Auditoria Interna ; Control Interno ; Control de Gestión ; Modelo COSO ; Modelo COBIT

En este Blog, he querido ser un aporte a los Pequeños y Medianos Empresarios que buscan controlar sus negocios de una manera profesionalizada.

Mi foto
Nombre: Auditor Interno
Ubicación: Santiago, RM, Chile

17 agosto 2006

AUDITORIA A UNA EMPRESA COMERCIAL

Para realizar una Auditoria Interna a una “Sociedad Comercial” y para el resto de las Empresas, ya sea, de “Servicios”, “Logística y Distribución”, “Producción” y por ende, cualquiera sea el rubro de ella. Utilizaremos como base “El Modelo COSO”. Todo ello, de acuerdo al Punto número 1 (uno) del Título del Blog llamado “Auditoria Interna.”

Por Lo Tanto:

1.- ¿Cómo enfocamos nuestra Auditoria Interna?

Primero que todo y siguiendo el Modelo de Control Interno (COSO), trabajaremos bajo los seis aspectos significativos y relevantes de analizar.

Ellos son:

- El Entorno de Control.
- La Evaluación de los Riesgos.
- Las Actividades de Control.
- La Comunicación.
- La Información.
- La Supervisión

2.- ¿Cómo evaluamos el Entorno de Control?

El Entorno de Control, marca las pautas de comportamiento en una Organización y por lo tanto mantiene una influencia directa en el nivel de percepción del personal respecto al mismo. Motivo por el cual debemos revisar, por ejemplo:


a) La Integridad y Los Valores Éticos.

- La existencia de códigos de conducta, políticas y prácticas relacionadas con las prácticas profesionales aceptables. Pautas establecidas por La Gerencia sobre las incompatibilidades o pautas esperadas de comportamiento ético y moral.

- La forma en que se llevan a cabo las negociaciones con los empleados, proveedores, clientes, inversionistas, acreedores, compañías de seguros, competidores directos, entre otros.

- Como es el trabajo a presión que ejerce La Gerencia para alcanzar los objetivos, revisar si ¿son realistas o no? .Si, ¿son a corto, mediano o largo plazo? Y en que medida la remuneración del personal está a nivel de mercado y sobre todo a la medida de las exigencias del trabajo en cuestión.


b) Compromiso de Competencia Profesional.

- La existencia de descripciones de Cargo, formales e informales.

- La existencia de descripciones de Funciones, respecto al cargo asignado.

- La existencia de un Organigrama claro y detallado.


c) Consejo de Administración o Comité de Auditoria

- La independencia de los asesores externos (Abogados, Auditores, etc.)

- La frecuencia y oportunidad de las reuniones con La Gerencia, Director Financiero, Contador general, Auditores externos e internos.

- La oportunidad y el alcance en que se facilita la información a los miembros del consejo o comité de auditora que permita supervisar los objetivos y las estrategias, la situación financiera, así como los resultados de explotación, entre otros.


d) Filosofía de Dirección y el Estilo de Gestión.

- Es necesario revisar la naturaleza de los riesgos empresariales aceptados, vale decir, si La Dirección en su totalidad participa a menudo en operaciones de alto riesgo para La Sociedad.

- Revisar la frecuencia con que se llevan a cabo los contactos o reuniones entre La Alta Dirección y La Dirección Operativa, sobre todo cuando se ubican en zonas geográficas diferentes y distanciadas.

- Revisar la presentación de la información financiera (memorias anuales, actas de reuniones de directorio, planificación estratégica, tratamiento contable de acuerdo a normas, etc.) Cabe destacar que se debe revisar la veracidad de los documentos auditados.


e) Estructura Organizativa.

- Revisar la idoneidad de la estructura organizacional y su real capacidad para proporcionar flujos de información a los distintos departamentos que la requieran.

- Analizar la suficiencia de la responsabilidad de los Directivos claves y su conocimiento y responsabilidad.



f) Asignación de Autoridad y Responsabilidad.

- Revisar la asignación de responsabilidad y delegación de autoridad para hacer frente a las metas y objetivos organizativos, funciones operativas y responsabilidades en cuanto a los sistemas de información y la autorización para la Gestión del Cambio.

- La existencia de normas y procedimientos escritos y conocidos respecto del control, incluyendo las descripciones de puestos de trabajo.


g) Políticas y Prácticas de Recursos Humanos.

- Revisar si existen políticas vigentes, procedimientos adecuados.

- Revisar la idoneidad de los candidatos a los puestos de trabajos por ejercer y en ejercicio.

