UNIDAD No.

ESTUDIO Y EVALUACIN DEL CONTROL INTERNO EN INFORMATICA

Control Interno Definicin El Control Interno conforme COSO es un proceso

integrado a los procesos, y no un conjunto de pesados mecanismos burocrticos aadidos a los mismos, efectuado por el consejo de la administracin, la direccin y el resto del personal de una entidad, diseado con el objeto de proporcionar una garanta razonable para el logro de objetivos incluidos en las siguientes categoras:
Eficacia y eficiencia de las operaciones (salvaguarda de activos). Confiabilidad de la informacin financiera. Cumplimiento de las leyes, reglamentos y polticas. Cumplimiento de los planes estrategicos

Definicin del Control Interno

Qu?

Para Qu?
Proporcionar un grado de seguridad razonable en cuanto a la consecucin de los Objetivos

En qu Nivel?
Eficacia y eficiencia de las operaciones Confiabilidad de la Informacin Financiera Cumplimiento de las Leyes y normas establecidas Cumplimiento de planes estratgicos

Control Interno
Proceso efectuado por la Direccin, la alta Gerencia y el resto del personal

Aspectos a considerar
Es un proceso:

No es un hecho aislado, es un conjunto de actividades realizadas de forma continua Resulta efectivo cuando est integrado en la estructura y cultura de la entidad Aplicado al definir la estrategia:
VISIN Y
MISIN OBJETIVOS ESTRATGICOS OBJETIVOS DE NEGOCIO OBJETIVOS DIVISIONES PROCESOS
RIESGOS

ASPECTOS IMPLCITOS EN LA DEFINICIN DE CONTROL INTERNO CI LO LLEVAN A CI ES UN PROCESO

CABO LAS PERSONAS

CONTROL

INTERNO
FACILITA LA CONSECUCIN DE OBJETIVOS

CI

CI

SLO PUEDE APORTAR UN GRADO RAZONABLE DE SEGURIDAD

Aspectos a considerar

Al referirse al control interno como un proceso, se hace referencia a una cadena de acciones extendida a todas las actividades, inherentes a la gestin e integrados a los dems procesos bsicos de la misma: planificacin, ejecucin y supervisin.

Tales acciones se hallan incorporadas (no aadidas) a la infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad.

DEFINICIN C.I.elementosComo proceso...

* El control interno es un proceso, es decir, un medio para alcanzar un fin y no un fin en s mismo. * No es un evento o circunstancia sino una serie de acciones que permean en las actividades de una organizacin. * Es una cadena de acciones extendida a todas las actividades inherentes a la gestin e integradas a los dems procesos bsicos de la misma: planificacin, ejecucin y supervisin. * Los controles deben constituirse dentro de la infraestructura de la Organizacin y no sobre ella.

DEFINICIN C.I. elementosEs llevado a cabo por la Direccin y el resto del personal... * Lo llevan a cabo las personas que actan en todos los niveles, no se trata solamente de manuales de organizacin y procedimientos. Cada individuo dentro de la Organizacin tiene algn rol respecto al control interno. * Es ejecutado por la gente de una Organizacin a travs de lo que ellos hacen y dicen. La gente disea los objetivos de la entidad y establece los mecanismos de control. * La Direccin es responsable de la existencia de un eficaz y eficiente sistema de control. Aunque los directores tienen como obligacin primaria la vigilancia del control, tambin proporcionan directrices y aprueban ciertas transacciones y polticas.

DEFINICIN c.i. elementosProporciona una seguridad razonable... * Slo puede aportar un grado de seguridad razonable, no la seguridad total, a la conduccin. * No asegura con certeza el cumplimiento de los objetivos de la Organizacin, sino que contribuye a ello. * No importa lo bien diseado que est el sistema de control, lo ms que se puede esperar es que proporcione una seguridad razonable.

DEFINICIN C.I. elementosEficacia del Sistema de Control Interno La eficacia del control interno se puede dar en tres niveles distintos. * Dispone de la informacin adecuada sobre hasta qu punto se estn logrando los objetivos operacionales de la Unidad. * Se prepara de forma fiable la informacin financiera de la misma. * Se cumplen las leyes y normativa a las que se encuentra sujeta. Si bien el control interno es un proceso, su eficacia es el estado o la situacin del proceso en un momento dado. *Est pensado para facilitar la consecucin de objetivos

Metodos de Evaluacin del C.I.

La evaluacin del control interno se puede realizar mediante: Descripciones narrativas Cuestionarios especiales Diagramas de flujo

La administracin de riesgos

Es uno de los nuevos vocablos que han emergido en el ambiente empresarial durante los ltimos aos, esto significa la aplicacin de metodologas de gestin de riesgo en todos los aspectos del negocio, incluyendo la creacin de ganancias, as como la prevencin de prdidas. Es en una herramienta que ayuda en el proceso de toma de decisiones. No slo convierte la incertidumbre en oportunidad, sino que evita el suicidio financiero y catstrofes de graves consecuencias.

