Embed Size (px)
Citation preview
EL TRABAJO DE OTROS COMO PROPIO
(OUTSOURCING )
2
AUDITOR TIENES UN RIESGO …
Producen información la cual el auditor la debe examinar y es el
responsable de la misma
(Recordar la referencia al “Caballero de los Domingos”, este artículo, el
original en 2016, tiene cambios, adiciones, eliminaciones y otros
comentarios).
GÉNESIS
Dese 2009 años inicié en nuestra revista la saga de artículos del “Talón
de Aquiles de los auditores” señalando las áreas donde se encuentran los
principales RIESGOS, el cual se escribió con base en un artículo de la
revista IAB sobre un informe del PCAOB (18 de diciembre de 2008) que
señala …
“… deficiencias en las auditorias en áreas sofisticadas, falta
documentación fehaciente de los hechos y conclusiones y, sobre
todo, falta de aplicar un nivel adecuado de escepticismo
profesional”,
De mi práctica profesional como auditor, desde 1963 años sin
interrupción, al iniciar esta saga incluí varios temas de RIESGO eminente
en su trabajo del auditor, entre estos: TI, documentación, las
estimaciones, Normas de Calidad, errores más comunes, competencia y
ahora este de OS que es realmente un evento que acarrea mas juicios por
parte del auditora para localizar RIESGOS que puedan conducir a fraudes
y errores.
OS … UN RIESGO MAS …
… y llegaron para quedarse …
Hoy día, innegable, el OS es “parte sustantiva de la empresa” donde el
RIESGO es que la empresa comparte una parte importante del proceso de
una operación a un tercero (tercerización, subcontratación realizada por
una persona física o moral, local o extranjera), en otras palabras, dejarlo
“entrar” a la empresa, compartirle información sensitiva, permitirle su
manejo, su transformación y proporcione un resultado que debe ser
revisado por la entidad y ser examinado por el auditor.
3
Por las anteriores características, necesariamente, tiene la entidad que
confiar en el servicio de OS, experiencia, prestigio, eficiencia y ejercer
control, entre otros controles.
OS ha existido desde muchos años (no es nada nuevo, recordar que los
servicios legales de nuestros clientes normalmente los da un tercero,
agencias aduanales …), pero ahora estos servicios se han incrementado
notablemente, por lo que es critico que las entidades controlen
adecuadamente estos servicios por el RIESGO que conlleva confiar en el
trabajo de otras personas.
¿QUÉ ES UN OT?
Antes de entrar en materia del objetivo de este articulo, es importante
considerar que los OS ofrecen
una variedad de servicios
inimaginable, no solamente en
el territorio nacional sino en el
extranjero, por personas
morales y físicas y,
sustancialmente, la trasferencia
de datos se hace digitalmente, lo cual implica un RIESGO adicional.
En los Estados Unidos se conocen el OS como “BPO - Proceso de los
Negocios” (Business Process Outsourcing) durante la época de las
primera y segunda guerras mundiales las entidades
se expandieron en forma horizontal a través del OS,
cediéndoles las funciones no “claves” de en su
estructura vertical, como un ejemplo fue la industria
automotriz donde básicamente se dedicaron al,
diseño, tecnología, ensamble, etc. dejando muchas funciones de
fabricación a terceros.
Hay casos donde es normal es que el OS participe en el negocio a través
de “pagos por éxito” o “destajo” cuando se cumplan ciertos requisitos,
volumen, calidad, no rechazos, lo cual implica RIESGOS, instalar más
controles y que el auditor este alerta a este tipo de tareas.
Podemos considerar que las grandes empresas tal vez no necesitan (o
necesitaban) de OS, pues tienen áreas completas como:
la contable,
Con el “slogan” de los proveedores de OS
“…dedícate a tus negocios, no te distraigas y déjanos manejarte ciertos
asuntos que no son clave para tu negocios bajo nuestra
responsabilidad…”.
