CASO 1

Empresa: Publica

La empresa donde laboro, cada ao conforma un grupo de evaluacin de riesgos donde

participan funcionarios (operativos) de diferentes reas. De las reuniones se crean un
documento con los riesgos, sus implicaciones y los controles que se deben realizar para
disminuir la ocurrencia de dichos eventos. El manual o recopilacin de esta informacin es
entregada a control interno.

Despus de entregar la informacin a control interno no se vuelve a hablar del tema, ya que las
personas que conforman el grupo inicial de evaluacin, continua en sus actividades cotidianas y
las personas que conforman control interno nunca realizan supervisin sobre la aplicacin o
implementacin de los controles que se deben estar aplicando en las diferentes reas.

Las razones por las cuales sucede esto, es el continuo cambio de coordinadores de las
diferentes direcciones, ya que por lo general todos los estudios son conocidos por la parte
operativa, ms no por los directivos, ya que estos solo se preocupan por su puesto transitorio,
ms no por la institucin.

Por lo anterior, considero que para el funcionamiento e implementacin de una estructura de

control interno, es muy importante que los directivos de la empresa publica o privada brinden
su apoyo total, delegando la responsabilidad de estas funciones a cada uno de los coordinadores
de las diferentes reas funcionales de la institucin, de tal manera que se permita cumplir con
las polticas y controles definidos en cada rea de la institucin..

La falta de la aplicacin de los procesos de control interno, hace que la institucin no cumpla de
manera optima con los objetivos de cada rea y en consecuencia los institucionales, dejando
en entre dicho, el trabajo ejecutado por las diferentes administraciones.

CASO 2

El caso a presentar es de un organismo Pblico, y respecto de los controles internos mal

aplicados, normalmente son producidos por falta de normativa respecto de las responsabilidades
de cada uno y de los aportes que deben realizar con el fin de mejoramiento continuo de todo el
proceso de control:
Esta falta de normativas escritas y con conocimiento de todos los involucrados genera en el
mbito del rea informtica, los siguientes inconvenientes:
Sobre las aplicaciones:

El control sobre la captura de datos de las aplicaciones son realizadas en casi la totalidad de las
veces por el desarrollador, al no existir una normativa de prueba de aplicaciones, por ejemplo
designando otros desarrolladores, personal de operaciones, etc, que puedan presentar las
alternativas tanto para las validaciones de datos, orden y claridad de men y submenues,
presentacin de los campos y leyendas aclaratorias, generaciones de muestras con informacin
atpica con el objeto de detectar inconvenientes, etc.
Tambin al no existir registro de sistemas, no se tiene constancia de la documentacin del
Sistema as como de los cambios, su autor, etc.
Controles Fsicos:

Tambin son afectados por falta de normativa escrita, y se visualizan en la dualidad de

mecanismos de seguridad en el ingreso fsico. Para el ingreso al rea informtica, se cuenta con
tarjetas de aproximacin mediante la cual se registran ingresos y salidas del personal de planta,
pero no se documenta el ingreso y salida de personal externo al rea con lo que no se podran
relacionar los posibles problemas de seguridad con personal externo al mbito de trabajo.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Adicionalmente al tema de controles de ingreso al ambiente de trabajo, no existe ningn medio
de seguridad en el ingreso al centro de procesamiento de datos, ya sea por ejemplo con puerta
con apertura por cdigo de seguridad o tarjeta.
Respecto de los controles de seguridad de acceso a ficheros, directorios, equipos, si bien se
encuentran implementados con claves de acceso y logs de seguridad, no se encuentra
implementado un plan de contingencias que involucre la remisin de respaldos de la
informacin a otro edificio, y entre otras cosas el buscar un Centro de Cmputos de respaldo
con las correspondientes pruebas de procesamiento y ejecucin realizada que permita dar una
alternativa de procesamiento y comunicaciones.

CASO 3

Organizacin: Privada
Asunto: Organizacin con ms de 50 empleados donde existe una estructura piramidal, la
administracin y el manejo financiero de la empresa recaen sobre la misma persona, la cual
cuenta con un nmero de asistentes.

Situacin: Todas las actividades de administracin las aprueba la misma persona, es decir
contrataciones, compras, manejo de caja menor, etc.
Todas los registros contables los aprueba la misma persona.
El control de cobro de cartera lo controla la misma persona.
La facturacin lo aprueba la misma persona.

