M. Sc. Miguel Cotaña Mier Lp, marzo de 2015

AUDITORIA INFORMÁTICA

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS PURAS Y NATURALES

CARRERA DE INFORMÁTICA

1

MODULO II

2.3. Control Interno 2

3

CONTROL INTERNO

=

• Comprobación• Inspección• Fiscalización• Intervención

¿Para qué?

¿Sobre qué?

=Situado

dentro de los limites de

algo

La entidad

Conseguir un

objetivo

Procesos

Personas

INTERNO

4

El control interno es un proceso efectuadopor el consejo de administración, ladirección y el resto del personal de unaentidad, diseñado con el objeto deproporcionar una seguridad razonable encuanto a la consecución de objetivos:

Eficacia y eficiencia de lasoperaciones;

Confiabilidad de la informaciónfinanciera;

Cumplimiento de leyes y normasaplicables.

DEFINICIÓN

5

“El control interno es un proceso…

Actividades secuenciales que deben ejecutarse para lograr los objetivos.

¡Esto significa que no es una sola actividad!

Es un proceso “integrado” al resto de los procesos (Informe COSO).

Planificación Ejecución Supervisión

Controlinterno

6

…efectuado por el consejo de administración, ladirección y el resto del personal..

•Planificación •Ejecución•Supervisión

•Control Interno

Desde elportero hastael principalejecutivo

Afectan la conducta de

Afectan los

Procesos

Personas

7

…proporcionar una seguridad razonable…

“Existen limitaciones inherentes a cualquier control interno”

TiempoInformaciónPresión

Decisiones Errores

No intencionales

Intencionales

Disfunciones

Costo beneficio

Elusión

Confabulación

“Entonces, el control interno no brinda una seguridad absoluta, solo”

Los riesgos que afectan el logro de los objetivos.

Minimiza

Reduce

Disminuye

Mitiga

8

Disfunciones

Originadas por:

Incomprensión CansancioDejadez

LIMITACIONES

9

Costo beneficio

Los costos del control interno no deben superar los beneficios derivados de el.

Cuantificables No siempre son cuantificables

La definición de costo beneficio es una cuestión de equilibrio.

10

Elusión

El control interno no puede ser mas eficaz que las personasresponsables por funcionamiento.

Lucro personal

Información fraudulenta

Origen de la Elusión

Falsedad

Alteración

Mejorar laSituación

IncumplimientoDe disp. legales

11

Confabulación

“La confabulación es enemiga del control por oposición de intereses”

“La confabulación mas difícil de detectar es cuandointervienen terceros ajenos a la entidad”.

12

Categorías

Características

Operacional

Información financiera.

Cumplimiento

Orienta las auditorias

Interesa a todas las entidades

Algunas veces se solapan

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

Aud. de cumplimiento

OBJETIVOS

13

“La entidad se esfuerza por alcanzar los objetivos para lo cual necesita de los siguientes componentes”

Ambiente de control, propicio para el ejercicio de las actividades.

Evaluación de riesgos, que atentan el logro de los objetivos de

la entidad.

Actividades de control, que permita minimizar los riesgos

identificados.

Supervisión, para evaluar el diseño y funcionamiento del control

interno.

En resumen, el “ambiente de control”:

Es la base de los otros componente, ya que en el A.C. se evalúan

los riesgos y se definen las actividades de control y

simultáneamente se capta información y se comunica bajo un

proceso supervisado y corregido oportunamente.

COMPONENTES

14

RESPONSABILIDADES

Responsables Terceros

Son partede CI

No son partedel CI

Máximo ejecutivo Comité de auditoria Auditoria interna Otro personal

Auditores externos Otros terceros

15

EL CI CONTRIBUYE AL LA MAE ES ENCARGADA DEL

LOGRO DE LOS OBJETIVOS DE LA ENTIDAD

La MAE es responsable porImplementar el CI

16

COMITÉ DE AUDITORIA - Características

Forma parte del Consejo de Administración; Informa al Consejo de Administración; Posición privilegiada; Integrado por personal independiente; Interviene sobre la información financiera; Refuerza el control interno; Interactúa con auditores internos y externos.

17

AUDITORIA INTERNA

Auditoria Interna

Competencia Objetividad

Personal con lossuficientes

conocimientosy experiencia

NoActividadesoperativas

DependenciaÚnicamenteDe la MAE

Independencia

18

OTRO PERSONAL….

SonProtagonistas

directos

Generandoinformación

AlertandoSobre:

Controlando A través de:

RegistrosInformesEstadísticas

Recuentos físicosConciliaciones bancariasAutorizaciones

Problemas operativosIncumplimiento de políticasActuaciones ilegales

19

AUDITORIA EXTERNA

“la función de auditoria externa tiene una visión mas amplia e independiente sobre

el control interno”

Control Interno

AuditoriaInterna

AuditoriaExterna

20

OTROS TERCEROS…..

“Algunos terceros relacionados con la entidad, son una importante fuente de información para el control interno”

Ejemplos

CLIENTES

Entregas oportunas

Calidad

Facturación

PROVEEDORES

Entregas parciales

Emisión de facturas

Corrupción

“La entidad debe implementar los mecanismos necesarios para obtener este tipo de información”

21

CONTROL INTERNO – Marco integrado

¿Qué es COSO?

22

¿QUÉ ES COSO?

Organización voluntaria del sector privado,establecida en los EEUU, dedicada aproporcionar orientación a la gestiónejecutiva y las entidades de gobierno sobrelos aspectos fundamentales de organizaciónde este, la ética empresarial, controlinterno, gestión del riesgo empresarial, elfraude, y la presentación de informesfinancieros. COSO ha establecido unmodelo común de control interno contra elcual las empresas y organizaciones puedenevaluar sus sistemas de control.

