I.U.P Santiago Mariño
Giancarlo Ciarrocchi
C.I: V-26.560.071
Escuela 47: Ing. de Sistemas
Auditoría y Evaluación de Sistemas
20% Corte ll
Fecha de Publicación: 30-11-2021.
1. CONTROL INTERNO
REALIZADO POR: GIANCARLO CIARROCCHI
C.I: V-26.560.071
ING. DE SISTEMAS
I.U.P SANTIAGO MARIÑO “EXTENSIÓN MARACAIBO”
AUDITORIA Y EVALUACIÓN DE SISTEMAS
DOCENTE: DIOGENES RODRIGUEZ
2. CONCEPTO DE
CONTROL INTERNO.
Es el conjunto de acciones,
actividades, planes, políticas,
normas, registros, procedimientos y
métodos, incluido el entorno y
actitudes que desarrollan
autoridades y su personal a cargo,
con el objetivo de prevenir
posibles riesgos que afectan a una
entidad pública.
3. CONTROL INTERNO INFORMÁTICO.
El control interno informático
controla diariamente que todas las
actividades de sistemas de
información sean realizadas
cumpliendo los procedimientos;
estándares y normas fijados por la
Dirección de la Organización y/o
Dirección de Informática, así como
los requerimientos legales.
4. COMPONENTES DEL
CONTROL INTERNO.
Los controles internos abarcan cinco componentes
clave que se indican a continuación:
• Entorno (o ambiente) de control.
• Proceso de valoración del riesgo de la entidad.
• Sistemas de información.
• Actividades de control.
• Seguimiento (o monitoreo) de los controles.
5. ENTORNO (O AMBIENTE) DE CONTROL
Este componente es la base para el resto de los componentes del control; un ambiente de control débil
origina que, sin importar el adecuado diseño del resto de los componentes, no se pueda confiar
totalmente en estos. El ambiente de control fija el nivel de disciplina y estructura que hay en la empresa.
Algunas áreas clave al analizar este componente por parte del auditor se enlistan a continuación:
• Integridad y valores éticos. Existe en la empresa desde la alta dirección hasta los niveles iniciales de
personal un compromiso con valores de integridad y éticos, tanto en palabras como en hechos, con lo
cual se busca desincentivar cualquier tipo de conducta inapropiada.
• Compromiso con la competencia. La empresa toma medidas para que su personal operativo y
directivo conozca cómo realizar su trabajo de una manera eficiente y adecuada.
• Participación efectiva de los responsables del gobierno de la entidad. Existen órganos
independientes que efectivamente estén vigilando el adecuado funcionamiento de la empresa.
• Estructura organizacional y asignación de autoridad y responsabilidad. Existe una estructura
organizacional adecuada para llevar a cabo los objetivos, definiéndose los niveles de autoridad y
responsabilidad para cada uno de los elementos de esta estructura.
6. PROCESO DE VALORACIÓN DE RIESGO DE LA
ENTIDAD
El componente del proceso de valoración de riesgo de la entidad consiste en que el auditor
evalúe lo adecuado del proceso interno de la entidad para identificar los riesgos de negocio
de la empresa (relevantes para la información financiera), las estimaciones de la importancia
de los mismos, la evaluación de la probabilidad de ocurrencia y la toma de decisiones respecto
a dichos riesgos.
El proceso de valoración del riesgo brinda a la empresa la información que necesita para
determinar qué riesgos de negocio y de fraude deben atenderse, y en su caso, las medidas a
tomar. Estará a decisión de la empresa realizar las gestiones para tratar riesgos específicos o, en
su caso, asumir dichos riesgos, debido al costo beneficio que implica mitigarlos o eliminarlos.
El proceso de valoración de riesgo normalmente trata las siguientes cuestiones: cambios en el
entorno operativo, nuevas tecnologías, crecimiento rápido, contrataciones de personal de alta
dirección, nuevos modelos de negocio, productos o actividades.
En caso de que se identifiquen riesgos de incorrección material no identificados por la
administración, el auditor deberá cuestionar las razones por las cuales fallaron los procesos de la
administración de la empresa para detectarlos y si dichos procesos son adecuados a las
circunstancias.
