AUDITORIA
AUDITORIA
AUDITORIA
COMUNICACIONES
SEMESTRE: VIII
INTRODUCCIÓN
Para empezar unas definiciones de lo que son el control interno, el control interno
informático, la auditoria informática y la auditoría interna para empezar a
diferenciarlos:
El control interno es: una expresión que se utiliza con el fin de describir las
acciones adoptadas por los directores de entidades, gerentes o administradores,
vaya en general de los encargados, para evaluar y monitorear las operaciones
en sus entidades. Además, un sistema de control interno comprende el plan de
la organización y todos los métodos coordinados y medidas adoptadas dentro de
una empresa con el fin de salvaguardar sus activos y verificar la confiabilidad de
los datos contables que no necesariamente significan ser exclusivamente del
área de contabilidad.
El control interno informático es: aquel que controla diariamente que todas las
actividades de los sistemas de información sean realizadas cumpliendo los
procedimientos, procedimientos y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requisitos legales.
La auditoría informática es: el proceso de recuperación, agrupar y evaluar
evidencias para determinar si un sistema informatizado salvaguarda los activos,
mantenerla integridad de los datos, lleva un cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidos, además otra definición que se le puede dar es la de
realizar una acción de estudiar los mecanismos de control que están implantados
en una empresa u organización, determinando si los mismos son específicos y
determinados con los objetivos o estrategias, estableciendo los cambios que se
realizan para la consecución de los mismos
La auditoría interna es: el examen crítico, sistemático y detallado de un sistema
de información, realizado por un auditor que tiene vínculos laborales con la
misma, utilizando técnicas específicas y con el objeto de emitir una opinión
independiente sobre la forma como opera el sistema, el control interno del mismo
y formular sugerencias para su mejoramiento.
DESARROLLO
Ahora haciendo que ya se conocen las diferencias entre el control interno y sus
similares podemos empezar a analizar las partes del mismo las cuales son:
Objetivos del control interno: La misión de este es asegurarse de que las
medidas que se obtienen de los mecanismos implantados por cada responsable
sean correctas y válidas. Principales objetivos:
Controlar y apoyar el trabajo de Auditoria Informática, así como de las
auditorías externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informática.
Realizar en los diferentes sistemas y entornos informáticos el control de
las diferentes actividades que se realizan
Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijadas, evaluar su brindad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Ver todo lo que hace según los procedimientos internos y normas legales:
debe controlar qué todas las actividades se realizan cumpliendo con los
procedimientos y normas fijados y controlar el cumplimiento de las normas
legales.
Colaborar y apoyar el trabajo de la Auditoría Informática, así como las
auditorías externas al Grupo.
Clasificación de los controles en el control interno en general: Esto es algo que
trata de realizar una revisión de la eficacia del funcionamiento de los controles
diseñados para cada uno de los pasos de la misma frente a los riesgos que tratan
de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad,
disponibilidad y confidencialidad de la información gestionada por la aplicación.
La clasificación es la siguiente:
Controles Preventivos: Se Tratan de aquellos que ayudan a evitar
la producción de errores a base de exigir el ajuste de los datos
introducidos a patrones de formato y estructura, perteneciendo a
una lista de valores validos o a un archivo maestro, rango entre
limites determinados, incorporación de digito de control en datos
clave y en general cualquier criterio que ayude a asegurar la
corrección formal y verosimilitud de los datos.
Controles detectivos: Se trata de aquellos que intentan descubrir
errores, fraudes o fallos que no pudieron ser evitados con los
anteriores controles preventivos.
Controles correctivos: Estos son aquellos que intentan asegurar
que se subsanen todos los errores identificados mediante controles
detectivos. Y pueden estar:
En las transacciones de recogida o toma de datos.
En todos los procesos de información que la aplicación
realiza.
En la generación de informes y resultado de salida.
