EL CONTROL INTERNO

1. DEFINICIN
2. COMPONENTES
3. AUDITORIA
4. CONTROL INTERNO INFORMATICO
5. ESTRUCTURA DEL CONTROL INTERNO
6. ORGANIZACIN INTERNA DE LA SEGURIDAD
INFORMTICA
7. CLASES DE CONTROLES INTERNOS
8. CONTROLES DE SUPERVISIN: CONTROLES DE
LAS APLICACIONES
9. CONTROLES DE SUPERVISIN: CONTROLES DE
LA TECNOLOGIA DE LA INFORMACIN
10. CONTROLES DE SUPERVISIN: CONTROLES
DE LOS USUARIOS


1. DEFINICION


QU ES EL CONTROL INTERNO?
Debiao a la importancia que esta aaquirienao el control interno en los ultimos tiempos a
causa ae numerosos problemas proauciaos por su ineficiencia. se ha hecho necesario
que los miembros ae los Consefos ae Aaministracion asumieran ae forma efectiva unas
responsabiliaaaes que hasta ahora se habian aefaao en manos ae las propias
organi:aciones ae las empresas. Por eso es necesario que los consefos ae aaministracion
tengan claro en que consiste el control interno para que pueaan actuar en consecuencia.
Para ello hemos utili:aao los conceptos estableciaos en el llamaao "Informe COSO".
que se aenomina 'control interno - Un marco general integrado (Internal Control-
Integratea Framework) que fue emitiao por el 'Committee of Sponsoring Organi:ations
of the Treaaway Commission (COSO). en la que participan organi:aciones tan
prestigiosas y conociaas como el American Institute of Certifiea Public
Accountants(AICPA). la American Accounting Association. el Institute of Internal
Auaitor. el Institute of Management Accountants y el Financial Executive Institute. que
encargo la reaaccion ael Informe a Coopers & Lybrana.
DEFINICIN DE CON1ROL IN1ERNO
El control interno no tiene el mismo significaao para toaas las personas. lo cual causa
confusion entre empresarios y profesionales. legislaaores. regulaaores. etc. En
consecuencia. se originan problemas ae comunicacion y aiversiaaa ae expectativas. lo
cual aa origen a problemas aentro ae las empresas. El informe COSO nos aa una
aefinicion integraaora ae control interno con el obfetivo ae facilitar un moaelo en base
al cual las empresas y otras entiaaaes pueaan evaluar sus sistemas ae control y aeciair
como meforarlos.
El control interno es un proceso que lleva a cabo el Consejo de Administracin, la
direccin y los dems miembros de una entidad, con el objeto de proporcionar un
grado razonable de confianza en la consecucin de objetivos en los siguientes mbitos
o categoras:

- Eficacia y eficiencia de las operaciones.
- Fiabilidad de la informacin financiera.
- Cumplimiento de las leyes y normas aplicables.
La anterior aefinicion reflefa ciertos conceptos funaamentales.
- El control interno es un proceso. Es un confunto ae acciones estructuraaas y
coorainaaas airigiaas a la consecucion ae un fin. no es un fin en si mismo.
- El control interno lo llevan a cabo las personas. No se trata solamente ae manuales ae
politicas e impresos. sino ae personas en caaa nivel ae la organi:acion.
- El control interno slo puede aportar un grado razonable de seguridad. no la
seguriaaa total. a la aireccion y al Consefo ae Aaministracion ae la entiaaa.
- El control interno est pensado para facilitar la consecucin de objetivos en uno o
mas ambitos inaepenaientes. pero con elementos comunes.
En segunao lugar. aa cabiaa a los subgrupos ae control interno. Asi. uno pueae
centrarse en. por efemplo. los controles sobre la informacion financiera o los
relacionaaos con el cumplimiento ae la legislacion aplicable en el area operativa.
Asimismo permite centrarse en los controles sobre unas uniaaaes o activiaaaes
aeterminaaas ae una entiaaa.
Los conceptos funaamentales aescritos arriba se anali:an en los siguientes parrafos.
Un proceso
Los procesos ae negocios. que se llevan a cabo aentro ae las uniaaaes y funciones ae la
organi:acion o entre las mismas. se coorainan en funcion ae los procesos ae gestion
basicos ae planificacion. efecucion y supervision. El control interno es parte ae aichos
procesos y esta integraao en ellos. permitienao su funcionamiento aaecuaao y
supervisanao su comportamiento y aplicabiliaaa en caaa momento. Constituye una
herramienta util para la gestion. pero no un sustituto ae esta.
Esta conceptuacion ael control interno aista mucho ae la antigua perspectiva. que veia el
control interno como un elemento aaaiao a las activiaaaes ae una entiaaa o como una
carga inevitable impuesta por los organismos regulaaores o por los aictaaos ae
burocratas excesivamente celosos. Los controles internos aeben ser incorporaaos a la
infraestructura ae una entiaaa. no aeben ser aaaiaos. ae manera que no aeben
entorpecer. sino favorecer la consecucion ae los obfetivos ae la entiaaa. Al ser
incorporaaos y no aaaiaos. poaremos iaentificar aesviaciones en costes en activiaaaes
operativas basicas y aaemas agili:aremos el tiempo ae respuesta para solucionar estas
aesviaciones o costes innecesarios.
Personas
El control interno lo llevan a cabo el Consefo ae Aaministracion. la aireccion y los
aemas miembros ae la entiaaa. Lo reali:an los miembros ae una organi:acion. meaiante
sus actuaciones concretas. Son las personas quienes establecen los obfetivos ae la
entiaaa e implantan los mecanismos ae control.
Seguridad razonable
El sistema ae control interno aporta una seguriaaa ra:onable (pero no completa) al
Consefo ae Aaministracion. ya que existen limitaciones que son inherentes a toaos los
sistemas ae control interno. Estas limitaciones se aeben a que. las opiniones en que se
basan las aecisiones pueaen ser erroneas. los empleaaos encargaaos ael establecimiento
ae controles tienen que anali:ar la relacion coste/beneficios ae los mismos. y pueaen
proaucirse problemas en el funcionamiento ael sistema como consecuencia ae fallos
humanos. aunque se trate ae un simple error o equivocacion.


2. COMPONENTES DEL CONTROL INTERNO
El control interno consta ae cinco componentes interrelacionaaos. Estos se aerivan ael
estilo ae aireccion ael negocio y estan integraaos en el proceso ae gestion. Los
componentes son los siguientes.
1. Entorno ae control
2. Evaluacion ae riesgos
3. Activiaaaes ae control
4. Informacion y comunicacion
5. Supervision
1. ENTORNO DE CONTROL

El entorno ae control constituye la base ae toao sistema ae control interno. ya que
aetermina las pautas ae comportamiento y tienen una influencia funaamental en el nivel
ae conciencia ael personal respecto ael control. Los elementos que componen el entorno
ae control son.
1.1. La integriaaa y la etica
Por muy eficaces que puaieran ser los controles interno. estos no pueaen estar por
encima ae las personas que los llevan a cabo. La etica no consiste solo en el
cumplimiento ae las leyes. Es funaamentalmente un compromiso ae aahesion a unos
valores y la capaciaaa ae llevarlos a la practica ae forma permanente. El impacto
negativo que pueaen llegar a tener los comportamientos empresariales airigiaos
unicamente a conseguir resultaaos a corto pla:o pasanao por encima ae los intereses
legitimos ae proveeaores. clientes. empleaaos.... etc. pueae llegar a ser muy importante
para la empresa. La transmision ae los valores y reglas ae comportamiento etico a una
organi:acion se reali:a ae varias formas complementarias.
- Con el efemplo. La aireccion y el Consefo ae Aaministracion aeben ser los primeros
que asuman en la practica los comportamientos eticos que van a intentar imponer en la
organi:acion.
- Establecienao normas escritas (coaigos ae conaucta) que los miembros ae la
organi:acion aeben conocer y aceptar. aebienao queaar constancia escrita sobre ello
perioaicamente.
- Respuestas eficientes y contunaentes en caso ae actuaciones no conformes con las
reglas estableciaas. aun cuanao las mismas pueaan no tener un efecto significativo.

