coso
DESCRIPTION
COSOTRANSCRIPT
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
INDICE
EVALUACION DE LA ESTRUCTURA DEL CONTROL INTERNO COSO.....................................1OBJETIVOS Y CLASIFICACION DE LOS OBJETIVOS....................................................................3
Objetivos Estratégicos..........................................................................................................................33. Ejemplo Práctico:..............................................................................................................................4Objetivos de las Operaciones.............................................................................................................4• Objetivos relacionados con la información financiera..................................................................5Objetivos de Cumplimiento.................................................................................................................6
PRINCIPIOS BASICOS DE CONTROL INTERNO............................................................................6División del trabajo..................................................................................................................................7Fijación de responsabilidad.....................................................................................................................7
CARGO Y DESCARGO...........................................................................................................................8Estructura & Elementos.........................................................................................................................10
1. El Entorno de Control:.......................................................................................................................102. La Evaluación de los Riesgos............................................................................................................103. Actividades de Control......................................................................................................................114. Información y Comunicación............................................................................................................115. Supervisión........................................................................................................................................12
METODOS DE EVALUACION DEL CONTROL INTERNO.............................................................13Antecedentes Históricos........................................................................................................................13Integral Control – integrade framework...........................................................................................14
OTROS MODELOS DE CONTROL INTERNO:................................................................................16Modelo Coco........................................................................................................................................16Propósito..............................................................................................................................................16
Guía para las normas de Control Interno del Sector Público,.........................................................16INTOSAI:..............................................................................................................................................16Comunicación de deficiencias..........................................................................................................18
Fuente de información....................................................................................................................18Qué se debe informar.....................................................................................................................18A quién informar..............................................................................................................................18Directrices sobre comunicación de deficiencias........................................................................19Aplicación en las PyMEs................................................................................................................19
Evaluación............................................................................................................................................19Supervision continua.............................................................................................................................19Evaluación puntual................................................................................................................................20La comunicación de las deficiencias.....................................................................................................20
LA ESTRUCTURA DEL CONTROL INTERNO AL PLANIFICAR LA AUDITORIA......................20RESEÑA HISTORICA:........................................................................................................................20Estructura del control interno:...............................................................................................................21
CONSIDERACIONES AL PLANIFICAR UNA AUDITORIA:............................................................21AMBIENTE DE CONTROL:...............................................................................................................21LA EVALUCAION DEL RIESGO:.....................................................................................................22SISTEMA DE INFORMACIÓN Y COMUNICACIÓN......................................................................22ACTIVIDADES DE CONTROL..........................................................................................................22ACTIVIDADES DE MONITOREO....................................................................................................22
i
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
NORMAS DE AUDITORIA PARA EVALUAR EL CONTROL INTERNO.......................................23
GUIAS DE AUDITORIA INTERNA...................................................................................................23NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORIA INTERNA (Emitidas por The Institute of Internal Auditors)..............................................................24CASO PRÁCTICO..................................................................................................................................25
Ambiente de Control..............................................................................................................................25Valores éticos.....................................................................................................................................25Estructura organizacional..................................................................................................................26Programación.....................................................................................................................................26Operaciones.......................................................................................................................................26Soporte a Usuarios.............................................................................................................................26
Evaluación de Riesgos...........................................................................................................................26Recomendaciones:.............................................................................................................................28
ii
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
INTRODUCCIÓN
Para muchas organizaciones es de mucha importancia tener controles internos adecuados a
sus necesidades, ya que de esto depende, que las operaciones se efectúen de manera
correcta. Toda organización, tiene riesgos lo cuales deben ser disminuidos con la adopción de
controles adecuados a la misma.
El presente trabajo pretende demostrar que el modelo de control interno COSO, es un
instrumento eficaz en la evaluación del control interno de las organizaciones, así como
reconocer que tal modelo no es solo de ayuda para los auditores (internos y externos) si no
que también para las gerencias de las organizaciones empresariales, con el fin de identificar
los diferentes riesgos y la mejor practica para disminuirlos o eliminarlos.
Este trabajo nos ha presentado gran interés, ya que ampliará nuestros conocimientos acerca
del modelo COSO el cual ha estado en el medio por muchos años pero en Guatemala son
pocas las empresas que están certificadas para su aplicación y por ende poco conocido o
practicado y la bibliografía que se tiene del tema no es abundante. Muchas veces el control
interno no es tomado con la importancia debida y consideramos que el método COSO incluye
los puntos indispensables que deben tomarse en cuenta.
El trabajo abarca lo que se refiere a conceptos de control interno y de COSO; por otra parte
también explica detalladamente los componentes del control interno en donde se incluye: el
ambiente de control, la evaluación de riesgos, las actividades, de control, la información y
comunicación así como el monitoreo. Por otra parte se incluyen situaciones en donde los
controles fallan así como las personas responsables, y un caso práctico general en donde se
evaluó los controles con los que cuenta el área de sistemas de una empresa mediana.
Debe tomarse en cuenta que el objetivo de este trabajo trata de cubrir los aspectos de mayor
relevancia respecto al modelo COSO, por lo que no se pretende haber agotado el tema pues
de una mayor amplitud.
iii
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
EVALUACION DE LA ESTRUCTURA DEL CONTROL INTERNO COSO
Debido al mundo económico que existe hoy en día se ha creado la necesidad de integrar
metodologías y conceptos en todos los niveles de las diversas áreas administrativas y
operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales,
surge así un nuevo concepto de control interno donde se brinda una estructura común el cual
es documentado en el denominado informe COSO.
El INFORME COSO, publicado en EE.UU. en 1992, surgió como una respuesta a las
inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones
existentes en torno a la temática referida.
Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo
que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE
OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las
siguientes organizaciones:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
Financial Executive Institute (FEI)
Institute of Internal Auditors (IIA)
Institute of Management Accountants (IMA)
La definición de control interno se entiende como el proceso que ejecuta la administración con
el fin de evaluar operaciones especificas con seguridad razonable en tres principales
categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y
cumplimiento de políticas, leyes y normas.