Controles físicos y lógicos: Durante el control interno que generalmente
se lleva en el almacenamiento de información y datos se encuentran este
tipo de controles:
Autenticidad. - Permiten verificar la identidad (Passwords, Firmas
Digitales, etc.)
Exactitud. - Aseguran la coherencia de los datos. (Validación de
campos).
Totalidad. - Evitan la omisión de registros, así como garantizan la
conclusión de
un proceso de envió (Conteo de Registros).
Privacidad. - Aseguran la protección de los datos (Encriptación).
Existencia. - Aseguran la disponibilidad de los datos (Bitácora de
estados).
Protección de Activos. - destrucción o corrupción de información
del hardware (Passwords).
Efectividad. - Asegurar el logro de los objetivos (Encuestas de
satisfacción).
Eficiencia. - Aseguran el uso óptimo de los recursos (programas
monitores).
La misión del Control Interno Informático es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas. Entre sus funciones pueden nombrarse las siguientes:
1. El cumplimiento de procedimientos, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del
software.
2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informático.
4. Controles en las redes de comunicaciones.
5. Controles en los sistemas microinformáticos.
6. Controles sobre el software de base.
7. La seguridad informática (su responsabilidad puede estar asignada a
control interno o bien puede asignársele la responsabilidad de control dual
de la misma cuando está encargada a otro órgano):
a. Usuarios, responsables y perfiles de uso de archivos y bases de
datos.
b. Normas de seguridad.
c. Control de información clasificada.
d. Control dual de la seguridad informática.
2. Licencias y relaciones contractuales con terceros.
3. Asesorar y transmitir cultura sobre el riesgo informático.
Preventivos
Intentan evitar que ocurra el error. Se utilizan en las primeras etapas del flujo de
datos de un sistema. Por ejemplo: el tener buenos formularios de entrada de
datos ayuda a evitar que se produzcan errores en la captura, o un software de
seguridad que impida los accesos no autorizados al sistema.
Son controles generales. Este hecho les hace inmunes a los cambios, pero
posibilita la aparición de errores de muchas clases. Por ejemplo: la separación
de tareas no cambia, aunque las tareas se realicen de diferente manera, pero no
garantiza que las tareas estén bien ejecutadas. Los controles preventivos tratan
de evitar el hecho.
Detectivos
Cuando fallan los preventivos para tratar de conocer cuanto antes el evento.
Identifican los errores después de que éstos ocurran. Tienden a ser controles
específicos, utilizados en una fase posterior en el tiempo a los controles
preventivos. El hecho de ser específicos hace que sean dependientes de los
cambios. Ejemplo: programas de validación de entrada de datos, o el registro de
intentos de acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, etc.
Correctivos
Facilitan la puesta a la normalidad cuando se han producido incidencias. Por
ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad. Estos controles tratan de garantizar que se corrigen los errores
detectados.
TIPOS DE
Detectivos CONTROL Correctivos
INTERNO
MODELO: COSO
PAÍS DE ORIGEN: Estados Unidos.
OBJETIVO: Apoyar a la dirección para un mejor control de la organización.
Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la
gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas
establecidos. La dirección planifica, organiza y dirige la realización de las
acciones suficientes para proporcionar una seguridad razonable de que se
alcanzarán los objetivos y metas.
ENFOQUE: Incluye la identificación de riesgos internos y externos o los
asociados al cambio. Resalta la importancia de la planificación y la supervisión.
Plantea una matriz que interrelaciona los componentes de control.
ELEMENTOS/COMPONENTES:
1. Ambiente de control.
2. Evaluación de riesgos.
3. Actividades de control.
4. Información y comunicación.
5. Supervisión.
MODELO: COCO
PAÍS DE ORIGEN: Canadá.
OBJETIVO: Ayudar a las organizaciones a perfeccionar el proceso de toma de
decisiones a través de una mejor comprensión del control, del riesgo y de la
dirección. Incluye aquellos elementos de una organización (recursos, sistemas,
procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al
personal en el logro de los objetivos de la organización:
Efectividad y eficiencia de las operaciones.
