- Control interno :
Carlos Muñoz Razzo :
“El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administración para el cumplimiento correcto de las actividades y operaciones de las empresas”.
José Antonio Echenique :
“El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y proveer la adherencia a las políticas prescritas por la administración”
- Control interno y la nueva economía
- Restructuración de los procesos empresariales (BPR: Business Process - Re-engineering).
- Gestión de la calidad (TQM).
- Redimensionamiento por reducción o crecimiento hasta el nivel correcto.
- Outsourcing.
- Descentralización.
- Control interno y las fuerzas externas
- Ante esta situación, las empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopción de la tecnología disponible.
- Los Sistemas de información constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta dirección. Lo que origina también un aumento de las necesidades de control y auditoria. Es en este escenario que aparecen dos conceptos fundamentales: El control interno informático y la Auditoria informática.
- Control interno gubernamental
1. Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios.
2. Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto legal
3. Cumplir las leyes, reglamentos y otras normas gubernamentales
4. Elaborar información financiera válida y confiable, presentada con oportunidad.
5. Promover una Cultura de Integridad, Transparencia y Responsabilidad den la Función Pública, cautelando el correcto desempeño de los funcionarios y servidores.
En las entidades gubernamentales realizan la función de control interno los funcionarios y servidores de la entidad de acuerdo a sus niveles de responsabilidad.
- ¿QUIÉN EVALUA EL CONTROL INTERNO?
PRINCIPIOS :
1. Delimitación de responsabilidades.
2. Separación de funciones incompatibles.
3. Ninguna persona debe tener responsabilidad
completa.
4. Selección de servidores hábiles y capacitados.
5. Aplicación de pruebas continuas de exactitud.
6. Rotación de personal.
7. Fianzas.
8. Instrucciones por escrito.
9. Uso de formularios pre - numerados.
10. Evitar uso de dinero en efectivo.
11. Depósito inmediato o intactos fondo.
12. Uso mínimo de cuentas bancarias.
- Control interno informático
- Las medidas preventivas son aquellas orientadas a la prevención de riesgos o situaciones anómalas a las fijadas en la institución. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.
- Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estándares fijados. Podríamos citar como situación ilustrativa la revisión de la bitácora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.
- Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daños ocasionados por un acceso no deseado.
- OBJETIVOS (control interno informático):
- Control de las actividades orientadas al cumplimiento de los procedimientos y normas fijados por la organización así como el cumplimiento de las normas legales.
- Asesorar al personal de la organización sobre el conocimiento de las normas.
- Colaborar y apoyar el trabajo de auditoria Informática.
- Definir, implantar y ejecutar mecanismos y controles así como establecer responsabilidades en la evaluación y ejecución de las medidas preventivas.
TIPOS:
Según los objetivos se clasifica en:
- Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
- Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
- Controles correctivos: facilitan la vuelta a la normatividad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.
- Control interno y auditoría informática :
El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.
COBIT
Definición :
Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas)
COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: los riesgos del negocio, las necesidades de control, y los aspectos tecnológicos, mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades.
Misión : “Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.”
- Razones que llevan a considerar implantar un modelo de gestión de TI
- La Tecnología soporta la cuasi totalidad de los procesos del negocio
- Los desarrollos constantes en TI y en las prácticas de negocio
- La responsabilidad por el uso de la tecnología se extiende en la organización
- Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio
- Nivel de inversiones en tecnología
- Constante aumento de vulnerabilidades y un amplio espectro de amenazas.
- Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos
- Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”)
- ¿Quién necesita un modelo de gestión y control de TI?
- decisiones de inversión en TIUsuarios
- equilibrar riesgo y control de las inversiones
- benchmark entre la situación de TI actual y la deseada
- obtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamenteAuditores
- fundamentar las opiniones vertidas a la gerencia en materia de control interno
- aconsejar sobre los controles mínimos necesarios
- PRINCIPIOS
- Requerimientos de la información para el negocios
- Calidad.Requerimientos Financieros (COSO)
- Costo.
- Oportunidad.
- Efectividad y eficiencia operacional.Requerimientos de Seguridad
- Confiabilidad de los reportes financieros.
- Cumplimiento de leyes y regulaciones.
- Confidencialidad.
- Integridad.
- Disponibilidad.
- Procesos de TI
Procesos : Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas : Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.
- Beneficios del COBIT
La Gerencia : para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales : quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI : para identificar los controles que requieren en sus áreas
Espero haber ayudado en algo. Hasta la próxima oportunidad!
Las auditorías de software y asesoría, son temas sumamente delicados que hemos visto en Lufai, y por eso siempre buscamos ofrecer a nuestros usuarios la mejor atención posible sobre el tema.
ResponderEliminarHola Amanda, gracias por tu comentario. Saludos!
Eliminar