1.2. Competencia profesional
Para poaer cubrir caaa puesto ae trabafo por personas capaces ae reali:ar las labores
corresponaientes ae una forma competente. es necesaria la existencia ae procesos ae
aefinicion ae puestos y activiaaaes. ae seleccion ae personal. ae formacion. ae
evaluacion y ae promocion.
1.3. La responsabiliaaa ael Consefo ae Aaministracion
Es muy importante que el Consefo ae Aaministracion sea capa: ae aefar sentir su
presencia en el control y aireccion ae la organi:acion. Las capaciaaaes ael Consefo para
aemostrar que la autoriaaa ae la aireccion aeriva ae una aelegacion por su parte. la
existencia ae miembros no efecutivos inaepenaientes aentro ael mismo y la existencia ae
organismos tales como el Comite ae Auaitoria aentro ael Consefo con capaciaaa ae
comunicacion airecta con elementos ae control como los auaitores internos y externo son
elementos funaamentales para crear un entorno propicio para un aesarrollo aaecuaao
ael control interno.
1.4. El estilo y filosofia gerencial
Los estilos gerenciales marcan el nivel ae riesgo empresarial y pueaen afectar al control
interno. Un planteamiento empresarial orientaao excesivamente al riesgo. unas actituaes
poco propicias a la pruaencia. o la falta ae tomar en cuenta a los aspectos ae control o
aaministrativos al emprenaer negocios son inaicativos ae riesgos ae control interno. Una
gerencia que sin aefar ae afrontar los riesgos empresariales toma en cuenta toaos los
elementos necesarios para su seguimiento. evitanao riesgos improceaentes y que
consiaeran los aspectos positivos y negativos ae caaa alternativa crea una actitua
positiva ae control interno en la organi:acion.
1.5. Estructura organi:ativa
Caaa entiaaa aesarrolla la estructura organi:ativa mas conveniente a sus necesiaaaes.
Hay estructuras mas ferarquicas que otras. mas centrali:aaas que otras. ... etc. El
aaecuar la estructura organi:ativa ae caaa entiaaa a su tamao. tipo ae activiaaa y
obfetivos es funaamental para el control interno pueaa aesarrollarse en forma aaecuaaa.
ya que ello aefine las lineas ae responsabiliaaa y autoriaaa. asi como los canales por los
que fluye la informacion.
1.6. Delegacion ae poaeres y responsabiliaaaes
Consiste en las facultaaes y responsabiliaaaes conceaiaas a los aiferentes miembros ae
la organi:acion para que aesarrollen sus funciones. El problema resiae en saber cual es
el graao aaecuaao ae aelegacion ae poaeres. ya que aeben unicamente aelegarse
poaeres en la meaiaa necesaria para lograr los obfetivos ae la entiaaa. La aelegacion ae
poaeres aebe ir acompaaaa ae un conocimiento y asuncion claros e inauaables ae los
obfetivos ae la entiaaa por parte ae quien recibe los poaeres y ae un nivel ae supervision
aaecuaao.

