Auditoria operativa m2

EscuEla IngEnIEría

curso: Auditoría Operativa MÓ

DU

LO

Metodología de auditoría operativa


M2Escuela Ingeniería

curso: Auditoría Operativa

Mapa ConceptualMapa Conceptual

Evaluación de riesgos

En materias

simples como

complejas

Actividades de control

Información y

comunicación

Inventario de existencias

Ambiente interno

Registro detallado en materias

específicas de auditoría

operativa, en los campos de acción

operativo

Técnicas de una auditoria operativa

Metodología de una auditoria operativa Auditorías específicas

auditoria Operativa

Confiabilidad de los

registros que la empresa

posee

Escuela Ingenieríacurso: Auditoría Operativa

03


M2

Auditoria Operativa1El objetivo principal de la Auditoria Operativa es determinar la confiabilidad de la información expresada en los distintos registros que la empresa posea ya sea en materias simples como complejas. Éstas pueden ser: contable, financiero, costos, económico, recursos humanos, sistemas de control interno, matrices de riesgo continua.

En base a lo anterior, el auditor operativo debe enfocar todos sus conocimientos y experiencia en los análisis en su totalidad, por lo cual, examina cada una de las materias que le asignaron en sus análisis, buscando elementos de juicio sustentables sobre la naturaleza e imputación de los hechos.

Analizaremos una auditoria operativa pensando en los objetivos de su carrera. Para esto entregaremos procedimientos, registros y controles a realizar en el campo de la auditoría interna, enfocando nuestros análisis en el sistema de control interno.

Es importante entregar aspectos iniciales sobre los sistemas de control internos, observando las evoluciones que ha tenido esta materia a través del tiempo.

Hace más de 10 años la firma internacional Committee of Sponsoring Organizations of the Treadway Commission, conocida a nivel mundial como COSO, publica el Internal Control - Integrated Framework con el objetivo de facilitar a las distintas empresas del mundo sus evaluaciones y mejorar su sistema de control interno.

Esta metodología se ha incorporado a través del tiempo en las políticas internas de la organización, reglas, normas, regulaciones, etc. Todo en función a alcanzar los objetivos fijados en los inicios por la alta dirección de la empresa.

Durante el año 2004, se publica un nuevo documento, dado varios escándalos e irregularidades que generaron una pérdida importante en actores internos de la organización, como los accionistas y grupos de interés que rodean a un negocio. La publicación de Enterprise risk Management – Integrated Framework y sus aplicaciones, amplia aún más el criterio sobre el control interno de la organización, sumando más controles y evaluación en gestión.

Este nuevo enfoque es conocido como COSO II, incorporando varios análisis y controles que el anterior formato no incluía, permitiendo a las compañías mejorar sus procedimientos de control en el largo plazo.

Auditoria Operativa1

04



M2

Estos procedimientos son validos tanto para empresas con o sin fines de lucro ya que ambos tienen procedimientos y controles internos en sus sistemas, sin embargo todas tienen algo de incertidumbre en sus procedimientos, dado el grado de error inherente o por su naturaleza que está latente en todo sistema de control interno.

IMPO

RTAN

TE

producida por factores internos y externos a la empresa como la globalización mundial, las nuevas tecnologías, nuevas estructuraciones organizacionales, movimientos en el mercado nacional como internacional, las competencias directas o indirectas que la empresa tenga. La incertidumbre proviene de la capacidad de detectar con precisión la ocurrencia de un evento con los efectos que este traiga.

Este marco integrado de control tiene cinco componentes que interactúan entre sí para alcanzar el objetivo planteado por la organización.

Ambiente de control

Evaluación de riesgos

Seguimiento al sistema de

control

Información y comunicación

Controles internos

Auditoria Operativa1

05



M2

Valor ético

Tiene relación con la conducta que se espera tener de los miembros de la organización durante su labor diaria en la empresa, entendiendo que la efectividad del control interno pasa por la integridad y valores de los trabajadores. La forma de cómo son comunicados y fortalecidos estos valores éticos tiene real importancia por parte de la organización.

competencias

Tiene relación con las habilidades y conocimientos que debe tener el trabajador para cumplir sus funciones.

contralor

Determina los criterios que perfilan el sistema de control, es de suma importancia que este cuente con la experiencia y dedicación necesaria para tomar las acciones adecuadas.

