Diapositiva 1

1
UNIDAD No. 5 ESTUDIO Y EVALUACIÓN DEL CONTROL
INTERNO EN INFORMATICA
2
Control Interno - Definición-

• El Control Interno conforme COSO es un proceso
  integrado a los procesos, y no un conjunto de
  pesados mecanismos burocráticos añadidos a los
  mismos, efectuado por el consejo de la
  administración, la dirección y el resto del
  personal de una entidad, diseñado con el objeto
  de proporcionar una garantía razonable para el
  logro de objetivos incluidos en las siguientes
  categorías
• Eficacia y eficiencia de las operaciones
  (salvaguarda de activos).
• Confiabilidad de la información financiera.
• Cumplimiento de las leyes, reglamentos y
  políticas.
• Cumplimiento de los planes estrategicos

3
Definición del Control Interno
En qué Nivel?
Para Qué?

• Qué?

Control Interno Proceso efectuado por la
Dirección, la alta Gerencia y el resto del
personal
Proporcionar un grado de seguridad razonable
en cuanto a la consecución de los Objetivos
Eficacia y eficiencia de las operaciones
Confiabilidad de la Información Financiera
Cumplimiento de las Leyes y normas establecidas
Cumplimiento de planes estratégicos
Eficacia
4
Aspectos a considerar

• Es un proceso
• No es un hecho aislado, es un conjunto de
  actividades realizadas de forma continua
• Resulta efectivo cuando está integrado en la
  estructura y cultura de la entidad
• Aplicado al definir la estrategia

VISIÓN Y MISIÓN
OBJETIVOS ESTRATÉGICOS
OBJETIVOS DE NEGOCIO
OBJETIVOS DIVISIONES PROCESOS
5
ASPECTOS IMPLÍCITOS EN LA DEFINICIÓN DE CONTROL
INTERNO
CI LO LLEVAN A CABO LAS PERSONAS
CI ES UN PROCESO
CONTROL INTERNO
CI FACILITA LA CONSECUCIÓN DE OBJETIVOS
CI SÓLO PUEDE APORTAR UN GRADO RAZONABLE DE
SEGURIDAD
6
Aspectos a considerar

• Al referirse al control interno como un proceso,
  se hace referencia a una cadena de acciones
  extendida a todas las actividades, inherentes a
  la gestión e integrados a los demás procesos
  básicos de la misma planificación, ejecución y
  supervisión.
• Tales acciones se hallan incorporadas (no
  añadidas) a la infraestructura de la entidad,
  para influir en el cumplimiento de sus objetivos
  y apoyar sus iniciativas de calidad.

7
DEFINICIÓN C.I.elementos-

• Como proceso...
• El control interno es un proceso, es decir, un
  medio para alcanzar un fin y no un fin en sí
  mismo.
• No es un evento o circunstancia sino una serie
  de acciones que permean en las actividades de una
  organización.
• Es una cadena de acciones extendida a todas las
  actividades inherentes a la gestión e integradas
  a los demás procesos básicos de la misma
  planificación, ejecución y supervisión.
• Los controles deben constituirse dentro de la
  infraestructura de la Organización y no sobre
  ella.

8
DEFINICIÓN C.I. elementos-

• Es llevado a cabo por la Dirección y el resto del
  personal...
• Lo llevan a cabo las personas que actúan en
  todos los niveles, no se trata solamente de
  manuales de organización y procedimientos. Cada
  individuo dentro de la Organización tiene algún
  rol respecto al control interno.
• Es ejecutado por la gente de una Organización a
  través de lo que ellos hacen y dicen. La gente
  diseña los objetivos de la entidad y establece
  los mecanismos de control.
• La Dirección es responsable de la existencia de
  un eficaz y eficiente sistema de control. Aunque
  los directores tienen como obligación primaria la
  vigilancia del control, también proporcionan
  directrices y aprueban ciertas transacciones y
  políticas.