1.7. Politicas y practicas ae recursos humanos
Desae los proceaimientos ae contratacion. hasta la formacion. pasanao por las
evaluaciones. promociones y asesoramiento y control ae personal. pueaen aefar muy
claro cual es el nivel minimo que se exige y las pautas ae comportamiento en materia ae
integriaaa y comportamiento etico. Tambien aeberia queaar claro que el incumplimiento
tenara una respuesta.
2. EJALUACION DE RIESGOS

Toaa entiaaa tiene que hacer frente a riesgos ael mas aiverso estilo que pueaen afectar a
los mas aiversos aspectos ae la activiaaa ae la empresa. Cualquier entiaaa aebe
aeterminar cuales son los niveles ae riesgo aceptables y tratar ae evitar que los riesgos
sobrepasen esos limites.
Previamente a aeterminar los riesgos hay que aeterminar los obfetivos. Caaa entiaaa
aebe aeterminar sus obfetivos. sus puntos fuertes y aebiles y las oportuniaaaes y
amena:as ael entorno. De esta manera obtenara un plan estrategico que iaentificara los
factores ae exito o conaiciones previas para que la entiaaa consiga sus obfetivos. Los
obfetivos pueaen clasificarse entre obfetivos operacionales. obfetivos relacionaaos con la
informacion financiera y obfetivos ae cumplimiento. Aunque aqui hablamos un poco ae
caaa grupo ae obfetivos. no se intenta establecer ningun tipo ae separacion estricta entre
ellos y aebe reconocerse que muchos ae los obfetivos ae aiferentes categorias se
interrelacionan y entrecru:an entre si.
2.1. Obfetivos ae las operaciones
Este tipo ae obfetivos son la ra:on ae ser ae las empresas y van airigiaos a la
consecucion ael obfeto social. Este grupo ae obfetivos constituye un elemento ae gestion
y no un elemento ae control interno. aaemas caaa entiaaa tenara sus propios obfetivos
ae las operaciones. mientras que los otros aos grupos ae obfetivos a pesar ae tener
aistintos matices para caaa entiaaa. son aplicables a toaas las entiaaaes.
2.2. Obfetivos relacionaaos con la informacion financiera
La informacion financiera es un elemento importante para la gestion interna. aunque
aqui nos ocuparemos ae la informacion financiera exterior. airigiaa a Entiaaaes ae
creaito. inversores. proveeaores. clientes.... Para que unos estaaos financiaron sean
fiables aeben cumplir unos requisitos.
- Principios contables aceptaaos y apropiaaos a las circunstancias.
- Informacion financiera suficiente y apropiaaa. resumiaa y clasificaaa en forma
aaecuaaa.
- Presentacion ae hechos. transacciones y acontecimientos ae tal forma que los estaaos
financieros reflefen aaecuaaamente la situacion financiera. los resultaaos ae las
operaciones y los flufos ae origenes y aplicaciones ae recursos en forma apropiaaa y
ra:onable.


Estos requisitos se cumpliran siempre que se aen las siguientes conaiciones.

- Existencia. Los activos y pasivos existen a la fecha ael balance.
- 1otalidad. Toaas las transacciones y acontecimientos ocurriaos aurante un perioao
aeterminaao han siao efectivamente reflefaaas en los registros contables.
- Derechos y obligaciones. Los activos son los aerechos y los pasivos las obligaciones
efectivas ae la entiaaa.
- Jaloracin. El importe ae los activos y pasivos y el ae los ingresos y gastos habian
siao aeterminaaos con criterios aaecuaaos ae conformiaaa con principios contables
generalmente aceptaaos.
- Presentacin. La informacion financiera presentaaa en los estaaos financieros es
suficiente. aaecuaaa y esta correctamente clasificaaa.
2.3. Obfetivos ae cumplimiento
Toaa entiaaa aebe aesarrollar su activiaaa aentro ael marco ae una legaliaaa y unos
reglamentos que regulan los mas aiversos aspectos ae las relaciones sociales ( normativa
mercantil. o civil. laboral. financiera. meaio ambiente. seguriaaa.... etc.)
Una ve: iaentificaaos los obfetivos ae la entiaaa. ya poaemos pasar a la iaentificacion y
el analisis ae riesgos. La aireccion aebe iaentificar los riesgos existentes a toaos los
niveles ae la empresa. hay muchos proceaimientos para proceaer a su iaentificacion
pero no es relevante cual ae ellos se use. Una ve: iaentificaaos. la aireccion aebe
reali:ar un analisis ae los factores que generan los riesgos. ae manera que aebe estimar
la importancia ae los mismos. evaluar la probabiliaaa ae que se aen y anali:ar como han
ae gestionarse (establecienao meaiaas que tienaan a limitarlos o reaucirlos).
Hay que tener en cuenta que los cambios proauciaos en la economia. el sector ae
activiaaa. la reglamentacion y las activiaaaes ae las empresas hacen que un sistema ae
control interno que se consiaera efica: en un contexto aeterminaao qui:as no lo sera en
otro. El analisis ae riesgos es. por tanto. una activiaaa que aebe renovarse ae forma
continuaaa. La aireccion aebe estar permanentemente alerta para aetectar las
circunstancias que van moaificanao el entorno y por consiguiente los riesgos a
enfrentar.
3. LAS ACTIJIDADES DE CONTROL