La implementación del control interno implica que cada uno de sus componentes estén
aplicados a cada categoría esencial de la empresa convirtiéndose en un proceso integrador y
dinámico permanentemente, como paso previo cada entidad debe establecer los objetivos,
políticas y estrategias relacionadas entre sí con el fin de garantizar el desarrollo
organizacional y el cumplimiento de las metas corporativas; aunque el sistema de control
interno debe ser específico a la administración de la entidad.
Busca que este sea más flexible y competitivo en el mercado se producen ciertas limitaciones
inherentes que impiden que el sistema como tal sea 100% confiable y donde cabe un 1
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
pequeño porcentaje de incertidumbre, por esta razón se hace necesario un estudio adecuado
de los riesgos internos y externos con el fin de que el control provea una seguridad razonable
para la categoría a la cual fue diseñado, estos riesgos pueden ser atribuidos a fallas humanas
como la toma de decisiones erróneas, simples equivocaciones o confabulaciones de varias
personas, es por ello que es muy importante la contratación de personal con gran capacidad
profesional, integridad y valores éticos así como la correcta asignación de responsabilidades
bien delimitadas donde se interrelacionan unas con otras con el fin de que no se rompa la
cadena de control fortaleciendo el ambiente de aplicación del mismo, cada persona es un
eslabón que garantiza hasta cierto punto la eficiencia y efectividad de la cadena, cabe
destacar que la responsabilidad principal en la aplicación del control interno en la organización
debe estar siempre en cabeza de la administración o alta gerencia con el fin de que exista un
compromiso real a todos los niveles de la empresa, siendo función del departamento de
auditoría interna o quien haga sus veces, la adecuada evaluación o supervisión independiente
del sistema con el fin de garantizar la actualización, eficiencia y existencia a través del tiempo,
estas evaluaciones pueden ser continuas o puntuales sin tener una frecuencia
predeterminada o fija, así mismo es conveniente mantener una correcta documentación con el
fin de analizar los alcances de la evaluación, niveles de autorización, indicadores de
desempeño e impactos de las deficiencias encontradas, estos análisis deben detectar en un
momento oportuno como los cambios internos o externos del contexto empresarial pueden
afectar el desarrollo o aplicación de las políticas en función de la consecución de los objetivos
para su correcta evaluación.
La comprensión del control interno puede así ayudar a cualquier entidad pública o privada a
obtener logros significativos en su desempeño con eficiencia, eficacia y economía, indicadores
indispensables para el análisis, toma de decisiones y cumplimiento de metas.
2
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
OBJETIVOS Y CLASIFICACION DE LOS OBJETIVOS
Acordar una definición de Control Interno que sea aceptada como un marco común que
satisfaga las necesidades de todos los sectores.
Aportar una estructura de Control Interno que facilite la evaluación de cualquier sistema en
cualquier organización.
El “Informe COSO” constituye un gran avance al acordar una definición respecto al
concepto de control interno. El informe COSO logra definir un marco conceptual común y
se constituye en una visión integradora del control interno.
El marco de COSO contribuye a la identificación y coordinación de todos los aspectos que
deben estar presentes para una efectiva gestión del riesgo.
Objetivos Estratégicos
Estos definen los Objetivos Financieros requeridos para alcanzar la Visión y Misión y estos
serán los encargados de proyectar los mecanismos hacia los diferentes fines que persigue
una entidad. Los Procesos Internos se planifican para lograr los objetivos financieros.
Posteriormente, todo reposa en el Aprendizaje y Crecimiento de la organización. Todos estos
elementos, garantizan que determinada Función, esté apoyando a la obtención de los
Objetivos de la Organización a la cual pertenece, y a su vez, garantice que determinada
gestión cumpla con lo que definió.
.Es bueno aclarar que no se pretenden realizar los pasos de la Implantación, si no, cómo
adaptar esta metodología a las necesidad de lo Servicios Técnicos de las Instalaciones
Turísticas.
3
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
3. Ejemplo Práctico:
Es necesario partir de la Misión, Visión y Objetivos Estratégico. Pues bien, en este caso, para
un Departamento de Servicios Técnicos puede definirse cómo:
VISIÓN: Debemos lograr un servicio con calidad para convertir a la Instalación en un centro
de preferencia para visitantes Nacionales y Foráneos, con un reconocido prestigio en el sector
MISIÓN: Garantizar el correcto estado técnico de las instalaciones que permita brindar un
servicio al cliente con la máxima calidad, a partir del cuidado del medio ambiente, la salud y
de forma sostenible, garantizando un ahorro considerable de los Portadores Energéticos.
Aquí es necesario hacer un alto. Como parece casi evidente, de la misión se pueden observar
tendencias o aspectos fundamentales. Estos se concentran en:
1. Optimo estado técnico de los equipos e instalaciones.
2. Cuidado del Medio Ambiente y la salud.
3. Ahorro de los Portadores Energéticos.
4. Sostenibilidad. Implica tanto financiara como del crecimiento del conocimiento. (Capital
Intangible.)
5. Servicio de alta Calidad.
Y como un elemento vital, que no se expresa directamente en el texto de la Misión:
6. Disminución de los Costos de Operación.
Como se puede apreciar, en función de estos aspectos contenidos en la Misión, se componen
los Objetivos Estratégicos.
Objetivos de las Operaciones.
Se refieren a la utilización eficaz y eficiente de los recursos en las operaciones de la entidad.
Son la razón de ser de las empresas y van dirigidos a la consecución del objeto social.
Constituyendo de este modo la parte más importante de todo el proceso de construcción de
las estrategias y de la asignación de los recursos disponibles. Por ello es de suma importancia
que los objetivos sean coherentes y realistas. Constituyen elementos de gestión y no de
4
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
control interno, a pesar de ser una base previa para el mismo. Este grupo de objetivos es
peculiar para cada entidad, no así los dos restantes que, con algunos cambios, son aplicables
a todas las entidades.
