gestión de riesgo y control en los procesos de negocio | pwc venezuela

8/8/2019 Gestin de Riesgo y Control en los Procesos de Negocio | PwC Venezuela

1/25

Espieira, Sheldon y Asociados

No. 5 - 2010

Boletn de Asesora GerencialGestin de Riesgo y Control en los Procesos de Negocio

PginasiguienteCerrar Imprimir

PginaanteriorContenido


2/25

Boletn Digital // No. 5 - 2010

ContenidoHaga click en los enlaces para navegar

a travs del documento

4Introduccin

4Riesgos en los procesos de negocio

4Riesgos de acceso4Riesgos de ingreso

4Riesgos de rechazo4Riesgos de procesamiento

4Algunos ejemplos

41. Riesgos recuentes en el ciclo de ingresos por

ventas y cuentas por cobrar

42. Riesgos recuentes en el ciclo de compras y

cuentas por pagar

43. Riesgos recuentes en el ciclo de Nmina

Haga click en los enlaces para llegar directamente a cada seccin



4Controles en los procesos de negocio

4Evaluacin de los controles

4Conclusin

4Crditos / Suscribirse


3/25





Introduccin

Podemos iniciar este boletn mostrando el trminoriesgo denido por la Organizacin Internacional

de Estndares ISO (por sus siglas en ingls):

El potencial de que una amenaza determinadaexplote las vulnerabilidades de un activo o

grupo de activos y que ocasione prdidas odaos. Usualmente, se mide mediante la

combinacin del impacto y de la probabilidadde ocurrencia

Por otra parte, de acuerdo con la mayora de

estudiosos y proesionales, el riesgo tambin esdenido como:

La posibilidad de que algo ocurra y que

impacte determinados objetivos, el cual se mide

en trminos de consecuencias y esperanzamatemtica.

Los riesgos son uturos eventos inciertos, loscuales pueden infuir en el cumplimiento de los

objetivos de las organizaciones, incluyendo sus

estrategias, nanzas y operaciones.

De cualquier manera, en las organizaciones, los

riesgos estn asociados directamente con susactivos y a las amenazas a las que estn

expuestos. En la actualidad, la variedad de estasamenazas se han incrementado como producto del

avance de la tecnologa, por lo cual la atencin

sobre los riesgos tecnolgicos ha venido tomando

gran relevancia.

Por otra parte, los riesgos en los procesos de

negocios son aquellos que pudieran impactar a una

organizacin, los cuales pueden ser de naturaleza

nanciera, reguladora u operacional. El origen deestos riesgos surge como resultado de la

interaccin del negocio con su ambiente interno(recursos humanos, procesos y tecnologa) y su

ambiente externo.

Existen dos niveles de riesgo a considerar en losprocesos de una organizacin, de acuerdo con el

grado de automatizacin de sus procesos: riesgosinherentes y de control. Un tercer nivel de riesgo,

deteccin, como puede observarse en la Figura N1, debe ser considerado y se reere a que los

errores materiales producidos, como resultado de los

dos actores de riesgo mencionados anteriormente,

no sean detectados oportunamente y por lo tanto nopuedan tomarse las acciones necesarias.

Para visualizar la Figura No. 1

haga click en el icono.Figura N 1: Niveles de riesgo en los procesos de negocio de una

organizacin


4/25





Toda organizacin en la cual sus procesos de

negocios descansen sobre sistemascomputarizados, poseen bsicamente tres

clasicaciones de riesgo inherentes, tal como se

observa en la Figura N 2, a saber:

Riesgosdeprocesosdenegocio.

Riesgosdesistemasdeinformacin.

RiesgosdelafuncindeTecnologade

Inormacin.

Dado que los procesos de negocio, cada vez

ms, dependen en gran medida de la tecnologade la inormacin para operar ecientemente, los

riesgos asociados a esta tecnologa han ido

incrementndose. En este sentido, nuevas ormas

de riesgo aparecen de acuerdo con el tipo de

industria y el tipo de proceso existente en unaorganizacin. Estos riesgos incluyen riesgos de

aplicaciones y riesgos de operaciones. En cuanto

a los riesgos de aplicaciones, stos pueden serclasicados bsicamente en cuatro tipos: acceso,

ingreso, rechazo de inormacin y procesamiento.