4
nóminas y recursos humanos,
manejo de recursos financieros,
compras,
TI,
legal,
laboral,
mercadotecnia,
cobranzas,
mantenimiento,
transporte,
comercio internacional,
asistencia médica,
administración de misiones especiales y
la lista es larga …
Pero aún así, desde casos rutinarios, específicos, temporales hasta
sofisticados utilizan el servicio de OS y, desde luego, hay que diferenciar
servicios que deben ser proporcionados siempre por entidades
independientes, como la auditoría externa, peritajes y semejantes.
Las entidades medianas y pequeñas requieren de los servicios
especializados pero no se dan el “lujo” de tener toda una estructura de
una empresa grande y recurre al OS, tan eficientes como en la que existen
en las grandes organizaciones; no obstante, éstas últimas recurren con
mayor frecuencia a un OS.
El OS son toda una industria: son empresas organizadas, con estructura,
talentos, experiencia, con tecnología del momento y con programas
específicos, ofrecimiento de nuevos servicios y alternativas de eficiencia
e innovación, al tanto de la sofisticación de las leyes, tecnología, modas,
tendencias, etc. por lo que el costo de sus servicios, que pueden lucir
altos, son infinitamente más bajos que mantener un departamento
especializado -costos/beneficios - … pero … siempre trabajan con tareas
y objetivos bien establecidos y relativamente poco flexibles …
Otro aspecto de motivación de contratar OS es traspasar el proceso de sus
funciones que no son parte de su núcleo diferencial (Core Business), pues
el OS proporciona eficiencia a las funciones de negocios, evita cargas
5
adicionales de empleados, de equipo, responsabilidades laborales y
fiscales, facilidad de cambiarlos, reduce “cuellos de botella”, deja
espacio libre en las instalaciones, etc.
¿Por qué es un RIESGO el OS?
Tomando en cuenta lo anterior, el OS en la mayoría de los casos, sus
servicios afectan el flujo de la información financiera que el auditor tiene
que examinar su integridad y exactitud, lo cual no es sencillo, pues:
el proceso y transformación es sofisticada,
ya que ésta se transforma sin dejar rastros o huellas visibles,
no se encuentra necesariamente dentro
de las instalaciones de su cliente y, a
veces,
hasta en el extranjero,
además es usando la TI
Todo esto, implicando un RIESGO adicional a la entidad y al trabajo del
auditor.
De lo anterior se deriva que resultado del OS, el auditor debe examinar el
trabajo de terceros, lo cual, ciertamente
conllevan un RIESGO de ocurrir
importante errores y fraudes
importantes que afectan la las
aseveraciones de los estados, por lo que
tenemos que evaluar la importancia de
aquellos trabajos de terceros que estén
en esta premisa, de los RIESGOS
inherentes, juzgar los controles
compensatorios y la manera especifica como debemos auditarlos.
Que nos dice la NIA 402 sobre el OS
“Consideraciones de auditoría relativas
a una entidad que utiliza una
organización de servicios”
“El nombre mágico del juego” es el RIESGO de que el auditor no descubra errores y
fraudes importantes en los procesos del OS y, ergo, que las aseveraciones de los estados
financieros que dictamina sean incorrectas. El riesgo es inherente (al negocio/transacción
del OS), de control (no se prevengan, detecten, corrijan), de auditoría (que los procedimientos no descubran errores y
fraudes importantes).
Además del riesgo del auditor de confiar en otros, hay otro relativo a que ciertos OS, si
fallar pueden poner en riesgo el “negocio en marcha” ... el auditor debe considerarlo es
su planeación …
6
La NIA trata en general de los trabajos OS de cualesquier naturaleza que
ocasiona RIESGOS en la auditoria cuando producen información
financiera la cual el auditor auditara.