23

Hacia fines de Septiembre de 2004, comorespuesta a una serie de escándalos, eirregularidades que provocaron pérdidasimportante a inversionistas, empleados y otrosgrupos de interés, nuevamente el Committee ofSponsoring Organizations of the TreadwayCommission, publicó el Enterprise RiskManagement - Integrated Framework (COSO II) ysus Aplicaciones técnicas asociadas, el cualamplía el concepto de control interno,proporcionando un foco más robusto y extensosobre la identificación, evaluación y gestiónintegral de riesgo.

INFORME COSO

24

A nivel organizacional, estedocumento destaca la necesidadde que la alta dirección y el restode la organización comprendancabalmente la trascendencia delcontrol interno, la incidencia delmismo sobre los resultados de lagestión, el papel estratégico aconceder a la auditoría yesencialmente la consideracióndel control como un procesointegrado a los procesosoperativos de la empresa y nocomo un conjunto pesado,compuesto por mecanismosburocráticos.

A nivel regulatorio o normativo,el Informe COSO ha pretendidoque cuando se planteecualquier discusión o problemade control interno, tanto a nivelpráctico de las empresas, comoa nivel de auditoría interna oexterna, o en los ámbitosacadémicos o legislativos, losinterlocutores tengan unareferencia conceptual común, locual hasta ahora resultabacomplejo, dada la multiplicidadde definiciones y conceptosdivergentes que han existidosobre control interno.

Establecer unadefinicióncomún decontrol internoque respondaa lasnecesidadesde las distintaspartes.

Objetivos

Facilitar un

modelo en base al

cual las empresas

y otras entidades,

cualquiera sea su

tamaño y

naturaleza, puedan

evaluar sus

sistemas de

control interno

26

COSO I y COSO II ERM

Ambiente de Control

Operacio

nes

Report

e

Cumpli

miento

Un

ida

d A

Unid

ad

B

Activid

ad

1

Activid

ad

2

Evaluación de Riesgos

Actividades de Control

Información y Comunicación

Monitoreo

COSO: Marco conceptual integrado, 1992

COSO ERM: Marco de Gestión Integral de Riesgo, 2004

27

COMPONENTES DE CONTROL INTERNO

Ambiente de Control.Sirve como la base fundamental para los otros componentes delERM, dándole disciplina y estructura.Dentro de la empresa sirve para que los empleados creenconciencia de los riesgos que se pueden presentar en la empresa;

Evaluación del Riesgos.Identificación y análisis de los riesgos relevantes para laconsecución de los objetivos, constituyendo una base paradeterminar cómo se deben administrar los riesgos. Las respuestas:evitarlo, reducirlo, compartirlo, aceptarlo;

Actividades de Control. Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. Tipos: Preventiva, detectivas, manuales, computarizadas o controles gerenciales;

28

Establecimiento de objetivos.Es importante para que la empresa prevenga los riesgo, tenga una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los riesgos en la empresa.La empresa debe tener una meta clara que se alineen y sustenten con su vision y mision, pero siempre teniendo en cuenta que cada decision con lleva un riesgo que debe ser previsto por la empresa;

Identificación de eventos.Se debe identificar los eventos que afectan los objetivos de laorganización aunque estos sean positivos, negativos o ambos,para que la empresa los pueda enfrentar y proveer de la mejorforma posible.La empresa debe identificar los eventos y debe diagnosticarloscomo oportunidades o riesgos. Para que pueda hacer frente a losriesgos y aprovechar las oportunidades;

29

Información y Comunicación.La información es necesaria en todos los niveles de la organizaciónpara hacer frente a los riesgos identificando, evaluando y dandorespuesta a los riesgos.La comunicación se debe realizar en sentido amplio y fluir por todala organización en todo los sentidos.Debe existir una buena comunicación con los clientes,proveedores, reguladores y accionistas;

Monitoreo. Sirve para monitorear que el proceso de administración de losriesgos sea efectivo a lo largo del tiempo y que todos loscomponentes del marco ERM funcionen adecuadamente.El monitoreo se puede medir a través de: Actividades demonitoreo continuo y evaluaciones puntuales.

30

AMBIENTE DE CONTROL

1.1 Ambiente de Control y Valores Integridad; 1.2 Personal Competente;1.3 Planificación y Estructura Organizativa; 1.4 Delegación de Autoridad y Acciones Coordinadas; 1.5 Compromiso con el Control Interno y Adhesión a la Política;1.6 Ambiente de Confianza; 1.7 Auditoría Interna.

31

EVALUACIÓN Y GESTIÓN DE RIESGOS

2.1 Gestión de Riesgos Institucionales2.2 Planificación. 2.3 Indicadores Mensurables de Desempeño2.4 Divulgación de Planes2.5 Revisión de los Objetivos 2.6 Identificación y evaluación de Riesgos.

32

ACTIVIDADES DE CONTROL

3.1 Prácticas de Control y Manuales deprocedimientos;3.2 Clasificación y Análisis de las actividades deControl;3.3 Controles a Sistemas Administrativos,Operativos y de Gestión;3.4 Controles sobre los Sistemas de TecnologíaInformática.

33

INFORMACIÓN Y COMUNICACIÓN

4.1 Obtención y Comunicación de InformaciónEfectiva y de Calidad;4.2 Sistemas de Información y ControlesEstablecidos;4.3 Canales de Comunicación Abiertos;4.4 Archivo Institucional.

34

MONITOREO

5.1 Monitoreo del Control Interno;5.2 Evaluación del Desempeño Institucional;5.3 Reporte de Deficiencias y toma de AccionesCorrectivas;5.4 Asesoría Externa para Monitoreo del CII yEstándares Internacionales de AI.