9
DEFINICIÓN c.i. elementos-

• Proporciona una seguridad razonable...
• Sólo puede aportar un grado de seguridad
  razonable, no la seguridad total, a la
  conducción.
• No asegura con certeza el cumplimiento de los
  objetivos de la Organización, sino que contribuye
  a ello.
• No importa lo bien diseñado que esté el sistema
  de control, lo más que se puede esperar es que
  proporcione una seguridad razonable.

10
DEFINICIÓN C.I. elementos-

• Eficacia del Sistema de Control Interno
• La eficacia del control interno se puede dar en
  tres niveles distintos.
• Dispone de la información adecuada sobre hasta
  qué punto se están logrando los objetivos
  operacionales de la Unidad.
• Se prepara de forma fiable la información
  financiera de la misma.
• Se cumplen las leyes y normativa a las que se
  encuentra sujeta. Si bien el control interno es
  un proceso, su eficacia es el estado o la
  situación del proceso en un momento dado.
• Está pensado para facilitar la consecución de
  objetivos ESTRATEGICOS en una o más de las
  categorías señaladas las que, al mismo tiempo,
  suelen tener puntos en común.

11
Metodos de Evaluación del C.I.

• La evaluación del control interno se puede
  realizar mediante
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo

12
La administración de riesgos

• Es uno de los nuevos vocablos que han emergido en
  el ambiente empresarial durante los últimos años,
  esto significa la aplicación de metodologías de
  gestión de riesgo en todos los aspectos del
  negocio, incluyendo la creación de ganancias, así
  como la prevención de pérdidas.
• Es en una herramienta que ayuda en el proceso de
  toma de decisiones. No sólo convierte la
  incertidumbre en oportunidad, sino que evita el
  suicidio financiero y catástrofes de graves
  consecuencias.

13
(No Transcript)
14
Eventos, Riesgos y Oportunidades

• Un evento es un incidente o acontecimiento
  procedente de fuentes internas o externas que
  afecta la consecución de objetivos y que puede
  tener un impacto negativo o positivo o de ambos
  tipos a la vez.
• Se dice o se define el riesgo como la
  posibilidad de que un evento ocurra y que
  provocará que se afecte negativamente el logro de
  los objetivos que se han establecido.

15
Eventos, Riesgos y Oportunidades

• Los eventos pueden tener un impacto negativo o
  positivo en la consecución de los objetivos, o de
  ambos tipos a la vez. Los que tienen un impacto
  negativo representan riesgos que puedan impedir
  creación de valor o erosionar el valor existente.
  
• Los eventos con impacto positivo pueden compensar
  los impactos negativos o representar
  oportunidades, que derivan de la posibilidad de
  que ocurra un acontecimiento que afecte
  positivamente al logro de los objetivos, ayudando
  a la creación de valor o a su conservación. La
  dirección canaliza las oportunidades que surgen,
  para que reinviertan en la estrategia y el
  proceso de definición de objetivos y formula
  planes que permitan aprovecharlas.

16
QUÉ ES RIESGO?

• Es la probabilidad de que un impacto adverso
  afecte los resultados o el capital de nuestra
  empresa.
• El Riesgo se mide en términos de impacto y
  probabilidad.

17

• Probabilidad de ocurrencia.
• Impacto de las consecuencias potenciales.

IMPACTO Consecuencia (s) de un evento, expresado
ya sea en términos cualitativos o cuantitativos.
También es llamado Severidad.
PROBABILIDAD La posibilidad de la ocurrencia de
un evento que usualmente es aproximada mediante
una distribución estadística. En ausencia de
información suficiente, se puede aproximar
mediante métodos cualitativos.
18

• El riesgo comienza con la formulación de
  estrategias y definición de objetivos.
• El riesgo no representa una situación puntual
  única (por ejemplo, el resultado más probable).
  Sino más bien, una gama de resultados posibles.
• Los riesgos pueden estar relacionados con el
  hecho de evitar que sucedan cosas negativas o
  pueden garantizar que ocurran eventos positivos.
• Los riesgos son inherentes a todos los aspectos
  de la vida es decir, siempre hay incertidumbre,
  hay uno o más riesgos.

