prioridad
Número de Promedio del Impacto sobre
establecida por
Gap impacto el proceso
Cliente
1 2.5 Baja 1
2 1.5 Media 2
3 1 Alta 1
4 1.5 Media 1
5 1 Alta 1
6 1 Alta 1
7 3 Baja 1
8 2 Media 2
9 1 Alta 1
10 1.5 Alta 1
11 2 Media 1
12 1.5 Media 2
13 2 Media 1
14 2.5 Baja 1
15 1.5 Media 2
16 2.5 Baja 2
17 2.5 Baja 1
18 2 Media 1
19 2 Media 2
20 2.5 Baja 1
21 1.5 Media 2
22 2 Media 1
23 2 Media 1
Una vez obtenidos los resultados de la evaluación de impactos de cada brecha, se procedió a
relacionar los mismos con la prioridad asignada por el Cliente, a través de una matriz que
permite analizar los controles según el grupo donde se ubiquen en relación a la evaluación y a
la prioridad.
En la siguiente matriz se observan los resultados antes descritos, es decir, la mayoría de las
brechas generan un impacto medio sobre el proceso y has sido priorizados por el Cliente. Las
brechas están representadas por pequeños círculos con el número correspondiente en el centro,
en la parte inferior se encuentran los niveles de prioridad asignada por el cliente, mientras que
al lado izquierdo esta el resultado de la evaluación del impacto.
- 94 -
Alto
9 6
Estados Financieros
11
15 19 13 4
Medio 2 8
23
12
18 22
21 22
20
17
14
16 7 1
Bajo
Baja Alta
A continuación, debe ejecutarse la remediación de las brechas cuyo impacto es medio y que
han sido priorizadas por la gerencia del Cliente y, posteriormente, el grupo con bajo impacto y
poca prioridad. Finalmente, se ejecuta el proceso de remediación de la brecha 16, la cual
presenta bajo impacto sobre la compañía y baja prioridad por parte de la gerencia del cliente.
- 95 -
IV.1 CONCLUSIONES
La actividad de recorrido o “Recorrido” arrojó 15% de controles con diseño inefectivo, lo que
genera dudas sobre la documentación de los controles.
Luego de evaluar cada uno de los controles, se realizaron modificaciones importantes que
generaron cambios en la cantidad y la evaluación de a los controles, finalmente se tuvo un total
de 50 controles, de los cuales 4 presentan diseño inefectivo y 45 son claves en el proceso. Se
levantaron brechas para cada control inefectivo.
Se ejecutaron 42 pruebas de las cuales 38% fue fallida, en su mayoría debido a una mala
aplicación de los controles por parte de los encargados.
Se observaron 22 brechas en todo el proceso, los cuales pueden afectar directa y materialmente
las cuentas significativas.
IV.2 RECOMENDACIONES
La mayoría de los controles no son uniformemente conocidos por todo el personal que labora
para la empresa a nivel nacional, por lo que se recomienda realizar entrenamientos donde se les
explique a todas las Regiones y Sucursales las actividades que les corresponde de acuerdo a su
cargo. Este punto es de gran importancia ya que afecta directamente uno de los objetivos
principales de la Ley Sarbanes Oxley: la segregación de funciones.
- 96 -
Crear un sistema periódico de evaluación interna por parte del personal que realiza los
controles, con la finalidad de generar un proceso en el que cada individuo sea capaz de evaluar
su propio desempeño y se disminuyan las carencias de evidencias al momento de realizar las
pruebas generales.
Evaluar en cada uno de los controles fallidos e inexistentes si existe un control sustituto capaz
de mitigar de igual manera el riesgo asociado y que para el momento del levantamiento de la
información no se estuviese operando.
Realizar al menos cada trimestre una reejecución de las pruebas de los controles fallidos o
inexistentes que deben ser remediados al culminar este proyecto, con la finalidad de evaluar el
desempeño de los mismos.
Generar un plan a largo plazo que disminuya el número de controles manuales y aumente los
automáticos, ya que los controles manuales son más fáciles de omitir pudiendo generar
inconsistencias en los Estados Financieros. En este sentido, es importante tomar en cuenta las
capacidades económicas de la empresa, así como los controles que deben crearse en caso de
que las actividades sean ejecutadas por un sistema.
REFERENCIAS BIBLIOGRÁFICAS
1.- “Emerging Trends in Internal Controls, Fourth Survey and Industry Insights”, Publicación
interna Ernst & Young, pag. 8-9 (2005)
2.- www.monografias.com/trabajos14/bolsa/bolsa.shtml
3.- www.enlacesfinancieros.com/guiadeinversion/clavesparainvertir4.htm
4.- http://en.wikipedia.org/wiki/Sarbanes-Oxley_Act_of_2002
5.- “La Ley Sarbanes Oxley y la Auditoria”, Jose Díaz Morales, publicación interna Ernst &
Young, (2002)
7.- http://www.sec.gov/info/accountants/stafficreporting.htm
8.- http://www.coso.org/key.htm
9.- “Evaluating Internal Controls” Consideration for Evaluating Internal Controls at the Entity
Level. Publicación interna de Ernst and Young, (2003)
10.- http://www.pcaobus.org/About_the_PCAOB/index.aspx
Anexo 2.- Resultados del Mapeo de Riesgos y Controles para el Proceso de Cierre de Estados Financieros
2
2 El código de cuentas es usado correcta y consistentemente 2 47
2
5 Cuentas ficticias o duplicadas no son creadas. 1 2 47
Anexo 3.- Ejemplo de una fila en una Matriz de Criterio de Evaluación de Riesgos
Valuation
Sub Process Risk
Risk Significant Accounts Affected Control
process Owner Ref
Foreign Ricardo Foreign exchange 23 All Balance Sheet Accounts and all All modifications of the
Currency Salas rate data is Income Statement Accounts. exchange rate are recorded by
Translation accurately entered the Oracle Administrator and
into the system approved by the Treasury
x Department via e-mail
(1)
(1)
Control Control
Key
Control Control Control COSO Control Control Implementation Design Test Test
Control Test Step Description
Ref Owner Frequency Component Type Method Date (if <12 Effectiveness number Type
(Y/N)
months) Assessment
(2)
There are modification of the Oracle All the 1/1/05 7/31/05 1 R AC 11/4/2005 With the study sample, we
exchange rate that are not modifications verified on a print screen of
recorded in Oracle by the done in the the modification done in
Oracle Administrator. There exchange March that the person who
are records that were not rate carried out the change was a
approved by Treasury Treasury Analyst. Due to the
Department. Exchange Rates are
controlled by the Government,
during the Testing Period this
rate was modified just once
(March 2005) (3)
# of
(3) Failures
in
Sample
Test Gap Title
Gap Ref. Identified Date IT / Non-
Pass or Work paper References (Short Gap Detail
# By Identified IT
Fail? Description)
1 Fail VEN_FSC_08_08_01, 13 AC 11/4/2005 Lack of There is no evidence of the approval by the Treasury Non - IT
VEN_FSC_08_08_02 evidence of Department over exchange rate change. Even though
VEN_FSC_08_08_06, the approval it was carried only one time this year due to since 3
VEN_FSC_08_08_11 of exchange years ago Venezuela has an exchange control and the
VEN_FSC_08_08_13 rate change rate has been modified only once during the year. The
comments that we received from Corporate Accountant
is that an approval was not necessary due to the
change was well know by everybody.