Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 UNIDAD IV CONTROLCONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMASTEMAS DEFINICIONES DE CONTROL El control es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ello para incrementar la eficiencia y eficacia de una institución. Las siguientes son algunas de las definiciones de control: “Inspección, vigilancia que se ejerce sobre personas o cosas. Conjunto de operaciones encaminadas a comprobar el funcionamiento, productividad, etc., de algún mecanismo”. “Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las órdenes impartidas”. “Dentro del concepto de sistemas, el control es definido como un medio de obtener mayor flexibilidad operativa y como un medio de evitar el planteamiento de operaciones cuando las variables sean desconocidas”. “El control consiste en obligar a los acontecimientos a ajustar un plan.” OBJETIVOS DEL CONTROL Para comprender la importancia del control en las empresas, lo primero es entender cuáles son los objetivos que se pretenden satisfacer con su adopción, aunque éstos sean muy variados y específicos de acuerdo con el tipo de institución donde se establezcan y a las características específicas de la misma. A continuación, se proponen, de manera general, los siguientes objetivos del control: Se adopta para poder establecer estándares, medir su cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado. Con su adopción se ayuda en la protección y salvaguarda de los bienes y activos de las empresas. Con su adopción se contribuye a la planeación y evaluación correctas del cumplimiento de las funciones, actividades y operaciones de las empresas. 2 Ayuda permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma. Junto a la planeación, el control es una parte indispensable en las actividades de dirección de cualquier empresa. ELEMENTOS DEL CONTROL Para empezar, debemos saber cuáles son los elementos fundamentales del control, a fin de identificar la forma de utilizar el control interno en las empresas y así poder aplicar ese conocimiento al control interno en sistemas, y más concretamente a las aplicaciones específicas de auditoría de sistemas computacionales. Para los autores Kast y Rosenzweig, en su tratado Administración en las organizaciones, los elementos básicos del control son más que una simple función que responde a los cambios del medio ambiente, debido a que también nos sirven para retroalimentar a lo que está cambiando; su aportación es la siguiente: Los elementos básicos del control: 1. Una característica medible y controlable para la que se conocen estándares 2. Un medio (instrumento censor) para medir las características 3. Un medio para comparar los resultados reales con los estándares y evaluar las diferencias 4. Un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades. CARACTERÍSTICAS DEL CONTROL Para que el control en las empresas sea verdaderamente efectivo, es obligatorio considerar algunas de sus características fundamentales al momento de establecerlo. Entre algunas de esas características encontramos: Oportuno Esta característica es la esencia del control, debido a que es la presentación a tiempo de los resultados obtenidos con su aplicación; es importante evaluar dichos resultados en el momento que se requieran, no antes porque se desconocerían sus verdaderos alcances, ni después puesto que ya no servirían para nada. Cuantificable Para que verdaderamente se puedan comparar los resultados alcanzados contra los esperados, es necesario que sean medibles en unidades representativas de algún valor numérico para así poder cuantificar, porcentual o numéricamente lo que se haya alcanzado. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 3 Calificable Así como los valores de comparación deben ser numéricos para su cuantificación, en auditoría en sistemas computacionales, se dan casos de evaluaciones que no necesariamente deben ser de tipo numérico, ya que, en algunos casos específicos, en su lugar se pueden sustituir estas unidades de valor por conceptos de calidad o por medidas de cualidad; mismas que son de carácter subjetivo, pero pueden ser aplicados para evaluar el cumplimiento, pero relativos a la calidad; siempre y cuando en la evaluación sean utilizados de manera uniforme tanto para planear como para medir los resultados. Confiable Para que el control sea útil, debe señalar resultados correctos sin desviaciones ni alteraciones y sin errores de ningún tipo, a fin de que se pueda confiar en que dichos resultados siempre son valorados con los mismos parámetros. Estándares y normas de evaluación Al medir los resultados alcanzados, éstos deberán compararse de acuerdo con los estándares y normas previamente establecidos, a fin de contemplar las mismas unidades para planear y controlar; con esto se logra una estandarización que permite valorar adecuadamente los alcances obtenidos. EL CONTROL COMO SISTEMA De acuerdo con la teoría general de sistemas, entenderemos como sistema lo siguiente: “Conjunto de elementos interrelacionados que pretenden satisfacer un fin”, el cual está compuesto por un ciclo fundamental de comportamiento que consiste en insumos de entrada, proceso y resultados en salidas, pero complementado con una retroalimentación que le hace corregir las posibles desviaciones encontradas. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 4 Es evidente que el control, analizado como un sistema, nos permite identificar un comportamiento similar a los sistemas. El comportamiento de sus componentes se define de la siguiente manera: Como elementos de entrada (insumos), nos referimos a la planeación de objetivos, programas, presupuestos y todos los aspectos que se espera alcanzar, incluyendo los estándares que permitirán determinar los aspectos y formas de evaluar tales resultados; también se toma como insumo a la propia recopilación de datos. Como procesamiento, vemos que al contar con los anteriores elementos de entrada podemos hacer el análisis de esa información, a fin de comparar lo realmente alcanzado contra lo que se esperaba obtener; esto nos permite evaluar el cumplimiento de lo señalado en los insumos. Como resultados, nos referimos a las conclusiones que se obtuvieron del procesamiento de la información anterior, lo cual permitirá obtener como salida el análisis del resultado de lo alcanzado contra lo esperado; con estos productos se realizará la información del comportamiento observado de la operación. La retroalimentación cierra el ciclo del control como sistema. Ésta consiste en informar de los resultados de la evaluación, a fin de tomar las medidas necesarias para corregir las posibles desviaciones, si es que las hubo, o en su caso, para realizar una mejor planeación en la fase de insumos. Este ciclo del control como sistema puede adaptarse a cualquier tipo de actividad; además, dentro de un plano netamente administrativo, es la base fundamental de la planeación y control de cualquier actividad en las empresas. CONCEPTOS Y DEFINICIONES DEL CONTROL INTERNO El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administracióny cumplimiento correctos de las actividades y operaciones de las empresas. Con la implantación de tales medidas se pueden conseguir los siguientes beneficios: Proteger y salvaguardar los bienes de la empresa y a su personal. Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones dolosas. Obtener la información contable, financiera y administrativa de manera confiable y oportuna. Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 5 DEFINICIONES DE CONTROL INTERNO Para entender cómo funciona el control interno en las empresas es conveniente conocer los marcos conceptuales de este término. A continuación, se presentan las aportaciones de algunos autores al respecto: JOSÉ ANTONIO ECHENIQUE “El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración.” HOLMES R. ARTHUR “El control interno es una función de la gerencia que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la seguridad de que no se contraen obligaciones sin autorización.” L. HALL “El control interno comprende la organización sistemática del trabajo administrativo y de los procedimientos de rutina, con el objeto de prevenir el fraude, los errores y los trabajos inútiles mediante el efecto disuasivo de los controles ejercidos.” El control interno es especialmente importante en las empresas, debido a que proporciona el grado de confiabilidad que se requiere para: Proteger los activos. Asegurar la validez de la información. Promover la eficiencia en las operaciones. Estimular y asegurar el cumplimiento de las políticas y directrices emanadas de la dirección. Para el diseño e implantación del sistema de control interno, se cuenta con el apoyo de las siguientes técnicas: Ejecución del cuestionario de control. Análisis del flujo de transacciones. Realización de pruebas de cumplimiento. Resultados. Medidas de corrección. Una vez hecho el análisis de las anteriores aportaciones, podemos inferir su definición: “El control interno es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 6 actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional”. Como complemento, ahora podemos señalar esta definición de control interno con los siguientes beneficios que se obtienen con su establecimiento: Salvaguardar los activos de la empresa. Determinar los métodos y procedimientos necesarios para el buen desarrollo de sus funciones y actividades. Establecer la elaboración correcta de los registros contables y de los resultados financieros. Contribuir con la dirección de la empresa en la implantación y cumplimiento de las normas, políticas y lineamientos que regularán su actuación. OBJETIVOS DEL CONTROL INTERNO Tomando en cuenta que el control interno busca contribuir en la seguridad y protección de los bienes de la empresa, en la obtención de información correcta y oportuna, en la promoción de la eficacia de la operación y en la dirección adecuada de la empresa, se puede establecer que su principal prioridad es la ayuda que proporciona al buen funcionamiento de la institución y a la salvaguarda de su patrimonio. Sin embargo, hace falta una información adecuada para comprobar si se satisfacen esas prioridades. Además, el control interno también sirve para evaluar el desarrollo correcto de las actividades de las empresas, así como la aceptación y cumplimiento adecuados de las normas y políticas que regulan sus actividades. Con base en lo anterior, se pueden establecer los siguientes puntos como los objetivos fundamentales del control interno: Establecer la seguridad y protección de los activos de la empresa. Promover la confiabilidad, oportunidad y veracidad de los registros contables, así como de la emisión de la información financiera de la empresa. Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa. Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las actividades de la empresa. Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa. ELEMENTOS DEL CONTROL INTERNO Ya hemos analizado al principio de este capítulo que los elementos básicos del control son: UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 7 Establecimiento de estándares y mecanismos de medición. Recopilación de los resultados obtenidos y análisis de la información. Comparación y evaluación de los resultados alcanzados. Retroalimentación a los planes y programas. Sin embargo, estos elementos básicos del control han sido transformados, por medio de la aplicación contable y administrativa, en control interno y se han considerado los siguientes elementos para ser utilizados en las empresas. Elementos de organización Dirección Coordinación Asignación de responsabilidades Elementos de procedimientos Planeación y sistematización Registros y formas Informes Elementos de personal Entrenamiento Eficiencia y eficacia Moralidad Retribución Elementos de supervisión Revisión para precisar Pérdidas y deficiencias Mejores métodos Mejores formas de control Operaciones más eficientes Mejor uso de los recursos físicos y humanos ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMÁTICO Controles internos sobre la organización del área de informática. Controles internos sobre el análisis, desarrollo e implementación de sistemas. Controles internos sobre la operación del sistema. Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados. Controles internos sobre la seguridad del área de sistemas. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 8 Como parte del presente estudio, a continuación, se presenta un cuadro concentrado del control interno aplicable a la informática; posteriormente se detallarán cada uno de los elementos aquí propuestos. CUADRO DE CONTROL INTERNO EN EL ÁREA DE INFORMÁTICA Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados: Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la oportunidad, confiabilidad y veracidad en la emisión de los resultados del procesamiento de información Controles internos sobre la operación del sistema: Prevenir y corregir los errores de operación Prevenir y evitar la manipulación fraudulenta de la información Implementar y mantener la seguridad en la operación Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución Controles internossobre el análisis, desarrollo e implementación de sistemas: Estandarización de metodologías para el desarrollo de proyectos Asegurar que el beneficio de los sistemas sea el óptimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el análisis y diseño de sistemas Vigilar la efectividad y eficiencia en la implementación y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentación Controles internos sobre la organización del área de informática: Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 9 Controles internos sobre la seguridad del área de sistemas: Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de sistematización Controles sobre la seguridad física del área de sistemas Controles sobre la seguridad lógica de los sistemas Controles sobre la seguridad de las bases de datos Controles sobre la operación de los sistemas computacionales Controles sobre la seguridad del personal de informática Controles sobre la seguridad de la telecomunicación de datos Controles sobre la seguridad de redes y sistemas multiusuarios PROCEDIMIENTOS DE AUDITORIA El trabajo del auditor debe estructurarse de tal manera que cubra apropiadamente todos los aspectos de la entidad que sean importantes a auditar, mediante la emisión de juicios al decidir el alcance de los procedimientos de auditoria y al evaluar la confiabilidad, suficiencia e integridad de la información obtenida a través de las diversas fuentes de información. PROCEDIMIENTOS DE CUMPLIMIENTO – DEFINICION Para llevar a cabo la revisión del control interno, el auditor debe realizar procedimientos de cumplimiento para obtener evidencia de que los controles internos por el diseñados han sido puestos en práctica y funcionan correcta y eficazmente; de no ser así, debe entrar a evaluar cuales fueron los factores de desviación, diseñar nuevos controles y definir su forma de aplicación. La Guía Internacional de Auditoria N°6. Estudio y evaluación del sistema de contabilidad y los controles internos relativos, con respecto a una auditoria, define en el párrafo N° 12, los procedimientos de cumplimiento como: "Los procedimientos de cumplimiento son pruebas diseñadas para obtener seguridad razonable, pero no absoluta, de que están en vigor aquellos controles internos en los que se va a depositar la confianza de la Auditoria”. Estos procedimientos incluyen pruebas que requieren la inspección de documentos que apoyan operaciones para obtener evidencia de que los controles han operado con propiedad (por ejemplo, verificando que el documento ha sido autorizado) e investigaciones acerca de los controles que no dejan rastro de auditoria, así como la observación de los mismos (por ejemplo, determinar quien efectúa realmente cada función, y no solo quien supuestamente debería efectuarla)." UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 10 A continuación, se relacionan los procedimientos de auditoria que son tenidos en cuenta en el presente estudio: Entradas a la Aplicación: Revisar si los datos de entrada son validados, probados y verificados. Determinar si se aplican controles para detectar registros o transacciones no procesadas. Verificar la existencia de controles razonables relacionados con la generación de los datos. Evaluar la funcionalidad de los formatos utilizados para la captura de datos. Verificar la protección y almacenamiento de los documentos fuente. Comprobar la existencia de controles de acceso a los dispositivos de entrada. Comprobar la identificación de discos y cintas. Observar los controles aplicados durante la preparación de los datos. Verificar la existencia de documentación actualizada sobre la preparación, corrección, grabación y almacenamiento de los datos. Comprobar la segregación de funciones entre la generación, registro y almacenamiento de los datos. Evaluar las estadísticas existentes de los tipos de errores cometidos durante la captura de datos. Salidas de la Aplicación: Comprobar la fecha y paginación de los informes generados. Comprobar la realización de un análisis global de los reportes producidos. Observar la distribución de los reportes. Evaluar los procedimientos para manejo, reporte de inconstancias y retención de salidas. Evaluar los procedimientos que revisan la exactitud de las salidas. Comprobar si los reportes producidos son absolutamente necesarios. Supervisar la destrucción de reportes no necesarios o defectuosos. Evaluar la seguridad de los reportes confidenciales. Evaluar las estadísticas de errores que se presentan durante la salida de información. Software del Sistema Comprobar la participación del usuario durante las distintas etapas del ciclo de vida del sistema. Comprobar la justificación de los cambios y mejoras al software del sistema. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 11 Evaluar los controles ejercidos al personal de mantenimiento del sistema de información. Verificar la legalidad del software utilizado. Comprobar el registro de problemas presentados con el software. Evaluar los controles aplicados cuando se realizan cambios o ajustes al sistema. Comprobar la aplicación del software genérico de auditoria a los sistemas en funcionamiento. Verificar la existencia y actualización de la documentación del software del sistema. Evaluar la reseña de fraudes cometidos contra el software del sistema. Analizar el contrato de mantenimiento del software adquirido. Programas de la Aplicación: Comprobar la autorización para efectuar correcciones o cambios a los programas. Comprobar el registro de los cambios efectuados a los programas. Verificar la existencia y actualización de los manuales de la aplicación. Revisar si las pruebas aplicadas a los programas han sido planeadas. Comprobar la asignación de librerías específicas para realizar las pruebas a los programas. Evaluar los procedimientos para manejo de inconsistencias presentadas durante la corrida de programas. Evaluar las circunstancias que limitan la ejecución de la aplicación. Observar los controles aplicados durante el procesamiento de datos. Comprobar que los programadores no realicen actividades de captura de datos. Revisar si las aplicaciones tienen puntos de reinicio debidamente controlados. Verificar los estándares relacionados con los programas de la aplicación. Revisar los procedimientos de encriptación y respaldo de los programas de la aplicación. Seguridad en Aspectos Físicos de la Aplicación: Comprobar los controles físicos de ingreso a la dependencia. Solicitar los programas de prevención contra desastres y evaluarlos. Comprobar la existencia de rutas de evacuación. Revisar los extinguidores y su fecha de vencimiento. Solicitar el plan de contingencias y evaluarlo. Seguridad en Aspectos Técnicos de la Aplicación: Verificar la existencia de controles de acceso al sistema. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 12 Solicitar los manuales técnicos, de operación, del usuario y comprobar su actualización. Evaluar los procedimientos de back-up a la aplicación. Comprobar que los operadores o usuarios no puedan modificar los programas fuente de la aplicación. Comprobar que el uso de la computadora solo se lleve a cabo por el personal autorizado. Constatar si hay varios funcionarios que estén en capacidad de operar la aplicación. Revisarel manejo de aquella información que tiene carácter confidencial. Evaluar los controles aplicados en la transmisión de datos. Revisar los procedimientos relacionados con la seguridad física y lógica de los datos transmitidos. Verificar si el almacenamiento y trasmisión de datos son protegidos criptográficamente. Verificar los controles que limitan el acceso a la base de datos. Revisar la documentación escrita relacionada con el respaldo y recuperación de la base de datos. Revisar las políticas de seguridad relacionadas con el sistema operativo. Controles Organizacionales de la Aplicación: Solicitar la estructura jerárquica de la unidad y analizar su funcionalidad. Solicitar las políticas existentes con respecto a la aplicación y verificar su cumplimiento. Analizar si existe coherencia entre las políticas propias de la aplicación con las políticas generales de la empresa. Comprobar si existen políticas de control fiscal respecto a la aplicación. Solicitar la normatividad relacionada con la aplicación y analizarla. Solicitar los manuales de funciones y de procedimientos, y revisar su contenido. Comprobar si las funciones asignadas corresponden con las funciones desempeñadas en cada cargo. Comprobar si existe una adecuada segregación de funciones. Comprobar la responsabilidad sobre la administración de la aplicación. Talento Humano que Interviene en la Aplicación: Solicitar las políticas existentes sobre la planeación del talento humano y analizarlas. Verificar si es aplicada la función de auditoria al talento humano. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 13 Verificar si está debidamente funcionando el sistema de información del talento humano. Solicitar el reglamento interno de trabajo y comprobar si es de amplio conocimiento entre el personal. Verificar la existencia y puesta en marcha de programas de salud ocupacional. Verificar si los programas de trabajo son cumplidos cabalmente. Ambiente laboral del Área Auditada Conocer el ambiente laboral desde el punto de vista físico, técnico, social y psicológico. Evaluar las políticas de bienestar laboral. Comprobar si existe estabilidad laboral. Evaluar el índice de rotación del personal. Constatar si existen programas de inducción y su aplicación. Comprobar si las vacaciones son tomadas obligatoriamente. Entrenamiento y Capacitación del Personal del Área Auditada: Solicitar y evaluar los programas de entrenamiento y capacitación. Verificar que los programas de entrenamiento y capacitación impartidos por la empresa sean evaluados en su totalidad. Verificar si los funcionarios participantes en el entrenamiento y capacitación son evaluados permanentemente. Desempeño del Personal del Área Auditada: Verificar la existencia de estándares de desempeño y su difusión. Revisar la aplicación de evaluaciones periódicas del desempeño. Supervisión del Personal del Área Auditada: Analizar la disciplina laboral de los empleados. Comprobar si son frecuentes los conflictos laborales. Verificar si las quejas y reclamos son debidamente atendidas. Verificar el índice de ausentismos y retardos, y las causas que los ocasionan. Motivación del Personal del Área Auditada: • Determinar el grado de motivación de los funcionarios del área. • Evaluar los procedimientos de ascensos y promociones. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS 14 Remuneración del Personal del Área Auditada: Comprobar si existe una política salarial definida. Determinar si se está aplicando una adecuada remuneración de acuerdo al cargo desempeñado. Bibliografía Auditoria de Sistemas: Alonso Tamayo Alzate (2001) Universidad Nacional de Colombia. Sede Manizales Auditoria en Sistemas Computacionales: Carlos Muñoz Razo. (2002) Pearson Educación. UNIDAD IV CONTROL INTERNO Y PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS Bibliografía
Compartir