19
Marcos de Control (Estándares Internacionales)
para la Evaluación del Control Interno en el Mundo

• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA
• Vienot Francia
• Peters Holanda

El marco COSO ha sido adoptado en los EE.UU,
por el Banco Mundial y otros organismos
financieros a través del mundo.
20
El informe COSO

• COSO COmmittee of Sponsoring Organizations of
  the Treadway Commission)
• El Sistema Integrado de Control Interno, es un
  informe que establece una definición común de
  control interno y proporciona un estándar
  mediante el cual las organizaciones pueden
  evaluar y mejorar sus sistemas de control.
• Surge como una forma de solucionar la diversidad
  de conceptos, definiciones e interpretaciones
  existentes en torno al control interno.

21

• Formada por cinco organizaciones
• Financial Executives International
• Institute of Internal Auditors
• American Institute of Certified Public
  Accountants
• Institute of Management Accountants
• American Accounting Association

Reconocido como el estándar internacional para un
marco integrado de control interno
22
El Informe COSO

• Existen en la actualidad 3 versiones del Informe
  COSO.
• La versión del 1992 COSO I Marco Integrado de
  Control Interno
• La versión del 2004 COSO II ERM Enterprise Risk
  Managment Gestión Integral de Riesgos
• Julio de 2006 COSO III Control Interno sobre el
  Reporte Financiero- Guía para empresas pequeñas
  públicas

23
Componentes del COSO-ERM
Objetivo Nuevo
Componente Ampliado
Componente Ampliado
Componente Ampliado
Nuevo Componente
Componente Ampliado
Nuevo Componente
Nuevo Componente
Componente Ampliado
Considera las actividades de todos los niveles
de la organización
24
Definición de ERM

• Es un proceso dinámico
• Realizado por personas
• Aplicado como parte de un establecimiento de
  estrategias
• Aplicado a través de toda la empresa
• Diseñado y enfocado a identificar eventos, no
  solamente riesgos
• Diseñado para mantener acciones y administrar
  riesgo dentro del apetito de riesgo
• Proporciona seguridad razonable a la Dirección y
  Junta Directiva
• Enfoque El logro de objetivos

25
Beneficios de COSO ERM

• Proporciona un marco integral del control interno
  y herramientas de valuación para evaluar el
  sistema de control
• Alinea el apetito de riesgo con la estrategia
  corporativa
• Proporciona respuestas integradas a los múltiples
  riesgos
• Mejora el nivel de las respuestas al riesgo
• Reduce la posibilidad de sorpresas y pérdidas
• Identifica y administra los riesgos a nivel
  corporativo
• Prepara a la empresa para tomar ventaja de las
  oportunidades
• Ayuda a mejorar el uso del capital disponible

26
Componentes Claves del ERM
Ambiente de Control
Establecimiento de objetivos
Identificación de eventos
Evaluación de Riesgos
Respuestas al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
27
Aspectos Básicos a cubrir en la Evaluación del
Control Interno Informático
28
1. ORGANIZACIÓN DEL DEPARTAMENTO

• ASPECTOS A CUBRIR
• 1.1 Diagrama de organización
• 1.2 Presupuesto de personal
• 1.3 Diagrama de configuración del sistema
• 1.4 Control sobre paquetes de software
• 1.5 Existencia de
• - Contratos con los proveedores
• - Definición de características técnicas
• 1.6 Existencia de reporte de todos los programas
  y aplicaciones en uso.

