2. Introducción
• Hoy en día no cabe duda que los sistemas y tecnologías de
información son piezas clave para el éxito de las
empresas. La importancia de la auditoría de sistemas
parte del hecho de que, conforme van apareciendo nuevas
tecnologías en el mercado, también van surgiendo nuevos
riesgos que ponen en peligro uno de los activos más
importantes de toda organización: la información.
• La auditoría de sistemas o auditoría informática es un
proceso de revisión de los sistemas de información (SI) y
tecnologías de la información (TI) que ayuda a las
empresas a identificar hallazgos, mitigar riesgos e
implementar controles adecuados que permitan proteger
su información crítica y valiosa.
3. Control Interno
• El control interno es un proceso realizado por una
organización para proporcionar un grado de seguridad
razonable respecto al logro de sus objetivos, que son
la eficacia y eficiencia de las operaciones, y
fiabilidad de la información financiera y
cumplimiento de las leyes y normas aplicables.
• Esta definición de control interno nos lleva a varios
elementos clave: estamos hablando de un proceso,
de un medio para lograr un fin y no un fin en sí
mismo; es ejecutado por personas en cada nivel de la
organización y, si bien provee un grado de seguridad
razonable, no garantiza el logro de los objetivos.
4. Control Interno Informático
• El control interno informático puede definirse como el sistema
integrado al proceso administrativo en la planeación,
organización, dirección y control de las operaciones con el objeto
de asegurar la protección de todos los recursos informáticos y
mejorar los índices de la economía, eficiencia y efectividad de
los procesos automatizados.
5. Componentes del Control Interno
• Dentro del marco integrado se identifican cinco elementos de control
interno que se relacionan entre sí y son inherentes al estilo de gestión de la
empresa. Los mismos son:
• Ambiente de Control.
• Evaluación de Riesgos.
• Actividades de Control.
• Información y Comunicación.
• Supervisión o Monitoreo.
6. Componentes del Control Interno
• Entorno de control:
• El entorno de control marca la pauta del funcionamiento de una empresa
e influye en la concienciación de sus empleados respecto al control. Es
la base de todos los demás componentes del control interno, aportando
disciplina y estructura. Los factores del entorno de control incluyen la
integridad, los valores éticos y la capacidad de los empleados de la
empresa, la filosofía de dirección y el estilo de gestión, la manera en
que la dirección asigna autoridad y las responsabilidades y organiza y
desarrolla profesionalmente a sus empleados y la atención y orientación
que proporciona al consejo de administración.
7. Componentes del Control Interno
• Evaluación de los riesgos:
• Las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos
riesgos de origen externos e internos que tienen que ser evaluados. Una
condición previa a la evaluación del riesgo es la identificación de los
objetivos a los distintos niveles, vinculados entre sí e internamente
coherentes. La evaluación de los riesgos consiste en la identificación y el
análisis de los riesgos relevantes para la consecución de los objetivos, y
sirve de base para determinar cómo han de ser gestionados los riesgos.
Debido a que las condiciones económicas, industriales, legislativas y
operativas continuarán cambiando continuamente, es necesario disponer
de mecanismos para identificar y afrontar los riesgos asociados con el
cambio.
8. Componentes del Control Interno
• Actividades de control:
• Las actividades de control son las políticas y los procedimientos
que ayudan a asegurar que se lleven a cabo las instrucciones de la
dirección de la empresa. Ayudan a asegurar que se tomen las
medidas necesarias para controlar los riesgos relacionados con la
consecución de los objetivos de la empresa. Hay actividades de
control en toda la organización, a todos los niveles y en todas las
funciones.
9. Componentes del Control Interno
• Información y comunicación:
• Se debe identificar, recopilar y comunicar información pertinente en
forma y plazo que permitan cumplir a cada empleado con sus
responsabilidades. Los sistemas informáticos producen informes que
contienen información operativa, financiera y datos sobre el
cumplimiento de las normas que permite dirigir y controlar el negocio
de forma adecuada.