- Revisar la idoneidad de los criterios utilizados en la cultura organizacional, sobre todo para retener y promocionar a los empleados.



EVALUACIÓN DE LOS RIESGOS

Todos los Riesgos existentes en las Empresas, vienen dados por los objetivos, en esta etapa revisaremos los riesgos relacionados a los objetivos, partiendo por:

a) Objetivos Relacionados con las Operaciones, ellos se refieren a la eficacia y eficiencia en las operaciones, incluyendo los objetivos de rendimiento y rentabilidad y por supuesto la salvaguarda de los recursos contra posibles pérdidas. Estos objetivos varían en función de la elección de la dirección respecto a estructuras y rendimientos.

b) Objetivos Relacionados con La Información Financiera, ello, referente a la preparación de los estados financieros, que por supuesto sean fiables.


c) Objetivos de Cumplimiento, ellos se refieren al cumplimiento de leyes y normas vigentes en la actualidad.


EJEMPLO DE RIESGOS

En todas las Sociedades, los riesgos pueden ser la consecuencia de factores externos como internos, como por ejemplo:


a) Factores Externos.

- Avances Tecnológicos.
- Necesidad o expectativas cambiantes de los clientes.
- Competencia agresiva a nivel de mercado.
- Nuevas normas y reglamentaciones.
- Desastres naturales.
- Cambios económicos.


b) Factores Internos.

- Sistemas informáticos con averías u obsoletos.
- Cambios de responsabilidad en Directivos o puestos a nivel de Gerencia.
- Descuadre en la naturaleza de las actividades.
- Un consejo de administración o comité de auditoria débil.


ANÁLISIS DE RIESGOS


Luego de identificar los riesgos a nivel de entidad y actividad, se debe seguir una metodología. Normalmente incluiremos:

a) Estimación de la importancia del riesgo

b) Evaluación de la probabilidad de ocurrencia o que se materialice el riesgo.

c) Gestión del riesgo, es decir evaluación del mismo.


ACTIVIDADES DE CONTROL


Consiste en las políticas y procedimientos que tienden a asegurar que se cumplan las directrices de La Dirección.

- Controles sobre las operaciones del centro de procesos de datos

- Controles sobre el software utilizado.

- Controles sobre la seguridad de acceso.

- Controles sobre el desarrollo y mantenimiento de las aplicaciones.

- Controles sobre los procesos de tesorería

- Controles sobre los procesos de custodia de valores

- Controles sobre la recepción, custodia y salida de mercaderías

- Controles sobre el proceso de remuneraciones

- Controles sobre el proceso de contabilización, declaración y pago de los impuestos mensuales.

- Controles sobre el uso de los activos (camionetas, herramientas, sistemas computacionales)

- Entre otros.



Ya sabemos que los controles deben ser:


a) Controles preventivos.

b) Controles detectivos.

c) Controles correctivos.

d) Controles tecnológicos.

e) Controles administrativos.




INFORMACIÓN Y COMUNICACIÓN

Esta debe ser necesaria para identificar, recoger y comunicar la información relevante de un modo y en un plazo tal que permitan a cada uno asumir sus responsabilidades.

Dentro de nuestras Auditorias se debe tener muy presente los cinco (5) puntos más importantes sobre “La Comunicación y La Información”, vale decir:

a) Contenido. ¿Se considera toda la información necesaria?
b) Oportunidad. ¿Se facilita en el tiempo adecuado?
c) Actualidad. La Inf. disponible, ¿es la más reciente?
d) Exactitud. ¿Los datos proporcionados son los correctos?
e) Accesibilidad. ¿Puede ser obtenida fácilmente por las personas no adecuadas?


Debemos tener presente sobre la Información y Comunicación que:



- La Información, se debe obtener de manera externa e interna
- La Información debe ser proporcionada por personas adecuadas, con el máximo de detalle y oportunidad, demostrándonos que su responsabilidad es eficiente y eficaz.
- La revisión de los sistemas de información, deben ser con el criterio que se nos plantea sobre el efecto de lograr tanto los objetivos generales de la entidad como los de cada actividad auditada
- El apoyo de la Dirección, en la entrega de información es indispensable y necesaria y se pone de manifiesto en la aportación de los recursos adecuados, tanto humanos como financieros.
- Se debe tener presente que la comunicación debe ser eficaz hacia el personal, sus funciones y responsabilidades.
- Se deben establecer líneas de comunicación para la denuncia de posibles actos indebidos
- La comunicación debe siempre ser horizontal, debe haber integridad y oportunidad en la información.


SUPERVISIÓN


Siempre es necesario realizar actividades de supervisión o seguimientos a los niveles y sistemas de control interno.