Problema:
Si todas las actividades de administracin y Manejo financiero de la organizacin esta en cabeza
de una misma persona quien controla?.

CASO 4

Empresa Pblica
Area: Departamento de Informtica

Pienso que el caso que voy a presentar, representa en forma precisa las consecuencias que
pueden acarrear cuando una entidad o departamento no cuenta con un buen control interno que
permita asegurar, de manera razonable, como dice la definicin, el cumplimiento de sus
objetivos.

Entendiendose que el objetivo fundamental de un departamento de informtica el de dar un

soporte eficiente a los procesos operativos de la organizacin a traves de sus areas de
Desarrollo, produccin y soporte a usuarios. Para lo cual es fundamental que el departamento
cuente con una estructrura de control interno que le permita cumplir con estos objetivos.

El caso es que este departamento no tenia bien definido esta estructura de control en lo
relacionado a un anlisis de su eficacia operativa, lo que produjo que las areas usuarias no se
sintieran satisfechas en sus necesidades de informacin y atencin oportuna, lo cual fue
degradando poco a poco la confianza de la organizacin en el departamento de informtica.

Esta situacin lleg a circunstancias extremas, que la alta gerencia tuvo que tomar la descicin
de reestructurar el rea de informtica, que culmin con la renuncia del Gerente de Informtica
y algunos jefes de area.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Por lo expuesto, queda claro, que para que una organizacin sea eficiente y eficz necesita tener
bien definido su control interno institucional, en el que cada empleado sepa cual es su lugar y
sus obligaciones de control.

CASO 5

PLANTEO
Un organismo contrata a una persona para cumplir con la tarea de normalizar todo lo relativo al
rea de sistemas. Accesos, seguridad fsica, uso de internet, correo, etc.

Situacin
Las tareas han sido enumeradas perfectamente en su contrato de trabajo.
Pero no existe una comunicacin por parte de las autoridades de este puesto de trabajo creado.

La persona realiza las normas para las que fue contratada, pero dichas normas no tienen
aceptacin por gran parte de los usuarios. Ya que no es fcil que el personal acepte nuevas
reglas.

Lo que ocurre es que como la persona contratada para realizar dicha tarea no fue presentada
oportunamente como la responsable de generar este cambio, no tena para el resto del organismo
tal autoridad, lo que generaba que las normas no se cumplan, y sean objetadas
permanentemente.

CONCLUSIN
Es decir, que como no se comunic debidamente a todos, que era lo que se pretenda con estos
cambios, ni quien tena la autoridad para realizarlos, ello provoc que la normativa no fuera
acatada, y que la persona que realiz el trabajo no tuviera la autoridad en la prctica para
hacerlas cumplir.

La comunicacin oportuna de las tareas que se realizan dentro del organismo al resto del
personal, en especial la de quienes deben hacer cumplir determinada normativa, debe ser no
solo oportuna sino que pertinente, ya que en dicho caso tambin la comunicacin tarda de todo
lo anteriormente enunciado provoca disconformidad en el personal. Con lo cual no se logra el
objetivo buscado.

CASO 6

Entidad: Mixta
Objeto de la Empresa: Administracin Financiera.

La Empresa en la cual se ha observado un control interno mal aplicado es una empresa de

administracin financiera que a la vez subcontrata algunas de las funciones a su cargo y que son
de su responsabilidad. Esta Empresa tienen un nivel jerrquico muy comn, pero su debilidad
radica en la falta de comunicacin y liderazgo por parte de la direccin de la Empresa. Los
integrantes o empleados que conforman esta Empresa no conocen ni identifican claramente las
metas, es decir no tienen un grado de conciencia del control interno y se observa una gran
ocupacin para cumplir con en las tareas operativas, sin detenerse a mirar sobre la calidad y
nivel de satisfaccin de sus clientes.

Es de resaltar que esta Empresa cumple con la mayora de sus responsabilidades y objeto
principal por el cual fue contratado, pero los servicios y productos son de calidad deficiente, ya
que sus clientes o usuarios se quejan y estn inconformes con los resultados obtenidos.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

En cuanto al elemento de informacin, especficamente del Sistema de Informacin se observa
la falta de planeacin y de control de a los productos y proyectos programados, de igual manera
se evidencia falta de una aplicacin adecuada de metodologa para cubrir los desarrollos de
software y mantenimiento de los mismos que brindan soporte para la toma de decisiones del
nivel directivo.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

CASO 7
Una institucin pblica de orden nacional la cual se encuentra dotada de las normas de control
interno, anticorrupcin, entre otras, orientadas a garantizar la transparencia del Estado, sobre
todo en los procesos relacionados con la administracin de los recursos.