29
2. SEGUROS, CONTRATOS, MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR 2. 1 Pólizas de
seguros Equipos Programas Medios de
almacenamiento 2.2 Riesgos cubiertos 2.3 Vigencia
de seguros 2.4 Contratos de proveedores Condicion
es de uso del equipo Uso de tiempo CPU Uso de
paquetes Respaldo y garantía ofrecida Soporte
técnico 2.5 Servicios de mantenimiento 2.6
Fianzas de fidelidad
30
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR 3.1 Existencia de manuales de
normas y procedimientos - Para cada puesto del
centro de procesamiento. 3.2 Separación de
funciones entre Operación del
computador. Análisis Programación 3.3 Accesos
restringidos a los programadores para operar el
sistema. 3.4 Acceso restringido a operadores del
computador a Datos Diseño de archivos Diseño
de registros
31
4. POLITICAS DE SEGURIDAD
ASPECTOS A CUBRIR 4.1 Existencia de planes de
contingencia. 4.2 Convenios de respaldo de
equipos. 4.3 Instrucciones para usos de locales
alternos 4.4 Conocimiento con indicación de
archivos críticos. 4.5 Prioridades para
recuperación de registros. 4.6 Existencia fuera
del centro de Programas fuentes Copias
actualizadas de los principales archivos Copias
del sistema operativo Procedimientos de
programas operativos Planes de
contingencia Documentación de programas. 4.7
Políticas de respaldo 4.8 Contraseña para operar
el sistema 4.9 Existencia documentada de
investigación de procesos.
32
5. SISTEMAS Y MEDIDAS DE SEGURIDAD
ASPECTOS A CUBRIR 5.1 Procedimientos escritos
del sistema de seguridad. 5.2 Localización del
centro 5.3 Acceso al centro 5.4 Construcción
del edificio 5.5 Registro para el ingreso de
personas 5.6 Uso de gafetes de
identificación 5.7 Vigilancias y alarmas 5.8
Dispositivos para detectar calor, fuego,
y humo, imanes 5.9 Existencia de
extinguidores 5.10 Estado de equipo de aire
acondicionado 5.11 Localización de cables de
electricidad e interruptores 5.12 Entrenamiento
de personal para atender emergencias 5.13 Otros.
33
6. PROGRAMAS DE CAPACITACION
ASPECTOS A CUBRIR 6.1 Plan de capacitación
constante para el personal 6.2 Registro de
adiestramiento que se ha dado a cada persona. 6.3
Programas de rotación de funciones 6.4 Control
sobre trabajo y desempeño del personal.
34
7. RECEPCION DE TRABAJOS
ASPECTOS A CUBRIR 7.1 Que la recepción de trabajo
se efectúe en base a Ordenes de
trabajo Registros adecuados Volantes. 7.2
Comprobar que los registros de recepción
contengan Hora de recepción. Número
correlativo de orden de trabajo Descripción del
trabajo Copias en que solicita el reporte. 7.3
Existencia de cifras de control 7.4 Persona
autorizada para entregar trabajos
35
8. CONTROL DE CALIDAD

• ASPECTOS A CUBRIR
• 8.1 Cotejo de totales entrada/salida
• 8.2 Verificación de listados de errores o
  inconsistencias
• 8.3 Estadísticas por aplicación de errores
  detectados
• 8.4 Norma sobre la calidad de impresión exactitud
  de los datos
• 8.5 Número de copias de los reportes (autorizadas)

36
9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR 9.1 Directorio de usuarios 9.2
Lista de usuarios autorizados para retirar
información 9.3 Controles sobre el envío de
reportes 9.4 Chequeos para asegurar que el
reporte producido corresponda con el
solicitado 9.5 Control sobre las ordenes de
trabajo no retiradas 9.6 Protección de la
información previo entrega al usuario
37
10. CAPTURA DE DATOS
ASPECTOS A CUBRIR 10.1 Forma de recepción de
los trabajos 10.2 Criterios para asignar
tareas Experiencia del personal en determinados
trabajos Cargas de trabajo Grado de dificultad
de trabajo 10.3 Formas de reportar los errores
detectados en la captura 10.4 Protección de
documentos fuente 10.5 Supervisión del personal
38
11. PROCESO DE DATOS
ASPECTOS A CUBRIR 11.1 Formas de controlar las
órdenes de trabajo 11.2 Existencias de los
manuales de operación de cada aplicación 11.3
Reportes de tiempos utilizados 11.4 Registros del
mantenimiento de equipos
39
12. CINTOTECA

• ASPECTOS A CUBRIR
• 12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los
  dispositivos de almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre
• Cintas
• Discos
• Otros
• Control sobre
• Antigüedad, condiciones de uso y estado de los
  dispositivos de almacenamiento.
• Control sobre el préstamo de dispositivos de
  almacenamiento.

40
Tarea Elabore en grupo la aplicación de los tres
métodos de evaluación del Control
Interno Informático por cada area.