1. UNIDAD No. 2
CONTROLES
IMPORTANCIA DE LA INFORMACION
RIESGOS QUE AMENAZAN LA INFORMACION
EXTERNOS
• Naturales (Temblor, Incendio, Inundación, Tormenta)
• Humanos (Robo, Sabotaje, Motines sociales, Fraude)
• Materiales (Desperfectos en el equipo, Fallas de energía)
INTERNOS
• Robo de (Papelería y Útiles, Recursos, Información de Datos, Programas)
• Sabotaje
• Destrucción de (Datos y/o recursos, voluntaria o involuntaria)
• Huelgas
• Fraude
AMBIENTE DEBIL DE CONTROL PROPICIO PARA EL FRAUDE:
• Poca o ninguna restricción física en el acceso al equipo
• Carencia de un depto. De auditoría interna
• Control absoluto sobre las actividades desarrolladas por el PED
• Falta de documentación sobre los sistemas y programas en producción.
• Errores corregidos mediante solicitudes verbales
• Cambios en línea a los datos contenidos en el sistema
• Poco o ningún control sobre el uso de reportes elaborados por el PED
• Uso del PED en horario nocturno, sin ninguna supervisión sobre las funciones
que se realizan.
• Poco o ningún control sobre el consumo y circulación de suministros.
• Los deptos usuarios no revisan la información procesada y preparada por el
PED
• Solicitudes verbales de cambios de programas. Programas fuente que
permanecen en el sistema.
• Presencia en el directorio de programas ajenos a la producción de la empresa.
• Poca o ninguna rotación de personal, ausencia de planes de vacaciones, etc.
• Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de
documentos e información sin ningún control.
DEFINICIONES DE CONTROL
El vocablo Control presenta varias acepciones en nuestra lengua. Por un lado significa
comprobación, examen, inspección, verificación. Pero también sirve para indicar
dirección, gobierno, mando.
2. En el campo de la administración de empresas se suele utilizar ambos significados:
• Acto aislado y simple de verificación (sentido estricto)
• Función de la dirección de empresas (sentido amplio).
• Es una medida y corrección del desempeño de las actividades de los
subordinados para asegurar que los objetivos y planes de la empresa, diseñados
para lograrlo, se están llevando a cabo.
Control es todo lo que tiende a evitar errores.
Control es todo lo que tiende a minimizar riesgos.
La función de control, es aquella que tiene por finalidad asegurar que todos y cada
uno de los actos de una organización obtengan los objetivos previstos, dentro de los
límites prefijados.
No se limita exclusivamente a verificar en qué medida se logra un objetivo. Esta es sólo
una de sus fases. El control íntegramente considerado debe considerar que los actos
logren los resultados previstos y no solamente señalar las eventuales desviaciones.
El control es la suma de factores deliberadamente dispuestos por la organización con el
fin de:
• Condicionar cada acto, asegurando que sea realizado de un modo determinado.
• Determinar la medida en que cada acto dio el resultado previsto.
• Informar los resultados y las eventuales desviaciones, retroalimentando de esta
manera todo el proceso.
Misión:
• Condicionar cada acto, para que el mismo sea realizado de un modo determinado,
previamente programado. (Fase estructural o estática)
• Determinar la medida en que cada acto logra el resultado esperado, ponderando el
margen de desvío ocurrido. (Fase Operativa y Dinámica)
• Informar los resultados y las eventuales desviaciones a los centros de decisión que
corresponda, retroalimentando así el proceso operativo de la organización.(También
es Fase Operativa y Dinámica)
Fase Estructural o estática:
Consiste en configurar la estructura de la organización para que sea apta para asegurar
el desarrollo de todas las actividades dentro de los márgenes establecidos. Es un
trabajo anterior al funcionamiento de la empresa.
Fase Operativa o Dinámica:
Es la realización de todos los controles programados en la fase anterior. Esta fase se
refiere a la realización efectiva de los controles estructurados, y definidos en la anterior.
Se relaciona con el control en movimiento o funcionamiento.
PROCESO BASICO DEL CONTROL:
3. • Establecimiento de Normas
• Evaluación de la Actuación
• Corrección de las Desviaciones
REQUISITOS QUE DEBEN CUMPLIR LOS CONTROLES:
1. Deben reflejar la naturaleza y necesidades de la empresa
2. Deben reportar prontamente las desviaciones
3. Deben ser futuristas
4. Deben señalar excepciones
5. Deben ser objetivos
6. Deben ser flexibles
7. Deben ser económicos
8. Deben ser comprensibles
9. Deben conducir a la acción correctiva.
“Las labores de control se enfrentan siempre a fuerte oposición: Por parte de los
eficientes y honestos, porque lo consideran innecesario, inhibitorio o degradante, de los
deficientes, porque no se percatan de su utilidad y por parte de los deshonestos, porque
les estorba.”