La misin, visin de la institucin, as como el plan estratgico de la institucin prcticamente

fue elaborado por asesores y no hubo difusin de dicho plan hacia los dems niveles.

Se ha identificado la necesidad de replantear las funciones de la institucin en razn a que

existen funciones duplicadas o faltantes, pero no se ha realizado nada al respecto.

Existen problemas de coordinacin y unificacin de criterios en la gerencia;

Aunque existen las normas para la vinculacin formacin, evaluacin y control del personal,
actualmente la planta se encuentra congelada.

La institucin no tiene recursos asignados para capacitacin de su personal; tan slo a travs de
las ofertas que recientemente ha empezado a realizar la Escuela Superior de Administracin
Pblica.

El ambiente laboral se ve afectado por el decremento en sus salarios, ordenado por el presidente
y sobrecarga de trabajo en la mayora de las reas de la institucin. Aunque el personal desee
capacitarse no lo hace porque deben sufragar los gastos, no existe motivacin y porque no se
tiene la disciplina para el autoestudio

Se ha llamado a los coordinadores de grupo para que elaboren el Mapa de Riesgos, pero no se
hizo identificacin de objetivos, sino sobre la base de los procesos identificados por cada
dependencia determinados por las funciones asignadas dentro un plazo perentorio para su
presentacin.

El control interno dentro de la institucin se limita a la presentacin de documento que ha sido

elaborado cumpliendo con el formato definido por los responsables, ms no con los conceptos,
criterios bsicos, procedimientos e instrumentos requeridos, de tal manera que el control interno
se convierte en un ejercicio acadmico mal hecho

En conclusin, el control interno en la institucin se presenta como el cumplimiento de una

obligacin de estado, afectada por la falta de compromiso en todos los niveles de la institucin.

Las consecuencias identificadas son: impredecible cumplimiento de objetivos institucionales;

falta de transparencia en algunas procesos, mala imagen institucional.

CASO 8
Empresa: Privada

Hace algunos meses, un cliente nos solicito evaluar sus sistemas corporativos en busca de
debilidades del software o su utilizacin, en los circuitos administrativos contables.
Luego de algunos das de evaluacin organizativa, decidimos analizar el circuito seguido por los
comprobantes fsicos (Requerimientos, Cotizaciones, Facturas, Remitos, etc..) a los efectos de
evaluar en la practica la viabilidad de las normas y procedimientos escritos de los cual se nos
haba dotado al comenzar nuestro trabajo.

En unas pocas horas, y luego de algunos interrogatorios y notamos claramente como a pesar de
existir los puestos y funciones de trabajos claramente definidos al momento de recibir las
facturas, controlar la recepcin de mercadera adquirida y su posterior despacho a las almacenes

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

minoristas, por cuestiones de comodidad era la misma persona quien realizaba TODOS los
controles relativos a las ordenes de compra y su recepcin, siendo ella misma quien:
Pactaba los precios de compra
Efectuava la Compra
Recepcionaba la mercadera
Autorizaba el Pago

Obviamente los fallos a nivel de control interno en este caso, eran mas que evidentes. En
primera instancia, nadie segua los documentos de normas y procedimientos elaborados a tal fin.
En segundo lugar, toda la cadena de aprobacin de un circuito recaa en la practica en la
misma persona, dando lugar a posibles abusos en cada uno de los puntos de control que
alguien estableciera en alguna oportunidad, pero no se encargara de hacer cumplir.

CASO 9

Planteo
Un organismo intenta implementar normas de control y seguridad
Situacin
Un organismo tiene sus normas y procedimientos debidamente confeccionados, testeados y
actualizados.
Entre las normas se encuentran las normas de bloqueo de cuentas y contraseas.
El rea de mesa de ayuda y dems gerencias efectan las solicitudes de desbloqueo y re-
activacin telefnicamente al sector de seguridad.
Conclusin
El bloqueo de usuarios y contraseas se efecta segn cumplimiento de las normas y
procedimientos establecidos, pero no existen mtodos de control interno que aseguren que los
llamados telefnicos son efectuados por los usuarios reales
Teniendo como consecuencia la inutilidad de la norma.