Riesgos de accesoLos riesgos de acceso se originan cuando

personas, sin la debida autorizacin, pueden

visualizar o ejecutar unciones de transacciones

en los programas de aplicacin o registros deinormacin, permitindoles leer, modicar,

agregar o eliminar inormacin.

Los riesgos de acceso pueden originarse,

principalmente, desde tres reas:

Accesoatransaccionesoprivilegiossensitivos:

en la cual un usuario puede tener acceso a

transacciones que no le corresponden, segn

sus unciones. Por ejemplo, un usuario delDepartamento de Ventas con acceso a

visualizar, incluir o modicar inormacin

administrada por el Departamento de Nmina,tales como: sueldos, horas extras, benecios

laborales, entre otros.

Introduccin (continuacin)

Para visualizar la Figura No. 2haga click en el icono.

Figura N 2: Clasicaciones de Riesgos

Riesgos en los procesos de negocio


5/25





Segregacindefunciones:enlacualunusuario

pudiera tener acceso a transacciones, que en

combinacin con las que le corresponden,pudiera desencadenar acciones no autorizadas

o raudulentas. Por ejemplo, un usuario queposea acceso de orma simultnea, para

realizar: pedidos, despachos, acturacin,registro y conciliacin de las cuentas por cobrar

de los clientes, pudiera realizar pedidos cticios

o registrar cuentas por cobrar por montos que

no corresponden con los despachos realizadosa los clientes.

Administracindeusuariosyclavesdeacceso:

en la cual un usuario pudiera tener acceso a

sistemas o recursos del ambiente que no lecorresponden, incrementando el riesgo de

prdida de condencialidad e integridad de la

inormacin que all reside. Por ejemplo, la

utilizacin de claves de usuario de cildeduccin, claves de usuario sin echa de

vencimiento, usuarios genricos o en desuso,acilitan el acceso de intrusos a las aplicaciones,

sistemas e inormacin de la organizacin.

Los riesgos de acceso, generalmente, se

incrementan cuando se realizan migraciones a

nuevos sistemas de inormacin. En este caso,debe existir un plan conjunto entre la Funcin de

Seguridad (CISO: Chie Inormation Security

Ocer) de la Compaa y las reas uncionales,

para el diseo de roles y privilegios sobre las

transacciones a ejecutar por cada usuario.

Riesgos de ingreso

Este tipo de riesgos de ingreso se presentan

cuando la inormacin ingresada para elprocesamiento de una uncionalidad es imprecisa,

incompleta o duplicada.

En este sentido, un dato mal ingresado en losregistros maestros (clientes, proveedores,

productos, etc.), puede ocasionar errores en

todas las etapas del procesamiento. Por ejemplo,

una industria de servicios, en donde se ingreseerrneamente un precio menor al real, incide

negativamente en sus ingresos.


(continuacin)


6/25





La ausencia de interaces automticas o que no

uncionen adecuadamente, entre sistemas

independientes, origina un mayor nmero deerrores, incrementando los riesgos de ingreso de

inormacin. Ahora bien, este riesgo se disminuyeen el tiempo con la introduccin de tecnologa.

Por ejemplo, actualmente, es poco comn

encontrar organizaciones cuyo proceso de ingreso

de inormacin de acturacin sea manual. El uso

cada vez ms recuente de los sistemasintegrados (ERP), han permitido disminuir el

ingreso manual de inormacin, as como la

existencia de sistemas independientes con sus

correspondientes interaces.

Riesgos de rechazo

Estos riesgos se presentan cuando no se

identican oportunamente los datos errneos queson ingresados en el sistema computarizado, o al

no tener denidos adecuadamente los criteriospara identicar cundo una transaccin es

incorrecta o inaceptable en el ambiente deprocesamiento.