Puntualmente indica que el auditor debe aplicar los mismos
procedimientos que usuaria en su trabajo normal como si la operación
fuera realizada por su cliente, para obtener
evidencia de auditoría, evaluando del control
interno (inicio, registro, entrega de la información,
proceso y, sobretodo, el grado de transformación,
volumen, medidas de seguridad, aspectos de TI,
dificultad de hacer pruebas sustantivas para ciertos procesos y saldos,
conclusiones, entre otros aspectos) para identificar y valorar los
RIESGOS de errores y fraudes importantes, con el propósito de diseñar
procedimientos específicos (pruebas de cumplimiento y sustantivas) que
respondan a dichos RIESGOS.
Lo anterior implica que revise al proveedor del OS de sus sistema para
llevar la cabo el servicio.
CLASIFICACIÓN DEL OT
A la manera
considerada bajo la responsabilidad
del el suscrito:
Se identifican el OS por:
servicios profesionales, manufactura, procesos específicos,
operacionales. etc.,
pueden ser recurrentes, específicas o sólo por un periodo,
pueden ser locales o en extranjero,
diversas formas legales (personas físicas o morales, profesionales,
etc.)
en la mayoría esta involucrado el TI, con RIESGOS significativos
en la información financiera pues esta es recibida, luego
transformada y devuelta a la entidad como la requirió,
los beneficios son cuantitativos y en otros cualitativos,
Utilizar los mismos procedimientos de
auditoría como si no existiera una OS
(NIF)
7
considerarse el trabajo producidos por los empleados y bajo las
decisiones de los ejecutivos, también puede considerarse como una
“especie” de trabajos de terceros,
etc.
En estos casos el auditor debe identificarlos y conocerlos, medir su
importancia, los RIESGOS inherentes, los controles existentes que
prevengan y detecten fraudes y errores y la forma especifica de
auditarlos.
A - los que “tienen”
una influencia significativa
(directa o indirectamente)
en la información financiera,
algunos ejemplos:
servicios de recursos humanos:
elaborar la nomina incluyendo en su caso mantener archivos
(bases de datos),
pagos de impuestos y de seguridad social, conocerlos e
dispersión depósitos a las cuentas de los trabajadores,
también puede incluir otros encargos tales como:
búsqueda de personal,
evaluación,
proporcionar personal,
contratar como propio al personal de la empresa y
hasta servicios evaluación sicológicas, legales y laborales
…
servicios de contabilidad:
mantener la los registros contables y auxiliares (bases de datos),
asesoría administrativa,
ayuda en la implementación de normas de información
financiera,
elaboración de informes, ayuda para reestructurar estados
financieros,
reportar en otras monedas (registro, funcional, informe),
8
traducciones, consolidaciones, método de participación,
impuestos diferidos, revelaciones en general y en particular las
requeridas para el negocio en marcha …
tareas de impuestos de todo tipo:
federales, estatales, seguridad social,
desde su cálculo, pago, asesoría, declaraciones,
acceso a las plataformas de las autoridades para consultar,
pagar, informar,
envió a las autoridades de pagos, ajustes, envío de la
contabilidad electrónica, declaraciones informativas,
declaraciones finales, facturas electrónicas,
informes de precios de transferencia …
trabajos de tecnología desde:
el diseño de programas especiales (ERP),
hasta el mantenimiento de información producida por los
sistemas,
programas rentados y servicios, donde hay gran variedad de
estos productos como:
mantenimiento de registros auxiliares de cuentas por cobrar,
pagar, inventarios (determinación de costos unitarios,
niveles, reordenes … ),
análisis y estadísticas de ventas,
facturas,
determinación de análisis financiero,
almacenamiento de archivos de diversas índole, desde la
contable (contabilidad fiscal),
información en la “nube”,
bases de datos,
monitoreo remoto, red de comunicaciones, transmisión de
datos
simulaciones,
auditoria especializada …
manejo de tesorería donde:
se ofrecen servicios de manejo del efectivo y equivalentes,
transferencias, inversiones, intereses y rendimientos,
9
conciliaciones bancarias,
informes, pronósticos,
concentración de ingresos por ventas y cobranzas,
valuación de derivados,
dispersión de pagos,
concentraciones de cobranzas,
registro contable …
servicios de compras:
selección de proveedores,
productos,
