Share this

Una red nacional a su servicio

Con varias oficinas en diferentes regiones del país.

Personal idóneo

Con profesionales en diversas áreas.

Profesionales a su servicio

'Manténgase Informado

CIP | Calidad en Auditorías

USO DE LA EVALUACIÓN DE RIESGOS


USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANIFICACIÓN DE AUDITORÍAS DE TI 

Selección de una Metodología de Evaluación de Riesgos.

Existen numerosas metodologías de evaluación de riesgos –informatizadas y no informatizadas– disponibles para el área de Auditoría. Éstas varían desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los cálculos complejos y aparentemente científicos que suministran una clasificación numérica de riesgo. El Auditor debe tener en cuenta el grado de complejidad y detalle apropiados para la organización auditada.

Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos en algún momento del proceso (por ej., para asignar ponderaciones a los diversos parámetros). El área de Auditoría debe identificar las decisiones subjetivas requeridas a fin de utilizar una metodología específica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado.

Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área de Auditoría  debe tener en cuenta:

-El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto financiero como única medida – esto no siempre resulta adecuado para las auditorías de TI).
-El costo del software u otras licencias requeridas para utilizar la metodología.
-El grado de disponibilidad de la información requerida.
-La cantidad de información adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo que debe dedicarse a esa tarea).
-Las opiniones de otros usuarios de la metodología y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.
-La buena disposición de la gerencia para aceptar la metodología como medio para determinar el tipo y nivel de trabajo de auditoría a realizar.

No puede esperarse que una metodología de evaluación de riesgos determinada resulte apropiada en todas las situaciones. Las condiciones que inciden en el desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría  debe realizar una nueva evaluación de la idoneidad de las metodologías de evaluación de riesgos seleccionadas.

Uso de la Evaluación de Riesgos

El Auditor  debe utilizar las técnicas de evaluación de riesgos seleccionadas al desarrollar el plan global de auditoría y al planificar las auditorías específicas. La evaluación de riesgos, en combinación con otras técnicas de auditoría, debe tenerse en cuenta al tomar decisiones de planificación relacionadas con:
-La naturaleza, el alcance y la oportunidad de los procedimientos de auditoría.
-Las áreas o funciones de negocio a auditar.
-El tiempo y los recursos a asignar a cada una de las auditorías.

El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar su nivel global:
-Riesgo inherente
-Riesgo de control
-Riesgo de detección

Riesgo inherente

El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles s relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.

El riesgo inherente para la mayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor  esté relacionada exclusivamente con controles generales.

En lo que respecta a los controles generales de TI, el Auditor  debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
-La integridad, experiencia y conocimiento de la Gerencia de TI.
-Los cambios en la Gerencia de TI.
-La presión ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).
-La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).
-Los factores que afectan el rendimiento de la organización en general (por ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).
-El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de TI, las alianzas estratégicas de negocio y el acceso directo de los clientes).
Al nivel de los controles detallados de TI, el Auditor  debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:
-Los hallazgos y fecha de auditorías anteriores en el área.
-La complejidad de los sistemas involucrados.
-El nivel de intervención manual requerida.
-La propensión a la pérdida o apropiación indebida de los bienes controlados por el sistema (por ej., inventario, nómina, etc.).
-La probabilidad de que se produzcan picos de actividad en ciertos momentos del período de auditoría.
-Las actividades que no estén comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).
-La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controles de TI.

Riesgo de Control

Es el riesgo por el que un error, que podría cometerse en un área de auditoría y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control . Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debido a que las actividades que requieren investigación a menudo se pierden con facilidad por el volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.

El Auditor  debe evaluar el riesgo de control como un riesgo alto a menos que los controles s pertinentes:
-Se identifiquen
-Se consideren eficaces
-Se prueben y confirmen como adecuadamente operativos (pruebas de cumplimiento)

Riesgo de Detección

Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor  no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.