CLASIFICACION DE LOS CONTROLES
POR SU NATURALEZA
• Generales (varios sistemas)
• Manuales (uso de humanware)
• Automáticos (incorporados)
POR SU EFECTO:
• Disuasivos
• De evidencia
• Preventivos ***
• Detectivos ***
• Correctivos ***
• Recuperativos
POR SU ESTADO:
• Recomendados
• Descartados
• Implantados
*** MAS CONOCIDOS
CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren las causas de error.
Características:
4. • Reducen la frecuencia de errores
• Previenen operaciones no autorizadas
• Son sutilmente incorporados en los procesos
• Son los de mas bajo costo.
1. Autorización:
La iniciación de una transacción o la ejecución de un proceso se limita a los
individuos autorizados para ello.
2. Custodia Segura:
A los activos de información se les aplican medidas de seguridad similares a
las de los activos tangibles, tales como efectivo, valores negociables, etc.
3. Formas prenumeradas:
En las formas individuales se preimprimen números consecutivos a fin de
permitir la detección posterior de su perdida o mala colocación.
4. Formas preimpresas:
Los elementos fijos de información se anotan por anticipado en las formas y,
en algunos casos, en un formato que permite el procesamiento directo por el
computador, a fin de prevenir errores en la anotación de datos repetitivos.
5. Documento de retorno:
Es un documento producido por el computador, con el objeto de que vuelva a
entrar al sistema.
6. Endoso:
Marcar una forma o un documento a fin de dirigir o restringir su uso posterior
en el procesamiento.
7. Cancelación:
Marcar o identificar los documentos de las transacciones a fin de prevenir su
uso posterior una vez que han cumplido su función.
8. Contraseñas:
La autorización para permitir el acceso a información o procesos, por medio
de una señal o clave conocida únicamente por los individuos autorizados
para ello.
9. Definición de responsabilidades:
Descripción de las tareas para cada una de las funciones del trabajo, dentro
de un sistema de procesamiento de información. Indica puntos claros de
inicio o terminación cada función.
10. Confiabilidad del personal:
Puede confiarse en que el personal que efectúa el procesamiento maneja los
datos en forma adecuada y consistente.
5. 11. Entrenamiento:
Se proporcionan instrucciones explícitas al personal y se verifica que las
hayan comprendido, antes de asignárseles nuevas tareas.
12. Competencia del personal:
Las personas asignadas a funciones de procesamiento o de supervisión
dentro de los sistemas de información, poseen el conocimiento técnico
necesario para llevar a cabo sus funciones.
13. Mecanización:
El utilizar medios mecánicos o electrónicos para procesar la información,
proporciona consistencia al procesamiento.
14. Segregación de funciones:
La responsabilidad de la custodia y la de control del manejo y el
procesamiento de la información, se encuentran separadas.
CONTROLES DETECTIVOS
Estos no impiden que ocurra una causa de error, sino que acciona la alarma después
de que haya ocurrido.
• Pueden impedir la continuidad de un proceso
• No impiden que ocurra un error, pero dan la alarma después que haya ocurrido
• Requieren de ciertos gastos operativos moderados.
1. Documento de envío:
Es el medio para comunicar las cifras control a través del movimiento físico
de la información, particularmente de la fuente al punto de procesamiento o
entre puntos de procesamiento.
2. Números consecutivos de lote:
Los lotes de documentos de transacciones se numeran en forma consecutiva
y se controlan.
3. Cifras de control de cantidades:
Son totales de valores homogéneos para un grupo de transacciones o
registros, generalmente en valores monetarios o cantidades.
4. Cifras de control de numero de documentos:
Consiste en que se efectúa un conteo del numero de documentos
individuales y este total es el que se controla.
5. Cifras de control sin significado monetario:
6. Es un total no significativo, pero útil, obtenido de la sumatoria de información
numérica no monetaria.
6. Totales de lote:
Es cualquier tipo de cifra control o conteo que se aplica a un numero
especifico de documentos de transacciones o a los documentos de las
transacciones que se reciben en un periodo de tiempo especifico.
7. Verificación de rebasamiento:
Es una verificación de limite que se basa en la capacidad de un área de la
memoria o de un archivo para aceptar información.