Eventos, Riesgos y Oportunidades

Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta la consecucin de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez. Se dice o se define el riesgo: como la posibilidad de que un evento ocurra y que provocar que se afecte negativamente el logro de los objetivos que se han establecido.

Eventos, Riesgos y Oportunidades

Los eventos pueden tener un impacto negativo o positivo en la consecucin de los objetivos, o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que puedan impedir creacin de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creacin de valor o a su conservacin. La direccin canaliza las oportunidades que surgen, para que reinviertan en la estrategia y el proceso de definicin de objetivos y

QU ES RIESGO?
Es la probabilidad de que un impacto adverso afecte los resultados o el capital de nuestra empresa. El Riesgo se mide en trminos de impacto y probabilidad.

-Probabilidad de ocurrencia. -Impacto de las consecuencias potenciales.

PROBABILIDAD: La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una distribucin estadstica. En ausencia de informacin suficiente, se puede aproximar mediante mtodos cualitativos.

IMPACTO: Consecuencia (s) de un evento, expresado ya sea en trminos cualitativos o cuantitativos. Tambin es llamado Severidad.

El riesgo comienza con la formulacin de estrategias y definicin de objetivos. El riesgo no representa una situacin puntual nica (por ejemplo, el resultado ms probable). Sino ms bien, una gama de resultados posibles. Los riesgos pueden estar relacionados con el hecho de evitar que sucedan cosas negativas o pueden garantizar que ocurran eventos positivos. Los riesgos son inherentes a todos los aspectos de la vida; es decir, siempre hay incertidumbre, hay uno o ms riesgos.

Marcos de Control (Estndares Internacionales) para la Evaluacin del Control Interno en el Mundo

KING Cadbury Co. Co. COSO Vienot Peters

Sudfrica Gran Bretaa Canad USA** Francia Holanda

** El marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y otros organismos financieros a travs del mundo.

El informe COSO
COSO: COmmittee of Sponsoring the Treadway Commission)

Organizations of

El Sistema Integrado de Control Interno, es un informe que establece una definicin comn de control interno y proporciona un estndar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control.
Surge como una forma de solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al control interno.

Formada por cinco organizaciones: 1. Financial Executives International 2. Institute of Internal Auditors 3. American Institute of Certified Public Accountants 4. Institute of Management Accountants 5. American Accounting Association Reconocido como el estndar internacional para un marco integrado de control interno

El Informe COSO
Existen en la actualidad 3 versiones del Informe COSO. La versin del 1992: COSO I : Marco Integrado de Control Interno La versin del 2004: COSO II ERM Enterprise Risk Managment: Gestin Integral de Riesgos Julio de 2006: COSO III: Control Interno sobre el Reporte FinancieroGua para empresas pequeas pblicas

Componentes del COSO-ERM

Objetivo Nuevo

Componente Ampliado Componente Ampliado Componente Ampliado Nuevo Componente Componente Ampliado Nuevo Componente Nuevo Componente Componente Ampliado

23

Definicin de ERM
Es un proceso dinmico

Realizado por personas

Aplicado como parte de un establecimiento de estrategias Aplicado a travs de toda la empresa Diseado y enfocado a identificar eventos, no solamente riesgos Diseado para mantener acciones y administrar riesgo dentro del apetito de riesgo Proporciona seguridad razonable a la Direccin y Junta Directiva Enfoque: El logro de objetivos
24

Beneficios de COSO ERM

Proporciona un marco integral del control interno y herramientas de valuacin para evaluar el sistema de control Alinea el apetito de riesgo con la estrategia corporativa

Proporciona respuestas integradas a los mltiples riesgos

Mejora el nivel de las respuestas al riesgo

Reduce la posibilidad de sorpresas y prdidas

Identifica y administra los riesgos a nivel corporativo Prepara a la empresa para tomar ventaja de las oportunidades Ayuda a mejorar el uso del capital disponible
25

Componentes Claves del ERM

Ambiente de Control Establecimiento de objetivos

Identificacin de eventos
Evaluacin de Riesgos Respuestas al Riesgo Actividades de Control Informacin y Comunicacin Monitoreo
26

1. ORGANIZACIN DEL DEPARTAMENTO

ASPECTOS A CUBRIR

1.1 Diagrama de organizacin 1.2 Presupuesto de personal 1.3 Diagrama de configuracin del sistema 1.4 Control sobre paquetes de software 1.5 Existencia de:
- Contratos con los proveedores - Definicin de caractersticas tcnicas 1.6 Existencia de reporte de todos los programas y aplicaciones en uso.