7. SISTEMAS DE INFORMACIÓN
Un sistema de información se integra por la infraestructura, software, personas, procedimientos y datos
con los que cuenta un negocio o empresa para dirigirla, alcanzar sus objetivos e identificar y responder a
los factores de riesgo.
El auditor deberá analizar primordialmente los sistemas de información relacionados con la información
financiera; en particular los sistemas relacionados con los procesos operativos (de negocio) tales como:
ventas, compras, nóminas, producción, etc.; así como los sistemas de contabilidad que son donde se
asientan los registros contables correspondientes.
Al analizar los sistemas de información como parte del proceso de evaluación de los componentes del
control interno, deberá considerarse lo siguiente:
Identificar las fuentes de información utilizadas. En este punto deberán analizarse los tipos de
transacciones significativas para los estados financieros, cómo se originan, qué registros contables se
generan y cómo captan los sistemas los hechos y condiciones significativos para los estados financieros
Captación y proceso de información. En este punto deberán identificarse los procesos de información
financiera para las transacciones habituales y no habituales, así como la inclusión de estimaciones
contables y/o revelaciones significativas.
Utilización de la información generada. En este punto se analizará la forma de comunicar por la empresa
la información financiera, los informes resultantes y su utilización en la empresa, así como los informes a los
responsables del gobierno de la empresa y a terceros, tales como las autoridades regulatorias.
Debido al alto nivel y complejidad actual de los sistemas de información, principalmente en empresas de
gran tamaño, puede ser conveniente que, en el proceso de evaluación de este componente, el auditor
se apoye en el trabajo de especialistas de Tecnología de Información (TI).
8. ACTIVIDADES DE CONTROL
Las actividades de control pueden clasificarse en los siguientes cuatro tipos:
• Preventivos. Controles para evitar errores o irregularidades.
• De detección. Controles para identificar errores o irregularidades después de que hayan ocurrido para tomar medidas
correctivas.
• De compensación. Controles para brindar cierto grado de seguridad cuando es incosteable la aplicación de otros controles
más directos. Ejemplos: segundas firmas, supervisión de terceros, supervisión selectiva interna, etcétera.
• De dirección. Controles para orientar al personal hacia los objetivos deseados, por ejemplo, las políticas y los
procedimientos.
Algunos controles comunes a nivel del proceso operativo incluyen temas como los siguientes:
Segregación de funciones: donde reduce la oportunidad de que una persona por sí misma pueda llevar a cabo u ocultar errores
o fraudes.
Controles de autorizaciones: define quién tiene la autoridad para aprobar diversas transacciones, comunes o no comunes.
Conciliaciones de cuentas: incluye preparar y revisar conciliaciones oportunamente y tomar decisiones sobre posibles diferencias.
Controles de aplicación e TI: estos se incluyen en las aplicaciones de los sistemas de información, los cuales son automatizados o
parcialmente automatizados.
Revisión de resultados reales: comparar los resultados reales contra los presupuestados y periodos anteriores, así como analizar
comportamientos inesperados de los resultados.
Controles físicos: están relacionados con la seguridad física de los activos, acceso a instalaciones, registros contables, sistemas de
información, archivos de datos, etcétera.
9. SEGUIMIENTO (O MONITOREO) DE LOS CONTROLES
El seguimiento o monitoreo evalúa la eficacia de la ejecución del
control interno en el tiempo y su objetivo es asegurarse de que los
controles trabajen adecuadamente o, en caso contrario, tomar las
medidas correctivas necesarias. El seguimiento le permite a la
dirección de la empresa saber si los controles internos son eficaces,
están implementados adecuadamente, se usan y se cumplen
diariamente, o si necesita modificaciones o mejoras.
El seguimiento se da por la dirección de la empresa, mediante
actividades periódicas, evaluaciones específicas o una
combinación de ambas. Asimismo, el seguimiento de la dirección
puede incluir el uso de información externa que pueda resaltar
problemas o áreas de oportunidad: quejas de clientes,
comentarios de organismos terceros e informes de auditores
externos o consultores sobre al control interno.
10. TIPOS DE CONTROLES INTERNOS.
El control interno de la empresa es una
pieza fundamental para alcanzar mejores
resultados, evitar el derroche de recursos
y enfocar los esfuerzos en las áreas y
tareas estratégicas para crecer el
negocio.
Ante esto, te exponemos los tres
principales tipos de control interno que te
ayudarán a mejorar las operaciones de tu
negocio y a cuidar los recursos, esfuerzos
y ambiente laboral dentro de tu empresa.
Estos controles ayudan a la prevención,
detección y corrección de errores y
riesgos. >>>
1. Control interno preventivo.
2. Control interno de detección.
3. Control interno correctivo.
11. CONTROL INTERNO PREVENTIVO
Este tipo de control tiene como objetivo prever riesgos de errores o fraudes; es decir, se utiliza
para evitar que ocurra un evento que afecte los objetivos de la organización y ayude a
prevenir la pérdida de activos.
El primer paso para implementar un control interno preventivo es establecer la visión y misión de
la empresa, acompañada de un código de conducta en el cual se pongan las reglas claras de
lo que la organización espera de cada uno de sus colaboradores.
Después, se requiere definir y delimitar cada uno de los puestos de trabajo, de esa forma, se
tendrán claras las responsabilidades de todos los integrantes de la compañía.
Un punto muy importante a tomar en cuenta es conocer los antecedentes de los
colaboradores, proveedores y clientes, para verificar que correspondan con los valores de la
empresa para lograr relaciones a largo plazo.
La división de responsabilidades también es clave para un control preventivo. Se deben separar
las funciones en diversas áreas y personas y establecer procesos operativos bien definidos.
Algo que debes considerar es contar con un software que ayude a los integrantes de tu
organización a llevar los controles de sus funciones.
Considera que existe la probabilidad que los controles preventivos fallen por lo que necesario
contar con controles de detección.
12. CONTROL INTERNO DE DETECCIÓN
Este tipo de control ayuda a identificar errores que no fueron cubiertos por los
controles preventivos y ayudan a detectar irregularidades en conciliaciones
bancarias, recuentos de inventario físico, registro de activos y el cumplimiento
en las obligaciones fiscales.
La función de dicho control es detectar alguna variación significativa en los
informes de las diversas áreas para que la administración pueda calcular los
posibles costos y llevar a cabo una acción correctiva.
Los controles de detección pueden enfocarse en:
• Supervisión
• Revisión de registros
• Auditorías de sistemas
• Archivos comprobadores de integridad
En los procesos operativos, estas tareas de detección las puedes realizar a
través de software específico, el cual podrá ponerte en alerta ante una
posible falla dando paso a la aplicación de medidas correctivas para evitar
daños como la pérdida de activos, recursos e incumplimiento de políticas.
13. CONTROL INTERNO CORRECTIVO
Es necesario que tu negocio implemente controles correctivos para solucionar los
problemas que fueron detectados cuando el control preventivo falló.
Se trata de la corrección de algo no deseado. Cuando se identifica un error o
irregularidad, las actividades de control correctivo deben ofrecer soluciones y
establecer nuevas medidas para evitar errores.
Las acciones correctivas son el establecimiento de un monitoreo constante de las
áreas que han resultados afectadas, con el objetivo de verificar que no se presente el
mismo problema a futuro.
Algunas empresas impulsan el uso de buzones o medios de denuncia en donde los
colaboradores pueden comunicar ciertas prácticas fuera de lo normal y que
contravienen las políticas de la compañía.
De igual forma, la aplicación de revisiones o auditorías de sorpresa, para evitar que
algún colaborador intente tapar ciertas irregularidades.
En la organización la comunicación debe ser fluida, constante y transparente para
que genere confianza en todos los integrantes.
Los controles ayudan a mantener una empresa organizada respecto a su información
financiera y administrativa, así como en cada parte de sus operaciones; de esta
manera, la competitividad y productividad del negocio aumenta.
Toma en cuenta que ya existen software que pueden ayudarte a tener un mejor
control de tus actividades, los cuales facilitarán mucho el seguimiento y cumplimiento
de las normas que tu negocio implemente de acuerdo a los objetivos que persigue.
14. GESTIÓN DE SISTEMAS DE
INFORMACIÓN.
