Unidad I-(Control Interno) Auditoria

Control InternoControl Interno

Cambios que se enfrentan

Prof. Lesbia Valerio Lacayo

Introducción

Como producto de los cambios a que la sociedad ha ido enfrentándose, se han

incorporado en el diario actuar de las personas cada día más herramientas de

trabajo, las que a medida que pasa el tiempo varían en cantidad y complejidad

Cada persona y cada empresa que quiere ocupar un lugar privilegiado en el

mercado, deben utilizar el mejor conjunto de recursos a su disposición para

alcanzar sus metas y objetivos de la forma mas eficiente posible, de manera más

ágil y económica que sus competidores.

La respuesta a esta necesidad las empresas han recurrido con más frecuencia al uso de

recursos automatizados que no solo permiten obtener una mayor cantidad de resultados

por unidad de esfuerzo, sino que, además, les permiten utilizar de manera más eficaz y

eficiente cada uno de los recursos a su disposición.

Introducción

¿Por qué es importante el CONTROL INTERNO?

En las empresas que cuentan con procesamiento electrónico de datos (PED).

¿Que ha sucedido en las empresas gracias al PED?

Los procedimientos manuales se han transformando, con el tiempo, en actividades

que comparten personas con maquinas y que ya no son fácilmente comprensibles por

otras personas.

¿Quien se imagina hoy un banco sin computadoras, una línea aérea sin

computador?

Imagine las distintas actividades diarias sin la ayuda de un computador.

Relacionado con la forma en que el PED se introduce cada vez más en nuestra vida

cotidiana, hoy nos enfrentamos a tareas muy automatizadas.

En un supermercado, el cliente se presenta a la caja con el coche de su mercadería, de la

que va entregando articulo por articulo a la cajera. Cada uno de los artículos tiene en su

empaque una identificación impresa en código de barras.

Ejemplo:

Ejemplos

– Con cada unidad de articulo vendido se actualiza el registro del inventario de

tal articulo, el computador revisa si la cantidad está sobre el mínimo

establecido para tal efecto; en caso negativo, automáticamente se gira una

orden de despacho del producto a la bodega para que se envíe a los anaqueles.

– En caso de haberse emitido una orden de despacho a la bodega, el computador

comprueba si, con la salida ordenada, el saldo en bodega excede el mínimo

establecido; de no ser así, se genera automáticamente una orden al proveedor

para que suministre un nuevo embarque del producto.

– La transacción ha generado datos para retroalimentar la contabilidad.

Ejemplos

Todas estas actividades han transcurrido sin que el cliente se entere en apenas

segundos.

Cuántos elementos participan en la transacción descrita, y piense en los efectos

que podrían ocasionar al cliente y al comerciante algunas de las siguientes

situaciones:

• Precios de los artículos mayores o menores al real.

• Información incorrecta del saldo en estante o en bodega

• Errores de lectura del código de barras del articulo

• Cálculos incorrectos de los saldos en estante o en bodega

• Otras opciones de mal manejo de los datos

Reflexión

• Somos consientes de la dependencia de la computación que han

desarrollado los diferentes participantes del mercado, por lo cual es

necesario determinar no solamente la incidencia de la informática en

las empresas sino también relacionar esto con los conceptos de

control interno y como estos se ven afectados por las labores

automatizadas.

Papel del auditor

• El auditor debe efectuar un estudio y evaluación adecuado del control interno que

le sirva de base para determinar el grado de confianza que va a depositar en él;

asimismo que le permita determinar la naturaleza, extensión y oportunidad que va

a dar a los procedimientos de auditoria.

Tradicionalmente los administradores y auditores se habían mantenido a distancia

participando como espectadores, al principio los administradores confiaban en

exceso en los sistemas automatizados, justificando esta confianza sobre la base

equivocada de que no podían presentarse fallas en los resultados obtenidos por

computador, puesto que los computadores no se equivocan.

Se ignoraban las amenazas de corrupción accidental o malintencionada de los

datos, procesos y resultados de su interacción.

Preguntas

• ¿Que información es importante para la empresa?

• ¿Que grado de confidencialidad tiene la información?

• ¿Se le puede asignar un valor a la información?

¿Que información es importante para la empresa?

Cada información es de importancia en algún momento y goza de algún grado de

confidencialidad en todo momento.

Por ejemplo:

Las relaciones entre el personal, podría verse afectada si la información de salarios se

hiciera de conocimiento publico para esos mismos empleados; cuando una persona se

entera de que se han hecho aumentos a alguien de su misma posición o categoría sin que a

él o ella se le haya realizado reconocimiento alguno, caso en el que generalmente esta

persona se siente afectada y decide tomar represalias contra su patrono disminuyendo su

esfuerzo en la labor que realiza, e inclusive asumiendo un comportamiento discriminatorio

con su compañero.


• Todos debemos mantener confidencialidad sobre alguna información es una

característica propia del ser humano.

Comprobación

¿Cuántos años tiene X?