Al determinar el nivel de pruebas sustantivas requeridas, el Auditor  debe tener en cuenta:
-La evaluación del riesgo inherente.
-La conclusión sobre riesgos de control a la que se llega luego de las pruebas de cumplimiento.

Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor es la evidencia de auditoría que debería obtener el Auditor  mediante la ejecución de los procedimientos sustantivos de auditoría.

Documentación

El área de Auditoría  deberá documentar la técnica o metodología de evaluación de riesgos utilizada en una auditoría. Normalmente, la documentación deberá incluir:
-Una descripción de la metodología de evaluación de riesgos utilizada.
-La identificación de exposiciones significativas y los riesgos correspondientes.
-Los riesgos y exposiciones que la auditoría se propone abordar.
-La evidencia de auditoría utilizada para respaldar la evaluación de riesgos del Auditor.

En resumen, el nivel de trabajo de auditoría requerido para lograr un objetivo de auditoría específico resulta de una decisión subjetiva del Auditor . Uno de los aspectos de esta decisión es el riesgo de llegar a una conclusión incorrecta basada en los hallazgos de auditoría (riesgo de auditoría). El otro es el riesgo de cometer errores en el área auditada (riesgo de error). El Auditor  debe tener en cuenta las normas profesionales al determinar cómo implementar la evaluación de riesgos mencionada, así como también, utilizar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación respecto de ellas.

Por:
Juan de Dios Bel
LICENCIADO EN ADMINISTRACIÓN, CISA, CISM, CFE.

El turno para la Información Exógena Distrital Bogotá D.C


En la Resolución Número DDI 025514 de 2014, exige la obligación de reportar la información, el siguiente es el resumen es lo que se debe reportar:

QUIÉNES Y QUÉ.

Las Entidades Públicas nivel nacional y territorial del orden central y descentralizado independientemente del monto de ingresos; las personas jurídicas, consorcios, uniones temporales, sociedades de hecho y personas naturales comerciantes; independientemente de ser o no contribuyentes del impuesto de industria y comercio en Bogotá D.C., que en el año gravable 2013 hayan obtenido ingresos brutos iguales superiores a ciento ocho millones de pesos ($108.000.000) m/Cte., deberán suministrar la siguiente  información de cada uno de los proveedores a los que le realizaron compra de bienes y lo servicios en Bogotá, durante el año gravable 2013 cuando el monto anual acumulado de los pagos o abonos en cuenta sea igual o superior a cinco millones de pesos ($5.000.000). (Art 2 de la Resolución).

Información a Reportar:
·         Vigencia
·         Tipo de documento de identificación
·         Número de documento de identificación
·         Nombre(s) y apellido(s) o razón social
·         Dirección de notificación
·         Teléfono
·         Dirección de correo electrónico (Email)
·         Código ciudad 0 municipio (codificación DANE)
·         Código de departamento (codificación DANE)
·         Concepto del pago o abono en cuenta
·         Valor bruto acumulado anual de las compras de bienes o servicios, sin incluir el lVA
·         Valor total de las devoluciones, rebajas y descuentos. 

Todas las personas jurídicas, las sociedades y asimiladas, los consorcios y uniones temporales y las personas naturales pertenecientes al régimen común, independientemente de ser o no contribuyentes del impuesto de industria y comercio en Bogotá D.C que durante el año gravable 2013 hayan recibido ingresos brutos superiores a quinientos millones de pesos ($500.000.000); deberán suministrar la siguiente información de cada una de las personas o entidades de quienes recibieron ingresos o abono en cuenta por un valor acumulado igual o superior a veinte millones de pesos ($20.000.000) por concepto de venta de bienes y lo servicios realizados en Bogotá durante el año gravable 2013. (Art 3 de la Resolución)

Información a Reportar:
·         Vigencia
·         Tipo de documento de identificación
·         Número de documento de identificación
·         Nombre(s) y apellido(s) o razón social
·         Dirección de notificación
·         Teléfono
·         Dirección de correo electrónico (Email)
·         Código ciudad o municipio (codificación DANE)
·         Código de departamento (codificación DANE)
·         Concepto del ingreso
·         Valor total del ingreso bruto sin incluir IVA
·         Valor total de las devoluciones, rebajas y descuentos por ventas realizadas durante la vigencia 2013

