M. Sc. Miguel Cotaña Mier Lp, marzo de 2015
AUDITORIA INFORMÁTICA
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS PURAS Y NATURALES
CARRERA DE INFORMÁTICA
1
MODULO II
2.3. Control Interno 2
3
CONTROL INTERNO
=
• Comprobación• Inspección• Fiscalización• Intervención
¿Para qué?
¿Sobre qué?
=Situado
dentro de los limites de
algo
La entidad
Conseguir un
objetivo
Procesos
Personas
INTERNO
4
El control interno es un proceso efectuadopor el consejo de administración, ladirección y el resto del personal de unaentidad, diseñado con el objeto deproporcionar una seguridad razonable encuanto a la consecución de objetivos:
Eficacia y eficiencia de lasoperaciones;
Confiabilidad de la informaciónfinanciera;
Cumplimiento de leyes y normasaplicables.
DEFINICIÓN
5
“El control interno es un proceso…
Actividades secuenciales que deben ejecutarse para lograr los objetivos.
¡Esto significa que no es una sola actividad!
Es un proceso “integrado” al resto de los procesos (Informe COSO).
Planificación Ejecución Supervisión
Controlinterno
6
…efectuado por el consejo de administración, ladirección y el resto del personal..
•Planificación •Ejecución•Supervisión
•Control Interno
Desde elportero hastael principalejecutivo
Afectan la conducta de
Afectan los
Procesos
Personas
7
…proporcionar una seguridad razonable…
“Existen limitaciones inherentes a cualquier control interno”
TiempoInformaciónPresión
Decisiones Errores
No intencionales
Intencionales
Disfunciones
Costo beneficio
Elusión
Confabulación
“Entonces, el control interno no brinda una seguridad absoluta, solo”
Los riesgos que afectan el logro de los objetivos.
Minimiza
Reduce
Disminuye
Mitiga
8
Disfunciones
Originadas por:
Incomprensión CansancioDejadez
LIMITACIONES
9
Costo beneficio
Los costos del control interno no deben superar los beneficios derivados de el.
Cuantificables No siempre son cuantificables
La definición de costo beneficio es una cuestión de equilibrio.
10
Elusión
El control interno no puede ser mas eficaz que las personasresponsables por funcionamiento.
Lucro personal
Información fraudulenta
Origen de la Elusión
Falsedad
Alteración
Mejorar laSituación
IncumplimientoDe disp. legales
11
Confabulación
“La confabulación es enemiga del control por oposición de intereses”
“La confabulación mas difícil de detectar es cuandointervienen terceros ajenos a la entidad”.
12
Categorías
Características
Operacional
Información financiera.
Cumplimiento
Orienta las auditorias
Interesa a todas las entidades
Algunas veces se solapan
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
Aud. de cumplimiento
OBJETIVOS
13
“La entidad se esfuerza por alcanzar los objetivos para lo cual necesita de los siguientes componentes”
Ambiente de control, propicio para el ejercicio de las actividades.
Evaluación de riesgos, que atentan el logro de los objetivos de
la entidad.
Actividades de control, que permita minimizar los riesgos
identificados.
Supervisión, para evaluar el diseño y funcionamiento del control
interno.
En resumen, el “ambiente de control”:
Es la base de los otros componente, ya que en el A.C. se evalúan
los riesgos y se definen las actividades de control y
simultáneamente se capta información y se comunica bajo un
proceso supervisado y corregido oportunamente.
COMPONENTES
14
RESPONSABILIDADES
Responsables Terceros
Son partede CI
No son partedel CI
Máximo ejecutivo Comité de auditoria Auditoria interna Otro personal
Auditores externos Otros terceros
15
EL CI CONTRIBUYE AL LA MAE ES ENCARGADA DEL
LOGRO DE LOS OBJETIVOS DE LA ENTIDAD
La MAE es responsable porImplementar el CI
16
COMITÉ DE AUDITORIA - Características
Forma parte del Consejo de Administración; Informa al Consejo de Administración; Posición privilegiada; Integrado por personal independiente; Interviene sobre la información financiera; Refuerza el control interno; Interactúa con auditores internos y externos.
17
AUDITORIA INTERNA
Auditoria Interna
Competencia Objetividad
Personal con lossuficientes
conocimientosy experiencia
NoActividadesoperativas
DependenciaÚnicamenteDe la MAE
Independencia
18
OTRO PERSONAL….
SonProtagonistas
directos
Generandoinformación
AlertandoSobre:
Controlando A través de:
RegistrosInformesEstadísticas
Recuentos físicosConciliaciones bancariasAutorizaciones
Problemas operativosIncumplimiento de políticasActuaciones ilegales
19
AUDITORIA EXTERNA
“la función de auditoria externa tiene una visión mas amplia e independiente sobre
el control interno”
Control Interno
AuditoriaInterna
AuditoriaExterna
20
OTROS TERCEROS…..
“Algunos terceros relacionados con la entidad, son una importante fuente de información para el control interno”
Ejemplos
CLIENTES
Entregas oportunas
Calidad
Facturación
PROVEEDORES
Entregas parciales
Emisión de facturas
Corrupción
“La entidad debe implementar los mecanismos necesarios para obtener este tipo de información”
21
CONTROL INTERNO – Marco integrado
¿Qué es COSO?
22
¿QUÉ ES COSO?
Organización voluntaria del sector privado,establecida en los EEUU, dedicada aproporcionar orientación a la gestiónejecutiva y las entidades de gobierno sobrelos aspectos fundamentales de organizaciónde este, la ética empresarial, controlinterno, gestión del riesgo empresarial, elfraude, y la presentación de informesfinancieros. COSO ha establecido unmodelo común de control interno contra elcual las empresas y organizaciones puedenevaluar sus sistemas de control.