La consecución de los objetivos operacionales no siempre está bajo el control de la entidad. El
control interno no es capaz de prevenir algunos sucesos externos que pueden evitar el
alcance de metas operativas, pero puede aportar un nivel razonable de seguridad de que la
administración esté informada en el momento preciso del nivel de avance en la consecución
de dichos objetivos.
• Objetivos relacionados con la información financiera.
Estos se enmarcan en la preparación y publicación de estados financieros confiables, cuyo
factor es de suma importancia en las relaciones con el exterior, además de ser un importante
elemento de la gestión interna, es por ello que una información financiera confiable es un
objetivo importante a cumplir.
Para que los estados financieros sean confiables deben seguir los siguientes requisitos:
- Tener principios contables aceptados y apropiados a las circunstancias.
- Poseer información financiera suficiente y apropiada, resumida y clasificada en forma
adecuada.
- Presentar los hechos económicos de forma tal que los estados financieros reflejen
adecuadamente la situación financiera, los resultados de las operaciones y los flujos de
orígenes y aplicaciones de recursos en forma apropiada y razonable.
Las afirmaciones que subyacen detrás de los estados financieros son:
- Existencia: Los activos y pasivos existen a la fecha del balance y las transacciones
contabilizadas han ocurrido realmente durante un período determinado.
- Totalidad: Todas las transacciones y acontecimientos ocurridos durante un período
determinado han sido efectivamente reflejadas en los registros contables.
- Derechos y obligaciones: Los activos son los derechos y los pasivos las obligaciones de la
entidad.
- Valoración: El importe de los activos y pasivos y el de los ingresos ha sido determinado con
5
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
criterios adecuados de conformidad con principios contables generalmente aceptados.
- Presentación: La información financiera presentada en los estados financieros debe ser
suficiente, adecuada y estar correctamente clasificada.
Objetivos de Cumplimiento.
Se refieren al cumplimiento por parte de la entidad de las leyes y los reglamentos. Toda
entidad debe desarrollar su actividad dentro del marco de la legalidad y los reglamentos que
regulan los aspectos de las relaciones sociales, como son: normativa mercantil, civil, laboral,
financiera, medio ambiente, seguridad, entre otros. El no cumplimiento de los mismos puede
ocasionar problemas y puede afectar su prestigio. Cada entidad debe establecer sus propios
objetivos de cumplimiento dentro de los cuales moverse.
Luego de conocer los objetivos de control interno podemos decir que un objetivo puede
pertenecer a más de una categoría. En todo caso debe existir una estructuración coherente de
objetivos, clasificando los mismos por su importancia y reconociendo las interconexiones y
derivaciones de los mismos.
Un grupo de objetivos de especial interés es el referido a “la salvaguarda de los activos”, que
se incluye dentro de los objetivos de tipo operativo, dentro de los cuales está presente la
utilización eficiente de los recursos evitando ineficacias, pérdidas o malversaciones. Ellos
pueden relacionarse con objetivos de cumplimiento o con objetivos relativos a la información
financiera. El control interno debe conseguir que exista un nivel apropiado de información
sobre la consecución de los objetivos operativos.
PRINCIPIOS BASICOS DE CONTROL INTERNO
Deben ser tareas priorizadas de cada dirigente y trabajador, la implantación de las medidas
de control interno, así como la realización sistemática de los controles y de la aplicación de
divisiones para erradicar las deficiencias con el objetivo de lograr un incremento de la
eficiencia económica y la calidad y el resultado positivo de las actividades realizadas por cada
entidad.
Para lograr establecer un eficaz sistema de control interno, se deberá tomar en cuenta
6
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
previamente la organización de la entidad sobre la base de determinados principios, entre
ellos los fundamentales son los siguientes:
División del trabajo.
En ningún caso una sola persona tendrá el control íntegro de una operación, para procesar
cada tipo de transacción el control interno debe pasar por cuatro etapas separadas:
AUTORIZADA
APROBADA
EJECUTADA
REGISTRADA
De modo tal que garantice que los responsabilizados con la custodia de los medios y la
elaboración de los documentos primarios no tengan autoridad para aprobar los mismos y que
ambos no tengan la función o posibilidad de efectuar anotaciones en los registros contables
de esta forma el trabajo de una persona es verificado por otra que trabaja independiente y que
al mismo tiempo verifica la operación realizada posibilitando la detección de errores.
Fijación de responsabilidad.
Garantizar que los procedimientos inherentes al control de las operaciones económicas, así
como la elaboración y aprobación de los documentos pertinentes, permitan determinar en
todos los casos, la responsabilidad primaria sobre todas las anotaciones y operaciones
llevadas a cabo.
Se deben proveer las funciones de cada área, así como las consecuentes responsabilidades
de cada uno de los integrantes de la misma, teniendo en cuenta que la autoridad es
delegable, no siendo así la responsabilidad.
7
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
CARGO Y DESCARGO
Debe garantizarse que todo recurso o servicio recibido o entregado sea registrado, o sea
lograr que se contabilicen los cargos de todo lo que entra y descargos de todo lo que sale, lo
cual servirá de evidencia documental que precise quién lo ejecutó, aprobó, registró y verificó.
Debe quedar bien claro en qué forma y momento una cuenta recibe los créditos y los débitos,
es por ello que toda anotación que no obedezca a las normas de una cuenta se debe
investigar en detalle.
La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o análisis en forma
sistemática, por personal independiente al que efectúa dichas anotaciones, permitirá observar
si las operaciones registradas se corresponden con el contenido de cada cuenta. Resulta
conveniente además aplicar la práctica de rotar a los trabajadores en sus distintos puestos de
trabajos teniendo en cuenta sus conocimientos y nivel ocupacional, lo que limita los riesgos de
la comisión de fraudes viabilizando su descubrimiento en caso de producirse éstos y tiene
además la ventaja de aumentar la eficiencia del trabajo al conseguir un entrenamiento más
integral.
