2.1.5 PRUEBAS DE CONTROLES DE USUARIO.

En algunos casos el auditor puede decidirse el no confiar en los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informtica. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios.

Pruebas de Comportamiento. El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles. Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditoria son los mismos que los de las fases anteriores. Prueba y Evaluacin de los Controles del Usuario El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.

LOS PROCESOS DE CREACIN DE LOS CONTROLES Tenemos que contemplar los aspectos relevantes para poder disear un sistema de control interno que consiste en los siguientes pasos : -Identificar los departamentos involucrados y relacionarlos con documentos o medios magnticos -Analizar la segregacin de funciones -Identificar los puntos dbiles de control -Para cada punto de control posible, detallar la totalidad de los errores posibles -Para cada uno de los posibles errores arriba identificados establecer un mtodo de control. -Para los mtodos de control establecidos analizar su costo beneficio -Para los mtodos de control establecidos analizar la segregacin de funciones Tipos De Control Terry (1999) en su libro "Principios de Administracin" expone que existen 3 tipos de control que son: El control preliminar, el concurrente y el de retroalimentacin. Control preliminar: Este tipo de control tiene lugar antes de que principien las operaciones e incluye la creacin de polticas, procedimientos y reglas diseadas para asegurar que las

actividades planeadas sern ejecutadas con propiedad. En vez de esperar los resultados y compararlos con los objetivos es posible ejercer una influencia controladora limitando las actividades por adelantado. Son deseables debido a que permiten a la administracin evitar problemas en lugar de tener que corregirlos despus, pero desafortunadamente este tipo de control requiere tiempo e informacin oportuna y precisa que suele ser difcil de desarrollar. Control concurrente: Este tipo de control tiene lugar durante la fase de la accin de ejecutar los planes e incluye la direccin, vigilancia y sincronizacin de las actividades segn ocurran, en otras palabras, pueden ayudar a garantizar que el plan ser llevado a cabo en el tiempo especfico y bajo las condiciones requeridas. La forma mejor conocida del control concurrente es la supervisin directa. Cuando un administrador supervisa las acciones de un empleado de manera directa, el administrador puede verificar de forma concurrente las actividades del empleado y corregir los problemas que puedan presentarse. Control de retroalimentacin: Este tipo de control se enfoca sobre el uso de la informacin de los resultados anteriores para corregir posibles desviaciones futuras de estndar aceptable. El control de retroalimentacin implica que se han reunido algunos datos, se han analizado y se han regresado los resultados a alguien o a algo en el proceso que se est controlando de manera que puedan hacerse correcciones.

- El control y los sistemas de informacin. Tipos de control La implantacin de un sistema integrado de informacin, con frecuencia plantea inconvenientes, tales como: Reticencia a compartir informacin -Desparejo nivel de sistematizacin -Carcter poltico de la organizacin -Modalidades de la toma de decisiones -Variedad y dispersin de nomenclaturas y unidades -Hbitos de planificacin subjetiva -Escepticismo ante la complejidad del sistema propuesto. Para implantarlo con xito hay que definir primero los objetivos del sistema y el nivel de detalle con que trabajar. Es importante aprovechar toda la informacin ya existente, sistematizada o no. Finalmente, hay que buscar que los sistemas entreguen resultados prcticos y tangibles. Guillermo Inchauspe concluye afirmando que este tipo de desarrollos tiene caractersticas tcnico-polticas, donde es necesario combinar los conocimientos y metodologas especficas del desarrollo de sistemas informticos con una cuota importante de gerenciamiento, que garanticen la efectiva y eficiente instalacin y puesta en marcha. Los diversos tipos de control suelen definirse tomando como criterio de diferenciacin el momento de la actividad general en que el control se realiza. Desde ese punto de vista se habla de: Control preliminar: Este tipo de control trata de prevenir la ocurrencia de problemas durante la posterior ejecucin de las actividades. Es una verificacin de los atributos, cantidades y disponibilidad de recursos necesarios, en relacin con los niveles de actividad previstos. Las tcnicas de control habituales en este tipo de control son: el proceso de seleccin (por ejemplo, la seleccin de candidatos para un puesto, a fin de prever su buen desempeo futuro); la inspeccin de materias primas y materiales necesarios (por ejemplo, la verificacin de existencias y de calidad de los elementos para