Los agentes de retención del impuesto de industria y comercio que hubieren practicado o asumido retenciones en la ciudad de Bogotá, por concepto de este impuesto durante el año gravable 2013, deberán suministrar la  información, en relación al sujeto de retención (a quien se le practicó la retención) (Art 4 de la Resolución)


Información a Reportar:

·         Vigencia
·         Tipo de documento de identificación
·         Número de documento de identificación
·         Nombre(s) y apellido(s) o razón social
·         Dirección de notificación
·         Teléfono
·         Dirección de correo electrónico (Email)
·         Código ciudad o municipio (codiflcación DANE)
·         Código de departamento (codificación DANE)
·         Base de retención
·         Tarifa aplicada
·         Monto retenido anualmente. 

DONDE  Y  COMO PRESENTAR   LA  INFORMACIÓN

La información a que se refiere la presente resolución deberá presentarse únicamente a través de la página WEB de la Secretaria Distrital de Hacienda (wwwhaciendabogota.gov.co). La información se recibirá únicamente en los plazos establecidos. En todos los casos, la información suministrada deberá atender y adaptarse a las especificaciones técnicas y al diseño de registro contenido en anexo No 1  de la presente resolución.


QUE PASA SI NO LA PRESENTO?

Las personas y entidades señaladas en la presente Resolución, que no suministren la información exógena y endógena requerida, dentro del plazo establecido para ello o cuyo contenido presente errores o no corresponda a lo solicitado, incurrirán en las sanciones establecidas en el artículo 69 del Decreto Distrital 807 de 1993, las cuales no podrán exceder de 15.000 UVT.


CONCLUSIÓN

Analizando los artículos 2,3 y 4 de la Resolución Número Ddi 025514 del 2014., que son los que no deja escapar entidad alguna, se puede concluir que casi o prácticamente TODOS deben  reportar esta información, ya que cita indica que Las Entidades Públicas nivel nacional y territorial del orden central y descentralizado independientemente del monto de ingresos; las personas jurídicas, consorcios, uniones temporales, sociedades de hecho y personas naturales comerciantes; independientemente de ser o no contribuyentes del impuesto de industria y comercio en Bogotá D.C., que en el año gravable 2013 hayan obtenido ingresos brutos iguales superiores a ciento ocho millones de pesos ($108.000.000) m/Cte. Deben reportar las Compras de bienes y/o servicios por el año gravable 2013, cuando el monto anual acumulado de los pagos por cada tercero supere los $5.000.000.

Y que las personas jurídicas y otras ...que durante el año gravable de 2013 hayan recibido ingresos brutos superiores a $500.000.000. Deben reportar Información de ingresos recibidos por el  año 2013, por un valor acumulado por tercero superior a $20.000.000. 

Y que los Agentes de retención de industria y comercio deben reportar Información por tercero de los montos retenidos por industria y comercio por el año 2013 independientemente de su monto.

Y si usted no reporta la información del 2013, y es persona jurídica o las demás entidades que indica la Resolución Número DDI 025514 de 2014, y es  contribuyente o no  del impuesto de industria y Comercio en Bogotá y en el año 2013 obtuvo ingresos brutos iguales o superiores a $108.000.000, muy posiblemente tendrá  una sanción, según el artículo 69 del Decreto distrital 807 del 1993, la cual será del cinco por ciento (5%) de las sumas respecto de las cuales no se suministró la información exigida, o se suministró en forma errónea o se hizo en forma extemporánea,  y que no podrán exceder de 15.000 UVT, eso es aproximadamente  COP402.000.000.

Con el fin de facilitar el cumplimiento de esta obligación, laSecretaría Distrital de Hacienda habilitará próximamente el validador para la información vía web, mediante el cual se podrán cargar directamente los archivos requeridos por la resolución y obtener un comprobante de esta operación.Ver más en Medios magnéticos.