Para que un Sistema de Contabilidad garantice un eficiente control interno, debe suceder lo
siguiente:
a) Toda empresa antes de comenzar sus operaciones debe tener definida correctamente
su organización, como mínimo debe poseer:
¨ Gráfico de organización
¨ Manual de funciones por cargos.
b) Fundamentalmente deben estar bien definidas las funciones de contabilidad y tesorería,
además de estar bien segregadas y establecidas las relaciones y puntos de convergencias de
las mismas.
c) El administrativo de la contabilidad debe ser responsable de sus actos ante el
funcionario de primer nivel de la empresa, lo cual quiere decir que este debe tener
independencia de criterio absoluto ante el resto de los funcionarios de la empresa.
d) Toda entidad clasificada como mediana o grande de acuerdo a sus actividades
económicas, debe poseer la función de auditoría interna, subordinada directamente al
8
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
funcionario de primer nivel de la organización, ante el cual debe rendir sus informes. La
intervención interna consiste fundamentalmente en la comprobación periódica de los
mecanismos de control interno establecidos en los procedimientos contables.
e) La entidad debe contar antes del inicio de sus operaciones con un clasificador de
cuentas donde se detalle el plan de cuentas que utiliza la contabilidad para registrar los
hechos económicos, el contenido económico de cada cuenta con el detalle de sus abonos y
créditos fundamentales y el sistema informativo que emite la contabilidad periódicamente a la
dirección de la empresa, para dirigir económicamente la misma.
f) Otro documento de dirección con que debe contar la entidad antes del inicio de sus
operaciones es el manual de procedimientos de contabilidad y control interno, en el cual se
describirán los procedimientos contables y los requisitos de control interno a que cada
operación descrita esté sujeta, con el objetivo de su chequeo y comparación.
g) El sistema informativo periódico debe proporcionar a la dirección el instrumento
apropiado para dirigir, debe brindar entre otros aspectos los siguientes:
¨ Variaciones de importancia con cifras normales
¨ Presupuestos o periodos anteriores.
Estos estados periódicos deben ser revisados y discutidos con la Junta Directiva,
Comité‚ Ejecutivo, Presidente, Tesorero, Jefes de Departamentos, etc., con vista a la toma de
decisiones económicas encaminadas a una mayor efectividad de la empresa.
h) Para una dirección eficiente la institución debe contar con los siguientes elementos:
¨ Sistema de Costo
¨ Control Presupuestario de costos y gastos.
¨ Análisis de la interpretación de ambos.
El sistema de costo es un documento donde se recogen el conjunto de métodos, normas y
procedimientos que rigen la determinación y el análisis del costo, así como el proceso del
registro de los gastos de una o varias actividades. Este sistema debe garantizar los
requerimientos informativos para una correcta dirección de la entidad.
i) El control presupuestario establece la comparación de la ejecución real con el
pronóstico o presupuesto, determinando las desviaciones y sus causas.
j) El análisis de los costos y el presupuesto permite la adopción de medidas concretas
para erradicar los efectos negativos de las desviaciones.
k) La entidad debe tener definida la política general en cuanto a la cobertura de seguro, 9
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
así como la definición del funcionario en el cual recae la responsabilidad de la revisión
periódica de dicha cobertura.
l) Recopilación de las Normas y Procedimientos a aplicar, basados en las regulaciones
emitidas por los organismos globales y ramales, así como los específicos de cada entidad,
atendiendo a las particularidades de su actividad y a los requerimientos de su organización y
dirección.
m) Diseño del conjunto de modelos y documentos que se necesitan utilizar en la entidad,
tanto de uso común que establezcan relaciones con terceros, como los que soporten las
operaciones de carácter interno, así como los de uso específico, de acuerdo a las
peculiaridades de las actividades que desarrollan, incluyendo sus correspondientes
metodologías y previendo el adecuado archivo y conservación de los mismos, acorde a las
regulaciones que en materia de prescripción se legislen al efecto.”
Estructura & Elementos
Los elementos que integran el control interno en base al informe COSO II son:
1. El Entorno de Control: Es la base en la que se apoyan los restantes componentes del Control Interno. El
Entorno de Control se refiere a la que podríamos llamar "cultura" o "actitud"
generalizada de la empresa con respecto al control. Influye en la estrategia y en los
objetivos establecidos, estructurando las actividades del negocio, identificando,
evaluando e interpretando los riesgos. Hay que analizar elementos como la integridad
de las personas (a todos los niveles), los valores éticos, el estilo o filosofía de gestión,
etc.
2. La Evaluación de los Riesgos. Los riesgos se definen como todos aquellos elementos o circunstancias que podrían impedir
que la empresa alcanzara sus objetivos. Visto que la empresa desarrolla su actividad en un
entorno cada vez más competitivo, dinámico y cambiante, debe disponer de ciertos
10
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
mecanismos que evalúen constantemente el entorno circunstante y garanticen que la
empresa se va adecuando a este.
La metodología de evaluación de riesgos de una organización normalmente comprende una
combinación de técnicas cualitativas y cuantitativas. En aquellos casos donde los riesgos no
son cuantificables, o cuando no se poseen datos suficientes y creíbles para evaluaciones
cuantitativas, a menudo se utilizan solo técnicas de evaluación cualitativa, Sin embargo, no
debemos olvidar que la cuantificación nos brinda más precisión en la evaluación de riesgos.
Al momento de evaluar los acontecimientos no lo debemos de hacer individualmente, sino que
debemos tener en cuenta la correlación que pudiera existir dentro distintos acontecimientos, y
las secuencias de acontecimientos que se combinan e interactúan para crear los impactos
sobre la organización.
3. Actividades de Control.
Las actividades de control son todas aquellas medidas, de la más diversa naturaleza, que
sirven para asegurar que el negocio de la empresa, en todos sus aspectos, está bajo control.
Son los típicos controles que se revisan en el marco de una auditoría externa: aprobación y
autorización de las transacciones, controles de acceso, etc.
4. Información y Comunicación.
La información es esencial para que la empresa pueda funcionar y para que la dirección tome
decisiones acertadas. Es importante no confundir aquí el objetivo de fiabilidad de la
información, con el este 4º elemento del Control Interno. En este contexto la información que
maneja la empresa, y la correcta comunicación y flujo de la misma, de manera rápida y
tempestiva, desde y hacia todos los departamentos y niveles de la empresa es esencial para
el buen funcionamiento de un sistema de Control Interno.
11
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
5. Supervisión.
Como todo sistema, también el sistema de Control Interno necesita de supervisión para
funcionar correctamente. En este sentido, la supervisión es un proceso que comprueba que el
sistema de Control Interno funciona correctamente. Esta supervisión la debe realizar la
dirección de la empresa, pero está claro que es aquí, en estas revisiones donde el trabajo de
los auditores internos se hace más importante.
Los elementos del Control Interno interactúan entre sí, y forman un sistema. Este sistema
debe estar integrado (no solo simplemente superpuesto) a las actividades operativas de la
empresa. Cuanto más integrado esté el sistema de Control Interno con las actividades de la
empresa, tanto mayores serán las posibilidades de éxito del mismo.
Todos los miembros de la organización son responsables de la implantación y correcto
funcionamiento del sistema de Control Interno.
La dirección de la empresa es el principal responsable del Control Interno. Esto es un
concepto muy importante. No se debe pensar, como a veces se hace, que son los auditores
internos los responsables de implementar y velar por el correcto funcionamiento del sistema
del Control Interno. La responsabilidad recae por el contrario sobre la dirección de la empresa,
a partir de los niveles más altos y luego, en cascada, en todos los niveles directivos
intermedios.
Por otro lado, los auditores internos desarrollan una importante función en lo que se refiere a
la evaluación del sistema de Control Interno. Su posición jerárquica (en dependencia de la
más alta dirección) les garantiza la suficiente independencia para llevar a cabo su labor de
manera eficaz. Es por lo tanto en la Supervisión donde los auditores internos desarrollan su
papel más importante.
12
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
El informe COSO plantea una estructura de control de la siguiente forma:
METODOS DE EVALUACION DEL CONTROL INTERNO
Antecedentes Históricos
El control interno a evolucionado en los últimos años, el ambiente, tanto interno como externo, es resultado del proceso de globalización e internacionalización de capitales, así como del impacto de diversos factores. Lista de principales impactos en las empresas:
- Incremento y aceleración del proceso de internacionalización. Este proceso comprende
Propiedad
Expansión Compañías
Presencia interna
13
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
- Crecimiento de volúmenes de operaciones y de ventas, lo cual ha vuelto la operatoria
de las empresas más compleja y difícil de controlar.
- Separación entre la propiedad y la dirección de la empresa, con lo que los dueños ceden lugar al managment profesional, esto hace necesario aplicar los diversos mecanismos de control.
Por todo lo anteriormente citado se da la necesidad de establecer modelos concretos y específicos de control interno para evitar posibles fraudes.Aun existiendo modelos de control interno se dan diversos escándalos y fraudes contables, tal es el caso de las empresas estadounidenses Enron1 Y World Com2. Características comunes a los casos de fraude son: la gran envergadura económica, ambos ofertaban al publico sus acciones, la dirección y los auditores se han visto involucrados (A raíz de los escándalos se da la caída más estruendosa de una firma de auditoría, Arthur Andersen).
El control interno ha sido vulnerado lo cual influye para que se dé la reacción de Estados Unidos mediante la emisión de la ley Sarbanes Oxley3.Alcance de la ley: todas las empresas, estadounidenses o no, que presten informes a las SEC4, esta ley es de alcance mundial hasta donde llegan las ramificaciones de esas empresas.
El no cumplimiento de la norma implica severas sanciones para las empresas y para sus directores. La sección 4045 de la ley introduce elementos de regulaciones sobre el sistema de control interno.
Integral Control – integrade framework.
Emitida en septiembre de 1992 por el “coso” creado en 1985 con el propósito de promover la emisión de información contable y financiera fraudulenta.
1 La quiebra más grande de la historia (Enron)
Informo ganancias inexistentes utilizando métodos contables no aceptados. Ni el control interno y los auditores externos detectaron esta situación, ocultando perdidas por 4 años.
2 El fraude más grande en materia de libros contables (Word Com)
La compañía había ocultado cuentas incobrables subvalorando costos y alterando perdidas en que los efectos de determinados controles deberían haber sido reconocido contablemente.
3 Se promulgo la ley de Sarbanes Oxley, aprobada el 30 de junio del 2002, puesto que el caso detonante fue el de la quiebra de Enron.
4 Securities An Exchange Commissions o Comisión Nacional de Valores de Estados Unidos.
5 Sección 404 Evaluación Gerencial de los Controles Internos, Ley Sarbanes Oxley
14
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Este marco conceptual proporciona criterios considerados convenientes y adecuados con el objetivo de que sirvan como marco de comparación, para que el managment de una empresa evalué e informe acerca del sistema de control vigente. Aunque es el más aceptado y difundido, Coso no el único marco conceptual, a continuación se enuncia el conjunto de los más reconocidos, a los que se les agrega una breve indicación de algunas de sus principales diferencias:
Todos los marcos concuerdan totalmente en algunos aspectos:
a) Que el control interno es un proceso
b) Que su objetivo es obtener efectividad, eficiencia, seguridad y la emisión de información confiable.
En Resumen Coso es una metodología que da respuesta a los requerimientos de la sección 404 de Sarbanes Oxley; es probablemente la más utilizada en Estados Unidos.
El Informe Coso toma muchas de las buenas prácticas que se habían venido desarrollando hasta entonces en materia de Control Interno, y las reúne y consolida, y además propone un modelo integrado.
Si nos permitimos un análisis crítico de las propuestas expuestas, concluiremos en que las respuestas metodológicas (motivadas por casos de escándalos y fraudes contables) aplican directamente a:
Grandes Empresas de los países grandes, que también...
Cotizan sus acciones en bolsa y a su vez...
Presentan una estructura pesada de gobierno corporativo que seguramente ha sido incrementada para dar cumplimiento a los requerimientos de la Ley Sarbanes – Oxley.
15
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
OTROS MODELOS DE CONTROL INTERNO:
Modelo Coco
Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA) a través de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre el control.