seguimiento de embarques,
transferencias de pagos,
considerar que los proveedores y clientes pueden acceder a los
registros de la entidad y viceversa, revisando y analizando
registros, inclusive modificarlos, introducir pedidos …
comercio internacional,
pagos de derechos,
subsidios,
controles de importaciones temporales,
servicios aduanales …
manufactura de cierto nivel (maquila):
manejo de materiales,
logística,
ensamble,
ajustes,
terminación,
pruebas,
entregas …
control y manejo del sistema de costos:
desde el control de las compras,
transporte,
llegada a los inventarios,
fabricación,
10
pruebas,
calidad,
entregas producto terminado,
costo de ventas, así como la determinación de los costos
unitarios,
estadísticas,
factores de prorrateo,
informes …
contratos de construcción donde:
se edifican, mejoran, reparan inmuebles,
el proveedor presenta erogaciones, avances, reembolsos,
implicaciones tributarias,
segregación de los trabajadores de la entidad, plazos, multas,
consideraciones ambientales …
servicios de auditoría interna que implica:
áreas a revisar de riesgo,
de eficiencia,
programación de revisiones (pruebas inventarios físicos,
confirmaciones ...)
a quien y como informar (Comité de Auditoría),
ajustes propuestos,
seguimiento de errores que se corrijan,
recomendaciones para evitar RIESGOS innecesarios …
proceso y archivo de documentación:
en medios magnéticos (programas de digitalización y flujos de
información),
archivos inteligentes,
catálogos,
control de accesos y entrega,
accesos a bases de datos,
custodia digital (nube),
formación de archivos específicos,
custodia documentación en papel (contra cambios climas,
seguridad, accesos …)
11
protección de datos personales …
proyectos de investigación y desarrollo,
mercadotecnia, servicios farmacéuticos, químicos, salud,
cosméticos, investigación (estos servicios pueden incluir
análisis de desembolsos, cambios, extensiones, resultados,
inclusión de otros OS, obtención de intangibles (fórmulas,
patentes, propiedad intelectual, en ciertos casos, este OS es
denominado KPO -Knowledge Process Operation -) en ingles
por sus siglas de “OS Proceso del Conocimiento” donde
prácticamente y se prácticamente da todo el control del proceso
al proveedor …
estimaciones de vida útil,
deméritos,
asesoría legal …
asesoría legal y fiscal sobre:
prevención, control y seguimiento de litigios,
demandas recibidas y efectuadas,
estimación de los resultados, considerando eventos locales e
internacionales,
situaciones ambientales,
cumplimiento con otras leyes y reglamentos locales e
internacionales,
situaciones donde pueden ocurrir compromisos y contingencias
…
revisiones requeridas para detectar y evitar el “lavado de dinero”
…
trabajos de forense:
de evaluación de los controles internos de prevención y
detección para evitar errores y fraudes,
platicas motivacionales, medios (teléfono, celular, correos, etc.
donde empleados, proveedores, clientes, terceros en general
pueden dar información sobre sospechas de actos indebidos
“hot lines”)
también estos trabajos se llevan al cabo cuando ya ocurrió un
desfalco y de la medidas para evitarlo (controles correctivos)
…
apoyo en los juicios, a los abogados,
12
peritajes …
informes sobre cálculos especializados:
como estudios de demerito determinado por flujos futuros
descontados,
valores presentes,
valores residuales y de remoción en el activo fijo,
vida útil económica, …
determinación de los beneficios labores que incluyen:
participación de actuarios,
valores presentes,
intereses,
inflación,
rotaciones,
indemnizaciones, liquidaciones posibles, vacaciones, fondeo,
impuestos …
estudios sobre el valor razonable que incluye investigaciones de
mercado, avalúos, estimaciones, flujos …
administración de seguros:
de toda índole,
coberturas,
siniestros,
valuación de eventos,
medidas prevenciones de eventos,
representaciones en caso de siniestros,
cobranza, aspectos fiscales …
servicios y logística de transportación de mercancías:
compras,
distribución,
almacenaje,
niveles nacionales o internacionales …
servicios por otras entidades relacionadas:
como arrendamiento,
personal,
13
contabilidad, fiscal, legal,
corporativo …
dictámenes de calidad que, de acuerdo a NCC Y NRCC están
sujetos los auditores a revisiones por terceros o de las mismas
firmas, donde pueden existir observaciones sobre problemas en la
revisión del OS ….