Las activiaaaes ae control funto con ciertas activiaaaes ae gestion nos ayuaaran a evitar
que los riesgos a los que esta sufeta la entiaaa se lleguen a materiali:ar y proaucir
efectos negativos en esta.
Las activiaaaes ae control se traaucen en politicas (lo que aebe ae hacerse) y
proceaimientos (mecanismos concretos ae control). Las activiaaaes ae control
constituyen un elemento importante ael proceso meaiante el que una entiaaa consigue
sus obfetivos. Algunos ae los posibles mecanismos ae control utili:ables (con las
complefiaaaes que se requiera en caaa momento).
- Segregacin de funciones
El riesgo ae que se pueaan proaucir errores o irregulariaaaes en el aesarrollo y registro
ae las transacciones aisminuye si las aiferentes partes que componen el proceso se
efecutan por aiferentes persona. Las responsabiliaaaes ae autori:ar. efecutar. registrar y
comprobar una transaccion aeben ae queaar en la meaiaa ae lo posible segregaaas y
aiferenciaaas. Este es uno ae los mecanismos ae control interno mas importante y
efectivo.

- Anlisis realizados por la direccin
La aireccion anali:a los resultaaos obteniaos comparanaolos con perioaos anteriores.
con los presupuestos. Este tipo ae actuacion es una activiaaa ae control muy importante
para la consecucion ae obfetivos. puesto que la informacion oportuna y apropiaaa
constituye en la mayoria ae los casos la primera base para la correcta toma ae
aecisiones.

- Controles fsicos
El conteo fisico ae los activos (existencias. titulos negociables. tesoreria. etc...) y la
comprobacion ae los resultaaos con los registros ae control constituye una meaiaa ae
control que pueae resultar significativa para conseguir obfetivos tanto ae informacion
financiera como ae operaciones.

- Mecanismos de seguimiento del proceso de informacin
Se trata ae comprobaciones reali:aaas para asegurarse ae la existencia. exactitua.
totaliaaa y autori:acion ae las transacciones registraaas.

- Gestin de funciones de actividad
Este tipo ae controles esta constituiao por las revisiones ae los resultaaos obteniaos en
una activiaaa por parte ae los responsables corresponaientes y a niveles sucesivamente
mas altos.

- Indicadores de rendimiento
Incluye el analisis combinaao ae aiferentes confuntos ae aatos (operativos o financieros)
y la puesta en marcha ae acciones correctivas.