• Dichos sistemas no sólo manejan datos generados internamente, sino
también información sobre acontecimientos internos, actividades y
condiciones relevantes para la toma de decisiones de gestión así
como para la presentación de información a terceros. También debe
haber una comunicación eficaz en un sentido más amplio, que fluya
en todas las direcciones a través de todos los ámbitos de la
organización, de arriba hacia abajo y a la inversa.
10. Componentes del Control Interno
• Supervisión o monitoreo:
• Los sistemas de control interno requieren supervisión, es decir, un
proceso que comprueba que se mantiene el adecuado funcionamiento
del sistema a lo largo del tiempo. Esto se consigue mediante
actividades de supervisión continuada, evaluaciones periódicas o una
combinación de ambas cosas. La supervisión continuada se da en el
transcurso de las operaciones. Incluye tanto las actividades normales
de dirección y supervisión, como otras actividades llevadas a cabo
por el personal en la realización de sus funciones. El alcance y la
frecuencia de las evaluaciones periódicas dependerán esencialmente
de una evaluación de los riesgos y de la eficacia de los procesos de
supervisión continuada. Las deficiencias detectadas en el control
interno deberán ser notificadas a niveles superiores, mientras que la
alta dirección y el consejo de administración deberán ser informados
de los aspectos significativos observados.
11. Tipos de Control Interno
• Control interno de detección
• Este tipo de control ayuda a identificar errores que no fueron
cubiertos por los controles preventivos y ayudan a detectar
irregularidades en conciliaciones bancarias, recuentos de
inventario físico, registro de activos y el cumplimiento en las
obligaciones fiscales.
• La función de dicho control es detectar alguna variación
significativa en los informes de las diversas áreas para que la
administración pueda calcular los posibles costos y llevar a cabo
una acción correctiva.
12. Tipos de Control Interno
• Control interno correctivo
• Es necesario que tu negocio implemente controles correctivos para
solucionar los problemas que fueron detectados cuando el control
preventivo falló.
• Se trata de la corrección de algo no deseado. Cuando se identifica
un error o irregularidad, las actividades de control correctivo
deben ofrecer soluciones y establecer nuevas medidas para
evitar errores.
13. Tipos de Control Interno
• Control interno preventivo
• Este tipo de control tiene como objetivo prever riesgos de
errores o fraudes; es decir, se utiliza para evitar que ocurra un
evento que afecte los objetivos de la organización y ayude a
prevenir la pérdida de activos.
• El primer paso para implementar un control interno preventivo es
establecer la visión y misión de la empresa, acompañada de un
código de conducta en el cual se pongan las reglas claras de lo que
la organización espera de cada uno de sus colaboradores.
• Después, se requiere definir y delimitar cada uno de los puestos
de trabajo, de esa forma, se tendrán claras las responsabilidades
de todos los integrantes de la compañía.
14. Gestión de Sistemas de Información
• Los gerentes utilizan un sistema de gestión de información para
crear informes que les proporcionen una visión completa de toda
la información que necesitan para tomar decisiones que van desde
pequeños detalles diarios hasta una estrategia de nivel superior.
Los sistemas actuales de gestión de la información se basan en
gran medida en la tecnología para recopilar y presentar datos,
pero el concepto es más antiguo que las tecnologías informáticas
modernas.
15. Gestión de Sistemas de Información
• Administración de bases de datos
• La característica principal de un sistema de gestión de información es su capacidad para
almacenar datos y facilitar información para ser recuperada por los usuarios del sistema.
El tipo de base de datos utilizada determina cómo el sistema de gestión de información
responde a las peticiones o consultas de información.
• Informes
• La siguiente característica más importante de un sistema de gestión de información
viene en forma de informes. La capacidad de producir información que ayuda en el
proceso de toma de decisiones es un atributo clave para este tipo de sistema. La mayoría
de SGI proporciona varias plantillas de informes mientras que otras ofrecen la posibilidad
de crear informes específicos y guardarlos como una plantilla para que otros los utilicen.
16. Gestión de Sistemas de Información
• Acceso abierto
• Un sistema de gestión de información que permite el acceso abierto a la arquitectura del sistema
permite a una empresa cumplir más fácilmente con las regulaciones externas y requisitos
internos. El acceso abierto significa que la empresa puede integrar más fácilmente el SGI con los
sistemas existentes. El acceso abierto también reduce los gastos de mantenimiento debido a los
recursos internos pueden gestionar el mantenimiento del sistema.
• Integración
• Los sistemas de gestión de información típicamente se integran con los sistemas existentes de la
empresa. Un buen SGI proporciona facilidad de integración con sistemas heredados, permitiendo
así que una empresa mantenga las inversiones de equipo que ya ha hecho.
• Escalabidad
• Debido a que no todas las empresas requieren la oferta completa de algunos sistemas de gestión
de información, la escalabilidad se convierte en una contraprestación clave. Las empresas más
pequeñas pueden requerir una versión reducida un SGI al momento, pero dentro de unos años
necesitan características adicionales y funciones mayores de administración de bases de datos.
17. Informe de Auditoría
• El informe de auditoría es un informe realizado por un auditor externo donde expresa una opinión no
vinculante sobre las cuentas anuales o estados financieros que presenta una empresa.
• Por tanto, es el informe resultante de una auditoría contable, que es el proceso sistemático de revisión
de las cuentas anuales de una empresa, con el fin de comprobar que estas reflejen la imagen fiel de la
misma.
• Hay varios factores a tener en cuenta para entender cómo funcionan los informes de auditoría:
• El auditor puede ser tanto una persona física como jurídica. En este último caso, es una empresa
dedicada a la auditoría.
• El auditor debe ser externo. Un auditor puede ser externo (si no pertenece a la empresa) o interno (si
pertenece a la misma). Ambos pueden realizar informes de auditoría, pero los realmente válidos son los
realizados por las auditorías externas. Los internos son un mero mecanismo de control dentro de la
propia organización.
• El informe de auditoría expresa una opinión no vinculante del auditor. Es decir, el auditor expresa su
opinión acerca de las cuentas anuales de la empresa. Este informe, por tanto, expresa la percepción del
auditor; no es ninguna verdad absoluta, y por tanto no es vinculante. Sin embargo, como veremos en el
último apartado, en muchas ocasiones estos informes se tienen en cuenta como algo más que una
opinión.
• Versan sobre las cuentas anuales o estados financieros. Los estados que se auditan son el balance,
la cuenta de resultados, el estado de cambios en el patrimonio neto y el estado de flujos de efectivo.
18. Utilidad del Control
• El control es de vital importancia dado que:
• Establece medidas para corregir las actividades, de tal forma que se alcancen planes
exitosamente.
• Se aplica a todo: a las cosas, alas personas, y a los actos.
• Determina y analiza rápidamente las causas que pueden originar desviaciones, para que
no se vuelvan a presentar en el futuro.
• Localiza a los lectores responsables de la administración, desde el momento en que se
establecen medidas correctivas.
• Proporciona información acerca de la situación de la ejecución de los planes, sirviendo
como fundamento al reiniciarse el proceso de planeación.
• Reduce costos y ahorra tiempo al evitar errores.
• Su aplicación incide directamente en la racionalización de la administración y
consecuentemente, en el logro de la productividad de todos los recursos de la empresa.
19. Características del Control
• La aplicación racional del control debe fundamentarse en los siguientes principios:
A cada grupo de delegación conferido debe proporcionarse el grado de control correspondiente. De la misma manera que
la autoridad se delega y la responsabilidad se comparte, al delegar autoridad es necesario establecer los mecanismos suficientes
para verificar que se esta cumpliendo con la responsabilidad conferida, y que la autoridad delegada esta siendo debidamente
ejercida.
De los objetivos.
Se refiere a que el control existe en función de los objetivos, es decir, el control no es un fin, sino un medio para alcanzar los
objetivos preestablecidos.
De la oportunidad.
El control, para que sea eficaz, necesita ser oportuno, es decir, debe aplicarse antes de que se efectúe el error. De tal manera que
sea posible tomar medidas correctivas, con anticipación.
De las desviaciones.