Relaciones entre COSO I y COSO II

COSO I

Ambiente de Control

Evaluación de Riesgos

Info. y Comunicación

Monitoreo

Actividades de Control

COSO II

Ambiente Interno

Evaluación de Riesgos

Info. y Comunicación

Monitoreo

Actividades de Control

Establecimiento de Objetivos

Identificación de Riesgos

Respuesta a losRiesgos


06


M2

2 Técnicas de Auditoria Operativa (procedimientos)

2.1 Sistema de control interno

a) ambiente Interno.

El profesional a cargo del levantamiento de los procedimientos internos deberá tomar conocimiento de forma inicial del clima interno que existe en la organización, considerando los distintos ele-mentos que rodean a los trabajadores de la empresa.

Uno de los casos más usuales es el orden jerárquico o piramidal que existe en una empresa, de-pendiendo de la cantidad de gente que trabaje esta escala de cargos o niveles de responsabilidad también aumentan.

Generan ciertas pautas a respetar por los trabajadores como ejemplo el solicitar permisos para ha-cer tramites personales, horas al médico, etc. Esto tomando en cuenta que desde un inicio el traba-jador compromete todos sus esfuerzos en desarrollar su trabajo.

Esto es solo un ejemplo de lo que el auditor puede encontrar a la hora de realizar el levantamiento del sistema de gestión interna.

b) Recomendaciones:

Observar el clima laboral.Tomar contacto con algunos empleados de la empresa.Gestionar reuniones con el departamento de RR.HH.Pedir las descripciones de cargo más relevantes.Pedir información sobre casos complicados sobre el personal.Seleccionar algunos datos del personal más relevante.Tomar reuniones con el presidente del sindicato si existe.Interactuar con los jefes de área, buscando un dato relevante.Generar un FODA de cada departamento de la empresa.Gestionar reuniones con los altos cargos de la empresa.Tener un alcance sustentable para tomar decisiones en el sistema de control interno.Generar una tabla de información (matriz de riesgo continua).

07



M2

Pág.

Técnicas de Auditoria Operativa (procedimientos)2

FuErZas

Personas Recursos

Conocimiento Tecnologico

Conocimiento Administrativo

Medio Ambiente Interno

Medio Ambiente Interno

Medio Ambiente Externo

Medio Ambiente Externo

c) Establecer los Objetivos:

Una vez desarrollada la planilla o matriz con los datos analizados se deben establecer campos de acción donde el auditor dará prioridad a los campos críticos que resultaron del ambiente interno.

Es de suma importancia que el auditor operativo emita un informe sobre su evaluación para que pueda ser leído por las jefaturas involucradas con el fin de sostener reuniones para definir los nuevos lineamientos de la organización. Estas reuniones de trabajo tendrán que tener un plan de trabajo definido por el auditor operativo y por la alta dirección de la empresa.

Plan de Trabajo: Conjunto de procedimientos y análisis desarrollado por el auditor y el cliente. En este se incorpora todo lo que va a realizar en la organización como levantamiento, análisis, inspección y confirmación, más el tiempo que se demorara en la auditoria.

08



M2

Pág.


d) características:

Plan de trabajoTiempo de lineamiento.Análisis de los resultados iniciales.Enfoque en los campos más representativos.Lineamientos hacia los objetivos.Retroalimentaciones de los jefes de área.Observaciones generales.Propuestas de objetivos.Objetivos finales.

2.2 Evaluación de riesgos:a) Identificación de los riesgos:

Es de suma importancia estar siempre atento a los distintos factores con quien la organización convive todos los días, esta identificación o detección de los riesgos pasa por los objetivos planteados o lineamientos de la empresa.