El alcance y la frecuencia de la evaluación o seguimiento del control interno varían según la magnitud de los riesgos objetos de control y la importancia de los controles para la reducción de los mismos. Así, los controles que actúan sobre los riesgos de mayor prioridad y los más críticos para la reducción de un determinado riesgo serán objeto de una evaluación con más frecuencia.



PROGRAMA DE TRABAJO


Este Blog, está creado para facilitar y entregar una herramienta de trabajo a los pequeños, medianos empresarios, motivo por el cual, les presento a continuación un cuestionario y una pauta sobre como realizar la Auditoria, luego de toda la introducción adjunta, por lo tanto preguntaremos:

1.- ¿Existe un Organigrama detallado, claro y con conocimiento de toda la organización?

2.- ¿Existe un manual de procedimientos actualizado y en conocimiento de todo el personal?

3.- ¿Existe una detallada descripción de funciones y cargos?

4.- ¿El personal de la conoce cual es la misión y la visión de la Empresa, detalla por su Directorio?

5.- ¿Existe una planificación estratégica para el año presentada por el Gerente a todo el personal o encargado de departamento?

6.- ¿Existe segregación de funciones en los distintos departamentos de la organización?

7.- ¿El Gerente General entrega al directorio la planificación anual con el flujo de caja proyectado, incluyendo los ingresos y egresos operacionales y no operacionales?
8.- ¿El Gerente de Administración y Finanzas, tiene claro que debe entregar balances trimestrales con indicadores financieros?

9.- ¿El Gerente de Administración y Finanzas, conoce el nivel de competencia del mercado y que lugar ocupamos dentro de nuestro rubro?

10.- ¿El Gerente de Ventas, mantiene planillas sobre los productos más vendidos y la relación con los costos que genera dicho producto?

11.- ¿Existe capacitación a la fuerza de venta?

12.- ¿Sabemos si nuestras bodegas se encuentran con stock, mínimo, medio o máximo?

14.- ¿Nuestro sistema de inventarios es periódico?

15.- ¿Están bien costeadas las mercaderías?

16.- ¿El Contador mantiene la contabilidad y los libros al día y timbrados?

17.- ¿La información sobre los pagos por servicios adquiridos, contabilizados, declarados y pagados son reales?

18.- ¿Existen contratos con aquellas personas que nos prestan servicios?

19.- ¿Los contratos del personal están actualizados?

20.- ¿El personal que trabaja en la empresa existe, desempeña sus actividades?

21.- ¿Existe un libro de entrada y salida del personal de las dependencias de la empresa?

22.- ¿El tesorero lleva el libro banco al día y conciliado con las cartolas bancarias?

23.- ¿Existen préstamos al personal?, ¿Quién los autoriza?, ¿Hasta qué monto?

24.- ¿La caja chica o fondo fijo cada cuanto tiempo es arqueada y por quién?

25.- ¿Quiere saber más sobre el programa de trabajo?, respecto de:

a) Auditar la Empresa
b) Auditar los Distintos Departamentos de la Empresa
c) Auditar el Control de Existencias
d) Auditar La Logística y La Distribución de las Mercaderías
e) Auditar El sistema de Control de Inventarios


Escriba a:julio_campos_charnock@hotmail.com


¿CÓMO HACER UNA MATRIZ DE RIESGO?

La Matriz de Riesgo es una foto de la situación actual de la empresa. A continuación una muestra:


1.- Eficiencia y eficacia en las operaciones, Cumplimiento de Normas y Leyes y Confiabilidad de La Información Financiera.
1.1.- Observación de Control Interno
1.2.- Riesgo Asociado
1.3.- Impacto del Riesgo Sobre los Objetivos
1.4.- Probabilidad de Ocurrencia (Riesgo)
1.5.- Dificultad Para Implementar un Control
1.6.- El Control debe ser, Preventivo, Detectivo o Correctivo
1.7.- Recomendación del Auditor

Esta Matriz de Riesgo debe ir adjunta con el Flujo Grama Organizacional y su respectiva narrativa, de manera tal que la Administración focalice los Riesgos e implante sistemas correctivos para mitigar los riesgos.

Igualmente, un buen informe de Auditoria Interna, lleva las nuevas descripciones de cargo y Funciones. También los anexos correspondientes, ya sea:

1.- Confección de Flujos de caja
2.- Modelo de Conciliaciones Bancarias
3.- Modelos de asignación de Remesas o Fondos Fijos
4.- Modelo de Solicitud de Pedido de Materiales
5.- Modelo de cuadratura de cajas o arqueos
6.- Otros.