¡Evítese sanciones reporte la información¡

Elaborado por 


Decreto 1020 del 28 de mayo de 2014 " Retenciones en la fuente de las Nuevas Pequeñas Empresas según Ley 1429 de 2010"

MINISTERIO DE HACIENDA Y CRÉDITO PÚBLICO
28 de mayo de 2014 

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

En ejercicio de sus facultades constitucionales, en especial las que le confieren los numerales 11 y 20 del artículo 189 de la Constitución Política y

CONSIDERANDO

Que el Decreto 4910 de 2011 reglamentó la Ley 1429 de 2010, Y se requiere fortalecer las medidas de control modificando los requisitos para certificar la calidad de beneficiario de dicha Ley en materia del impuesto sobre la renta y complementarios y de las retenciones en la fuente a título de dicho impuesto.


Que el Decreto 2418 de 2013 en el artículo 4 modificó, entre otras, la tarifa de retención en la fuente sobre otros ingresos para los contribuyentes responsables del impuesto sobre la renta.

Que el artículo 5 del Decreto 260 de 2001, en su redacción refiere a la tasa de retención del artículo 4 del mismo Decreto. En esta medida, la modificación del artículo 4 del Decreto 260 de 2001 introducida por el Decreto 2418 de 2013 implicó la disminución de la tarifa de retención en la fuente a título del impuesto sobre la renta y complementarios aplicable a los pagos o abonos en cuenta por servicios de restaurante, hotel y hospedaje y servicios de arrendamiento de bienes inmuebles y de transporte de pasajeros, del 3.5% al 2.5%. Esta disminución en la tarifa de retención en la fuente no guarda armonía con la carga tributaria final de estos sectores.

Que el Decreto 1159 de 2012, modificado por el Decreto 1101 de 2013, reglamentó el artículo 376-1 del Estatuto Tributario, con el fin de asegurar el control y la eficiencia en el recaudo de los impuestos de renta e IVA. En particular, el Decreto 1159 de 2012 dispuso que la retención en la fuente a título de cualquiera de estos dos impuestos sea practicada por las entidades financieras cuando éstas participen en la operación.

Que la implementación de lo dispuesto en el Decreto 1159 de 2012 por parte de las entidades financieras es una tarea compleja que requiere de múltiples cambios y desarrollos tecnológicos.

Que en razón de lo anterior, es necesario aplazar la entrada en vigencia de las disposiciones del Decreto 1159 de 2012.

Que cumplida la formalidad prevista en el numeral 8 del artículo 8 del Código de Procedimiento Administrativo y de lo Contencioso Administrativo en relación con el texto del presente Decreto.

DECRETA

Artículo 1.- Modifíquese el inciso tercero, del numeral 1 del artículo 4 del Decreto 4910 de 2011 el cual quedará así:

"Para efectos del no sometimiento a retenciones en la fuente a título del impuesto sobre la renta, las Nuevas Pequeñas Empresas creadas en el período gravable, deberán probar ante el agente retenedor la calidad de beneficiarios de la Ley 1429 de 2010, mediante certificado suscrito por el representante legal de la empresa cuando esta corresponda a persona jurídica o por el contribuyente cuando corresponda a persona natural, en el que haga constar bajo la gravedad del juramento, que ostenta la calidad de beneficiario de la Ley 1429 de 2010 porque cumple todos los requisitos exigidos en la Ley y los reglamentos, anexando certificado de la cámara de comercio en el que se constate la fecha del inicio de su actividad económica empresarial conforme con el artículo 1 del presente decreto o sea, la fecha de inscripción en el Registro Mercantil o su renovación y/o copia del RUT en la que conste que la fecha de inicio de actividades corresponde al mismo año gravable en que se realiza la respectiva operación."