una campaa de vacunacin); el presupuesto de capital (para saber, por ejemplo, cuanto dinero exigir la ejecucin de un proyecto y cada una de sus etapas o fases); y el presupuesto financiero (por ejemplo, para asegurar que las fuentes de financiacin y el flujo de fondos acompaarn a la ejecucin fsica de las actividades). Control concurrente: Este tipo de control se realiza en paralelo con la ejecucin de las actividades y tiene por objeto la deteccin temprana de posibles desviaciones, y la verificacin de la correcta ejecucin de las mediciones de desempeo, con miras al control de resultados. Tambin se incluye en este tipo de control la supervisin directa de la gerencia mediante observacin personal y ocasionales intervenciones y directivas dadas en cada caso. El control de resultados: Es el ms habitual, o por lo menos el que ms se asocia con la idea general de la funcin de control. Se realiza una vez finalizada la actividad (por ejemplo, al terminar la ejecucin de un proyecto) o al cabo de un determinado perodo de tiempo (por ejemplo, los balances o inventarios anuales). Son datos definitivos, que nos informan sobre la medida en que se alcanzaron los objetivos del proyecto o del perodo que abarca el ejercicio. Este ltimo caso permite tambin medir la evolucin en perodos sucesivos. Es un procesamiento de datos histricos, cuya finalidad ltima es corregir el futuro. Las tcnicas ms usuales en este tipo de control son los presupuestos, los costes estndar, los estados financieros, el control de calidad de los productos terminados, la evaluacin del desempeo de los empleados, etc. En el caso de los servicios, pblicos o privados, debido a su carcter intangible, es frecuente acudir como fuente de informacin a las encuestas de satisfaccin de los clientes o ciudadanos. En todo proceso administrativo, hay que hacer de los datos la base de las decisiones y las acciones. Hay que discutir las cuestiones a partir de datos, de hechos. Usar ndices numricos permite, en muchos casos, comprender la situacin actual, basar los planes de futuro, medir los avances, determinar las prioridades, solicitar los medios necesarios, determinar a priori las consecuencias probables de los cambios, comparar resultados, informar a los interesados, reconocer los mritos y apoyar el compromiso de los empleados y directivos. Los datos recogidos no deben ser necesariamente muchos, sino significativos; registrados y usados correctamente, mediante muestreos aleatorios y mtodos de anlisis estadstico. No se deben distorsionar los resultados, ni complicar las cosas, ni buscar ms o menos datos que los necesarios, ni dejar de tener en cuenta los diferentes contextos de la informacin. La informacin sobre resultados debe ser fcil de ver, con indicadores visibles y simples, que prcticamente cualquier persona pueda entender. Aunque los aspectos organizacionales y humanos suelen ser lo que ms llama la atencin, no debe descuidarse la importancia de la tecnologa, del uso del control estadstico de procesos, etc. Tienen particular importancia los ciclos de regulacin y control, para el mantenimiento de los procesos en su correcto funcionamiento; para la mejora de los procesos (ms simples, ms baratos, ms rpidos, ms seguros); y para las acciones correctivas cuando sean necesarias. Diseo de Controles Mximos controles no son controles ptimos. Pasos: 1. Identificacin de riesgos Mtodos ms usados:

- Lluvias de ideas. (Grupo Delphi). Riesgos macros hasta micros. - Segmentar sistema por reas, por operaciones, por recursos u otros conceptos. - Agrupar causas y efectos de un mismo riesgo. - Redaccin en la forma ms clara y explcita del posible riesgo. Se requiere conocimiento detallado del procedimiento. 2. Seleccin de riesgos crticos." La eficiencia global de un sistema es inversamente proporcional a la cantidad de controles existentes en el". Se disean controles para los riesgos ms importantes. Mtodo recomendado. - Comparacin por parejas. - Anlisis cualitativo de efectos y probabilidad de ocurrencia. 3. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar 4. La administracin decide: Asume el riesgo o controla la operacin 5. Se disea los controles detallados para aquellos riesgos que se decide controlar Objetivo. Definir controles para riesgos crticos Mtodo recomendado. - Descomponer riesgos en causas, efectos y formas de ocurrencia. - Examinar procedimientos para:

Eliminar causas Detectar formas de ocurrencia Reducir efectos Estos controles deben ser: Prcticos, razonables, costo-efecto, oportunos, significativos, apropiados, simples y operativos. Grupo de diseo de controles. Jefe del rea. Personal involucrado Administrativo Auditor 6. Anlisis de efectividad de controles Objetivo. Determinar si los controles propuestos son efectivos para los riesgos crticos. Mtodo recomendado. - Elaborar matriz riesgos-controles - Determinar y calificar la efectividad de cada control para el riesgo o los riesgos que se aplican. Esta calificacin puede ser arbitraria, pero lo que se debe mantener es la forma relativa que permita comparar el grado de proteccin que ofrece un control para un riesgo determinado. Puede ser: Alto, Medio, Bajo, Nulo; 0,1,2 o Mal, Bien, Excelente. - Analizar cada columna de la matriz (riesgo) para determinar el grado de proteccin global. - Donde la proteccin no sea suficiente proponer nuevos controles. - Analizar las filas (controles) para determinar si el control propuesto se justifica por su grado de efectividad, para uno o varios riesgos. De lo contrario eliminarlo. Notas. Si para un riesgo crtico solo hay un control que lo minimice suficientemente, este es candidato a seleccin.

Si hay un control que acte en forma excelente sobre varios riesgos crticos es candidato a seleccin. Si existen riesgos crticos que no han sido minimizados suficientemente, debo continuar la bsqueda de controles que lo hagan. Tener cuidado con la preseleccin de controles excluyentes. 7. Anlisis de eficiencia 8. Seleccin de controles. Objetivo. Decidir si se invierte en el control para reducir la posibilidad de ocurrencia del riesgo, o se acepta la probabilidad de perdidas asociadas al riesgo. La implantacin de los controles no debe ser ms costosa que los recursos involucrados en el riesgo. 9. Definir el punto ms adecuado de implantacin. La bsqueda del autocontrol, exige los controles se involucren lo mas natural posible dentro de los procesos. Deben ser procedimientos que interfieran lo menos posibles en las normales actividades, es mas, se deben convertir en formas de actuar. 10. Disear procedimiento detallado de ejecucin del control 11. Documentacin. Garantizan el mantenimiento permanente de los controles implantados