23
Hacia fines de Septiembre de 2004, comorespuesta a una serie de escándalos, eirregularidades que provocaron pérdidasimportante a inversionistas, empleados y otrosgrupos de interés, nuevamente el Committee ofSponsoring Organizations of the TreadwayCommission, publicó el Enterprise RiskManagement - Integrated Framework (COSO II) ysus Aplicaciones técnicas asociadas, el cualamplía el concepto de control interno,proporcionando un foco más robusto y extensosobre la identificación, evaluación y gestiónintegral de riesgo.
INFORME COSO
24
A nivel organizacional, estedocumento destaca la necesidadde que la alta dirección y el restode la organización comprendancabalmente la trascendencia delcontrol interno, la incidencia delmismo sobre los resultados de lagestión, el papel estratégico aconceder a la auditoría yesencialmente la consideracióndel control como un procesointegrado a los procesosoperativos de la empresa y nocomo un conjunto pesado,compuesto por mecanismosburocráticos.
A nivel regulatorio o normativo,el Informe COSO ha pretendidoque cuando se planteecualquier discusión o problemade control interno, tanto a nivelpráctico de las empresas, comoa nivel de auditoría interna oexterna, o en los ámbitosacadémicos o legislativos, losinterlocutores tengan unareferencia conceptual común, locual hasta ahora resultabacomplejo, dada la multiplicidadde definiciones y conceptosdivergentes que han existidosobre control interno.
Establecer unadefinicióncomún decontrol internoque respondaa lasnecesidadesde las distintaspartes.
Objetivos
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
26
COSO I y COSO II ERM
Ambiente de Control
Operacio
nes
Report
e
Cumpli
miento
Un
ida
d A
Unid
ad
B
Activid
ad
1
Activid
ad
2
Evaluación de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo
COSO: Marco conceptual integrado, 1992
COSO ERM: Marco de Gestión Integral de Riesgo, 2004
27
COMPONENTES DE CONTROL INTERNO
Ambiente de Control.Sirve como la base fundamental para los otros componentes delERM, dándole disciplina y estructura.Dentro de la empresa sirve para que los empleados creenconciencia de los riesgos que se pueden presentar en la empresa;
Evaluación del Riesgos.Identificación y análisis de los riesgos relevantes para laconsecución de los objetivos, constituyendo una base paradeterminar cómo se deben administrar los riesgos. Las respuestas:evitarlo, reducirlo, compartirlo, aceptarlo;
Actividades de Control. Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. Tipos: Preventiva, detectivas, manuales, computarizadas o controles gerenciales;
28
Establecimiento de objetivos.Es importante para que la empresa prevenga los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa.La empresa debe tener una meta clara que se alineen y sustenten con su vision y mision, pero siempre teniendo en cuenta que cada decision con lleva un riesgo que debe ser previsto por la empresa;
Identificación de eventos.Se debe identificar los eventos que afectan los objetivos de laorganización aunque estos sean positivos, negativos o ambos,para que la empresa los pueda enfrentar y proveer de la mejorforma posible.La empresa debe identificar los eventos y debe diagnosticarloscomo oportunidades o riesgos. Para que pueda hacer frente a losriesgos y aprovechar las oportunidades;
29
Información y Comunicación.La información es necesaria en todos los niveles de la organizaciónpara hacer frente a los riesgos identificando, evaluando y dandorespuesta a los riesgos.La comunicación se debe realizar en sentido amplio y fluir por todala organización en todo los sentidos.Debe existir una buena comunicación con los clientes,proveedores, reguladores y accionistas;
Monitoreo. Sirve para monitorear que el proceso de administración de losriesgos sea efectivo a lo largo del tiempo y que todos loscomponentes del marco ERM funcionen adecuadamente.El monitoreo se puede medir a través de: Actividades demonitoreo continuo y evaluaciones puntuales.
30
AMBIENTE DE CONTROL
1.1 Ambiente de Control y Valores Integridad; 1.2 Personal Competente;1.3 Planificación y Estructura Organizativa; 1.4 Delegación de Autoridad y Acciones Coordinadas; 1.5 Compromiso con el Control Interno y Adhesión a la Política;1.6 Ambiente de Confianza; 1.7 Auditoría Interna.
31
EVALUACIÓN Y GESTIÓN DE RIESGOS
2.1 Gestión de Riesgos Institucionales2.2 Planificación. 2.3 Indicadores Mensurables de Desempeño2.4 Divulgación de Planes2.5 Revisión de los Objetivos 2.6 Identificación y evaluación de Riesgos.
32
ACTIVIDADES DE CONTROL
3.1 Prácticas de Control y Manuales deprocedimientos;3.2 Clasificación y Análisis de las actividades deControl;3.3 Controles a Sistemas Administrativos,Operativos y de Gestión;3.4 Controles sobre los Sistemas de TecnologíaInformática.
33
INFORMACIÓN Y COMUNICACIÓN
4.1 Obtención y Comunicación de InformaciónEfectiva y de Calidad;4.2 Sistemas de Información y ControlesEstablecidos;4.3 Canales de Comunicación Abiertos;4.4 Archivo Institucional.
34
MONITOREO
5.1 Monitoreo del Control Interno;5.2 Evaluación del Desempeño Institucional;5.3 Reporte de Deficiencias y toma de AccionesCorrectivas;5.4 Asesoría Externa para Monitoreo del CII yEstándares Internacionales de AI.