No es bueno ocupar estudios anteriores de otras empresas dado que los riesgos nacen de los sistemas de control interno lo que son propios de cada organización.

Para el desarrollo del trabajo de auditoría, el profesional deberá comprender la realización de un mapeo de riesgo que incluya la especificación de puntos clave de la organización, todo esto debe estar en función de los objetivos generales.

b) Puntos claves a considerar:

Procesos de búsqueda continuos, críticos para su sobrevivencia.Varias actividades dentro de la organización.Gran atención en áreas sujetas a leyes o reglamentos estatales.Constante análisis del entorno de la organización.Charlas de manejo en sistemas de control.Procedimientos de fácil acceso.Desarrollos tecnológicos.

09



M2

Pág.


FORO

Te invitamos a participar en el Foro del Módulo

c) Evaluación de los riesgos:

Esta actividad es fundamental, se sustenta de la retroalimentación del sistema de control interno y permite detectar los riesgos que puedan existir en todos y cada uno de los departamentos de la empresa o riesgos externos a la organización.

La responsabilidad de la evaluación recae en la alta dirección de la empresa, quien debe consultar a los jefes de área, y estos a sus trabajadores, cómo ejecutar el proceso de auditoría. se debe considerar que este procedimiento se ajusta a los riesgos existentes y al nivel de profundización requerido.

Por otra parte se sugiere si la auditoría operativa está enfocada en el campo de acción de recursos humanos es recomendable examinar los tipos de enfermedades o accidentes derivados del trabajo que hayan acontecido de los últimos años.

La evaluación en función al objetivo es fundamental a la hora de minimizar y controlar debidamente los riesgos, estableciendo las medidas preventivas necesarias. Toda esta actividad debe ser realizada por personal calificado.

d) respuestas a los riesgos.

La implementación de los procedimientos y controles en el sistema de gestión, permiten tener respuesta a los distintos tipos de riesgos, entendiendo que el auditor antes de desarrollar la auditoria al control de gestión maneja y entiende todo sobre la organización de la empresa.

Estas respuestas deben ser en el menor tiempo posible dado el riesgo en el que estamos actuando, todos los riesgos que puedan existir en los distintos procesos o departamentos tienen un valor distinto, es decir para el departamento de producción un riesgo puede generar el paro en su labor lo que lleva a detener la producción.

10



M2

Pág.


Si lo comparamos con un riesgo ya declarado en otro departamento menos riesgoso en producción como recursos humanos veremos que la atención es distinta, el auditor deberá poner todos sus esfuerzos y experiencia en resolver el riesgo más importante.

Es válido señalar que los riesgos en un sistema pueden en el largo plazo afectar a la organización como un conjunto, dado que los procedimientos y controles están sujetos a las operaciones de los trabajadores y estoy están inversos en un sistema que se denomina organización de una empresa.

LECT

URA

O

BLIG

ATO

RIA

Whittington y otros. Principios de auditoría. (14 ed.). Mc Graw Hill. (Pág. 118 a 126 y 212 a 226).

Este material se encuentra en la carpeta “Lectura Obligatoria”.

e) actividades de control:

Las actividades a realizar con el fin de controlar los procedimientos son evaluar la implementación de estos por parte de los trabajadores y su ejecución. El fondo o esencia de todo procedimiento debe estar registrado y publicado a toda la organización con el fin de ser entendidos en todos los niveles de la organización.

Estas actividades pueden ser ejecutadas por personas con experiencia en riesgos sobre el sistema de control y gestión, asegurando que el tiempo de respuesta y recomendación sea el correcto.

Generalmente estas actividades son monitoreadas por un auditor interno o contralor de la organización quien día a día está pendiente y retroalimentando el sistema para no dar lugar a un riesgo en los procedimientos.

Una de las actividades más conocidas como medida de control en una organización es el inventario de existencias. Este control permite valorar los faltantes como sobrantes en el conteo de mercaderías, retroalimentando al sistema en nuevos controles o medias a mitigar el resultado del inventario.