CASO 10

Empresa: Privada.

Nuestra empresa se dedica a brindar soporte a usuarios finales de un producto tecnolgico es de

suma importancia brinda satisfaccin al cliente y este es uno de nuestros principales objetivos.
La empresa cuenta con varios tcnicos y dos profesionales de segundo nivel que capacitan a los
tcnicos y verifican los training que llegan de Estados Unidos antes de que los soportes tcnicos
realicen la capitacin.
Un mes antes de lanzarse un nuevo update para uno de los productos del cual brindamos soporte
recibimos el manual de instrucciones para dicho update.
Se le aviso a los tcnicos solo una vez de esta capacitacin sin tener en cuenta que alguno de
ellos no estaban en el horario en que se realizo el anuncio.
Un da antes de lanzarse el producto, los tcnicos no estaban capacitados, por ende si algn
cliente llamaba para consultar sobre dicho update no tenan la capacidad de responderle
correctamente con la consecuencia de no poder cumplir un objetivo tan importante como es la
satisfaccin anteriormente mencionada.
Es obvio que el error fue del segundo nivel por la mala comunicacin que en este caso hubo con
los tcnicos y por no hacer un seguimiento y control interno de la capacitacin de los mismos.

CASO 11

La empresa en la que yo trabajo es pblica, en una revisin de auditora que realizamos,

detectamos dos falencias en el control interno del rea financiera:

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

El caso es que se manejaba un sistema de recaudaciones mediante el cual los cajeros cobraban y
emitan automticamente comprobantes de pago; sin embargo entre los programas asignados al
Jefe de Recaudaciones, exista uno para modificar el estatus de la deuda a Pagado (programa
que deba utilizarse nicamente en casos de excepcin).
La primera falencia de control interno fue: que dicho Jefe, entreg su clave de acceso a su
secretaria, para que esta realice transacciones en el sistema automatizado, ya que l careca de
suficiente tiempo para efectuarlas, y confiaba en ella; esto fue aprovechado por la empleada
para cobrar dinero, cambiar el estado a pagado a ciertas deudas y emitir comprobantes de
pago falsos (con sellos y firmas falsas a los cuales tena acceso), para luego entregarlos al
contribuyente (el cual ignoraba que su ttulo pagado era falso).
La segunda falencia de control interno, fue la falta de validacin de transacciones realizadas
en el sistema automatizado por parte del Jefe de Recaudaciones o algn funcionario de esta
rea, lo cual hubiera permitido detectar oportunamente el fraude, mediante la revisin del
reporte de cambios de estado a pagado versus la documentacin soporte de cada transaccin
(la cual en estos casos era inexistente).

CASO 12

APORTACIN

El siguiente caso describe el mal empleo de herramientas informticas para el control interno.
Datos Generales
Se trata de una empresa dedicada al servicio tcnico de instalaciones para telefona celular, el
caso en estudio se refiere al control de stock de materiales de la misma.

Detalle de las tareas realizadas por el sector involucrado,

Las tareas son las siguientes, cada uno de los tcnicos solicita al encargado de depsito se le
entreguen los materiales que de acuerdo al listado de tarea a realizar calcula utilizar ese da mas
un margen de seguridad. En ese momento recibe los remitos de materiales firmados por los
clientes visitados en el da anterior.
El encargado de deposito carga en una planilla resumen los materiales usados en las visitas
detallando el usado en cada una de las visitas, mediante esta planilla se facturan los materiales
utilizados a cada uno de los clientes visitados.
El control de stock de materiales en deposito se lleva independientemente de la planilla de
materiales usados.
Problemas que se presentan
El stock de materiales no refleja exactamente la cantidad de materiales existente porque no tiene
en cuenta lo que cada tcnico tenga como margen de seguridad. No hay un control efectivo de
la eficiencia de los tcnicos porque en ningn lugar queda registro de materiales que hayan
salido de deposito y que por fallas en la instalacin hayan tenido que descartarse, como estos no
se facturan no queda ninguna constancia sobre lo que haya pasado con estos materiales, por lo
tanto no se puede cuantificar la perdida.
Consecuencias
No se sabe exactamente cuanto del material comprado es efectivamente facturado y cuanto va
perdida. Se desconoce la eficiencia del sector instalaciones.

