Resumen de controles

Hay cientos de posibles controles internos que una organización debe tener en cuenta. Encontrar el ajuste adecuado requiere un análisis de las actividades operativas de la organización, la escala y los riesgos relacionados. Las diversas actividades y los riesgos relacionados determinan los tipos de control, los objetivos y las técnicas relevantes que surgen como prioridades. Una vez identificadas estas prioridades, las organizaciones pueden seleccionar y establecer controles específicos para fortalecer y proteger su marco de gobernanza.

En la tabla siguiente se resumen las técnicas funcionales que se pueden utilizar según su tipo de control y su objetivo de control. Una técnica funcional puede ayudar con uno o más objetivos de control:

Técnica funcional Tipo de control Integridad Exactitud Existencia o propiedad Corte Valoración o presentación

Acceso y permisos

Preventivo

     X X  

Datos maestros

Preventivo

   X X    

Flujo de documentos y transacciones

Preventivo

 X X      

Flujo de trabajo

Preventivo

   X X X  

Informes

Detective

 X X X X X

Registros de auditoría

Detective

   X X    

Para ver ejemplos de la amplia gama de opciones de control interno para los 3 flujos de trabajo de contabilidad principales, consulte la siguiente información:

Pruebas de controles

Una vez que haya seleccionado y adoptado sus controles internos, es importante identificar la metodología adecuada para probar las diversas técnicas de control. A cada una de las opciones de control para los flujos de trabajo de contabilidad principales se les ha asignado un método de prueba recomendado de la siguiente manera:

Los pasos de prueba que se describen a continuación son una guía de alto nivel para probar controles en Sage Intacct. Los detalles de las pruebas dependen del objetivo del control, de cómo se implementa el control, de la precisión con la que se opera el control y del propósito de la prueba.

Un control de flujo de trabajo garantiza que las transacciones se enruten correctamente, normalmente a través de pasos de aprobación que se basan en parámetros predefinidos.

Pasos de las pruebas de alto nivel:

  1. Comprender la línea de base: ¿cuál debe ser el flujo de trabajo? ¿Existe una política en vigor?

  2. Si corresponde, inspecciona la configuración dentro de Intacct para determinar que se ha aplicado el flujo de trabajo.

  3. Pruebe una instancia de cada tipo de aprobación. Por ejemplo, si hay tres niveles (ninguna aprobación por debajo del importe X, una aprobación entre los importes X e Y, dos aprobaciones por encima del importe Y), realice una prueba para cada nivel. Asegúrese de que las transacciones fluyan según lo previsto, tal y como se define en el paso 1.

    Pruebe de una manera que refleje cómo está configurada la aplicación. Por ejemplo, si la misma configuración controla el flujo de trabajo en dos entidades, pero con personas diferentes, normalmente no es necesario repetir las pruebas. Sin embargo, si las entidades usan diferentes configuraciones o tablas de configuración, es posible que deba realizar pruebas separadas.

Un control de configuración garantiza que el sistema haga algo de la manera esperada. Puede tratarse de la validación de una transacción, el traslado de una transacción de un lugar a otro (por ejemplo, entre interfaces o aplicaciones), el cambio de algo (por ejemplo, en una revalorización) o un cálculo automatizado (por ejemplo, un cálculo del IVA basado en los datos maestros del producto).

Pasos de las pruebas de alto nivel:

Puede probar los controles automatizados, configurables o codificados de varias maneras. La forma de realizar las pruebas depende de varios factores, incluido el entorno normativo. Los siguientes pasos son solo para orientación general.

  1. Comprender cómo debe funcionar la configuración: ¿cuáles son los resultados esperados? Concéntrese en las cosas que importan para los fines del control. Por ejemplo, un control de validación puede requerir un proveedor válido, lo cual es importante, y una descripción sin caracteres especiales, lo que probablemente no sea importante para el marco de control. En esta situación, solo necesita probar la primera característica.

  2. Comprender las dependencias que existen: ¿en qué configuraciones o funcionalidades codificadas se confía?

  3. Para cada variación del proceso, pruebe las características de control importantes simulando la transacción. Por ejemplo, intenta crear una transacción que rompa las reglas de validación para demostrar que la transacción está bloqueada. A continuación, cambie la transacción para que funcione y observe que la transacción se ha realizado correctamente.

Un control de revisión utiliza información, normalmente un informe, para identificar discrepancias o inexactitudes en las transacciones o los saldos.

Pasos de las pruebas de alto nivel:

¿Cuál es la evidencia suficiente para una revisión de que el control puede variar entre entornos regulatorios? Los siguientes pasos son solo para orientación general.