Propósito
Busca proporcionar un entendimiento de control y dar respuesta a las tendencias como por ejemplo:
En el impacto de la tecnología y el recorte a las estructuras organizacionales, que propiciado un mayor énfasis sobre el control a través de medios informales.
Guía para las normas de Control Interno del Sector Público,
INTOSAI:
Definen un marco recomendado para el control interno en el sector público y presenta una base para que el control interno pueda ser evaluado. El anticipo puede ser aplicado a todos los aspectos operacionales de una organización.
En todo caso, no intentan limitar o interferir el trabajo de las autoridades relacionadas con el desarrollo de la legislación, de quiénes hacen las reglas o de quiénes tienen la potestad de establecer políticas en una organización, enfocado a lograr objetivos sociales o políticos; utilización de fondos públicos; importancia del ciclo presupuestario; la complejidad de su funcionamiento y el gran espectro correspondiente de su responsabilidad pública.
Informe Basilea (De aplicación específica a entidades bancarias y financieras):
Emitido por el Comité de Supervisión bancaria de Basilea, el objetivo primordial del comité ha sido establecer un marco que fortaleciera en mayor medida la solidez y estabilidad del sistema bancario internacional, manteniendo al mismo tiempo la necesaria consistencia para que la normativa de suficiencia del capital no fuera una fuente de desigualdad competitiva entre los bancos internacionales. El Comité confía en que el Marco revisado fomentará la adopción de
16
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
prácticas de gestión de riesgos más rigurosas por parte del sector bancario, algo que considera una de sus principales ventajas.
EVALUACION DEL CONTROL INTERNO
Definición:
La evaluación del C. I. consiste en la revisión y análisis de todos los procedimientos que han sido incorporados al ambiente y estructura del C. I.
Actividad que puede aplicarse a toda la organización o ente público en forma global o parcial bajo una metodología que motive al Auditor Interno6 a revisar y analizar todos los conceptos, criterios, y acciones utilizados en la producción de información como resultado de la ejecución de las operaciones.
Proceso de Evaluación del C. I.:Es preciso definir Metodología para la evaluación del C. I. dimensionado en la evaluación del verdadero ALCANCE INSTITUCIONAL y en el Marco de Referencia de Control Interno, adoptado por la Administración y/o exigido por la legislación aplicable, que rige las operaciones en directa relación con los objetivos de servicio que brinda la organización dentro del sector en que se desenvuelve.
6 Niepai 2120- Control, La actividad de Auditoría Interna debe asistir a la organización en el mantenimiento de controles efectivos,
mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora continua.
17
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Sistemas Administrativos y Control InternoPungitore, José LuisEditorial Osmar D. Buyatti Impresión 2006 ampliada y actualizada.
Auditoria Interna: Un Enfoque moderno de Planificación, Ejecución y Control.Dr. Fonseca BorjaArtes Gráficas Acrópolis 2a Impresión
Marco Convergencia Internacional de Medidas y normas de capitalComité de Supervisión Bancaria Basilea Junio 2004
Presentacion Ley Sarbanes Oxley y su Impacto en las empresasLic. César Ganduglia
Guía para las Normas de control Interno del Sector Publico INTOSAIComité de normas de Control Interno
Comunicación de deficiencias
Fuente de información
Una de las mejores fuentes de información relativa a las deficiencias de control es el propio
sistema de control interno. El personal puede advertir aspectos relevantes que pueden servir a
la hora de identificar las deficiencias. Por otra parte las evaluaciones puntuales resultan ser
otra fuente de detección de deficiencias de control interno.
Qué se debe informar
Todas las deficiencias que afectan a la concreción de los objetivos establecidos por la
empresa deben ponerse en conocimiento de las personas que puedan tomar medidas para su
corrección. Para la determinación de las deficiencias, conviene examinar el impacto de éstas.
A quién informar
La información generada se comunica a través de los canales habituales al personal que
pueda tomar medidas correctivas (jefes, gerentes y directores). En tal sentido, la
comunicación debe asegurar y alcanzar el nivel suficiente para que se puedan tomar las
medidas necesarias.
Directrices sobre comunicación de deficiencias
18
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Para mantener la eficacia del sistema de control interno resulta imprescindible informar las
deficiencias detectadas a las personas adecuadas. Por ejemplo el caso de un director general,
éste deseará que le comuniquen las infracciones graves de políticas y procedimientos o
aquellas que puedan tener un importante impacto financiero o son de implicancias
estratégicas. Por otra parte a medida que se baja el nivel, el grado de detalle aumenta, salvo
expreso requerimiento de la alta dirección solicitando un mayor detalle.
Aplicación en las PyMEs
En las empresas de menor tamaño las actividades de supervisión resultan más informales y el
conocimiento de las deficiencias es más directo, como así también las acciones correctivas.
En las PyMEs seguramente no se realizan evaluaciones puntuales de los sistemas de control
interno, esta situación se ve compensada con actividades de supervisión continua.
Las estructuras de las PyMEs son más simples y las deficiencias detectadas a través de los
procedimientos de supervisión son fácilmente comunicadas a la persona adecuada.
Evaluación
Para poder llegar a inferir sobre la eficacia de la supervisión del control interno se deben
considerar tanto las actividades de supervisión continuada como las evaluaciones puntuales
del sistema de control interno. Como referencia podemos mencionar:
Supervision continua Analizar hasta qué punto el personal, al realizar sus actividades normales obtiene
evidencia sobre el adecuado funcionamiento del sistema de control interno.
Realizar comparaciones periódicas entre los importes registrados en el sistema
contable y los activos físicos.
Planes de acción sobre las recomendaciones de mejoras al sistema de control interno
sugeridas por el auditor interno y externo.
Si se hacen encuestas periódicas al personal para verificar el entendimiento y
cumplimiento de éste sobre el código de ética.
19
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Evaluación puntual Alcance y frecuencia de las evaluaciones puntuales del sistema de control interno.
Idoneidad del proceso de evaluación.
Analizar la lógica y adecuación de la metodología de evaluación del sistema.