B - los que “no tienen”
una influencia significativa
en la información financiera:
vigilancia física y policial,
hasta observación y revisiones en todas su modalidades de
monitoreo “en vivo” del personal,
actividades, instalaciones, procesos, etc., pensado que esta
tarea es vía Internet desde lugares remotos (ie. India que
cuando es de día y es noche en América y hablan ingles) …
“call centers” de reservaciones, información …
diseño de WEBB, plataformas de comunicación a terceros y
personal, servicios creativos, de salud …
diseño de programas especiales, como CRM para el control y
seguimiento de proyectos, clientes, mercadotecnia …
capacitación, entrenamiento, evaluaciones …
mantenimiento de equipos, aire acondicionado, equipos de
computo, servers, redes, comunicaciones …
servicios médicos, evaluaciones laborales …
Advertencia,
El personal del OS no es responsabilidad de la entidad, por lo que se debe
ejercer sumo cuidado en su manejo de cómo
éstos se designen (no poniéndoles títulos
operativos y administrativos) en tarjetas de
identificaciones, presentación u otras
comunicaciones, correos electrónicos,
credenciales, etc. distintos a los de la empresa (nombre o logo).
14
También cuidar la forma en que se designan sus lugares donde laboran,
cuidando la forma de darles instrucciones, observaciones,
establecimientos de horarios, etc.; los servicios que se les proporcionan
(como alimentos, transportación) sean absorbidos por la OS, cartas
responsivas de los equipos designados, etc.
Esto es para obtener el soporte administrativo-legal-laboral para hacer
frente a demandas laborales de que no existen relaciones laborales, o
estas estén perfectamente definidas, del personal del OS con la entidad.
CONTROLES INTERNOS IMPLANTADOS POR LA ENTIDAD
A manera enunciativa
OS han crecido exponencialmente y los RIESGOS en forma paralela y
asimétrica.
Es la administración, por ende se hace énfasis, la responsable de
implantar controles internos que
garanticen la integridad y
exactitud de la de la
información entregada y
recibida.
Entre otros, los siguientes
controles deben ser considerados, desde luego, tomando en cuenta la
importancia y RIESGOS involucrados:
el Gobierno Corporativo, Comité de Auditoría y Dirección:
aprobar el OS, entender y documentar el entendimiento de los
servicios,
determinar los RIESGOS inherentes,
conocimiento de los controles que la administración implante,
hacer seguimiento de su funcionabilidad,
cerciorarse que la información es auditable,
documentar la selección del proveedor,
análisis de “costo/beneficio”,
“…otras personas (física, morales, locales, extranjeras) serán “parte” de su organización,
conocerán de su información, que la transformaran, la entidad tomara decisiones sobre la misma y que un
error y fraude puede poner en riesgo el negocio …”
15
en estos niveles de autoridad, pueden requerir de ayuda de
terceros para evaluar la mejor selección de OS …
formulación de contratos (importante):
información curricular de los proveedores (su experiencia, sus
clientes, servicio, confirmación …),
conflicto de intereses,
confidencialidad,
no competencia,
costos,
forma de pago,
presupuestos,
compromisos por ambas partes,
gastos por cuenta de OS o de la empresa,
su extensión,
prórrogas,
seguridad,
garantías,
fianzas,
lenguaje,
divisas,
capacitación en el entendimiento de los procesos y de la
información proporcionada,
segregar la responsabilidad laboral de las personas que
proporciona el OS,
definiciones si participa económicamente en los resultados del
negocio,
asesoramiento legal,
reglas para evitar el efecto “ping-pong” (relativa a
discrepancias en las expectativas en el servicio y reclamos del
proveedor por causas de la entidad),
asuntos de salud,
cohecho,
“piratería” del personal, de la tecnología, información
sensitiva,
16
respecto a TI medidas:
de control interno,
casos de desastre,
simulacros,
lugares alternos de procesamiento inmediato,
recuperación integra de inmediato,
resguardo y custodia de datos de las operaciones y personales
…
en cuanto los programas:
si son específicos (a la medida) determinar su propiedad y su
devolución y mal uso de la información,
prevención de “piratería”,
cuando son programas propiedad del OS determinar la
seguridad garantías de que puedan ser simulados en caso de
suspensión del servicio,
continuidad de los procesos en otros lugares y asegurar el uso
de los programas aun cuando sean propiedad del OS …
posibilidad de visitar las instalaciones:
observar la operación directa en el proceso,
seguridad física,
controles especializados del TI y
de que puedan ser eventualmente revisados por los auditores
externos (u otros) y/o, en su caso,
que el OS proporciones informes internos sobre las
características de su operación o dictámenes de terceros …
en detalle, determinar las consecuencias por RIESGOS por errores
y fraudes por parte de OS y asociarlos con los controles
preventivos, detectivos y correctivos ...
cumplimiento del OS con las NIF:
obligaciones y pasivos contraídos principalmente en contratos
a largo plazo,
revelación de compromisos y contingencias,
cuestiones legales,
incluyendo los requerimientos de los auditores externos …
17
en México existen limitaciones legales en el uso de OS de
personal:
así como, la legalidad en otros países,
consultoría especializada, interna o externa,
en la revisión en estos casos puede ser revisada por
especialistas …
considerar y documentar la contingencia laboral y establecer
limites de responsabilidades …
contratación de varios proveedores para el mismo servicio para
dividir el RIESGO y establecer políticas de recontratación de
servicios basado en la experiencia de los resultados obtenidos …
protección:
para asegurar la confidencialidad de la información entregada,
la no competencia,
de la protección de datos personales que tenga establecido el
OS …
determinar controles adicionales en caso de OS ejecutado en el
extranjero …
indagar si la OS a su vez subcontrata a otra y a su vez que
controles se ejercen y posibilidad de revisarlos …
conciliación y revisión:
de los datos entregados y recibidos,
cálculos globales,
revisión de los resultados,
tiempos sean los esperados,
seguimiento de errores y problemas en el proceso ….
participación sistemática de auditoria interna para revisión de los
controles establecidos por la entidad y de la OS…
participación de terceros:
para evaluar la eficiencia de la operación,
incluyendo aspectos de tecnología,
seguridad,
casos de desastre,
recuperación de información,
operaciones espejo,
18
servicio en el extranjero
aspectos legales …
PROCEDIMIENTOS DE AUDITORÍA RECOMENDADOS
A manera enunciativa …
Obtener un conocimiento de la entidad que examina, los OS
contratados haciendo énfasis en la revisión:
participación de Gobierno Corporativo, Comité de Auditoría y
la Dirección,
importancia en la transformación en el torrente de la
información financiera, desde el inicio, entrega, proceso y
transformación, entrega de resultados, efecto de la toma de
deciones,
establecer los RIESGOS inherentes de probables fraudes y
errores,
juzgar la fortaleza y eficacia de los controles,
diseñar los pruebas de auditoría específicas (cumplimiento y
sustantivas con el alcance en las circunstancias y
oportunidad) con énfasis en la considerando la importancia de
la OS, los RIESGOS inherentes y los controles establecidos,
en cuanto al TI, especial consideraciones al enfoque de
auditoria, tango dentro de la empresa y, sobretodo, en el
proceso que haga el OS con relación a:
volumen de transacciones es tal que los usuarios y otros
encontrarían difícil identificar y corregir errores en el
procesamiento,