Todas las variaciones o desviaciones que se presenten en relación con los planes deben ser analizadas detalladamente, de tal
manera que sea posible conocer las causas que las originaron, a fin de tomar las medidas necesarias para evitarlas en el futuro.
• Costeabilidad.
Es establecimiento de un sistema de control debe justificar el costo que este represente en tiempo y dinero, en relaciona con las
ventajas reales que este reporte.
De excepción.
El control debe aplicarse, preferentemente, a las actividades excepcionales o representativas, a fin de reducir costos y tiempo,
delimitando adecuadamente cuales funciones estratégicas requiere el control.
De la función controlada.
La función controlada por ningún motivo debe comprender a la función controlada, ya que pierde efectividad el control. Este
principio es básico, ya que señala que la persona o la función que realiza el control no debe estar involucrada con la actividad a
controlar.
20. Ciclo de Aplicación del Control
• Antes de establecer un sistema de control se requiere:
• Cortar con los objetivos y estándares que sean estables.
• Que el personal clave comprenda y este de acuerdo con los controles.
• Que los resultados finales de cada actividad se establezcan en relación con
los objetivos.
• Evaluar la efectividad de los controles:
• Eliminando aquellos que no sirven.
• Simplificándolos.
• Combinándolos para perfeccionarlos.
21. Pasos para la implantación de un sistema de
controles internos informáticos.
• Fase 1: Crear una cultura del control mediante la comunicación, la motivación y la
capacitación
• Antes de comenzar con la implementación del sistema de control interno, es
importante preparar el terreno. Esta preparación consiste en comunicar a las
personas qué se quiere hacer y saber transmitir la importancia del control y sus
beneficios para la organización e incluso para cada persona individualmente. Una
posible forma de inculcar estos conceptos es mediante una capacitación a nivel de
área o departamento. En dicha capacitación se dará a conocer la hoja de ruta para
el desarrollo de las restantes fases.
• Fase 2: Recabar información
• Una vez hemos introducido la cultura del control entre los miembros de la
organización, llega el momento de recolectar datos. En esta fase debe intervenir
activamente todo el personal, coordinados por un responsable designado, ya sea
externo o interno, procedente del área de estrategia de la organización.
22. Pasos para la implantación de un sistema de
controles internos informáticos.
• Fase 3: Clasificar la información obtenida
• Ya que el responsable ha reunido toda la información necesaria a través de alguna
de las vías mencionadas, es el momento de digitalizar y clasificar la misma de la
forma más ordenada posible para facilitar su consulta y correcta interpretación.
• Fase 4: Diagnosticar
• En este punto, ya se dispone de la información necesaria para realizar un
diagnóstico del estado de múltiples aspectos de la gestión: el cumplimiento de los
objetivos, los roles y sus funciones, las políticas, etc.
• Fase 5: Revisar los procedimientos
• Bajo la normativa legal, la óptica de calidad total, los parámetros de reingeniería y
directrices administrativas, se hace una revisión exhaustiva de los procedimientos
con el fin de hacerlos más eficientes. Se suprimen pasos no necesarios, se
centralizan procesos repetidos y se abren vías de comunicación.
23. Pasos para la implantación de un sistema de
controles internos informáticos.
• Fase 6: Evaluar el control interno y de gestión
• Se ha de establecer una manera de evaluar el sistema de control interno entre todos los miembros
de la organización. Cada uno de ellos debe aportar su visión e involucrarse, comprometiéndose a
someterse a un continuo autocontrol que favorezca la mejora continua.
• Fase 7: Implementar, hacer seguimiento y ajustar
• En este punto, el sistema de control interno ya está diseñado. Ha llegado el momento de que los
responsables se hagan cargo de implementarlo en cada una de las áreas y garantizar su
cumplimiento. El responsable en cuestión deberá hacer un seguimiento continuo junto con el apoyo
de la auditoría interna. También es la ocasión tomar acciones correctivas necesarias y hacer ajustes
finales.
• Fase 8: Evaluar indicadores y realizar más ajustes
• Se deben diseñar KPI de gestión colectivamente para analizarlos. Dichos indicadores pueden
almacenarse y sistematizarse en cuadros de mando Balanced Scorecard, preferiblemente de forma
automatizada. Esto permite obtener información en tiempo real.
Otra vía de evaluación que se emplea frecuentemente son los sistemas de administración de riesgos,
en base a los cuales se pueden construir tableros de mando visuales, en términos numéricos y con
colorimetría
24. Riesgos informáticos presentes en una
organización.
• Muchas empresas viven de espaldas a los problemas de seguridad. Creen que
es sólo un desembolso de dinero, pero lo cierto es que supone un verdadero
riesgo desde distintos puntos de vista.
• Por un lado, puede acarrear costes económicos en la medida en que su
negocio esté parado durante el tiempo en que tengan que resolver la
incidencia. Por otro, la pérdida de datos es un problema cada vez más
evidente. No sólo somos responsables de conservar los datos de nuestro
negocio, sino también y sobre todo de nuestros clientes.
25. Riesgos informáticos presentes en una
organización.
• Ataques externos. Los ciberdelincuentes siempre tienen en su punto de mira a las empresas y sus
sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o personal),
tirar sus sistemas o utilizar sus recursos. Dos de las mayores amenazas que reciben las
empresas hoy en día son ataques de denegación de servicio DDoS (inutilizan los sistemas
informáticos de la empresa) o ataques con malware de tipo ransomware (encriptan los datos de la
empresa, solicitando un rescate económico en criptomonedas para liberarlos).
• Errores humanos. La intervención humana en los procesos informáticos siempre está expuesta a
que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los
conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar acciones
que comprometan los datos o produzcan un malfuncionamiento en los sistemas.
• Desastres naturales. Es posible que se den situaciones que pongan en peligro los activos
informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
• Situaciones extraordinarias, como la pandemia del COVID-19. Las crisis a menudo reducen los
niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación
operando bajo esquemas maliciosos. Por ejemplo, las campañas de phishing relacionadas con el
COVID-19, en las que los cibercriminales se hacen pasar, por ejemplo, por organizaciones de salud
acreditadas están en aumento. Por esta razón es importante que las empresas estén atentas a
mensajes fraudulentos relacionados con esta pandemia y se recomienda aumentar la conciencia
ante el surgimiento de nuevas amenazas.
26. Conclusión
• El nuevo enfoque de control interno puede verse un poco riguroso, pero por su
actualidad, puede ser asimilado, de forma provechosa por la economía de las
entidades. Sus cinco componentes son nuevos elementos que se aportan al
sistema, se integran entre sí y se implementan de forma interrelacionada,
influenciados por el estilo de dirección. Sirven para determinar si el sistema es
eficaz. Marcan una diferencia con el enfoque tradicional de control interno
dirigido al área financiera.
• Dichos componentes se enmarcan en el sistema de gestión. Permiten prever los
riesgos y tomar las medidas pertinentes para minimizar o eliminar su impacto en
el cumplimiento de los objetivos organizacionales.
27. Bibliografía
• Auditoria de Sistemas, AdminActi (2019) https://www.audiconsulti.com/importancia-de-
la-auditoria-de-sistemas/
• ¿Qué buscan las organizaciones con el control interno? (2017)
https://www.esan.edu.pe/apuntes-empresariales/2017/02/que-buscan-las-
organizaciones-con-el-control-interno/
• Los cinco componentes del Control Interno - Material de apoyo a la docencia, Pérez
(2015) https://www.monografias.com/trabajos42/componentes-control-
interno/componentes-control-interno2.shtml
• CONCEPTO, IMPORTANCIA Y PRINCIPIOS DEL CONTROL, marko170
https://www.monografias.com/trabajos11/prico/prico.shtml
• Las 8 fases para implementar un sistema de control interno, (2017)
https://www.isotools.org/2017/09/21/fases-sistema-de-control-interno/
• Análisis de riesgos informáticos y ciberseguridad (2020) https://www.ambit-
bst.com/blog/an%C3%A1lisis-de-riesgos-inform%C3%A1ticos-y-ciberseguridad