Por ejemplo, un control de validacin puede

indicar que un nmero de cuenta es incorrecto oque la cantidad de horas trabajadas de un

empleado no es razonable. En estos casos, las

transacciones pueden ser:

Aceptadasporelsistemaysealadasenuninorme de excepcin.

Destinadasaserubicadasenunacuentaen

suspenso del sistema, en lugar de ser

procesadas.Completamenterechazadas.

En el primer y segundo caso, deben existir

procedimientos posteriores que permitan analizare identicar la alla que produjo el rechazo y

corregir lo que sea necesario, inmediatamente. En

el caso que las transacciones sean

completamente rechazadas, generalmente noexiste un anlisis posterior. Sin embargo, se debe

asegurar peridicamente, a travs de pruebas,

que las rutinas automatizadas que originan el

rechazo uncionan de manera adecuada.


(continuacin)


7/25





Existe el riesgo de que algunas transacciones no

sean adecuadamente resueltas y procesadas. En

este caso, se pudieran dejar de tomar en cuentatransacciones importantes que pudieran aectar

los estados nancieros. Por ejemplo, en empresasde telecomunicaciones o empresas de servicios

elctricos, el no contar con un proceso peridicoy adecuado para la resolucin de transacciones

en suspenso, puede incrementar el riesgo de

raude e incidir negativamente en los ingresos de

la organizacin.

Riesgos de procesamiento

Los riesgos de procesamiento estn presentes

cuando las transacciones que han sido

ingresadas u originadas por el sistema no son

registradas, son registradas en orma incompleta,

inexactas o registradas en el perodo contable

incorrecto.

Si el ormato de los datos es incorrecto o no se havericado su consistencia con la estructura de los

datos existentes, es posible que los registroscontables sean actualizados en orma incorrecta o

incompleta.

Este tipo de riesgo puede estar relacionado conlos riesgos descritos anteriormente. Si el ingreso

de datos es incorrecto, el resultado del

procesamiento va a ser igualmente incorrecto.

Asimismo, si los datos errneos no son

rechazados oportunamente, el procesamiento nova a ser adecuado.


(continuacin)

Adicionalmente, el correcto procesamiento de una

rutina automatizada, depender tambin de otros

elementos, tales como: correcta aplicacin dermulas, adecuado fujo de inormacin en el

sistema, consideracin de casos base y deexcepcin en el procesamiento, entre otros.

El riesgo de procesamiento merece especial

atencin, en cuanto a los controles a establecer,

ya que la gama de controles es amplia y viene

dada desde controles manuales hasta controlesde vericacin automatizados, como son:

detectivos, preventivos y correctivos.


8/25





Algunos ejemplos

A continuacin se presentan algunos ejemplos de

riesgos de negocio que se presentan tpicamenteen las actividades del da a da de una

organizacin. Estos ejemplos muestran losriesgos en algunos ciclos de negocio, tales como:

ventas y cuentas por cobrar, compras y cuentaspor pagar y nmina, en diversos tipos de

industria.

1. Riesgos recuentes en el ciclo de ingresos porventas y cuentas por cobrar

Las actividades existentes en el ciclo de ingresos

por ventas y cuentas por cobrar pueden variar

dependiendo del tipo de industria y de la losoade administracin existente en la organizacin.

Sin embargo, la gran mayora de las

organizaciones posee una serie de actividades

comunes que pueden ser resumidas, como semuestra en la Figura N 3, de la siguiente manera:

planicacin de las ventas, pedidos, despacho,acturacin, cuentas por cobrar y gestin de

cobranzas.

Cada una de las actividades se relaciona a travs

del fujo de inormacin, que bien pudiera ser

administrado bajo procedimientos manuales oautomatizados. En la Figura N 4 puede

observarse este fujo de inormacin.


(continuacin)

Figura N 3: Actividades del ciclo de ingresos por ventas y

cuentas por cobrar

Figura N 4: Flujo de inormacin en el ciclo de ingresos por

ventas y cuentas por cobrar




9/25





En cada una de estas actividades, pudieran

presentarse riesgos de aplicaciones y de

operaciones que aecten la gestin administrativay/o nanciera de la organizacin. Un ejemplo de

estos riesgos se presenta en la siguiente tabla:


(continuacin)

Para visualizar la tabla hagaclick en el icono.