automáticamente se generan transacciones directamente a
otra aplicación,
desarrollo de cálculos complicados que automáticamente
genera transacciones que no pueden ser validadas
independientemente,
19
transacciones donde se agregan datos, se eliminan
otros sin dejar huellas visibles,
transacciones son intercambiadas electrónicamente
con otras entidades, sin revisión manual en cuanto a
integridad o razonabilidad,
concentración o distribución del procesamiento por
computadora cuando pueden afectar la segregación
de funciones sin percatarse de esta situación,
rastro completo de una transacción que podría ser
útil para fines de auditoria, pueden existir por sólo un
período corto de tiempo y en forma legible por
computadora,
errores en programas darán como resultado que todas las
transacciones sean procesadas incorrectamente,
los casos donde la información se registra en una hoja
Excel, Word, PDF, etc. donde de ahí se toman decisiones,
son situaciones de RIESGO, pues pueden ser manipuladas
desde la salida de información del computador al usuario;
en principio, toda la información debe ser leída, usada,
base de decisiones, etc. debe ser a través del computador
sin ninguna modificación …
considerar lo que apunta la NIA 402 sobre la información
resultante de un OS, indica fehacientemente que el auditor:
“… debe aplicar los mismos procedimientos que usuaria para
una auditoria llevada por él mismo para obtener evidencia que respalde su opinión …”.
Este boletín considera dos posibilidades, que el auditor debe aplicar
para no incurrir en confianza inadvertida sobre la confiabilidad del
trabajo de un OS:
Primera:
visitear al proveedor y aplique sus procedimientos que
normalmente llevaría al cabo en su trabajo …
subcontratar a un experto que lo asista, en aspectos operativos
y en TI…
Segunda:
… la falta de
humanidad
de la
computadora
es que si la
programas
bien su
honradez es
intachable
(Issac Asimov)
20
normalmente la OS habrá llevado al cabo revisiones internas
describiendo sus sistemas, identificación de RIESGOS por
fraudes y errores, controles implantados, supervisión, pruebas,
etc. y su conclusión que el auditor deberá examinar y otorgar
confianza a dichos informes …
también es normal que un experto externo de reconocido
prestigio (contratado por el OS) dictamine la confiablidad de
sus sistemas, el cual debe ser examinado y, en su caso, otorgar
confianza …
En estos casos en que el auditor se apoye en el trabajo de terceros
debe tener en cuenta que su trabajo será ahora parte de su
responsabilidad,
examen de contratos, autorización, cumplimiento, aspectos fiscales,
legales …
registro contable, revelaciones necesarias, compromisos y
contingencias …
revisión de las conciliaciones entre los datos entregados y
reportados, análisis financiero, cálculos globales …
observación y seguimiento de las operación, de cómo se entregan,
transforman y reciben, considerando loa aspectos de TI. (nube,
Internet…) haciendo hincapié que el auditor debe esta capacitado
en este proceso …
LOS ANTÍDOTOS
En la saga del suscrito enumera ciertas medidas que el auditor debe tener
en mente cuando tiene que adoptar
el trabajo de otras personas que le
ayudaran a mantener su RIESGO
bajo control y que son antídotos que si funcionan:
Las Normas de Calidad,
observarlas …
líderes (socios, gerentes que administren la calidad para evitar los
RIESGOS y los prevengan),
observar la ética,
evitar clientes con RIESGO (tal vez este punto sea la piedra
angular),
“…la profesión del auditor es de riego … (pero hay
antídotos) …”
21
recursos humanos adecuados, evaluados, motivados,
supervisión oportuna del trabajo,
monitoreo de actividades,
documentación persuasiva del trabajo de lo OS que soporte la
opinión que se va rendir,
comunicación con el personal (capacitación profesional); así como
con los niveles más altos de la entidad.
