El documento describe varios tipos de controles internos para reducir riesgos en la información, incluyendo controles preventivos, detectivos y correctivos. Los controles preventivos buscan reducir errores mediante medidas como autorizaciones, contraseñas y segregación de funciones. Los controles detectivos detectan errores a través de cifras de control, verificaciones y auditorías. Los controles correctivos ayudan a investigar y corregir errores detectados.
2. RIESGOS QUE AMENAZAN LA
INFORMACION
EXTERNOS
Naturales (Temblor, Incendio,
Inundación, Tormenta)
Humanos (Robo, Sabotaje, Motines
sociales, Fraude)
Materiales (Desperfectos en el equipo,
Fallas de energía)
3. INTERNOS
Robo de (Papelería y Utiles, Recursos,
Información de Datos, Programas)
Sabotaje
Destrucción de (Datos y/o recursos,
voluntaria o involuntaria)
Huelgas
Fraude
RIESGOS QUE AMENAZAN LA
INFORMACION
4. AMBIENTE DEBIL DE CONTROL
PROPICIO PARA EL FRAUDE:
Poca o ninguna restricción física en el acceso al
equipo
Carencia de un Depto. de auditoría interna
Control absoluto sobre las actividades desarrolladas
por el PED
Falta de documentación sobre los sistemas y
programas en producción.
Errores corregidos mediante solicitudes verbales
Cambios en línea a los datos contenidos en el
sistema
Poco o ningún control sobre el uso de reportes
elaborados por el PED
Uso del PED en horario nocturno, sin ninguna
supervisión sobre las funciones que se realizan.
5. Poco o ningún control sobre el consumo y circulación
de suministros.
Los Deptos usuarios no revisan la información
procesada y preparada por el PED
Solicitudes verbales de cambios de programas.
Programas fuente que permanecen en el sistema.
Presencia en el directorio de programas ajenos a la
producción de la empresa.
Poca o ninguna rotación de personal, ausencia de
planes de vacaciones, etc.
Procesamiento de datos fuera del ámbito de la
empresa, con gran flujo de documentos e
información sin ningún control.
AMBIENTE DEBIL DE CONTROL
PROPICIO PARA EL FRAUDE:
6. DEFINICIONES DE CONTROL
“Control” puede usarse de diferentes formas:
comprobación, examen, inspección, verificación,
dirección, gobierno, mando.
En el campo de la administración de empresas se suele
utilizar ambos significados:
Acto aislado y simple de verificación (sentido estricto)
Función de la dirección de empresas (sentido amplio).
“Es una medida y corrección del desempeño de las
actividades de los subordinados para asegurar que
los objetivos y planes de la empresa, diseñados para
lograrlo, se están llevando a cabo.”
7. La función de control:
Control es todo lo que tiende a evitar errores.
Control es todo lo que tiende a minimizar riesgos.
Es aquella que tiene por finalidad asegurar que todos y
cada uno de los actos de una organización obtengan
los objetivos previstos, dentro de los límites
prefijados. No se limita exclusivamente a verificar en
qué medida se logra un objetivo.
El control íntegramente considerado debe considerar
que los actos logren los resultados previstos y no
solamente señalar las eventuales desviaciones.
8. El control es la suma de factores
deliberadamente dispuestos por la
organización con el fin de:
Condicionar cada acto, asegurando que sea
realizado de un modo determinado.
Determinar la medida en que cada acto dio el
resultado previsto.
Informar los resultados y las eventuales
desviaciones, retroalimentando de esta
manera todo el proceso.
9. PROCESO BASICO DEL
CONTROL:
Establecimiento de Normas
Evaluación de la Actuación
Corrección de las Desviaciones
10. REQUISITOS QUE DEBEN
CUMPLIR LOS CONTROLES:
1. Deben reflejar la naturaleza y necesidades
de la empresa
2. Deben reportar prontamente las
desviaciones
3. Deben ser futuristas
4. Deben señalar excepciones
5. Deben ser objetivos
6. Deben ser flexibles
7. Deben ser económicos
8. Deben ser comprensibles
9. Deben conducir a la acción correctiva.
11. “Las labores de control se enfrentan siempre a
fuerte oposición:
Por parte de los eficientes y honestos,
porque lo consideran innecesario, inhibitorio
o degradante,
De los deficientes, porque no se percatan de
su utilidad
y por parte de los deshonestos, porque les
estorba.”
12. CLASIFICACION DE LOS
CONTROLES
POR SU NATURALEZA
• GENERALES (VARIOS SISTEMAS)
• MANUALES (USO DE HUMANWARE)
• AUTOMATICOS (INCORPORADOS)
POR SU EFECTO:
• DISUASIVOS
• DE EVIDENCIA
• PREVENTIVOS ***
• DETECTIVOS ***
• CORRECTIVOS ***
RECUPERATIVOS
POR SU ESTADO:
• RECOMENDADOS
• DESCARTADOS
• IMPLANTADOS
*** Controles de Aplicaciones que se ampliarán
13. CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con
que ocurren las causas de error.
Características:
• Reducen la frecuencia de errores
• Previenen operaciones no autorizadas
• Son sutilmente incorporados en los procesos
• Son los de mas bajo costo.
14. Autorización:
La iniciación de una transacción o la
ejecución de un proceso se limita a los
individuos autorizados para ello.
15. Custodia Segura:
A los activos de información se les aplican
medidas de seguridad similares a las de los
activos tangibles, tales como efectivo, valores
negociables, etc.
16. Formas prenumeradas:
En las formas individuales se preimprimen
números consecutivos a fin de permitir la
detección posterior de su pérdida o mala
colocación.
17. Formas preimpresas:
Los elementos fijos de información se anotan
por anticipado en las formas y, en algunos
casos, en un formato que permite el
procesamiento directo por el computador, a
fin de prevenir errores en la anotación de
datos repetitivos.
18. Documento de retorno:
Es un documento producido por el
computador, con el objeto de que vuelva a
entrar al sistema.
19. Endoso:
Marcar una forma o un documento a fin de
dirigir o restringir su uso posterior en el
procesamiento.
20. Cancelación:
Marcar o identificar los documentos de las
transacciones a fin de prevenir su uso
posterior una vez que han cumplido su
función.
21. Contraseñas:
La autorización para permitir el acceso a
información o procesos, por medio de una
señal o clave conocida únicamente por los
individuos autorizados para ello.
22. Confiabilidad del personal:
Puede confiarse en que el personal que
efectúa el procesamiento maneja los datos
en forma adecuada y consistente.
24. Competencia del personal:
Las personas asignadas a funciones de
procesamiento o de supervisión dentro de los
sistemas de información, poseen el
conocimiento técnico necesario para llevar a
cabo sus funciones.
25. Mecanización:
El utilizar medios mecánicos o electrónicos
para procesar la información, proporciona
consistencia al procesamiento.
26. Segregación de funciones:
La responsabilidad de la custodia,
control del manejo y el procesamiento
de la información, se encuentran
separadas.
27. CONTROLES DETECTIVOS
Estos no impiden que ocurra una causa de
error, sino que acciona la alarma después de
que haya ocurrido.
Pueden impedir la continuidad de un proceso
No impiden que ocurra un error, pero dan la
alarma después que haya ocurrido
Requieren de ciertos gastos operativos
moderados.
28. Documento de envío:
Es el medio para comunicar las cifras
control a través del movimiento físico
de la información, particularmente de
la fuente al punto de procesamiento o
entre puntos de procesamiento.
29. Números consecutivos de lote:
Los lotes de documentos de
transacciones se numeran en forma
consecutiva y se controlan.
30. Cifras de control de cantidades:
Son totales de valores homogéneos
para un grupo de transacciones o
registros, generalmente en valores
monetarios o cantidades.
31. Cifras de control de numero de
documentos:
Consiste en que se efectúa un conteo
del número de documentos
individuales y este total es el que se
controla.
32. Cifras de control sin significado
monetario:
Es un total no significativo, pero útil,
obtenido de la sumatoria de
información numérica no monetaria.
33. Totales de lote:
Es cualquier tipo de cifra control o
conteo que se aplica a un numero
especifico de documentos de
transacciones o a los documentos de
las transacciones que se reciben en
un periodo de tiempo especifico.
34. Verificación de rebasamiento:
Es una verificación de límite que se
basa en la capacidad de un área de la
memoria o de un archivo para aceptar
información.
35. Verificación de formato:
Determinación de que los datos se
registran en la forma establecida en el
formato de información que se
estipula en el programa de aplicación,
ya sea en forma numérica o
alfanumérica.
36. Verificación de integridad:
Consiste en comprobar que se hayan
anotado datos en aquellos campos
que no pueden procesarse si se dejan
en blanco.
37. Dígito Verificador:
Es un dígito, generalmente el ultimo de un campo de
identificación, que es una función matemática de
todos los demás dígitos en el campo. La validez de
todo el campo se comprueba al calcular, con base en
los demás dígitos del campo, el digito verificador y
compararlo con el consignado en el campo. Ejemplo:
Número de Afiliación al IGSS, es un Código Base 10.
No. Afilic. al IGSS = 1 7 2 0 9 7 7 7 - 6
x x x x x x x x
Multiplicar x 1 y 2 = 1 2 1 2 1 2 1 2
(Excepto Dígito Verif.)
= 1 14 2 0 9 14 7 14
Se suman = 1+1+4+2+0+9+1+4+7+1+4
Total = 34
Siguiente Decena = 40
Comprobación = 40 menos 34 igual 6 = D.V
38. Razonabilidad:
Pruebas que se aplican a varios
campos de información mediante la
comparación con otra información
disponible en los registros de
transacciones o los maestros, a efecto
de establecer su razonabilidad.
39. Verificación de limite:
Pruebas de los campos de importes
específicos, contra limites inferiores o
superiores de aceptabilidad
estipulados. Cuando se verifican
ambos limites, la prueba suele
denominarse “verificación de rango”.
40. Verificación de validez:
Los caracteres en un campo
codificado son cotejados contra un
conjunto aceptable de valores en una
tabla, o examinados con respecto a
un patrón definido de formato,
utilizando la lógica y la aritmética.
41. Fechas:
Registrar fechas de calendario para
efectos de comparaciones posteriores
o de pruebas relativas a la expiración
de documentos.
42. Verificación de la digitación:
La entrada redundante de datos por
medio de un teclado, a fin de verificar
la exactitud de una entrada anterior.
Las diferencias entre los datos
previamente registrados y los datos
accesados en la verificación originan
una señal mecánica.
43. Aprobación:
Consiste en la aceptación de una
transacción para que sea procesada,
después de que se ha iniciado.
44. Totales de corrida a corrida:
Consiste en el uso de las cifras de control
de salida que resultan de un proceso, como
cifras de control para un procesamiento
posterior. Las cifras control se utilizan
como enlaces en una cadena para unir un
proceso con otro en una secuencia de
procesos.
45. Igualización/comparación:
Es una prueba para determinar la
igualdad entre los valores de dos
conjuntos equivalentes de partidas o
entre un conjunto de partidas y una
cifra control. Cualquier diferencia
indica un error.
46. Clasificación por antigüedad:
Consiste en la identificación de
partidas sin o con poco movimiento,
de acuerdo con su fecha,
generalmente la fecha de la
transacción. Esta clasificación
segrega las partidas de acuerdo con
varios límites de fechas.
47. Cuenta de partidas pendientes de
procesarse:
Cotejar las partidas del flujo del
procesamiento en una aplicación con
otras desarrolladas en forma
independiente, a fin de identificar
partidas no procesadas o diferencias
en las mismas.
48. Cotejo:
Cotejar las partidas del flujo del
procesamiento en una aplicación con
otras desarrolladas en forma
independiente, a fin de identificar
partidas no procesadas o diferencias
en las mismas.
49. Auditoria periódica:
Consiste en la verificación de un
archivo o de una fase de
procesamiento, con el objeto de
detectar problemas y fomentar el
cumplimiento de los procedimientos
establecidos.
50. Etiquetas:
Consiste en la identificación externa o
interna de los lotes de transacciones o
de los archivos de acuerdo con su
fuente, aplicación, fechas u otras
características de identificación.
51. CONTROLES CORRECTIVOS
Ayudan a la investigación y corrección
de las causas de los errores que hayan
sido detectados.
La acción correctiva es siempre
necesaria.
Son casi siempre muy costosos.
52. Reportes de discrepancias o
inconsistencias
No es más que un listado de las
partidas que han violado algún control
detectivo y que, consecuentemente,
requieren investigación posterior.
53. Rastro de auditoria:
Pista de auditoria o pista de las
transacciones, consiste en la disponibilidad
de un medio manual o legible por
computador que permita rastrear el estado
y el contenido del registro de una
transacción individual, hacia atrás o hacia
delante, entre salida, procesamiento y
fuente.
54. Los principios generales aplicables al diseño de rastros adecuados
para auditoria, son los siguientes:
Para todas las operaciones que afectan los estados financieros debe
haber un medio de establecer la cuenta a la cual son transcritas las
operaciones.
Por todas las cuentas reflejadas en los estados financieros debe haber
un medio para comprobar el importe de las cifras del total, hacia los
elementos de las operaciones individuales.
Por todas las operaciones y cuentas que originan un número
importante de consultas deben existir medidas para proporcionar los
registros necesarios para contestar las consultas en forma regular.
Por todas las operaciones y cuentas que típicamente no son objeto de
consultas, debe haber un medio de comprobación, aun cuando no se
establezcan medidas para contestar consultas en forma regular.
55. Estadísticas de errores y su fuente:
Consiste en llevar control estadístico de la
información relativa a los diversos tipos de
errores que se dieron en el proceso y cual
fue el origen de los mismos. Esta
información se utiliza para determinar los
procedimientos que deberán aplicarse a
efecto de reducir la cantidad de errores.
56. Corrección automatizada de errores:
Se refiere a que el propio computador
realiza un proceso para corregir cierto tipo
de errores de transacciones o de registros
que violan un control detectivo; así, si por
error se pago una factura que excedía al
valor de la orden de compra
correspondiente, el computador produce
automáticamente una nota de cargo al
proveedor, por la diferencia.
57. Respaldo y recuperación:
Consiste en que deben conservarse
los archivos maestros y las
transacciones del día anterior, a
efecto de tener la posibilidad de volver
a crear nuevos archivos maestros
actualizados, en caso se destruyera el
archivo maestro del día.
58. Reinclusión en el proceso:
Se refiere a que las transacciones cuyos
errores detectados, fueron corregidos,
deben reincluirse en el proceso como si
fueran datos de entrada nuevos, debiendo
en consecuencia, pasar a través de todos
los controles detectivos que se aplican
sobre las transacciones normales.