8. Verificación de formato:
Determinación de que los datos se registran en la forma establecida en el
formato de información que se estipula en el programa de aplicación, ya sea
en forma numérica o alfanumérica.
9. Verificación de integridad:
Consiste en comprobar que se hayan anotado datos en aquellos campos que
no pueden procesarse si se dejan en blanco.
10. Dígito verificador:
Es un dígito, generalmente el ultimo de un campo de identificación, que es
una función matemática de todos los demás dígitos en el campo. La validez
de todo el campo se comprueba al calcular, con base en los demás dígitos
del campo, el digito verificador y compararlo con el consignado en el campo.
11. Razonabilidad:
Pruebas que se aplican a varios campos de información mediante la
comparación con otra información disponible en los registros de
transacciones o los maestros, a efecto de establecer su razonabilidad.
12. Verificación de limite:
Pruebas de los campos de importes específicos, contra limites inferiores o
superiores de aceptabilidad estipulados. Cuando se verifican ambos limites,
la prueba suele denominarse “verificación de rango”.
13. Verificación de validez:
Los caracteres en un campo codificado son cotejados contra un conjunto
aceptable de valores en una tabla, o examinados con respecto a un patrón
definido de formato, utilizando la lógica y la aritmética.
14. Fechas:
Registrar fechas de calendario para efectos de comparaciones posteriores o
de pruebas relativas a la expiración de documentos.
15. Verificación de la digitación:
7. La entrada redundante de datos por medio de un teclado, a fin de verificar la
exactitud de una entrada anterior. Las diferencias entre los datos
previamente registrados y los datos accesados en la verificación originan una
señal mecánica.
16. Aprobación:
Consiste en la aceptación de una transacción para que sea procesada,
después de que se ha iniciado.
17. Totales de corrida a corrida:
Consiste en el uso de las cifras de control de salida que resultan de un
proceso, como cifras de control para un procesamiento posterior. Las cifras
control se utilizan como enlaces en una cadena para unir un proceso con otro
en una secuencia de procesos.
18. Igualización/comparación:
Es una prueba para determinar la igualdad entre los valores de dos conjuntos
equivalentes de partidas o entre un conjunto de partidas y una cifra control.
Cualquier diferencia indica un error.
19. Clasificación por antigüedad:
Consiste en la identificación de partidas sin o con poco movimiento, de
acuerdo con su fecha, generalmente la fecha de la transacción. Esta
clasificación segrega las partidas de acuerdo con varios limites de fechas.
20. Cuenta de partidas pendientes de procesarse:
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no
procesadas o diferencias en las mismas.
21. Cotejo:
Cotejar las partidas del flujo del procesamiento en una aplicación con otras
desarrolladas en forma independiente, a fin de identificar partidas no
procesadas o deferencias en las mismas.
22. Auditoria periódica:
Consiste en la verificación de un archivo o de una frase de procesamiento,
con el objeto de detectar problemas y fomentar el cumplimiento de los
procedimientos establecidos.
23. Etiquetas:
Consiste en la identificación externa o interna de los lotes de transacciones o
de los archivos de acuerdo con su fuente, aplicación, fechas u otras
características de identificación.
CONTROLES CORRECTIVOS
8. • Ayudan a la investigación y corrección de las causas de los errores que hayan sido
detectados.
• La acción correctiva es siempre necesaria.
• Son casi siempre muy costosos.
1. Reportes de discrepancias o inconsistencias
No es mas que un listado de las partidas que han violado algún control detectivo
y que, consecuentemente, requieren investigación posterior.
2. Rastro de auditoria:
Pista de auditoria o pista de las transacciones, consiste en la disponibilidad de
un medio manual o legible por computador que permita rastrear el estado y el
contenido del registro de una transacción individual, hacia atrás o hacia delante,
entre salida, procesamiento y fuente.
El rastro de auditoria en los sistemas de procesamiento de información no
electrónico, consiste en documentos, libros, diarios, mayor, registros auxiliares y
hojas de trabajo, que permiten al auditor comprobar una operación hacia delante
a un total de resumen o investigar un total de resumen hacia atrás a la operación
original.
Utilizando ese rastro, el auditor puede efectuar pruebas para determinar si el
saldo de determinada cuenta refleja fielmente las operaciones efectuadas por la
empresa.
Cabe comentar que en opinión de muchos autores, el termino “rastro de
auditoria” o “pista de auditoria”, no es del todo adecuado, pues tal “rastro” o
“pista” mas bien es una herramienta para dar seguimiento a las transacciones y
corregir excepciones, utilizada especialmente por los empleados asignados a la
corrección de errores o a funciones de control de calidad. Además, se estima
que es la empresa la que hace mas uso de estos rastros en su operación
normal, pues esta sujeta constantemente a investigaciones y a preguntas
provenientes de fuentes externas, tales como clientes, proveedores,
dependencias gubernamentales, etc.