2. SEGUROS, CONTRATOS, MANTENIMIENTO Y FIANZAS.

ASPECTOS A CUBRIR 2. 1 Plizas de seguros Equipos Programas Medios de almacenamiento 2.2 Riesgos cubiertos 2.3 Vigencia de seguros 2.4 Contratos de proveedores Condiciones de uso del equipo Uso de tiempo CPU Uso de paquetes Respaldo y garanta ofrecida Soporte tcnico 2.5 Servicios de mantenimiento 2.6 Fianzas de fidelidad

3. MANUALES DE ORGANIZACIN
ASPECTOS A CUBRIR 3.1 Existencia de manuales de normas y procedimientos - Para cada puesto del centro de procesamiento. 3.2 Separacin de funciones entre: Operacin del computador. Anlisis Programacin 3.3 Accesos restringidos a los programadores para operar el sistema. 3.4 Acceso restringido a operadores del computador a: Datos Diseo de archivos Diseo de registros

4. POLITICAS DE SEGURIDAD
ASPECTOS A CUBRIR 4.1 Existencia de planes de contingencia. 4.2 Convenios de respaldo de equipos. 4.3 Instrucciones para usos de locales alternos 4.4 Conocimiento con indicacin de archivos crticos. 4.5 Prioridades para recuperacin de registros. 4.6 Existencia fuera del centro de: Programas fuentes Copias actualizadas de los principales archivos Copias del sistema operativo Procedimientos de programas operativos Planes de contingencia Documentacin de programas. 4.7 Polticas de respaldo 4.8 Contrasea para operar el sistema 4.9 Existencia documentada de investigacin de procesos.

5. SISTEMAS Y MEDIDAS DE SEGURIDAD ASPECTOS A CUBRIR

5.1 Procedimientos escritos del sistema de seguridad. 5.2 Localizacin del centro 5.3 Acceso al centro 5.4 Construccin del edificio 5.5 Registro para el ingreso de personas 5.6 Uso de gafetes de identificacin 5.7 Vigilancias y alarmas 5.8 Dispositivos para detectar: calor, fuego, y humo, imanes 5.9 Existencia de extinguidores 5.10 Estado de equipo de aire acondicionado 5.11 Localizacin de cables de electricidad e interruptores 5.12 Entrenamiento de personal para atender emergencias 5.13 Otros.

6. PROGRAMAS DE CAPACITACION
ASPECTOS A CUBRIR 6.1 Plan de capacitacin constante para el personal 6.2 Registro de adiestramiento que se ha dado a cada persona. 6.3 Programas de rotacin de funciones 6.4 Control sobre trabajo y desempeo del personal.

7. RECEPCION DE TRABAJOS
ASPECTOS A CUBRIR 7.1 Que la recepcin de trabajo se efecte en base a: Ordenes de trabajo Registros adecuados Volantes. 7.2 Comprobar que los registros de recepcin contengan: Hora de recepcin. Nmero correlativo de orden de trabajo Descripcin del trabajo Copias en que solicita el reporte. 7.3 Existencia de cifras de control 7.4 Persona autorizada para entregar trabajos

8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR 8.1 Cotejo de totales entrada/salida 8.2 Verificacin de listados de errores o inconsistencias 8.3 Estadsticas por aplicacin de errores detectados 8.4 Norma sobre la calidad de impresin exactitud de los datos 8.5 Nmero de copias de los reportes (autorizadas)

9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR 9.1 Directorio de usuarios 9.2 Lista de usuarios autorizados para retirar informacin 9.3 Controles sobre el envo de reportes 9.4 Chequeos para asegurar que el reporte producido corresponda con el solicitado 9.5 Control sobre las ordenes de trabajo no retiradas 9.6 Proteccin de la informacin previo entrega al usuario

10. CAPTURA DE DATOS

ASPECTOS A CUBRIR

10.1 Forma de recepcin de los trabajos 10.2 Criterios para asignar tareas Experiencia del personal en determinados trabajos Cargas de trabajo Grado de dificultad de trabajo 10.3 Formas de reportar los errores detectados en la captura 10.4 Proteccin de documentos fuente 10.5 Supervisin del personal

11. PROCESO DE DATOS

ASPECTOS A CUBRIR 11.1 Formas de controlar las rdenes de trabajo 11.2 Existencias de los manuales de operacin de cada aplicacin 11.3 Reportes de tiempos utilizados 11.4 Registros del mantenimiento de equipos

12. CINTOTECA
ASPECTOS A CUBRIR 12.1 Accesos a la cintoteca

Control sobre el contenido de cada archivo Uso de etiquetas internas Existencia de un registro de todos los dispositivos de almacenamiento Directorios del contenido de archivos Procedimientos de control sobre:

Cintas Discos Otros

Control sobre: Antigedad, condiciones de uso y estado de los dispositivos de almacenamiento. Control sobre el prstamo de dispositivos de almacenamiento.