Los gerentes utilizan un sistema de gestión de información para crear
informes que les proporcionen una visión completa de toda la información
que necesitan para tomar decisiones que van desde pequeños detalles
diarios hasta una estrategia de nivel superior. Los sistemas actuales de
gestión de la información se basan en gran medida en la tecnología para
recopilar y presentar datos, pero el concepto es más antiguo que las
tecnologías informáticas modernas.
Un sistema de gestión de
información (MIS, por sus
siglas en inglés) es un
conjunto de sistemas y
procedimientos que
recopilan información de
una variedad de fuentes, la
compilan y la presentan en
un formato legible.
15. INFORME DE AUDITORÍA.
El informe de auditoría es un informe realizado por un auditor externo donde expresa una
opinión no vinculante sobre las cuentas anuales o estados financieros que presenta una
empresa.
Por tanto, es el informe resultante de una auditoría contable, que es el proceso sistemático de
revisión de las cuentas anuales de una empresa, con el fin de comprobar que estas reflejen la
imagen fiel de la misma.
Hay varios factores a tener en cuenta para entender cómo funcionan los informes de auditoría:
• El auditor puede ser tanto una persona física como jurídica. En este último caso, es una
empresa dedicada a la auditoría.
• El auditor debe ser externo. Un auditor puede ser externo (si no pertenece a la empresa) o
interno (si pertenece a la misma). Ambos pueden realizar informes de auditoría, pero los
realmente válidos son los realizados por las auditorías externas. Los internos son un mero
mecanismo de control dentro de la propia organización.
• El informe de auditoría expresa una opinión no vinculante del auditor. Es decir, el auditor
expresa su opinión acerca de las cuentas anuales de la empresa. Este informe, por tanto,
expresa la percepción del auditor; no es ninguna verdad absoluta, y por tanto no es vinculante.
Sin embargo, como veremos en el último apartado, en muchas ocasiones estos informes se
tienen en cuenta como algo más que una opinión.
• Versan sobre las cuentas anuales o estados financieros. Los estados que se auditan son el
balance, la cuenta de resultados, el estado de cambios en el patrimonio neto y el estado de
flujos de efectivo.
16. UTILIDAD DEL CONTROL
Se dice que la función de control es efectiva cuando le permite a la empresa o a las unidades
en las que se aplica:
1. Corregir fallas y errores. El control debe detectar e indicar errores de planeación,
organización o dirección.
2. Prever fallas o errores futuros. El control, al detectar e indicar errores actuales, debe prevenir
errores futuros, ya sean de planeación, organización o dirección.
Además, como se entiende que hasta el mejor de los planes se puede desviar, el control se
emplea, entre otras, para:
• Conseguir una mejor calidad. Las fallas del proceso se detectan y el proceso se corrige para
eliminar errores.
• Enfrentar el cambio. Este forma parte ineludible del ambiente de cualquier organización.
• Producir ciclos más rápidos (eficiencia). Los clientes de la actualidad no solo esperan
velocidad, sino también productos y servicios a su medida.
• Agregar valor. Los tiempos veloces de los ciclos son una manera de obtener ventajas
competitivas.
• Facilitar la delegación y el trabajo en equipo. La tendencia contemporánea hacia la
administración participativa también aumenta la necesidad de delegar autoridad y de
fomentar que los empleados trabajen juntos en equipo.
17. CARACTERÍSTICAS DEL CONTROL.
• Integral: Asume una perspectiva integral de
la organización, contempla a la empresa en
su totalidad, es decir, cubre todos los
aspectos de las actividades que se
desarrollan en la misma.
• Periódico: Sigue un esquema y una
secuencia predeterminada.
• Selectivo: Debe centrarse solo en aquellos
elementos relevantes para la función u
objetivos de cada unidad.
• Creativo: Continúa búsqueda de índices
significativos para conocer mejor la realidad
de la empresa y encaminarla hacia sus
objetivos.
• Efectivo y Eficiente: Busca lograr los
objetivos marcados empleando los recursos
apropiados.
• Adecuado: El control debe ser acorde
con la función controlada, buscando las
técnicas y criterios más idóneos.
• Adaptado: A la cultura de la empresa y
a las personas que conforman parte de
ella.
• Motivador: Debe contribuir a motivar
hacia el comportamiento deseado más
que a coaccionar.
• Servir de Puente: Entre la estrategia y la
acción, como medio de despliegue de la
estrategia en la empresa.