Adicionalmente, los datos maestros de clientes y

de productos pudieran presentar algunassituaciones, tales como: clientes sin registro de

inormacin scal; con condiciones de pago noautorizadas, en cuanto a lmite de crdito y das

de crdito; sin direccin de ubicacin o telono

contacto; entre otros; as como productos con

descripcin incompleta, con precio no actualizadoo con descuentos no autorizados.

Todas estas situaciones planteadas pudieran

ocasionar, entre otros, problemas como: registrosduplicados, procesamiento de clculos

incorrectos, subestimacin o sobrestimacin de

los ingresos, tanto para la compaa como para

los clientes y relacionados.

Por otra parte, el riesgo en la gestin de

cobranzas requiere de mecanismos de control

exhaustivos. Las organizaciones en las cuales los

vendedores realizan la gestin de cobranza, se veexpuesta a un margen mayor de riesgo, en cuanto

al registro oportuno de los cobros realizados o al

raude, as que los controles deben ser

ortalecidos.

Otro de los aspectos de importancia lo constituyeel hecho de que la Compaa pudiera enrentarse

con situaciones legales que comprometen sureputacin y originar amonestaciones. Ejemplo de

estas situaciones, es el caso que se presenta

cuando ocurre un mal clculo de los impuestos

vigentes, la generacin de acturas sin lainormacin scal requerida o el incumplimiento

de otros deberes ormales.


10/25


11/25





Para cada tipo de compras, existen riesgos

especcos asociados y tambin dierentes

maneras de controlarlos. Por ejemplo, un riesgo enla compra de materiales podra originarse cuando

la cantidad de mercanca adquirida es desviada desu destino programado. Por otra parte, un riesgo

signicativo en la compra de repuestos se debecontrolar en el momento de su recepcin, en

donde se devuelva la mercanca que no est

acorde con las condiciones pactadas; mientras

que al contratar un servicio se entiende que noposee la gura de la devolucin y los proveedores

deben ser medidos, constantemente, por la calidad

del servicio.

Algunos ejemplos de riesgo o alta de control

presentes en el ciclo de compras y cuentas por

pagar, se mencionan a continuacin:

Faltadecriteriosadecuadosyespeccosparatipos, cantidades, especicaciones y

condiciones de mercanca.Noimpedirodetectaroportunamenteregistros

incorrectos en cuanto a precio, cantidad,

importe, proveedor o nmero de cuenta.

Noingresarparcialototalmentelospedidosodocumentos de recepcin para su

procesamiento.

Omitirlaemisinderdenesdecompra.

Inadecuadasegregacindefunciones.

Norealizarseguimientoalospedidospendientes por recibir.

Inadecuadosnivelesdeaprobacindelas

compras.

Nodetectary/oresolveroportunamentelasdierencias entre pedidos, recepcin y acturas.

Nocontrolarlaadquisicindemercancassegn los estndares de calidad denidos.

Faltaderevisiny/odeteccindecomprasconprecios excesivos o no autorizados.

Comprasdemercancasomaterialesno

autorizadas, no requeridas o que no estn en el

orden de prioridad de la compaa.Efectuarcomprasaproveedoresextranjeros,sin

cumplir con las cuotas proyectadas de

importacin y obviando los requerimientos

legales.

Comprasaproveedorescuyosinteresesseancontrarios a los de la compaa.


(continuacin)


12/25





Realizarcomprasconacentuadaantelacinque

aecten la liquidez de la compaa, costos

adicionales de almacenaje, prdidas yextemporaneidad de los productos.

De manera similar que en el ciclo de ventas y

cuentas por cobrar, otro riesgo recuentementepresentado en el ciclo de compras y cuentas por

pagar, se reere a una inadecuada administracin

de los datos maestros, los cuales, por su alta de

precisin y/o integridad, aectan los libros decompras, y por tanto originan incumplimiento de

deberes ormales.