11



M2

Pág.


algunas de las actividades de control más usadas en la organización:

Preventivas Detectivas Manuales Informáticos

f) Información y comunicación:

Es requisito fundamental en un sistema de control y gestión tener publicado todos los procedimien-tos y deberes de cada departamento, esta información debe tener características como:

Ser relevante Ser clara Ser oportuna

IMPO

RTAN

TE

El auditor debe asegurar a la alta dirección de la empresa que se cumplen todos los medios necesarios de información y comunicación. El auditor interno o contralor mas el departamento de recursos humanos son los encargados en de publicar y promover los procedimientos.

Gran parte de esta incertidumbre que existe en una organización es producida por factores internos y externos a la empresa como la globalización mundial, las nuevas tecnologías, nuevas estructuraciones organizacionales, movimientos en el mercado nacional como internacional, las competencias directas o indirectas que la empresa tenga. La incertidumbre proviene de la capacidad de detectar con precisión la ocurrencia de un evento con los efectos que este traiga.

La información a toda la organización es necesaria para alcanzar los objetivos fijados. Los sistemas de información permiten identificar, recoger, procesar y difundir los datos útiles para la empresa.

12



M2

Pág.


los sistemas de información pueden ser:

Formales: Seminarios, charlas, congresos, reuniones.

Informales: Son aquellas que nacen por conversaciones con entes internos como externos de la organización.

Es de suma importancia que la información y comunicación del sistema de control y gestión se retroalimente constantemente de manera de ser útil y actualizada a los distintos cambios que surgen del entorno.

g) Monitoreo:

Esta acción del sistema de control de gestión debe de estar en constante funcionamiento tomando en cuenta lo señalado con anterioridad. Esta acción de monitorear las funciones de cada departamento tiene por objetivo mitigar el riesgo o no cumplimiento de los procedimientos. El auditor al momento de validar esta acción tendrá que detallar los criterios de monitoreo con el fin de no entorpecer laborales tan importantes como producción.

El monitoreo podrá ser realizado en todos los departamentos por separados dada la importancia de cada uno de ellos, luego establecer ciertos parámetros de confirmación en los procedimientos. El auditor podrá realizar un programa de monitoreo el cual deberá estar validado por el sistema de control y gestión más la alta dirección de la empresa.


13


M2

3 Auditoria especifica

Como lo hemos visto antes, la auditoria operativa está presente en varios campos de acción debido a los conocimientos que tiene. Desde un inicio logramos entender que para cada departamento hay un tipo de auditoría a desarrollar con el fin de mitigar sus riesgos.

Si bien la auditoria a los estados financieros pasa a hacer una de las más importantes dada su antigüedad y objetivos iniciales de auditoría, podremos especificar un campo de acción que está dentro de los análisis y que cobra real importancia al momento de evaluar los costos.

El inventario de existencias en análisis como auditoria especifica dentro de los estados financieros, entrega información relevante al momento de establecer estados de costos y presupuestos para los años que vienen.

Esta acción de contar las existencias tiene varias características a considerar por parte del auditor:

Establecer el stock teórico: este dato es de suma importancia dado que será mi guía en los análisis o levantamiento del proceso de inventario, este dato es entregado por el departamento de existencias o contable, se extrae del programa o ERP que la organización ocupe, es decir son las existencias que tengo registradas en el programa.Extraer lista de productos a inventariar.Solicitar al jefe de área o de adquisición de existencias una fecha aproximada para realizar la auditoria.Dejar registro de todos los antecedentes en el sistema de control y gestión más los papeles de trabajo.Informar a los gerentes involucrados el inicio del inventario de existencias.Solicitar al encargado de bodega, pañol, lugar donde se encuentren las existencia el stock físico que pueda tener o dato que sea útil como base para el inventario.Proceder al inventario de las existencias.Registrar todos los hechos relevantes de la auditoria con el fin de retroalimentar al sistema de control de gestión.En caso de existir un riesgo latente en este departamento se deberá a proceder con las recomendaciones y planes de acción necesarios.Determinar el stock físico de las existencias.Comparar los resultados obtenidos tanto físicos como teóricos.Responder a las diferencias que puedan salir de mi acción de inventario.