Adecuado volumen y calidad de la documentación.
La comunicación de las deficiencias Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada
de control interno.
Idoneidad de los procedimientos de comunicación.
Idoneidad de las acciones de seguimiento.
BIBLIOGRAFIA. www.monografias.com
LA ESTRUCTURA DEL CONTROL INTERNO AL PLANIFICAR LA AUDITORIA
RESEÑA HISTORICA:El control interno se ha convertido en un factor vital de gran importancia en las
organizaciones de negocios. El Control Interno es la prevención del fraude, consideran
que el control interno desempeña un papel igual al asegurar el control sobre el proceso
de manufactura y otros procesos.
Solo a partir de la década de 1990 las diversas organizaciones profesionales
trabajaron en conjunto para desarrollar un consenso sobre la naturaleza y alcance del
control interno. Como resultado de un diverso número de casos de presentación de
informes fraudulentos en la década de 1970 y principios de 1980 las organizaciones de
contaduría pública más importantes patrocinaron la Comisión Nacional Sobre
Presentación de Informes Financieros Fraudulentos.
20
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Para estudiar los factores causales asociados con la presentación de informes
financieros fraudulentos y hacer recomendaciones para reducir su incidencia la
comisión hizo diversas recomendaciones relacionadas directamente con el control
interno, esta también pidió que las organizaciones patrocinadores trabajaran unidas
para integrar los diversos conceptos y definiciones de control interno.
A fin de desarrollar criterios comunes para evaluar el control interno. El Comité
de Organizaciones Patrocinadoras (COSO) comisionó un estudio para establecer
una definición común de control interno para atender las necesidades de las diferentes
partes.
Estructura del control interno: Al conjunto de planes, métodos, procedimientos y otras medidas, incluyendo la
actitud de la dirección de una entidad, para ofrecer seguridad razonable respecto a
que están lográndose los objetivos del control interno.
CONSIDERACIONES AL PLANIFICAR UNA AUDITORIA:El Control Interno varía de una organización a otra, por factores como el tamaño,
naturaleza (giro), objetivo. Para el control Interno de cualquier Organización algunas
características son esenciales:
Ambiente de control
La evaluación del riesgo
El sistema de información (contable) y de la comunicación
Actividades de control
Actividades de monitoreo
AMBIENTE DE CONTROL:Se refiere al establecimiento de un entorno que estimule e influencie las tareas
del personal con respecto al control de sus actividades; el que también se conoce
como el clima organizacional.
21
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
LA EVALUCAION DEL RIESGO:Su evaluación implica la identificación, análisis y manejo de los riesgos
relacionados con la elaboración de estados financieros y que pueden incidir en el logro
de los objetivos del control interno en la entidad. Estos riesgos incluyen eventos o
circunstancias que pueden afectar el registro, procesamiento y reporte de información
financiera, así como las representaciones de la gerencia en los estados financieros.
SISTEMA DE INFORMACIÓN Y COMUNICACIÓNEstá constituido por los métodos y registros establecidos para registrar,
procesar, resumir e informar sobre las operaciones de una entidad. La calidad de la
información que brinda el sistema afecta la capacidad de la gerencia para adoptar
decisiones adecuadas que permitan controlar las actividades de la entidad y elaborar
informes financieros confiables.
ACTIVIDADES DE CONTROLSe refieren a las acciones que realizan la gerencia y otro personal de la entidad para cumplir
diariamente con las funciones asignadas. Son importantes porque en sí mismas implican la
forma correcta de hacer las cosas, así como también porque el dictado de políticas y
procedimientos y la evaluación de su cumplimiento, constituyen el medio más idóneo para
asegurar el logro de objetivos de la entidad.
ACTIVIDADES DE MONITOREO
Es el proceso que evalúa la calidad del funcionamiento del control interno en el
tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las
circunstancias así lo requieran. Debe orientarse a la identificación de controles débiles,
insuficientes o necesarios, para promover su reforzamiento.
La mayor parte de la planificación ocurre al principio de la auditoria, con frecuencia en la
oficina del cliente, en la medida de lo posible.
Es importante conocer la empresa que se va a auditar por 3 razones:
22
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
1. Requerimientos de contabilidad distintos en las diferentes empresas.
2. Identificación del riesgo aceptable de la auditoria que realice el auditor o si es
aconsejable auditar otras empresas iguales.
3. Los riesgos inherentes a las empresas de una misma industria.
Para la planificación de la auditoria se debe obtener toda la información que sea posible sobre la estructura de
control interno, un presupuesto de tiempo para cada una de las áreas de la auditoria, un programa de auditoría y los
resultados de la auditoria del año anterior, de ser posible.
BIBLIOGRAFIA: http://www.gestiopolis.com/recursos6/Docs/Fin/finanzas-control-
interno.htmBIBLIOGRAFIA: http://www.cemla.org/pdf/aud-991109-mex.PDF
NORMAS DE AUDITORIA PARA EVALUAR EL CONTROL INTERNODentro de los documentos que regulan la evaluación del control interno se encuentran:
Guías de auditoria interna.
Normas internacionales para el ejercicio profesional de la auditoría interna.
GUIAS DE AUDITORIA INTERNAEl instituto guatemalteco de contadores públicos (IGCPA), consciente de la necesidad de
contar con guías que permitan a los profesionales de Contaduría Pública y Auditoria, que se
desenvuelvan en el ámbito de la Auditoría Interna y desarrollar adecuadamente su trabajo. En
nuestro país la Auditoría Interna nació como una necesidad de los administradores, y se
enfoca a revisar los libros y registros de contabilidad.
Existen algunas guías de Auditoría Interna en la evaluación de Control Interno y aunque estos
no son de observancia obligatoria, se deben de considerar por ser directrices para el auditor
interno.
A continuación se mencionan cada una de ellas:
Guía 1: Conceptos básicos y objetivos de Auditoría Interna.
Guía 2: Independencia de las actividades que se auditan.
Guía 3: Metodología de la Auditoría Interna.
Guía 4: Función de compras.
Guía 5: Inventarios.