Por otra parte, las organizaciones deben hacer

seguimiento de la calidad de sus proveedores,con criterios como: calidad de la mercanca o

servicio, oportunidad de entrega, cumplimiento de

cantidades, entre otros. En este sentido, el

sistema de inormacin debe tener la capacidadde manejar dicha inormacin y permitir generar

indicadores de gestin, los cuales sirven de baseobjetiva para supervisar la calidad de los servicios

recibidos de los proveedores.

Asimismo, la planicacin de las compras resulta

generalmente de un anlisis de las uturas ventas

y, por lo tanto, del material necesario para cubrircon esas ventas. En este sentido, una

planicacin no adecuada pudiera originar

subestimacin o sobrestimacin de las compras

que pudiera aectar el proceso productivo.

La gestin de pagos es otro actor de riesgo

importante que debe ser debidamente planicado

y controlado, ya que pudieran existir pagos aproveedores cticios o pagos por encima del

monto estipulado.

3. Riesgos recuentes en el ciclo de Nmina

Los costos laborales generalmente representan

un monto signicativo en los costos de cualquierorganizacin. Es adems un costo peridico que

signica una erogacin de dinero en eectivo al

personal.


(continuacin)


13/25





Al igual que los ciclos evaluados anteriormente, la

administracin del ciclo de nmina y/o de los

costos laborales, depende del tipo de industria.Una empresa de manuactura pudiera tener como

poltica el asignar bonos de produccin porcantidades producidas, mientras que para una

empresa de servicios los pagos de nminacorresponden a las horas trabajadas por sus

empleados, siendo los pagos adicionales las

horas extras.

En este sentido, en la Figura N 6, se muestran las

actividades que generalmente se llevan a cabo en

el ciclo de nmina.

La actividad de polticas salariales incluye todo lo

relacionado con los clculos de asignaciones,

benecios econmicos otorgados al trabajador ydeducciones.

A continuacin, se presentan algunos de los

riesgos o altas de control asociados a este ciclo:

Noregistrarcorrectamentelosdatosdecontrol

de presencia, hojas de tiempo, horas extras,

entre otros.Quenoexistaunadecuadoseguimientosobre

aspectos como: hojas de tiempo, control de

presencia y horas extras.

Quenoexistaunaadecuadasegregacinde

unciones.

Para ampliar: haga click sobre la imagen

qRetorno

Figura N 6: Actividades del ciclo de

nmina

Ciclo de Nmina

Definicin

de Polticas

Salariales

Registro Contable

Infraestructura Tecnolgica

Aplicacin

de Polticas

Salariales

Maestro

de Personal


14/25






(continuacin)

Quelasasignacionesydeduccionesnosean

ingresadas correctamente y en el perodo al cual

corresponde.Quelasasignacionesydeduccionesnosean

calculadas de orma exacta.Quelosimpuestossobrelanminanose

determinen y registren de acuerdo con lasnormas legales vigentes.

Porelingresodedatoscticiosalsistemade

nmina que alteren los montos a pagar a uno o

varios trabajadores.Porpagosdenminanorealizadosporel

importe, perodo o empleado correcto.

Quelacontabilizacindelanminaydepagos

manuales (cheques o sobres) no se ingresen

correctamente o en el perodo adecuado.Porlarealizacindepagosporcajayanticipos

no controlados adecuadamente.

Adicional a los riesgos existentes, desde el punto

de vista econmico, debe tomarse en cuenta la

susceptibilidad que tiene este ciclo con respectoal entorno regulatorio y controles sindicales que

pudiera aectar negativamente a la organizacin,en caso de errores involuntarios o allas

intencionales.

Todo proceso de negocio debe contemplar una

serie de controles que mitiguen los riesgos

existentes. En este sentido, los controles puedenser automatizados o manuales, dependiendo del

grado de automatizacin que exista en el proceso,no obstante, un control puede ser manual y,

posteriormente, ser automatizado. En todo caso,el costo de un control no debera exceder los

benecios que otorgan los activos involucrados,

la mitigacin de riesgo y el valor del objetivo del

controlper se.