Confiabilidad de los reportes internos o externos.
Cumplimiento con las leyes y reglamentos aplicables, así como con las
políticas internas.
ENFOQUE: Se sustenta en la teoría general de sistemas y de la contingencia.
Resalta la importancia de la definición y adopción de normas y políticas. Plantea
que el planeamiento estratégico proporciona sentido a la dirección. Define 20
criterios para diseño, desarrollo y modificación del control.
ELEMENTOS/COMPONENTES:
1. Propósito.
2. Compromiso.
3. Capacidad.
4. Supervisión y aprendizaje.
MODELO: TURNBULL
PAÍS DE ORIGEN: Reino Unido.
OBJETIVO: Reflejar las buenas prácticas empresariales en las que se observa
al Control Interno inmerso en los procesos del negocio, mantenerse relevante en
un ambiente de negocios en continua evolución y permitir a la organización
aplicar esta guía considerando las condiciones institucionales particulares.
ENFOQUE: Consiste en la atención sobre el Control Interno del “Combined Code
on Corporate Governance”. Incluye la administración de riesgos y el Control
Interno como parte integral del negocio; pretende brindar a las organizaciones
un libre diseño y aplicación de sus políticas de gobierno, a la luz de los principios
de esta guía y considerando las circunstancias específicas de la organización.
ELEMENTOS/COMPONENTES:
1. Evaluación de riesgos (como elemento complementario al SCI).
2. Ambiente de control y actividades de control.
3. Información y comunicación.
4. Supervisión.
MODELO: ACC
PAÍS DE ORIGEN: Australia
OBJETIVO: Optimizar el proceso de toma de decisiones, favoreciendo para los
trabajadores y otros grupos de interés el cumplimiento de los objetivos.
ENFOQUE: Resalta la importancia del autocontrol y confianza mutua. Hace
énfasis en los conocimientos y habilidades para el desarrollo de una actividad.
Incluye un modelo de gestión de riesgos.
ELEMENTOS/COMPONENTES:
1. Establecer el contexto.
2. Identificar los riesgos.
3. Analizar los riesgos.
4. Evaluar los riesgos.
5. Tratar los riesgos.
6 monitorear y supervisar.
7. Comunicar y consultar.
MODELO: CADBURY
PAÍS DE ORIGEN: Reino Unido
OBJETIVO: Ampliar la comprensión de Control a un nivel más desarrollado,
enfocándose en una conceptualización más metodológica del sistema de control.
ENFOQUE: Se soporta en el sistema COSO, exceptuando lo referente a
sistemas de información, que se incorpora en otros elementos, salvo la
consideración de los sistemas de información integrados en los otros
componentes y un mayor énfasis respecto a riesgos.
ELEMENTOS/COMPONENTES:
1. Revisión de la estructura y responsabilidades de los Consejos de
Administración y recomendación sobre un Código de Buenas Prácticas
Corporativas.
2. Considera el rol de los auditores y aborda una serie de recomendaciones a la
profesión contable.
3. Trata sobre los derechos y responsabilidades de los accionistas.
MODELO: VIENOT
PAÍS DE ORIGEN: Francia
OBJETIVO: Establecer recomendaciones, entre las cuales se destacan los
derechos, obligaciones y responsabilidades de supervisión y control, basadas en
las reflexiones de Comisión Treadway.
ENFOQUE: Fundamentado en los principios del modelo COSO.
ELEMENTOS/COMPONENTES: Componentes del Modelo COSO adaptados a
los requisitos y necesidades particulares de las entidades públicas de Francia.
MODELO: PETERS
PAÍS DE ORIGEN: Holanda
OBJETIVO: Establecer niveles de madurez para cada elemento del Control
Interno.
ENFOQUE: Fundamentado en los principios del modelo COSO.