Respuestas

La respuesta menos frecuente será el dato de la edad misma; en sustitución, se le

cuestionará sobre porqué de la pregunta, se le pedirá su calculo, y obtendrá otra

gama de respuestas que tienden a alcanzar un solo objetivo: proteger la

confidencialidad del dato.


Hágase la siguiente Pregunta:

¿Existe algo que yo sé sobre mí, pero que no me gustaría que alguien

más conociera? y si alguien se enterara, ¿Cuanto valdría para mi su

silencio?

En los negocios las preguntas son otras

• ¿Qué sucede si mi competencia se entera de información sobre el costo de mis

productos?

• ¿Como puede afectarme que mi competencia se entere de mi capacidad financiera?

• ¿Qué sucedería si los clientes que no reciben descuento se enteran de que algunos

otros si reciben?

• ¿Estaría bien para mis intereses que todos los empleados se enteren del monto de

las utilidades de cada año?

• ¿Que ocurriría si mi competencia se entera de mi estrategia de precios?

En los negocios las preguntas son otras

Las respuestas a cada una de las preguntas pueden ser muchas y muy

variadas, y dependerán directamente del giro del negocio, de lo sensible de

su mercado y de otros aspectos que se relacionan con la solidez de la

actividad especifica de cada empresa.

Que es Control Interno?

• Las políticas, procedimientos, practicas y estructuras organizacionales implementadas para reducir riesgos también son conocidos como controles internos.

• Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzaran los objetivos del negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos.

Clasificación de los controles

Clase Función Ejemplos

Preventivos Detectar problemas antes de que surjanImpedir que ocurra un error, una omisión o un acto malicioso

Emplear solo personal calificadoSegregar funcionesEstablecer procedimientos adecuados para la autorización de transacciones.

Detectivos Usar controles que detecten y reporten que ha ocurrido un error, una omisión o un acto malicioso.

Puntos de verificación en los trabajos de producciónDoble verificación de cálculosRevisión de registros de actividad para detectar intentos de accesos no autorizados.

Correctivos Minimizar el impacto de una amenazaRemediar problemas descubiertos por los controles detectivosCorregir los errores resultantes de un problema

Planeación de contingenciasProcedimientos de respaldo

Ejemplos de controles

• Preventivos

– Utilización de software de control de acceso que permite la entrada sólo del personal autorizado.

• Detectivos

– Impresión de log (bitacora) de violaciones de acceso. Estos logs detectan y registran accesos no autorizados o fallidos del sistema.

• Correctivos

– Procedimiento automatizado para chequear si una fecha está correcta y si no lo está toma la fecha del sistema.

Objetivos del control interno

• Los objetivos de control son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de actividades de control (procedimientos). Estos incluyen:

– Salvaguarda de los activos de TI

– Cumplimiento de las políticas corporativas y requerimientos legales.

– Autorización y autenticación

– Confidencialidad

– Disponibilidad de los servicios de TI

Objetivos del control interno

Los objetivos de control de SI pueden incluir:

– Asegurar la integridad de los ambientes de sistemas operativos en

general, incluyendo la administración y operaciones de la red.

– Autorización para el ingreso de datos.

– Integridad de la base de datos

– Cumplimiento con los requerimientos de los usuarios

Evaluación de Controles

• Identificar los controles existentes que contribuyen a minimizar los riesgos de los procesos críticos de negocio.

• Detectar debilidades de control en los procesos críticos de negocio, a través de prueba de cumplimiento a estos controles.

• Para la extensión de las pruebas de controles, se debe considerar la frecuencia del desempeño del control por la entidad durante el periodo auditado.

• Otro factor es la característica de los elementos manuales y automatizados.


• Controles manuales

– Son desempeñados por personas y, por lo tanto presenta riesgos específicos al

control interno de la entidad. Estos controles pueden ser menos confiables que los

automatizados porque pueden ser más fácilmente burlados, ignorados o

sobrepasados y son más propensos a errores y equivocaciones simples.

• Controles automatizados

– Debido a la consistencia inherente del procesamiento por TI, el auditor puede no

necesitar la extensión de las pruebas a un control automatizado.

Se presentan riesgos a considerar:

• Dependencia de sistemas que procesan datos de manera no exacta.

• Accesos no autorizados a datos

• Personal de TI con privilegios de acceso mas allá de los necesarios.

• Cambios no autorizados a datos y programas


Debilidades de control

En la actualidad, gran cantidad de transacciones bancarias son realizadas

utilizando herramientas automatizadas, tal es el caso del pago de planillas que se

hace mediante transferencias electrónica de fondos, donde el pago a cada

empleado se efectúa mediante un deposito en su cuenta corriente o de ahorros, y

se hace llegar a cada empleado una boleta de pago en que constan los conceptos

pagados y las deducciones realizadas.