Controles en los procesos de negocio


15/25






(continuacin)

El control es denido por la organizacin ISACA

(Inormation Systems Audit and Control

Association), como: las polticas, procedimientos,prcticas y estructuras organizativas diseadas

para brindar garanta adicional de que se lograrnlos objetivos del negocio y se impedirn,

detectarn o corregirn los acontecimientos nodeseados.

Por otra parte, un objetivo de control es una

declaracin del resultado o del propsito que sedesea alcanzar mediante procedimientos de

implementacin de controles en una actividad

particular.

La eectividad de un control puede ser medida entrminos de la probabilidad que detecte, prevenga

o corrija una anomala determinada. En otraspalabras, que mitigue los riesgos para los cuales

ue diseado. En la Figura N 7 puede observarse

la clasicacin de los controles.

Los controles preventivos, estn diseados paraimpedir o restringir la ocurrencia de un error,

omisin o intrusin no autorizada. Por ejemplo:

validaciones del sistema de inormacin en el

ingreso de datos (clave de usuario, montos,echas, entre otros), denicin de polticas y

procedimientos para la restriccin de los accesos

a los usuarios o bloqueo de cuentas de usuarios

por tener cierto tiempo sin conectarse a lossistemas.

Para ampliar: haga click sobre la imagen

qRetorno

Figura N 7: Clasicacin

de los controles

Riesgo Control

Riesgo

Correctivo

Correctivo Detectivo

Riesgo Control


16/25





Los controles detectivos, como su nombre lo

indica, detectan y reportan los errores, omisiones

y uso o entradas no autorizadas en el momentoque stos se presenten. Por ejemplo, el establecer

pistas de auditora o logs que permitan identicara los usuarios que han eectuado modicaciones

a datos especcos, como tambin la emisin demensajes de alerta cuando un cliente sobrepasa

su lmite de crdito. Los controles detectivos,

normalmente, requieren de un anlisis, por parte

del personal de la Compaa, con el n de tomarlas acciones adecuadas, oportunamente.

Los controles correctivos estn diseados para

corregir los errores, omisiones y los usos e

intrusiones no autorizados. Estos controles estnasociados con los controles detectivos y

complementan su accin. Como ejemplos de este

tipo de controles, tenemos los planes de

contingencia o la toma peridica de respaldos a lainormacin generada por los sistemas.

Los controles deben ser peridicamente

evaluados, con el n de determinar su nivel de

ecacia, con respecto de los riesgos que estnmitigando. La evaluacin debe tomar en cuenta la

evolucin de las nuevas ormas de riesgo que sepresentan en la Compaa, como resultado de los

cambios en las adaptaciones tecnolgicas y en elambiente de la organizacin, como tambin como

consecuencia de nuevas polticas o

procedimientos, regulaciones legales, entre otros.

La evaluacin de los controles debe arrojar como

resultado: s los controles que estn mitigando los

riesgos son eectivos, s son sucientes, s

necesitan ortalecerse o reemplazarse por nuevos

esquemas de control.


(continuacin)

Evaluacin de los controles


17/25





Existen diversas ormas de evaluacin de los

controles, entre los cuales se pueden indicar los

siguientes:

Evaluacionesrutinarias.Auditorassobrecontroles.

Indicadoresdegestin.

Las evaluaciones rutinarias son aquellas que se

realizan sobre las actividades normales del da a

da. No quiere decir esto que se conviertan encontroles sobre controles, generalmente se puede

ejecutar sobre los controles ms crticos o los que

estn recientemente implantados y requieren de

un perodo de prueba y adaptacin. Puede

tambin establecerse una rotacin de pruebas alos controles que permita evaluar diversos

controles de una orma rutinaria.

Otra manera de evaluar los controles es mediante

la aplicacin de auditoras, tanto internas como

externas. Generalmente, debe comenzar con unaplanicacin, donde se identiquen los riesgos

para posteriormente desarrollar un programa deauditora que comprenda objetivos y

procedimientos. El proceso de auditora requiereque se renan evidencias sobre los hallazgos

detectados en la evaluacin y que se reporten de

una manera objetiva.