• Flexible: Fácilmente modificable con
capacidad de cambio.
18. CICLO DE APLICACIÓN DEL
CONTROL.
• Fase 1: Establecer estándares. En esta fase inicial se afinan
y definen los parámetros de medición o evaluación, sin los
cuales sería imposible saber qué tan bien o mal sale el
producto. Esto implica cuatro tipos de estándares: de cantidad
(volumen de producción, cantidad de existencias, etc.), de
calidad (exactitud, logro del producto), de tiempo (tiempos de
producción) y de costos (costo de ventas, costos de
producción, etc.).
• Fase 2: Evaluación del desempeño. La medición
propiamente dicha de los procesos organizacionales.
• Fase 3: Comparación de desempeño. Se cotejan los
márgenes esperados del desempeño con aquellos obtenidos,
se los compara con los estándares iniciales para determinar el
margen de éxito u error.
• Fase 4: Acción correctiva. Se elabora un informe que
registre todo lo anterior y se arrojan las acciones necesarias
para mejorar o perfeccionar el proceso, como determinar a
qué altura de la estructura empresarial están los problemas y
cuáles son sus posibles soluciones.
19. PASOS PARA LA IMPLANTACIÓN DE UN SISTEMA
DE CONTROLES INTERNOS INFORMÁTICOS.
Fase 1: Crear una cultura del control mediante la comunicación, la
motivación y la capacitación.
Fase 2: Recabar información Una vez hemos introducido la cultura del
control entre los miembros de la organización, llega el momento de
recolectar datos.
Fase 3: Clasificar la información obtenida.
Fase 4: Diagnosticar.
Fase 5: Revisar los procedimientos.
Fase 6: Evaluar el control interno y de gestión.
Fase 7: Implementar, hacer seguimiento y ajustar.
Fase 8: Evaluar indicadores y realizar más ajustes.
Otra vía de evaluación que se emplea frecuentemente son los sistemas de
administración de riesgos, en base a los cuales se pueden construir
tableros de mando visuales, en términos numéricos y con colorimetría.
20. RIESGOS INFORMÁTICOS PRESENTES EN UNA
ORGANIZACIÓN.
Los riesgos informáticos son un problema de vital importancia para las empresas
tecnológicas, por ello se han de conocer de antemano los tipos de riesgos
informáticos a los que nos enfrentamos:
Problemas con el control de acceso a las aplicaciones tecnológicas: en muchos
caso se ha de controlar mejor el acceso a las aplicaciones tecnológicas de los
trabajadores por parte de la empresa.
Vulnerabilidades web: Estas vulnerabilidades van desde la divulgación de
información hasta una vulnerabilidad por desbordamiento de búfer que se
puede explotar de forma remota.
Problemas de formación: se detectan en muchas empresas problemas con la
formación con respecto a la protección de riesgos tecnológicos.
Falta de procesos de gestión de incidentes de seguridad: en muchos casos no
existen procesos para la gestión de incidentes de seguridad estandarizados y
son necesarios en caso de que pudieran surgir para poder resolverlos con
rapidez y precisión.
Desarrollo de software seguro: en muchos casos se desarrolla software que no es
todo lo seguro que debería y termina por provocar problemas de seguridad en
el futuro.
21. Existen todavía muchos más riesgos informáticos que
los citados anteriormente, por ello se ha de estudiar la
situación y detectarlos para evitar problemas futuros.
La gestión de riesgos es de suma importancia para
evitar problemas internos, problemas con clientes o
pérdidas innecesarias.
Una vez se haya establecido un buen plan de gestión
de riesgos informáticos habrá de ser debidamente
comunicado y explicado a todos los trabajadores para
que puedan aplicarlo de forma correcta. Habrán de
impartirse formaciones o cursos en caso de que los
trabajadores así lo precisen para evitar problemas en
la implantación del plan de gestión de riesgos.
El entorno donde se mueve cada empresa así como
las debilidades que puedan surgir son muy variables,
por ello el análisis por parte de profesionales es de
suma importancia. Los software de gestión de riesgos
son una de las herramientas claves para implementar
un plan de gestión de riesgos y facilitar las tareas y las
medidas de cara al equipo de trabajo.