Debilidades de control (Ejemplos)

1. En estos casos es posible que un funcionario del departamento informático realice

modificaciones en el programa de trasferencia de manera que a algunos empleados,

de los que él conoce no realizan una conciliación de su cuenta, se les realice un pago

menor, en una cantidad que para cada empleado sea pequeña pero que en conjunto

pueda ser importante, y las diferencias sean transferidas a la cuenta del funcionario

deshonesto.


2. En el mismo calculo de la planilla, podría suceder que el programador

modifique la rutina de calculo, haciendo que los montos de sus deducciones

disminuyan, mientras se incrementan las de algunos de sus compañeros; los

cálculos podrían realizarse de forma que el total de las deducciones coincida a

la perfección con la cantidad que debería ser, pero la distribución varíe de la

correcta.

¿Cómo detectar todo esto?

¿Podría alguien realizar de nuevo todos los cálculos en estos casos?


3. Un empleado que está autorizado a realizar cambios en los datos del registro

de activos fijos, perfectamente podría ejecutar sustracción de activos, y hacer

la modificación de registros respectivos, realizando ajustes inclusive en valores

de otras cuentas que lograran compensar cualquier diferencia, de forma que

contablemente se mantenga el balance de las cuentas.

4. En el mostrador de cualquier negocio, un empleado de despacho podría realizar

modificaciones a los precios de alguno de los artículos, de forma que, por ejemplo,

este fuera facturado a la mitad de su precio, favoreciendo a alguien allegado con

quien ha convenido la distribución del beneficio.


5. Quien tenga acceso a los datos de inversionistas en una entidad financiera,

podría determinar qué clientes han mantenido sin movimiento alguno sus

cuentas en el periodo de los últimos tres años o más, y realizar transferencias

desde esas cuentas a cuentas de su conveniencia.

6. En algunas empresas, ha sucedido que especialistas en sistemas han realizado

modificaciones a los programas, de forma que al efectuar el calculo de su planilla se

incremente su salario por hora o algún otro periodo, en cantidades que son de difícil

detección para la administración.


7. Un empleado negocia con clientes morosos la realización de transacciones contables que mejoren la condición de su crédito, disminuyendo electrónicamente su saldo a cambio de un porcentaje del beneficio recibido por el cliente.

8. En corporaciones gubernamentales, empleados inescrupulosos han ingresado en la base de datos de contribuyentes morosos, a los cuales fácilmente localizan y les proponen realizar transacciones que liquiden o disminuyan sensiblemente sus compromisos pendientes a cambio de sumas determinadas de dinero.

9. Una empresa bancaria que realizó un cambio de computador se enfrentó con la dificultad de ver disminuida su capacidad de brindar servicio a sus clientes debido a una falla que se presentó en el abanico interno de su computador - El banco no contaba con su equipo alterno o alguna previsión para trabajar sin su computador.

Estas y otras circunstancias que se han presentado alrededor del mundo han sido favorecidas por alguna debilidad de control interno.

Cuál ha sido el costo de cada una de las situaciones descritas?, deduzca la importancia que implica para las empresas el contar con un buen ambiente de control.

Además de la importancia que reviste la evaluación periódica de ese control interno, y la trascendencia de una actitud vigilante de ese control interno, que con orientación y asesoría indique a la administración cuáles son las áreas que se han visto debilitadas y como corregir las debilidades.


Objetivo de la Auditoria

• La auditoria persigue como su objetivo primordial realizar una evaluación de

las actividades ejecutadas en la organización a fin de verificar que cada una

de ellas como unidad y todas como conjunto contribuyen a fortalecer el

alcance del mejor de los resultados posibles:

esto implica la detección de las debilidades y la identificación de amenazas

con una definición clara de las causas de esta situación, para lograr que como

producto el auditor pueda brindar un aporte a la organización mediante la

emisión de criterios y recomendaciones claras y concretas sobre algunas

opciones que la organización pueda elegir para fortalecer sus áreas débiles, y

las previsiones que pueda tomar para disminuir, trasladar o eliminar las

amenazas presentes en su ambiente.


• Es conocido por todos que cuando establecemos control sobre cualquier

actividad obtenemos mejores resultados de esa actividad, tanto por la

vigilancia que se establece sobre la evolución misma de la actividad, como

por lo oportuno que pueden ser las medidas correctivas que se tomen

cuando nos enfrentamos a situaciones no deseadas o inconvenientes.


• Existe un refrán que dice "el ojo del amo engorda el ganado". Que se refiere

precisamente a que un control adecuado promueve mejores resultados.

Es bien sabido que si en algún sembradío no establecemos control, pronto la

mala hierba habrá invadido las mejores tierras y habrá destruido las semillas y

plantas en crecimiento. Igualmente en las empresas, cuando se omiten los

controles, pronto los empleados deshonestos, los proveedores inescrupulosos,

los clientes morosos y otros tipos de agentes económicos habrán hecho mal uso

de los recursos de la empresa, hasta consumir su capacidad operativa y

llevarla inclusive a la quiebra.

Documents

Unidad I-(Control Interno) Auditoria