ELEMENTOS/COMPONENTES: Componentes del Modelo COSO adaptados a
los requisitos y necesidades particulares.
MODELO: KING
PAÍS DE ORIGEN: Sudáfrica
OBJETIVO: Establecer principios de buenas prácticas corporativas para todo
tipo de organizaciones, que permitan atender los requerimientos de la Ley Nº 71
de las Compañías.
ENFOQUE: Este reporte se enfoca en el Gobierno Corporativo, con una filosofía
de liderazgo, sustentabilidad y ciudadanía corporativa; asimismo, contempla un
enfoque de auditoría interna basado en riesgos.
ELEMENTOS/COMPONENTES:
1. Liderazgo ético y ciudadanía corporativa.
2. Roles y responsabilidades del Consejo de Administración.
3. Roles y responsabilidades del Comité de Auditoría.
4. Gobernanza del riesgo.
5. Gobernanza de las tecnologías de la información.
6. Cumplimiento con leyes, regulaciones, códigos y estándares.
7. Roles y responsabilidades de la función de Auditoría Interna.
8. Gobernanza de las relaciones con accionistas.
9. Informes integrados y revelaciones.
MODELO: COBIT
PAÍS DE ORIGEN: Estados Unidos
OBJETIVO: Enfatizar el concepto de control interno, considerarlo en una
perspectiva integrada de los sistemas de información y todos los aspectos de la
organización. Parte de la premisa de que la TI requiere proporcionar información
para lograr los objetivos de la organización.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
La Tecnología de Información (TI) esté alineada con la misión y visión.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
ENFOQUE: Se desarrolla en elementos que incluyen 36 procesos de alto nivel y
215 objetivos de control en ambientes TI.
ELEMENTOS/COMPONENTES: Se interrelacionan matricialmente:
requerimientos del negocio (calidad, fiduciarios, seguridad), recursos de TI
(gente, sistemas de aplicación, tecnología, instalaciones, datos) y procesos de
TI (dominios, proceso y actividades).
MODELO: MECI
PAÍS DE ORIGEN: Colombia
OBJETIVO: Proporcionar la estructura básica para evaluar la estrategia, la
gestión y los propios mecanismos de evaluación del proceso administrativo y,
aunque promueve una estructura uniforme, puede ser adaptada a las
necesidades específicas de cada entidad, a sus objetivos, estructura, tamaño,
procesos y servicios que suministran.
ENFOQUE: Se fundamenta en los principios de autocontrol, autogestión y
autorregulación. Establece los requisitos para cada componente del control.
Interrelaciona sistema de calidad, control interno y gestión para resultados.
ELEMENTOS/COMPONENTES:
1. Talento humano.
2. Direccionamiento estratégico.
3. Administración del riesgo.
4. Autoevaluación institucional.
5. Auditoría Interna.
6. Planes de mejoramiento.
MODELO: MICIL
PAÍS DE ORIGEN: Latinoamérica
OBJETIVO: Establecer un marco de referencia para las necesidades y las
expectativas de los directores de las empresas privadas, de las instituciones
públicas, de las organizaciones de la sociedad civil y de otros interesados.
ENFOQUE: Se basa en asegurar un adecuado ambiente de control como pieza
central, que promueve el funcionamiento efectivo de los otros componentes
asegurando su funcionamiento efectivo en todos los niveles de la organización.
ELEMENTOS/COMPONENTES:
1. Ambiente de control y trabajo institucional.
2. Evaluación de los riesgos para obtener objetivos.
3. Actividades de control para minimizar los riesgos.
4. Información y comunicación para fomentar la transparencia.
5. Supervisión interna continua y externa periódica.
Berbia, P. (2008). Evaluacion Eficaz del Sistema de Control Interno (2ª ed.).
Florida, EUA: The Institute of Internal Auditors Research Foundation (IIARF)
Santillana J. (2015). Sistemas de Control Interno. (3ª ed.). Londres, Reino Unido:
Pearson PLC