Los elementos clave de un control de revisión incluyen que el control sea coherente y repetible (por ejemplo, el umbral de lo que es "no significativo" no cambia entre meses) y que se evidencie (por ejemplo, que esté claro para alguien que inspecciona la revisión que el revisor completó todos los pasos de la revisión).

  1. Determine el propósito del control: ¿qué tipo de errores, fraudes u otros problemas se supone que debe identificar el control de revisión? Por ejemplo, es el control que se usa para encontrar transacciones inusuales, errores en el cálculo de una hoja de cálculo o suposiciones incorrectas.

  2. Comprenda la precisión con la que opera el control. Por ejemplo, ¿el control encuentra un error en la cantidad de 10.000 precisos? ¿Existe un umbral por debajo del cual se ignorarían las cuestiones?

  3. Comprender la fuente de información: ¿qué revisa el revisor? ¿Cómo se siente cómodo el revisor con la precisión de la fuente? Si se ha utilizado un informe, ¿cómo comprueba el revisor que se ha ejecutado correctamente? Una revisión de un informe ensamblado manualmente es mucho más arriesgada que una revisión de un informe ejecutado directamente desde un sistema, aunque ambos pueden necesitar pasos para demostrar que la información es completa y precisa.

  4. Comprende cómo se construyen las expectativas. ¿Se trata de una revisión de una lista de transacciones en la que se revisa y verifica cada transacción? ¿Se trata de una revisión mes a mes para identificar patrones o tendencias inusuales? ¿Cómo identifica el revisor los elementos inesperados o inusuales para su seguimiento? Evalúe si esto cumple con el objetivo establecido en los pasos 1 y 2.

  5. Inspeccione la revisión y evalúe si el revisor identificó correctamente los elementos para el seguimiento como se define en el paso 4.

  6. Evalúe si el revisor realizó correctamente el seguimiento y corrigió los elementos para el seguimiento, tal como se define en el paso 4.

  7. Si hay un segundo nivel de revisión, inspeccione la evidencia de que esta revisión se ha llevado a cabo y qué se verificó exactamente.

Como ejercicio independiente, pruebe la integridad y precisión de los informes utilizados en el control de revisión para asegurarse de que los informes están diseñados correctamente. Esto no es lo mismo que el paso 3, que se refiere al riesgo de ejecutar el informe incorrectamente.

Un control de reconciliación utiliza dos o más fuentes de información para validar la integridad, exactitud y validez de una o ambas fuentes de información.

Pasos de las pruebas de alto nivel:

  1. Determine qué fuente de información se está validando. ¿Existe una fuente de verdad con la que se esté cotejando otra fuente de información? ¿O se están cotejando dos fuentes de información entre sí, las cuales podrían tener el mismo error, que luego coincidirían o se conciliarían?

  2. Determine con qué granularidad se realiza la comprobación. ¿Saldo/transacción?

  3. Comprender las fuentes de información. ¿Cómo obtiene la información el operador de control? ¿Cómo comprueban que las fuentes están completas y son precisas (por ejemplo, que los informes se ejecutan correctamente)?

  4. Comprenda si hay un umbral por debajo del cual se aceptarán las diferencias.

  5. Inspeccione la evidencia para demostrar que el operador de control realizó la reconciliación con la precisión esperada y realizó un seguimiento de los elementos por encima del umbral.

Un control de acceso restringido evita que los usuarios inapropiados utilicen ciertas funciones.

Pasos de las pruebas de alto nivel:

  1. Determine la funcionalidad que impide el acceso.

  2. Conoce las funciones de Sage Intacct que permiten acceder a esa función.

  3. Inspeccione las listas de acceso de los roles que permiten el acceso a la función. Evalúe si las personas que tienen, o han tenido, acceso son apropiadas.

Es posible que necesites un informe de acceso histórico porque el acceso puede cambiar.

Una segregación del control de derechos evita que los usuarios tengan ciertas combinaciones de acceso problemáticas.

Pasos de las pruebas de alto nivel:

  1. Determine la lista de combinaciones de acceso prohibidas, es decir, aquellas funciones empresariales que no deben combinarse.

  2. Comprender las funciones que permiten el acceso a cada tipo de acceso.

  3. Inspeccione los listados para determinar si hay usuarios que tienen, o han tenido, acceso a las combinaciones de acceso prohibidas durante el período que se está probando.

Es posible que necesites un informe de acceso histórico porque el acceso puede cambiar.