El propsito bsico de una auditora es identicar

los objetivos de control y los controles

relacionados que se ocupan del objetivo. Parte

importante de las auditoras sobre los controles,

son las pruebas de cumplimiento y substantivas.

Las pruebas de cumplimiento, determina si los

controles estn siendo aplicados en una orma

que cumple con las polticas y procedimientos dela gerencia y pueden ser evaluados, mediante la

seleccin de muestras de procesos o actividadeso por observacin exhaustiva. Por su parte, las

pruebas substantivas undamenta la integridad deun procesamiento real. Mediante estas pruebas,

se toma la totalidad de la inormacin de un

perodo determinado o con una caracterstica

determinada y se verica la correcta aplicacin delos controles.

A medida que la auditora brinde satisaccin a

travs de pruebas de cumplimiento, se pudiera

disminuir la cantidad de pruebas substantivasnecesarias.


(continuacin)


18/25





Con respecto a los indicadores de gestin, como

orma complementaria de medir los controles, cada

vez son ms utilizados por las organizaciones, yaque permiten hacer un monitoreo constante y han

permitido hacer ms competitivas a lasorganizaciones.

Las organizaciones deben realizar un estudio sobre

los indicadores tiles segn su tipo de industria y

condiciones especcas, y posteriormente describir

cules son los indicadores clave que van a sermedidos de orma regular.

Existen tres tipos bsicos de indicadores:

KeyPerformanceIndicators(KPI),normalmenteutilizado para monitorear la eciencia

operacional.KeyControlIndicators(KCI),utilizadopara

medir la eectividad de los controles.KeyRiskIndicators(KRI),quesonbsicamente

unaseleccindeKPIsyKCIsrealizadaporlos

administradores de riesgo, con el n de

monitorear los riesgos.


(continuacin)

Una organizacin pudiera decidir hacer la mejor

combinacin posible para la evaluacin de sus

controles, de acuerdo con los aspectosmencionados anteriormente. En todo caso, lo ms

importante es crear un hbito continuo deevaluacin de controles que permita mitigar los

riesgos existentes y ms all pensar en los uturosriesgos a los que se enrentar la organizacin.


19/25





Conclusin

Los procesos de negocio en cualquier tipo deindustria son comnmente apoyados cada vez

ms por sistemas de inormacin y plataormas

tecnolgicas, que a su vez cada da poseen

mayores uncionalidades y complejidades. Esta

situacin genera nuevas ormas de riesgo quepodemos englobar en tres clasicaciones: Riesgo

de procesos de negocio, riesgo de sistemas de

inormacin y riesgos de la uncin de tecnologade inormacin.

Estas tres clasicaciones estn altamenteinterrelacionadas, dado que si ocurre algn

evento en la uncin de tecnologa de inormacin,

pudiera aectar directamente a los procesos de

negocio. Lo mismo pudiera ocurrir si se produce

algn evento en los sistemas de inormacin. Estasituacin lleva a las organizaciones a renar su

control interno, de modo de incluir controles

manuales y automatizados dirigidos a cada unade las tres clasicaciones mencionadas.

Estos controles pueden ser preventivos,

detectivos o correctivos de acuerdo con suuncin natural. Si bien es cierto que estos

controles pueden ser diseados e implantados en

un momento determinado, la dinmica de los

negocios hoy en da exige la evaluacin peridicade su eectividad y en caso de ser necesaria la

restructuracin de los mismos.


20/25





El Boletn Asesora Gerencial es publicado por la

Lnea de Servicios de Asesora Gerencial (Advisory)

de Espieira, Sheldon y Asociados, Firma miembro

de PricewaterhouseCoopers.

El presente boletn es de carcter inormativo y no

expresa opinin de la Firma. Si bien se han tomado

todas las precauciones del caso en la preparacin

de este material, Espieira, Sheldon y Asociados no

asume ninguna responsabilidad por errores u

omisiones; tampoco asume ninguna responsabilidad

por daos y perjuicios resultantes del uso de la

inormacin contenida en el presente documento.