CASO 13

Empresa de Carcter Privado.

1. La administracin de la compaa ha colocado en cabeza del jefe de crdito la

potestad de aprobar facturacin de clientes teniendo en cuenta todas las polticas de restriccin
que se han establecido para estos casos. Entonces solo esa persona puede aprobar o autorizar
una facturacin analizando aspectos como forma de pago, das de pago, capacidad de pago,

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

 vencimiento de facturas, etc. Teniendo en cuenta que es una empresa que factura en promedio
diariamente $150.000.000.oo, este control hace que se armen lo que llamamos cuellos de
botella, si analizamos que existen 3 puntos de facturacin y todos se remiten al Jefe de
crditos para que apruebe cada una de ellas. Es decir que el control est mal implementado
porque retrasa el proceso normal de facturacin de la compaa en espera de una autorizacin
por cada factura que se genera.

2. En auditoria realizada a la aplicacin de cartera se detecto que este mdulo despus

que el funcionario grababa e imprima un documento (Nota crdito, nota dbito, etc) permita
modificarle los datos. Entonces teniendo en cuenta que solo se revisaban cifras controles,
perfectamente se podan cambiar valores de Notas crditos entre clientes, es decir, el valor de
cartera global segua siendo el mismo pero se intercambiaban valores de documentos de
diferentes clientes para favorecer presentaciones de informacin gerencial.

CASO 14

Empresa Privada
rea: Departamento de Informtica

El caso que voy a narrar est relacionado con la segregacin de funciones cuando la empresa es
una entidad financiera relativamente pequea, pero cuyos riesgos, por la naturaleza de sus
actividades, tiene el mismo riesgo de una entidad ms grande.

Este es un departamento de sistemas en donde nicamente hay una persona que realiza todas las
actividades propias del rea. Est encargada de la planificacin de los recursos y el
presupuesto, de la operacin, de la seguridad, del desarrollo de programas nuevos, de atender a
los proveedores de hardware y software, etc.

Cuando conversamos con ella de ambiente de control y segregacin de funciones, su repuesta

fue, pero si este Banco es pequeo y yo llevo aos trabajando aqu; nos quieres tratar como un
banco grande y nosotros somos pequeos.

La estructura de control interno en este Banco que tiene todas sus operaciones automatizadas es
de mucho riesgo. Existe una alta dependencia en esta persona que prcticamente realiza todo y
por existir esta alta concentracin de actividades en una sola persona, los usuarios no se sienten
satisfechos con los resultados el proceso; se quejan de atrasos en el procesamiento y en la
atencin a sus necesidades productos de su interaccin con el sistema.

Es un sistema totalmente integrado, con una seguridad robusta, en la cual no encontramos

activada ninguna caracterstica de seguridad, porque eso le consuma mucho tiempo para
administrar a los usuarios, cuando por ejemplo, olvidaban sus contraseas o se iban de
vacaciones.

La administracin est consciente de esta deficiencia, pero se niega a contratar a otra persona en
el departamento. Concluyo con que es muy importante la estructura de control en la empresa,
pero ms importante es la visin de la gerencia y su actitud hacia el cumplimiento de las normas
y lo que se considera como las mejores prcticas.

CASO 15

Empresa: Privada
Sectores afectados: toda la empresa

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Empez a aparecer en las pantallas una pantalla azul con el mensaje de una conocida pelcula, al
principio se pens que era una broma, luego de varios llamados se logro detectar que haba sido
infiltrado un virus en el sistema de toda la empresa.

Luego de intenso trabajo para levantar todas las terminales que se haban cado, y luego de una
investigacin se dio con el autor del hecho.

Haba sido un ex empleado de la compaa que haba trabajado en la parte de servidores, se

conecto de forma remota y como al irse el empleado no haban cambiado la contrasea de
acceso de los servidores, logro tomar posicin en los mismos y logro asi infectar a los
servidores.

Esto ocurri por una negligencia en la parte de seguridad por no haber dado inmediatamente de
baja la clave del usuario, y por no haber cambiado las contraseas de acceso a los servidores.
Esto en parte hubiese ayudado en parte a prevenir el ataque

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo