Auditoria de sistemas de informacin Control Interno

EL CONTROL INTERNO
1. DEFINICIN 2. COMPONENTES 3. AUDITORIA 4. CONTROL INTERNO INFORMATICO 5. ESTRUCTURA DEL CONTROL INTERNO 6. ORGANIZACIN INTERNA DE LA SEGURIDAD INFORMTICA

1. DEFINICION 1.1. QU ES EL CONTROL INTERNO? Debido a la importancia que est adquiriendo el control interno en los ltimos tiempos a causa de numerosos problemas producidos por su ineficiencia, se ha hecho necesario que los miembros de los Consejos de Administracin asumieran de forma efectiva unas responsabilidades que hasta ahora se haban dejado en manos de las propias organizaciones de las empresas. Por eso es necesario que los consejos de administracin tengan claro en qu consiste el control interno para que puedan actuar en consecuencia. Para ello hemos utilizado los conceptos establecidos en el llamado Informe COSO, que se denomina control interno - Un marco general integrado (Internal Control Integrated Framework) que fue emitido por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), en la que participan organizaciones tan prestigiosas y conocidas como el American Institute of Certified Public Accountants(AICPA), la American Accounting Association, el Institute of Internal Auditor, el Institute of Management Accountants y el Financial Executive Institute, que encarg la redaccin del Informe a Coopers & Lybrand.

1.2. DEFINICIN DE CONTROL INTERNO El control interno no tiene el mismo significado para todas las personas, lo cual causa confusin entre empresarios y profesionales, legisladores, reguladores, etc. En consecuencia, se originan problemas de comunicacin y diversidad de expectativas, lo cual da origen a problemas dentro de las empresas. El informe COSO nos da una definicin integradora de control interno con el objetivo de facilitar un modelo en base al cual las empresas y otras entidades puedan evaluar sus sistemas de control y decidir cmo mejorarlos: El control interno es un proceso que lleva a cabo el Consejo de Administracin, la direccin y los dems miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecucin de objetivos en los siguientes mbitos o categoras: Eficacia y eficiencia de las operaciones. Fiabilidad de la informacin financiera.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

Cumplimiento de las leyes y normas aplicables.

La anterior definicin refleja ciertos conceptos fundamentales: El control interno es un proceso . Es un conjunto de acciones estructuradas y coordinadas dirigidas a la consecucin de un fin, no es un fin en s mismo. El control interno lo llevan a cabo las personas . No se trata solamente de manuales de polticas e impresos, sino de personas en cada nivel de la organizacin. El control interno slo puede aportar un grado razonable de seguridad , no la seguridad total, a la direccin y al Consejo de Administracin de la entidad. El control interno est pensado para facilitar la consecucin de objetivos en uno o ms mbitos independientes, pero con elementos comunes.

En segundo lugar, da cabida a los subgrupos de control interno. As, uno puede centrarse en, por ejemplo, los controles sobre la informacin financiera o los relacionados con el cumplimiento de la legislacin aplicable en el rea operativa. Asimismo permite centrarse en los controles sobre unas unidades o actividades determinadas de una entidad. Los conceptos fundamentales descritos arriba se analizan en los siguientes prrafos: Un proceso Los procesos de negocios, que se llevan a cabo dentro de las unidades y funciones de la organizacin o entre las mismas, se coordinan en funcin de los procesos de gestin bsicos de planificacin, ejecucin y supervisin. El control interno es parte de dichos procesos y est integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento. Constituye una herramienta til para la gestin, pero no un sustituto de sta. Esta conceptuacin del control interno dista mucho de la antigua perspectiva, que vea el control interno como un elemento aadido a las actividades de una entidad o como una carga inevitable impuesta por los organismos reguladores o por los dictados de burcratas excesivamente celosos. Los controles internos deben ser incorporados a la infraestructura de una entidad, no deben ser aadidos, de manera que no deben entorpecer, sino favorecer la consecucin de los objetivos de la entidad. Al ser incorporados y no aadidos, podremos identificar desviaciones en costes en actividades operativas bsicas y adems agilizaremos el tiempo de respuesta para solucionar estas desviaciones o costes innecesarios. Personas El control interno lo llevan a cabo el Consejo de Administracin, la direccin y los dems miembros de la entidad. Lo realizan los miembros de una organizacin, mediante sus actuaciones concretas. Son las personas quienes establecen los objetivos de la entidad e implantan los mecanismos de control. Seguridad razonable El sistema de control interno aporta una seguridad razonable (pero no completa) al Consejo de Administracin, ya que existen limitaciones que son inherentes a todos los sistemas de control interno. Estas limitaciones se deben a que: las opiniones en que se basan las decisiones pueden ser errneas, los empleados encargados del

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

establecimiento de controles tienen que analizar la relacin coste/beneficios de los mismos, y pueden producirse problemas en el funcionamiento del sistema como consecuencia de fallos humanos, aunque se trate de un simple error o equivocacin.

2. COMPONENTES DEL CONTROL INTERNO El control interno consta de cinco componentes interrelacionados. Estos se derivan del estilo de direccin del negocio y estn integrados en el proceso de gestin. Los componentes son los siguientes:

1. 2. 3. 4. 5.

Entorno de control Evaluacin de riesgos Actividades de control Informacin y comunicacin Supervisin

Eficiencia de Operaciones Fiabilidad informacin Cumplimiento normativo Supervisin Comunicacin e informacin Actividades de control Evaluacin de riesgos Entorno de control

Determina el tono de la organizacin Integridad tica y competencia

Comunicacin de: Responsabilidad Autoridad Formacin del personal

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

2.1. ENTORNO DE CONTROL El entorno de control constituye la base de todo sistema de control interno, ya que determina las pautas de comportamiento y tienen una influencia fundamental en el nivel de conciencia del personal respecto del control. Los elementos que componen el entorno de control son: a. La integridad y la tica Por muy eficaces que pudieran ser los controles interno, stos no pueden estar por encima de las personas que los llevan a cabo. La tica no consiste solo en el cumplimiento de las leyes. Es fundamentalmente un compromiso de adhesin a unos valores y la capacidad de llevarlos a la prctica de forma permanente. El impacto negativo que pueden llegar a tener los comportamientos empresariales dirigidos nicamente a conseguir resultados a corto plazo pasando por encima de los intereses legtimos de proveedores, clientes, empleados,... etc. puede llegar a ser muy importante para la empresa. La transmisin de los valores y reglas de comportamiento tico a una organizacin se realiza de varias formas complementarias: Con el ejemplo. La direccin y el Consejo de Administracin deben ser los primeros que asuman en la prctica los comportamientos ticos que van a intentar imponer en la organizacin Estableciendo normas escritas (cdigos de conducta) que los miembros de la organizacin deben conocer y aceptar, debiendo quedar constancia escrita sobre ello peridicamente. Respuestas eficientes y contundentes en caso de actuaciones no conformes con las reglas establecidas, an cuando las mismas puedan no tener un efecto significativo b. Competencia profesional Para poder cubrir cada puesto de trabajo por personas capaces de realizar las labores correspondientes de una forma competente, es necesaria la existencia de procesos de definicin de puestos y actividades, de seleccin de personal, de formacin, de evaluacin y de promocin. c. La responsabilidad del Consejo de Administracin Es muy importante que el Consejo de Administracin sea capaz de dejar sentir su presencia en el control y direccin de la organizacin. Las capacidades del Consejo para demostrar que la autoridad de la direccin deriva de una delegacin por su parte, la existencia de miembros no ejecutivos independientes dentro del mismo y la existencia de organismos tales como el Comit de Auditoria dentro del Consejo con capacidad de comunicacin directa con elementos de control como los auditores internos y externo son elementos fundamentales para crear un entorno propicio para un desarrollo adecuado del control interno. d. El estilo y filosofa gerencial Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al control interno. Un planteamiento empresarial orientado excesivamente al riesgo, unas actitudes poco propicias a la prudencia, o la falta de tomar en cuenta a los aspectos de control o administrativos al emprender negocios son indicativos de riesgos de control interno. Una gerencia que sin dejar de afrontar los riesgos empresariales toma

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

en cuenta todos los elementos necesarios para su seguimiento, evitando riesgos improcedentes y que consideran los aspectos positivos y negativos de cada alternativa crea una actitud positiva de control interno en la organizacin. e. Estructura organizativa Cada entidad desarrolla la estructura organizativa ms conveniente a sus necesidades. Hay estructuras ms jerrquicas que otras, ms centralizadas que otras, etc. El adecuar la estructura organizativa de cada entidad a su tamao, tipo de actividad y objetivos es fundamental para el control interno pueda desarrollarse en forma adecuada, ya que ello define las lneas de responsabilidad y autoridad, as como los canales por los que fluye la informacin. f. Delegacin de poderes y responsabilidades Consiste en las facultades y responsabilidades concedidas a los diferentes miembros de la organizacin para que desarrollen sus funciones. El problema reside en saber cul es el grado adecuado de delegacin de poderes, ya que deben nicamente delegarse poderes en la medida necesaria para lograr los objetivos de la entidad. La delegacin de poderes debe ir acompaada de un conocimiento y asuncin claros e indudables de los objetivos de la entidad por parte de quien recibe los poderes y de un nivel de supervisin adecuado. g. Polticas y prcticas de recursos humanos Desde los procedimientos de contratacin, hasta la formacin, pasando por las evaluaciones, promociones y asesoramiento y control de personal, pueden dejar muy claro cul es el nivel mnimo que se exige y las pautas de comportamiento en materia de integridad y comportamiento tico. Tambin debera quedar claro que el incumplimiento tendr una respuesta.

2.2. EVALUACIN DE RIESGOS Toda entidad tiene que hacer frente a riesgos del ms diverso estilo que pueden afectar a los ms diversos aspectos de la actividad de la empresa. Cualquier entidad debe determinar cules son los niveles de riesgo aceptables y tratar de evitar que los riesgos sobrepasen esos lmites. Previamente a determinar los riesgos hay que determinar los objetivos. Cada entidad debe determinar sus objetivos, sus puntos fuertes y dbiles y las oportunidades y amenazas del entorno. De esta manera obtendr un plan estratgico que identificar los factores de xito o condiciones previas para que la entidad consiga sus objetivos. Los objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la informacin financiera y objetivos de cumplimiento. Aunque aqu hablamos un poco de cada grupo de objetivos, no se intenta establecer ningn tipo de separacin estricta entre ellos y debe reconocerse que muchos de los objetivos de diferentes categoras se interrelacionan y entrecruzan entre s. 2.2.1. Objetivos de las operaciones Este tipo de objetivos son la razn de ser de las empresas y van dirigidos a la consecucin del objeto social. Este grupo de objetivos constituye un elemento de gestin y no un elemento de control interno, adems cada entidad tendr sus propios objetivos de las operaciones, mientras que los otros dos grupos de objetivos a pesar de tener distintos matices para cada entidad, son aplicables a

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

todas las entidades. 2.2.2. Objetivos relacionados con la informacin financiera La informacin econmica financiera es un elemento importante para la gestin interna, sobre todo la informacin financiera exterior, dirigida a Entidades de crdito, inversores, proveedores, clientes, etc. Para que los estados financieros sean fiables deben cumplir unos requisitos: Principios contables aceptados y apropiados a las circunstancias Informacin financiera suficiente y apropiada, resumida y clasificada en forma adecuada Presentacin de hechos, transacciones y acontecimientos de tal forma que los estados financieros reflejen adecuadamente la situacin financiera, los resultados de las operaciones y los flujos de orgenes y aplicaciones de recursos en forma apropiada y razonable

Estos requisitos se cumplirn siempre que se den las siguientes condiciones: Existencia: Los activos y pasivos existen a la fecha del balance. Totalidad: Todas las transacciones y acontecimientos ocurridos durante un perodo determinado han sido efectivamente reflejadas en los registros contables Derechos y obligaciones: Los activos son los derechos y los pasivos las obligaciones efectivas de la entidad. Valoracin: El importe de los activos y pasivos y el de los ingresos y gastos haban sido determinados con criterios adecuados de conformidad con principios contables generalmente aceptados. Presentacin: La informacin financiera presentada en los estados financieros es suficiente, adecuada y est correctamente clasificada

2.2.3.

Objetivos de cumplimiento Toda entidad debe desarrollar su actividad dentro del marco de una legalidad y unos reglamentos que regulan los ms diversos aspectos de las relaciones sociales (normativa mercantil, o civil, laboral, financiera, medio ambiente, seguridad, etc.) Una vez identificados los objetivos de la entidad, ya podemos pasar a la identificacin y el anlisis de riesgos. La direccin debe identificar los riesgos existentes a todos los niveles de la empresa, hay muchos procedimientos para proceder a su identificacin ms adelante veremos como se utilizan . Una vez identificados, la direccin debe realizar un anlisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los mismos, evaluar la probabilidad de que se den y analizar cmo han de gestionarse (estableciendo medidas que tiendan a limitarlos o reducirlos). Hay que tener en cuenta que los cambios producidos en la economa, el sector de actividad, la reglamentacin y las actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un contexto determinado quizs no lo ser en otro. El anlisis de riesgos es, por tanto, una actividad que

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

debe renovarse de forma continuada. La direccin debe estar permanentemente alerta para detectar las circunstancias que van modificando el entorno y por consiguiente los riesgos a enfrentar.

2.3. LAS ACTIVIDADES DE CONTROL Las actividades de control junto con ciertas actividades de gestin nos ayudarn a evitar que los riesgos a los que est sujeta la entidad se lleguen a materializar y producir efectos negativos en sta. Las actividades de control se traducen en polticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control). Las actividades de control constituyen un elemento importante del proceso mediante el que una entidad consigue sus objetivos. Algunos de los posibles mecanismos de control utilizables (con las complejidades que se requiera en cada momento): Segregacin de funciones El riesgo de que se puedan producir errores o irregularidades en el desarrollo y registro de las transacciones disminuye si las diferentes partes que componen el proceso se ejecutan por diferente persona. Las responsabilidades de autorizar, ejecutar, registrar y comprobar una transaccin deben de quedar en la medida de lo posible segregadas y diferenciadas. Este es uno de los mecanismos de control interno ms importante y efectivo. Anlisis realizados por la direccin La direccin analiza los resultados obtenidos comparndolos con perodos anteriores, con los presupuestos. Este tipo de actuacin es una actividad de control muy importante para la consecucin de objetivos, puesto que la informacin oportuna y apropiada constituye en la mayora de los casos la primera base para la correcta toma de decisiones. Controles fsicos El conteo fsico de los activos (existencias, ttulos negociables, tesorera, etc.) y la comprobacin de los resultados con los registros de control constituye una medida de control que puede resultar significativa para conseguir objetivos tanto de informacin financiera como de operaciones. Mecanismos de seguimiento del proceso de informacin Se trata de comprobaciones realizadas para asegurarse de la existencia, exactitud, totalidad y autorizacin de las transacciones registradas. Gestin de funciones de actividad Este tipo de controles est constituido por las revisiones de los resultados obtenidos en una actividad por parte de los responsables correspondientes y a niveles sucesivamente ms altos. Indicadores de rendimiento Incluye el anlisis combinado de diferentes conjuntos de datos (operativos o financieros) y la puesta en marcha de acciones correctivas.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

Controles de los sistemas de informacin Aunque cuando se habla de sistemas de informacin se piensa casi automticamente en sistemas informticos, se incluye tambin la parte de los sistemas que corresponde a operaciones manuales. Los controles de los sistemas de informacin los podemos clasificar en: Seguridad fsica de los equipos y la informacin: Son programas de emergencia que permitan operar en equipos de emergencia o exteriores cuando se produzcan situaciones catastrficas Controles de acceso: Se trata de determinar quien es el posible usuario de la informacin y qu se puede hacer con la misma. Controles sobre el "software": Incluye los controles sobre la adquisicin, implantacin y mantenimiento del sistema y la ejecucin de aplicaciones. Controles de operaciones de proceso de datos: Controles sobre la intervencin de los operadores en la planificacin de los trabajos, la solucin de las incidencias, la realizacin y mantenimiento de backups, etc. Controles sobre el desarrollo y mantenimiento de aplicaciones: Muchas empresas desarrollan sus propias aplicaciones o utilizan paquetes estndar que deben ser adaptados e implantados, esto requiere controles especficos sobre su seleccin, adaptacin e implantacin. Controles de las aplicaciones: Este tipo de controles van incorporados dentro de las propias aplicaciones y tienen la finalidad de garantizar la totalidad y exactitud en el proceso de las transacciones, su autorizacin y su validez.

2.4. INFORMACIN Y COMUNICACIN 2.4.1. Informacin Es necesario identificar cual es la informacin relevante y, disponer de los mecanismos oportunos para recogerla y comunicarla en forma y tiempo oportunos, de tal forma que la misma pueda cumplir los objetivos previstos. La informacin se recoge de fuentes internas y externas y se comunica a destinatarios tanto internos como externos. Los flujos de informacin pueden ser tanto verticales como horizontales o transversales a lo largo y ancho por la estructura organizativa de la entidad y pueden tener carcter tanto formal como informal. Cada entidad debe valorar sus necesidades de sistemas de informacin en funcin de sus objetivos. Para responder a estas necesidades, debe de atenderse a los siguientes aspectos relativos a la calidad de la informacin: Contenido. La informacin debe ser necesaria y relevante Tiempo. La informacin debe de transmitirse en tiempo oportuno y adecuado. Actualidad. La informacin debe ser la ms reciente posible. Accesibilidad. Los miembros de la organizacin que necesiten utilizar informacin, deben poder acceder a la misma con facilidad.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

2.4.2. Comunicacin La comunicacin en general es la transmisin de informacin (interna y externa). Para ser ms especficos, aqu no vamos a tratar, de la informacin que los miembros de cualquier organizacin utilizan para el desarrollo de sus funciones, sino de la parte del proceso de comunicacin que afecta a las responsabilidades y expectativas de los miembros de las organizaciones. Los canales de comunicacin habituales que determina la estructura jerrquica de una entidad, deben ser la frmula habitual de comunicacin. Sin embargo, es preciso mantener siempre otros posibles canales de comunicacin independientes, que acten de mecanismo de seguridad en el caso de que los canales habituales no funcionen o pudieran no funcionar. Lo mismo que con el personal, la direccin tiene que tener canales de comunicacin abiertos con el exterior (clientes, proveedores, bancos, reguladores, etc.). Otro aspecto significativo a tomar en cuenta es la comunicacin con el Consejo de Administracin. Y finalmente, algunos elementos externos especiales tienen que tener canales apropiados de comunicacin: auditores externos, asesores legales, analistas financieros, organismos reguladores, etc.

2.5. SUPERVISIN El objetivo de la supervisin es asegurar que el sistema est funcionando adecuadamente y de que va adaptndose a las necesidades y cambios de circunstancias. La direccin debe disponer de los instrumentos necesarios para asegurarse de que esto es realmente as. La supervisin puede llevarse a cabo de dos formas: a travs de actividades y evaluaciones recurrentes o bien a travs de actividades y evaluaciones especficas. Cuanto ms importantes sean las actividades recurrentes, menos necesidad habr de actividades especficas y espordicas.

2.5.1. Actividades de supervisin recurrentes Existencia de canales abiertos para que la gerencia reciba ideas e informacin de los empleados referente a los sistemas en s mismo o sobre su funcionamiento. Revisin sistemtica por parte del departamento de auditoria interna de aspectos tanto puramente administrativos de cumplimiento como operativos, con manifestacin de las debilidades observadas, recomendaciones de mejora y seguimiento de su implantacin. Revisin anual de los sistemas de control interno por parte de los auditores externos con el alcance requerido a efectos de una auditoria externa. Comunicacin sistemtica o espordica con terceros: clientes, proveedores, entidades financieras, etc.

2.5.2. Actividades de supervisin especficas Aunque las actividades de evaluacin continua son esenciales, es muy conveniente realizar de vez en cuando evaluaciones de los sistemas de control interno dirigidas fundamentalmente a evaluar su efectividad. Con frecuencia los departamentos, unidades de negocio, ..etc. realizan "autoexmenes" de control interno, otras veces las revisiones se realizan intercambiando personal al mismo nivel, otras veces se utiliza a los auditores internos o a los auditores externos, etc.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo

Auditoria de sistemas de informacin Control Interno

2.5.3. Informacin sobre deficiencias de control interno El trmino "deficiencia" se define como cualquier situacin o condicin del sistema de control interno digna de atencin. Con ello se estn incluyendo no solo las posibles insuficiencias del sistema, sino tambin los puntos susceptibles de mejora.

Ing. Ms. Sc. Ernesto Karlo Celi Arvalo