Planeación.
GPS la brújula …
planeación de la auditoría iniciando por el “top” de la entidad de
su participación en los OS:
control circundante,
amenazas y fortalezas del negocio,
controles administrativos,
operativos,
contables,
tecnológicos,
nivel profesional de los ejecutivos,
cultura del orden,
tradición,
ética …
la planeación es dinámica:
es el primer paso de la auditoria, durante y el último,
cualesquier cambio en el camino por problemas que se tengan
que modificar los procedimientos específicos iniciales de
auditoria deben:
ser documentados,
justificados,
técnicas adicionales de revisión a aplicar,
supervisión,
aprobación de los lideres,
de sus resultados y
22
conclusión.
IRCA
el autor resume ciertas técnicas usadas en profesión con diferentes
nombres y enfoques que hay que usarlas astutamente y en la
siguiente secuencia recomendada, para determinar:
Importante (análisis financiero, principales OS que afectan
la información financiera) (más)
RIESGOS inherentes (alto, moderados, bajos), (menos)
Controles compensatorios preventivos, detectivos y
correctivos) y como resultado de esta ecuación: (igual)
Auditoría diseñada específicamente por el socio y gerente.
REEA
localizar las partes de las OS que afectan en forma diferente y
que se examinan en forma especifica por los RIESGOS que
conllevan:
Rutinarias (nóminas, contabilidad, impuestos, ventas,
compras …),
Específicas (asesoría en la compra de una planta, venta
subsidiaria... ),
Estimaciones (la más difícil y donde se han derivado la
mayoría de los escándalos financieras de los últimos años,
pues es auditar el futuro, OS en determinación de
estimaciones por deméritos en inversiones, obligaciones
laborales, valores justos …) y, como resultado, un decisión
acertado de una:
Auditoría especifica orientada a la OS según su naturaleza..
DOCUMENTACIÓN
IRCA y REEA éstas, como parte esencial del la planeación,
se plasman en programas específicos, o sea, hechos a la
medida, indicando claramente la oportunidad (fechas, horas,
lugares …), alcance (tipo y numero de partidas selectivas a
probar), técnicas a utilizar incluyendo la TI y, se hace
énfasis, en evaluar los resultados esperados (la evidencia que
se espera obtener sea la “adecuada”, persuasiva y
23
convincente ante cualesquiera interesado para que no le
ninguna duda).
Un referencia clara con el procedimiento de auditoría con la
evidencia del trabajo realizado plasmado en los papeles de
trabajo (control interno, cálculos, inspecciones documentos,
observaciones, certificaciones, confirmaciones …)
Cuando hay cambios, rediseñar la planeación y el proceso de
la auditoria; así como, quienes y como aplicaran los
procedimientos de revisión (ayudantes, encargados) y
quienes revisaran (gerentes) y aprobaran (socio, socio
alterno, especialistas …).
UNA OPORTUNIDAD DE SERVICIO
Las OS llegaron para quedarse …
… y pueden derivar en trabajos adicionales para el Contador Público; sin
considerar aspectos de independencia de CEP, puede ayudar y asesorar a
su cliente:
a revisar los contratos,
los entregables,
aspectos fiscales y legales,
confidencialidad,
custodia de la información,
complimiento con NIF,
apoyo a los auditores internos y externos…
Para asegurar los resultados del servicio en tiempo, forma y conforme a
las expectativas ofrecidas y, sobre todo, a verificar la seriedad del
proveedor que demuestre las garantías de experiencia y seriedad, pues
“pasa a ser parte de la entidad”, sin incorporarse a la misma.
NOTA – este articulo, en forma reducida, fue publicado el Periódico el
Economista bajo el titulo Pymes y uso del outsourcing, ¿necesidad o
amenaza?en 2104.
El diablo esta en los detalles …
¡Cuida lo obvio (Guillermo Gómez Aguado) …
OS es una cosa seria …¡
24