*connectedthinking es una marca registrada de

PricewaterhouseCoopers. Todas las otras marcas

mencionadas son propiedad de sus respectivos

dueos. PricewaterhouseCoopers niega cualquier

derecho sobre estas marcas

Editado por Espieira, Sheldon y Asociados

Depsito Legal pp 1999-03CS141

Telono mster: (58-212) 700 6666

Si desea suscribirse haga click en la barra

2010 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se reere a Espieira, Sheldon y Asociados. A medida

que el contexto lo exija PricewaterhouseCoopers puede reerirse a la red de rmas miembro de PricewaterhouseCoopers International Limited, cada una

de las cuales es una entidad legal separada e independiente. Cada rma miembro es una entidad separada e independiente y Espieira, Sheldon y

Asociados no ser responsable por los actos u omisiones de cualquiera de sus rmas miembro ni podr ejercer control sobre su juicio proesional ni

tampoco podr comprometerlas de manera alguna. Ninguna rma miembro ser responsable por los actos u omisiones de cualquier otra rma miembro ni

podr ejercer control sobre el juicio proesional de otra rma miembro ni tampoco podr comprometer de manera alguna a otra rma miembro o a PwCIL.R.I.F.: J-00029977-3
mailto:[email protected]:[email protected]


21/25


Figura N 1:

Niveles de riesgo en los procesos de negocio de una organizacin

Aumentar ImprimirRegresaral boletn

Riesgos

ControlInherente

Deteccin


22/25


Figura N 2:

Clasifcaciones de Riesgos


WAN

LAN

Sistema Operativo

DBMS

Mdulo Seguridad

Internet

Nmina Inventario

Proceso

1

Proceso

2

Proceso

n

Venta Cont Fact

Riesgos de Procesos

Sistemas

de Informacin

Plataforma

Tecnolgica

Riesgos Funcionales

Riesgos de la Funcin de TI

tecnologa de informacin

gica

contingencia


23/25


Figura N 3:

Actividades del ciclo de ingresos por ventas y cuentas por cobrar


Ciclo de Ingresos

Planificacin Pedidos Despacho

Gestin deCobranzas

Cuentas porCobrar

Facturacin

Registro Contable

Infraestructura Tecnolgica


24/25


Figura N 4:

Flujo de inormacin en el ciclo de ingresos por ventas y cuentas por cobrar


Pedidos de Productos Ingresos de Ordenes

de Pedidos

Tramitacin de pedidoy ruteo

Facturacin

n

BD

BD Transaccin de pedido BD

n

Factura firmada

Facturacin BD


25/25


Tabla

Ejemplos de riesgos


Aprobacin, modifcacin, inclusin o eliminacin de:

Informacin de las rdenes de pedido recibidas Elaboracin de notas de entrega sin orden de pedido

Modicacin de las unidades de la orden de pedido o notas de entrega

Despacho de mercancia sin pedido asociado Ingreso de unidades superiores a la orden de pedido Modicacin de los precios o tarifas de aduana o notas de crdito

Modicacin de los descuentos correspondientes a los clientes Modicacin de las unidades por facturar

Aprobacin de ajustes en las facturas o notas de crdito

Los datos como precios, cantidades, condiciones de pagos, lmites de crditoy tasas de impuestos en documentos como:

Ordenes de pedido Movimientos de inventario

Facturas o notas de crdito

Pagos de clientes Ordenes de pedido

Movimientos de inventario Facturas o notas de crdito

Pagos de clientes Partidas en suspenso

Saltos de correlativos

Registro inadecuado de las cuentas por cobrar o de las cobranzas en losestados de cuenta de los clientes

Informacin incompleta al cierre de los estados nancierosTransferencias desde y hacia otros sistemas

Acceso de personas no

autorizadas

Los datos ingresadospueden ser imprecisos,

incompletos o seringresados ms de una

vez

Los datos rechazadospueden no ser

identifcados, analizados ocorregidos oportunamente

Los datos no son

procesados en ormacompleta y precisa en el

perodo contableadecuado

Riesgos Posible rea afectada

gestión de riesgo y control en los procesos de negocio | pwc venezuela

Documents