Identificarse


0
Comparte:

Ratio: 5 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio activado
 

 

BN184 2

Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool 

Ley SOX: Aspectos Fundamentales que debemos tener en cuenta para una certificación (Parte 4)

Como vimos en la entrega anterior una vez definido el tipo de control debemos validar la eficacia operativa y esto significa poder comprobar que el control se comporta de forma consistente a lo largo del tiempo.  Obviamente no podemos hacer esto viendo la totalidad de las veces en que el control fue efectuado, sino que debemos recurrir a un mecanismo que nos permita optimizar el esfuerzo y tiempo pudiendo llegar a la misma conclusión pero sin tener que verificar la totalidad del universo.  Para esto utilizamos el muestreo estadístico el cual nos permite extrapolar los resultados de la muestra a la población en general.  Esto significa que para validar la eficacia operativa de un control determinaremos una muestra, y si esta muestra se comporta de forma apropiada (según lo que nosotros esperamos) podremos concluir que todo el universo se comparta de forma similar.

En este artículo no entraremos en aspectos más complejos como ser determinar el margen de error de la muestra y otros elementos que un auditor puede querer hacer antes de extraer la misma, para esto utilizaremos una tabla de muestras utilizadas por alguno de los más importantes estudios de auditoría.  Los supuestos de la muestra ya se encuentran contemplados en estos resultados.

El primer aspecto que debemos tomar en consideración al momento de validar el control es la unidad de medida que utilizaremos para extraer la misma, y para esto daremos un ejemplo. Supongamos que uno de los controles establece que todos los despachos generan un remito, para este control que unidad de medida utilizaremos ¿Remitos?  Supongamos que utilizamos los remitos, pero aquí tendremos un problema, si por alguna razón no se generó un remito al momento de la entrega ese documento no estará en nuestro universo, nuestro universo estará formado por todos los remitos que efectivamente hayan sido generados. Ahora bien, si en vez de remitos, definimos como unidad de medida las facturas, en este caso sabemos que luego de facturarse un producto debería ser despachado y por lo tanto debería tener un Remito.  A partir de definir como unidad de medida las facturas, luego relacionamos esas facturas con los remitos. Aquí habremos definido un universo completo dado que por cada factura debería existir un remito y a partir de esta definición podremos continuar con nuestra tarea de validación.

Por lo tanto el primer aspecto importante al momento de testear un control es definir la unidad de medida que asegure que el universo a testear sea íntegro.

El segundo aspecto es tener bien en claro la naturaleza del control, como vimos anteriormente los controles pueden ser automáticos, y en este sentido hemos definido que si validados los controles generales de TI concluimos que los mismos funcionan de forma apropiada, podemos concluir que un control automático se comportará de la misma forma ahora y siempre y bajo este supuesto podremos testear el control una sola vez.

Distintos son los controles manuales, los cuales dependen precisamente de personas que no necesariamente ejecutarán el control de la misma forma todo el tiempo y aquí es donde debemos aplicar el concepto de muestreo estadístico. Básicamente la tabla que utilizaremos es la siguientes:

 

La misma  establece la frecuencia del control y en función de la frecuencia (es decir las veces en que el mismo es ejecutado) la cantidad de muestras que son necesarias. Como vemos en la primera parte de esta tabla para un control que es anual, se tendrá que probar la totalidad el control, en la medida que el control tiene más frecuencia, como por ejemplo el control mensual, ya no tendremos que seleccionar los 12 meses sino como máximo podremos seleccionar sólo 6 meses.

Otro elemento importante en esta tablas es que a partir de los controles que tienen una mayor frecuencia (por ejemplo el mensual) vemos que la cantidad de ítem a ser testeados varía y ¿a qué se debe esta variación? A otros elementos que deberemos tener en cuenta y pueden transformar al control en más simple o complejo.  Tengamos en cuenta como regla general que a mayor complejidad de un control tomaremos un mayor tamaño de muestra para asegurarnos de tener una conclusión correcta.

En este sentido los elementos que hacen que podamos ir por una muestra menor o mayor son los siguientes:

-          Complejidad del Control

-          Importancia del Juicio en la determinación del control,

-          Competencias necesarias para realizarlo,

-          Impacto de cambios que pudieran haber afectado la forma en que se realizó un control,

-          Relevancia del control

Esto significa que un control más complejo seguramente implica tomar una muestra mayor; si un control requiere un elemento de juicio muy importante también iremos por una muestra mayor. Si el control requiere de competencias importantes, también iremos por una muestra mayor y así sucesivamente.

Teniendo en cuenta los aspectos anteriormente vistos y la tabla propuesta, podremos determinar el tamaño de la muestra que utilizaremos para validar el funcionamiento del control.  En este sentido, si por ejemplo para un control mensual tomamos una muestra de 3 meses y el control se comporta de forma correcta, podremos extrapolar el resultado obtenido para los 12 meses, esto significa que podremos decir que a lo largo de los 12 meses el control se ha comportado de forma apropiada.
 
De esta forma y bajo estos criterios podremos determinar las muestra óptimas que utilizaremos para testear nuestros controles y validar la eficacia operativa de los mismos.

 

LIBRO DEL AUTOR DE ESTE ARTÍCULO EN AMAZON

Liderazgo y Administración: El Barco – El desafío de hacer llegar a su empresa hacia el éxito

Javier Fernando Klus, MBA, CIA.

 

Javier Klus fue gerente de auditoría en PwC Argentina con más de 20 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX y AntiFraude. Colaborador de Auditool.


Regístrese para que pueda comentar este documento

Auditool.org

Bienvenido a Auditool, la Red Mundial de Conocimiento para Auditoría y Control Interno. Le proporcionamos las mejores prácticas para la auditoría basadas en estándares internacionales, capacitación en línea y herramientas de auditoría y control interno. Le ayudamos a mejorar su práctica de trabajo, a ahorrar tiempo y a crear y proteger valor en sus clientes u organización.
Este sitio web almacena cookies en su ordenador. Estas cookies se utilizan para recopilar información sobre cómo interactúa con nuestro sitio web y nos permiten recordarle. Utilizamos esta información para mejorar y personalizar su experiencia de navegación y para análisis y métricas sobre nuestros visitantes tanto en este sitio web como en otros medios. Para obtener más información sobre las cookies que utilizamos, consulte nuestra Política de privacidad.

Si rechaza, su información no será rastreada cuando visite este sitio web. Se utilizará una sola cookie en su navegador para recordar su preferencia de no ser rastreada.