14



M2

Pág.

Auditoria especifica3

la diferencia que se produce entre el stock teórico y físico es conocida como Varians, este resultado si lo llevamos al mundo del retail como ejemplo un supermercado, se deberá solucionar al momento del cierre del inventario.

El jefe de local con todo su personal tendrá que responder con las diferencias del varians ya sean a favor como en contra.

Esta acción específica de auditoría operativa toma importancia en este punto entendiendo que es el resultado que se necesita conocer como objetivo final del inventario. Los resultados que se obtengan de esta acción deberán ser informados a los jefes involucrados más las recomendaciones del auditor operativo.

Observaciones finales en una auditoria operativa:

El auditor, después de realizar su trabajo de investigación tiene que realizar un trabajo en detalle que comente los siguientes aspectos:

Resumir las deficiencias encontradas y comentarlas con el responsable del departamento, anotando los comentarios de este.

Se debe escribir un informe del trabajo realizado y se debe de comentar con las personas afectadas.

Después de un tiempo racional desde la emisión del informe, se tiene que comentar con los respectivos responsables de los departamentos las medidas adoptadas para eliminar las deficiencias encontradas.

Asimismo se verificará la implantación de los nuevos procedimientos o medidas de control interno. Esta verificación se hará en la siguiente auditoria anual, ya que se puede considerar que un año es el tiempo mínimo para verificar la implantación de una recomendación importante.


15


M2

Glosario

actividades de control: Aquellas medidas y procedimientos que ayudan a asegurar que las directrices marcadas por la dirección se llevan a cabo. Las actividades de control son un componente del control interno.

adecuación de la evidencia de auditoría: Medida cualitativa de la evidencia de auditoría; es decir, su relevancia y fiabilidad para respaldar las conclusiones en las que se basa la opinión del auditor.

Afirmaciones: Manifestaciones de la dirección, explícitas o no, incluidas en los estados financieros y tenidas en cuenta por el auditor al considerar los distintos tipos de incorrecciones que pueden existir.

alcance de una revisión: Procedimientos de revisión que se estiman necesarios, en función de las circunstancias, para alcanzar los objetivos de dicha revisión.

anomalía: Una incorrección o una desviación que se puede demostrar que no es representativa de incorrecciones o de desviaciones en una población.

apropiación indebida de activos: Implica la sustracción de los activos de una entidad en cantidades relativamente pequeñas e inmateriales, realizada habitualmente por los empleados.

archivo de auditoría: Una o más carpetas u otros medios de almacenamiento de datos, físicos o electrónicos, que contienen los registros que conforman la documentación de auditoría correspondiente a un encargo específico.

Asociación del auditor con la información financiera: Un auditor está asociado a la información financiera cuando emite un informe que se adjunta a dicha información o cuando consiente que se utilice su nombre en una relación de tipo profesional.

auditor: El término “auditor” se utiliza para referirse a la persona o personas que realizan la auditoría, normalmente el socio del encargo u otros miembros del equipo del encargo o, en su caso, la firma de auditoría. Cuando una NIA establece expresamente que un requerimiento ha de cumplirse o una responsabilidad ha de asumirse por el socio de la empresa auditora.

auditor de la entidad prestadora del servicio: Auditor que, a solicitud de la organización de servicios, emite un informe que proporciona un grado de seguridad sobre los controles de ésta.

auditor de la entidad usuaria: Auditor que audita y emite el informe de auditoría sobre los estados financieros de una entidad usuaria.

auditor del componente: Auditor que, a petición del equipo del encargo del grupo, realiza un trabajo para la auditoría del grupo en relación con la información financiera de un componente.