Artículo 2. Adiciónese un cuarto inciso al numeral 1 del artículo 4 del Decreto 4910 de 2011 el cual quedará así:

"En el caso de las demás nuevas pequeñas empresas o de las pequeñas empresas preexistentes, para efectos del no sometimiento a retenciones en la fuente a título del impuesto sobre la renta en el respectivo año gravable, el agente retenedor deberá, consultar el Número de Identificación Tributaria - NIT en la página web de la U.A.E - Dirección de Impuestos y Aduanas Nacionales ­DIAN, para comprobar si la empresa conserva o no la calidad de beneficiaria de la Ley 1429 de 2010. En caso de no obtener resultado en dicha consulta, el beneficiario deberá adjuntar los documentos mencionados en el inciso anterior, para efectos de acreditar su calidad de beneficiario del no sometimiento a retenciones en la fuente a título de impuesto sobre la renta."

Artículo 3. Adiciónese un Parágrafo al artículo 4 del Decreto 4910 de 2011, el cual quedará así:
"Parágrafo: Lo dispuesto en el numeral 1 del presente artículo no aplica para la autorretención a título del impuesto sobre la renta para la equidad - CREE, que en todos los casos debe practicarse por parte de los sujetos pasivos de dicho impuesto, independientemente de si son o no beneficiarios de la Ley 1429 de 2010."

Artículo 4.- Los ingresos que perciba el Fondo de Garantías de Instituciones Financieras -FOGAFIN que correspondan a aquellos previstos en el artículo 19-3 del Estatuto Tributario, no estarán sujetos a la autorretención a título del impuesto sobre la renta y complementarios, en concordancia con lo dispuesto en el artículo 369 del Estatuto Tributario.

Artículo 5.- Adiciónese un parágrafo al artículo 4 del Decreto 260 de 2001, modificado por el artículo 1 del Decreto 2418 de 2013:

"Parágrafo 3. Lo previsto en e! presente artículo no aplica para la tarifa de retención en la fuente sobre los pagos o abonos en cuenta percibidos por contribuyentes no obligados a presentar declaración de renta, para los cuales la tarifa es del tres punto cinco por ciento (3.5%) de conformidad con lo dispuesto en el artículo 401 del Estatuto Tributario.

Para efectos de la verificación de la calidad de contribuyente obligado a presentar declaración de renta el beneficiario del pago debe informar si presentó declaración de renta y complementarios por el año gravable inmediatamente anterior o si está obligado a ello, de acuerdo con la normativa vigente."

Artículo 6.- Modifíquese el artículo 5 del Decreto 260 de 2001, el cual quedará así:

"Artículo 5. Pagos no sujetos a retención. A las retenciones previstas en el artículo anterior les son aplicables las excepciones contenidas en las normas vigentes sobre retenciones en la fuente, salvo las que se refieren a los pagos o abonos en cuenta por servicios de restaurante, hotel y hospedaje, los cuales están sujetos a la tarifa de retención del tres punto cinco por ciento (3.5%), siempre que el pago o abono en cuenta sea efectuado en forma directa por una persona jurídica, una sociedad de hecho o una entidad o persona natural que tenga la calidad de agente retenedor.

Los pagos o abonos en cuenta por servicios de arrendamiento de bienes inmuebles y de transporte de pasajeros están sujetos a la tarifa de retención del tres punto cinco por ciento (3.5%).

Parágrafo. Las circunstancias que originan las correspondientes excepciones, así como los hechos que dan lugar a la utilización de bases o tarifas inferiores a las generales señaladas en el artículo 4 de este decreto, deberán ser comunicadas por escrito al agente retenedor, por los beneficiarios de los respectivos pagos o abonos en cuenta."

Artículo 7.- Entrada en vigencia del Decreto 1159 de 2012. Aplácese la entrada en vigencia del Decreto 1159 de 2012 modificado por el Decreto 1101 de 2013, hasta el día primero (1) de junio del año 2017.

Artículo 8.- Vigencia y derogatorias. El presente Decreto rige a partir de la fecha de su publicación y deroga las normas que le sean contrarias.

PUBLÍQUESE y CÚMPLASE.


Dado en Bogotá D. C" a los 28 dias del mes de mayo de 2014.