Guía 6: Ventas y otros ingresos.
Guía 7: Créditos y cuentas por cobrar.
23
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Guía 8: Tesorería.
Guía 9: Cuentas por pagar.
Guía 10: Nominas y planillas.
Guía 11: Propiedad, Planta y Equipo.
Guía 12: Depreciaciones
Guía 13: Préstamos bancarios.
Guía 14: Administración del Departamento de Auditoría Interna
Guía 15: Informe de Auditoría Interna.
NORMAS INTERNACIONALES PARA EL EJERCICIO PROFESIONAL DE LA AUDITORIA INTERNA (Emitidas por The Institute of Internal Auditors)La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una organización. Esta ayuda a
una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión de riesgo, control y gobierno. El
cumplimiento de las normas internacionales para el ejercicio profesional de la Auditoría
Interna es esencial para el ejercicio de las responsabilidades de los Auditores Internos.
El propósito de la Norma es:
1.- Definir principios básicos que representen el ejercicio de la Auditoría Interna tal como este
debería ser.
2.- Proveer un marco para ejercer y promover un amplio rango de actividades de Auditoría
Interna de valor añadido.
3.- Establecer las bases para evaluar el desempeño de la Auditoría Interna
4.- Fomentar la mejora de los procesos y operaciones de la organización.
Las normas están constituidas por:
Las normas sobre atributos
Normas sobre desempeño
Normas de implantación
BIBLIOGRAFIA TESIS SOBRE LA EVALUCAION DEL CONTROL INTERNO EN UNA INSTITUCION CON UNA ADMINISTRACION
ESTRATEGICA BAJO EL SISTEMA COSO DE LICENCIADO ERWIN ESTUARDO CHET CIFUENTES
CONTADOR PUBLICO Y AUDITOR
24
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
CASO PRÁCTICO
En el siguiente caso se presenta un análisis de los controles que se tienen en el departamento
de sistemas de una empresa mediana. La cual se dedica a la distribución de vehículos. Debe
tomarse en cuenta que se evaluara el departamento y no se hará la evaluación de toda la
organización.
Para la evaluación de control interno es muy importante la revisión de los controles existentes
en el área de sistemas ya que la información financiera es generada por medio de los
sistemas con los que cuentan y depende del buen uso de las mismas para que sea generada
de la manera correcta.
Se definirán cada uno de los componentes de control interno y su interrelación con el área de
sistemas.
Ambiente de Control
Valores éticosEl personal de dicha organización es un personal consciente de cumplir con los valores
establecidos por la dirección. Dichos valores son documentados en un código de conducta en
donde se establece cual será el comportamiento correcto que debe tenerse dentro de la
organización. En la organización no se tiene una rotación de personal alta sino que por el
contrario, los empleados se identifican con la organización y cumplen con los valores
establecidos.
El personal del departamento de sistemas esta consciente de guardar la cordura dentro y
fuera de la organización. El personal tiene de laborar en dicha organización cerca de 10 años.
25
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
El gerente de dicho departamento forma parte de un comité en el cual se incluyen todos los
gerentes de área. Dicho comité se reúne quincenalmente con el objetivo de evaluar las
necesidades que se tienen y en forma conjunta, dar las soluciones a estas.
Estructura organizacional
El departamento está conformado por un gerente y tres personas más. Que esta bajo su
supervisión
Las funciones del departamento de informática son las siguientes:
El gerente de sistemas se encarga de la elaboración de proyectos nuevos así como de la
asignación del personal a su cargo y de la programación del tiempo para cada uno de ellos.
Programación Cambio de programas, Actualizaciones y otros.
Verificación del adecuado funcionamiento de los programas ya existentes
Desarrollo de reportes y demás requerimientos.
Operaciones Soporte de comunicaciones, redes e Internet.
Realización de Backups (respaldos)
Seguridad Lógica (manejo de contraseñas).
Seguridad Física
Soporte a Usuarios Actualizaciones de Software e instalación del mismo.
Solución a problemas relacionados con programas utilitarios y equipo.
Evaluación de Riesgos
26
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
Dentro de los objetivos que deben existir en dicha área pueden mencionarse los SIG:
Asegurar que las funciones del área de sistemas cumplan con los objetivos de la
organización.
Existencia de una segregación de funciones del personal dentro del departamento de
sistemas
Asegurar que no existan accesos sin autorización
Contar con los controles necesarios para minimizar el riesgo de que el equipo no sea
dañado accidental o intencionalmente.
Asegurar que el desarrollo de sistemas y los cambios a programas sean autorizados,
probados y documentados.
Contar con los respaldos y el plan de contingencias necesarios para reanudar las
operaciones en casos de algún desastre
Causa Efecto
Cambio de contraseñas con periodos
largos
Despido o denuncias no informadas
oportunamente
Desconocimiento de la administración
de los accesos asignado a usuarios
Acceso no restringido al área de
Servidores
Uso inadecuado de las contraseñas
Acceso de usuarios que ya no laboran
en la empresa
Asignación incorrecta de Accesos
Danos al equipo principal, accidental
o malintencionadamente
En el caso de que el equipo se
27
Universidad de San Carlos de Guatemala, Facultad Ciencias Económicas, Escuela de Auditoria,
No se tienen alarmas de incendio
Cambios a los programas sin el Vo.
Bo. Del usuario que los requirió
Los respaldos o backups solo son
guardados en las oficinas
sobrecalentara y provocase fuego
este no podría ser controlado a
tiempo
Los cambios a programas
En el caso de algún desastre o robo,
los respaldos no pueden ser
recuperados
Recomendaciones:
1. Cambiar las contraseñas cada 30 días.
2. Informar oportunamente las altas y bajas de los empleados
3. Que cada acceso de cada nivel de sistemas este debidamente autorizado y
documentado
4. Mantener el equipo principal aislado del acceso público y delegar responsables para su
cuidado adecuado.
5. Instalar alarmas contra incendios en los cuartos de servidores
6. Guardar más de una copia de seguridad y en un lugar diferente de las oficinas
normales.
28