En los sistemas que no utilizan procesamiento electrónico de información, por la
capacidad de proceso del computador, sufre cambios que tienen que ver
principalmente, con el uso de registros legibles a máquina, así:
• Los documentos fuente, una vez transcritos al medio legible a máquina,
ya no son utilizados en el ciclo de procesamiento, por lo que pueden ser
archivados en una forma que haga difícil el acceso posterior a ellos.
9. • En algunos sistemas, los documentos fuente tradicionales pueden ser
eliminados por el uso de dispositivos de acceso directo.
• Los resúmenes (saldos) del mayor pueden ser sustituidos por archivos
maestros que no muestran las cantidades que conducen a la determinación
de los valores resumidos.
• El ciclo del procesamiento de información no proporciona
necesariamente un listado o diario de las operaciones. Proporcionar un
listado de este tipo puede requerir una acción específica a un costo
apreciable.
• Algunas veces es innecesario preparar informes impresos de los
registros históricos. Los archivos pueden ser conservados en medios
utilizados por el computador y los informes impresos preparados solamente
por excepción.
• Los archivos conservados en medios magnéticos solo pueden ser leídos
con el uso del computador y del programa correspondiente.
• La secuencia de los registros y las actividades del procesamiento son
difíciles de observar debido a que muchos de los datos y muchas de las
actividades están o se realizan dentro del computador.
Los principios generales aplicables al diseño de rastros adecuados para
auditoria, son los siguientes:
• Para todas las operaciones que afectan los estados financieros debe haber un
medio de establecer la cuenta a la cual son transcritas las operaciones.
• Por todas las cuentas reflejadas en los estados financieros debe haber un medio
para comprobar el importe de las cifras del total, hacia los elementos de las
operaciones individuales.
• Por todas las operaciones y cuentas que originan un número importante de
consultas deben existir medidas para proporcionar los registros necesarios para
contestar las consultas en forma regular.
• Por todas las operaciones y cuentas que típicamente no son objeto de consultas,
debe haber un medio de comprobación, aun cuando no se establezcan medidas
para contestar consultas en forma regular.
Los métodos mediante los cuales se pueden aplicar estos principios generales,
están limitados solamente por el ingenio del diseñador del sistema; sin embargo,
existen tres métodos básicos, a saber:
10. a) El archivo proporciona el saldo actual y las referencias de todos los cambios
mediante un listado de transacciones o numero de lote. Cada cambio en el
saldo del archivo es registrado por referencia al listado de transacciones o al
de lote. El listado de transacciones proporciona los detalles para comprobar
hacia atrás hasta llegar a la operación original.
b) El archivo proporciona solamente el saldo. Los cambios en el saldo son
obtenidos de listados de transacciones. El uso de listados de transacciones
es el único medio para comprobar los cambios en una cuenta; en
consecuencia, los cambios pueden ser combinados y sumarizado por
periodos, semanales, mensuales.
c) El archivo proporciona el saldo y tiene referencia de los documentos para
cada transacción, en consecuencia, ningún listado de transacciones es
usado para referencia. Este método es adecuado cuando el numero de
operaciones para cada registro es pequeño.
3. Estadísticas de errores y su fuente:
Consiste en llevar control estadístico de la información relativa a los diversos
tipos de errores que se dieron en el proceso y cal fue el origen de los mismos.
Esta información se utiliza para determinar los procedimientos que deberán
aplicarse a efecto de reducir la cantidad de errores.
4. Corrección automatizada de errores:
Se refiere a que el propio computador realiza un proceso para corregir cierto tipo
de errores de transacciones o de registros que violan un control detectivo; así, si
por error se pago una factura que excedía al valor de la orden de compra
correspondiente, el computador produce automáticamente una nota de cargo al
proveedor, por la diferencia.
5. Respaldo y recuperación:
Consiste en que deben conservarse los archivos maestros y las transacciones
del día anterior, a efecto de tener la posibilidad de volver a crear nuevos archivos
maestros actualizados, en caso se destruyera el archivo maestro del día.
6. Reinclusión en el proceso:
Se refiere a que las transacciones cuyos errores detectados, fueron corregidos,
deben reincluirse en el proceso como si fueran datos de entrada nuevos,
debiendo en consecuencia, pasar a través de todos los controles detectivos que
se aplican sobre las transacciones normales.