También incluye al auditor que realiza la auditoría de las cuentas anuales de un componente del grupo, requerida legalmente o por otro motivo, cuando el equipo del encargo del grupo decida utilizar dicho trabajo de auditoría realizado como evidencia de auditoría para la auditoría del grupo, de acuerdo con lo previsto en los apartados 3 y A1 de la NIA 600.

auditor experimentado: Una persona (tanto interna como externa a la firma de auditoría) que tiene experiencia práctica en auditoría y un conocimiento razonable de:

(a) los procesos de auditoría;

(b) las NIA y los requerimientos legales y reglamentarios aplicables;

(c) el entorno empresarial en el que la entidad opera; y

(d) las cuestiones de auditoría e información financiera relevantes para el sector en el que la entidad opera.

auditor predecesor: Auditor de otra firma de auditoría, que auditó los estados financieros de una entidad en el periodo anterior y que ha sido sustituido por el auditor actual.

auditores internos: Personas que realizan actividades correspondientes a la función de auditoría interna. Los auditores internos pueden pertenecer a un departamento de auditoría interna o función equivalente.

componente: Una entidad o unidad de negocio cuya información financiera se prepara por la dirección del componente o del grupo para ser incluida en los estados financieros del grupo.

condiciones previas a la auditoría: Utilización por la dirección de un marco de información financiera aceptable para la preparación de los estados financieros y la conformidad de la dirección y, cuando proceda, de los responsables del gobierno de la entidad, con la premisa sobre la que se realiza una auditoría.

Confirmación externa: Evidencia de auditoría obtenida


16


M2

Glosario

mediante una respuesta directa escrita de un tercero (la parte confirmante) dirigida al auditor, en formato papel, en soporte electrónico u otro medio.

contestación en disconformidad: Respuesta que pone de manifiesto una discrepancia entre la información sobre la que se solicitó confirmación a la parte confirmante, o aquella contenida en los registros de la entidad, y la información facilitada por la parte confirmante.

control interno: El proceso diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. El término “controles” se refiere a cualquier aspecto relativo a uno o más componentes del control interno.

controles de acceso: Procedimientos diseñados para restringir el acceso a terminales, programas y datos electrónicos (on-line). Los controles de acceso consisten en la “autenticación de usuario” y “autorización de usuario”. La “autenticación de usuario” normalmente intenta identificar un usuario a través de identificaciones únicas para comenzar la sesión, contraseñas, tarjetas de acceso o datos biométricos.

“Autorización de usuario” consiste en reglas de acceso para determinar los recursos del ordenador a los que puede acceder cada usuario. De forma específica, estos procedimientos están diseñados para prevenir o detectar:

1. acceso no autorizado a terminales, programas y datos electrónicos (on-line);

2. registro de transacciones no autorizadas;

3. cambios no autorizados en ficheros de datos;

4. el uso de programas de ordenador por personal no autorizado; y

5. el uso de programas de ordenador que no han sido autorizados.

controles del grupo: Controles diseñados, implementados y mantenidos por la dirección del grupo sobre la información financiera de éste.

controles generales de las tecnologías de la información (TI): Políticas y procedimientos vinculados

a muchas aplicaciones que favorecen un funcionamiento eficaz de los controles de las aplicaciones al ayudar a garantizar el funcionamiento adecuado y continuo de los sistemas de información.


17


M2

Bibliografía

lEcTura OBlIgaTOrIas

Whittington y otros. Principios de auditoría. (14 ed.). Mc Graw Hill. (Pág. 118 a 126 y 212 a 226).

rEFErEncIas BIBlIOgrÁFIcas

Arens, Alvin y otros. Auditoría: un enfoque integral. (11ava ed.). Pearson. Prentice Hall.

Whittington y otros. Principios de auditoría. (14 ed.). Mc Graw Hill.

Brealey y otros. Fundamentos de finanzas corporativas. (5ta ed.). Mc Graw Hill.

Meigs y otros. Contabilidad: la base para decisiones gerenciales. (11ava ed.). Mc Graw Hill.

Economy & Finance

Auditoria operativa m2