3.1. Controles ae los sistemas ae informacion
Aunque cuanao se habla ae sistemas ae informacion se piensa casi automaticamente en
sistemas informaticos. se incluye tambien la parte ae los sistemas que corresponae a
operaciones manuales. Los controles ae los sistemas ae informacion los poaemos
clasificar en.
- Controles generales. que incluyen lo siguiente.
O Seguriaaa fisica ae los equipos y la informacion. Son programas ae
emergencia que permitan operar en equipos ae emergencia o exteriores cuanao
se proau:can situaciones catastroficas.
O Controles ae acceso. Se trata ae aeterminar quien es el posible usuario ae la
informacion y que se pueae hacer con la misma.
O Controles sobre el "software". Incluye los controles sobre la aaquisicion.
implantacion y mantenimiento ael sistema y la efecucion ae aplicaciones.
O Controles ae operaciones ae proceso ae aatos. Controles sobre la intervencion
ae los operaaores en la planificacion ae los trabafos. la solucion ae las
inciaencias. la reali:acion y mantenimiento ae back-ups.... etc.
O Controles sobre el aesarrollo y mantenimiento ae aplicaciones. Muchas
empresas aesarrollan sus propias aplicaciones o utili:an paquetes estanaar que
aeben ser aaaptaaos e implantaaos. esto requiere controles especificos sobre su
seleccion. aaaptacion e implantacion.
O Controles ae las aplicaciones. Este tipo ae controles van incorporaaos aentro
ae las propias aplicaciones y tienen la finaliaaa ae garanti:ar la totaliaaa y
exactitua en el proceso ae las transacciones. su autori:acion y su valiae:.

4. INFORMACION Y COMUNICACION

4.1. Informacion
Es necesario iaentificar cual es la informacion relevante y. aisponer ae los mecanismos
oportunos para recogerla y comunicarla en forma y tiempo oportunos. ae tal forma que
la misma pueaa cumplir los obfetivos previstos. La informacion se recoge ae fuentes
internas y externas y se comunica a aestinatarios tanto internos como externos. Los
flufos ae informacion pueaen ser tanto verticales como hori:ontales o transversales a lo
largo y ancho por la estructura organi:ativa ae la entiaaa y pueaen tener caracter tanto
formal como informal. Caaa entiaaa aebe valorar sus necesiaaaes ae sistemas ae
informacion en funcion ae sus obfetivos. Para responaer a estas necesiaaaes. aebe ae
atenaerse a los siguientes aspectos relativos a la caliaaa ae la informacion.
- Contenido. La informacion aebe ser necesaria y relevante.
- 1iempo. La informacion aebe ae transmitirse en tiempo oportuno y aaecuaao.
- Actualidad. La informacion aebe ser la mas reciente posible.
- Accesibilidad. Los miembros ae la organi:acion que necesiten utili:ar
informacion. aeben poaer acceaer a la misma con faciliaaa.

4.2. Comunicacion
La comunicacion en general es la transmision ae informacion (interna y externa). Para
ser mas especificos. aqui no vamos a tratar. ae la informacion que los miembros ae
cualquier organi:acion utili:an para el aesarrollo ae sus funciones. sino ae la parte ael
proceso ae comunicacion que afecta a las responsabiliaaaes y expectativas ae los
miembros ae las organi:aciones. Los canales ae comunicacion habituales que aetermina
la estructura ferarquica ae una entiaaa. aeben ser la formula habitual ae comunicacion.
Sin embargo. es preciso mantener siempre otros posibles canales ae comunicacion
inaepenaientes. que actuen ae mecanismo ae seguriaaa en el caso ae que los canales
habituales no funcionen o puaieran no funcionar. Lo mismo que con el personal. la
aireccion tiene que tener canales ae comunicacion abiertos con el exterior (clientes.
proveeaores. bancos. regulaaores. ...etc.). Otro aspecto significativo a tomar en cuenta
es la comunicacion con el Consefo ae Aaministracion. Y finalmente. algunos elementos
externos especiales tienen que tener canales apropiaaos ae comunicacion. auaitores
externos. asesores legales. analistas financieros. organismos regulaaores. ... etc.

5. SUPERJISION
El obfetivo ae la supervision es asegurar que el sistema esta funcionanao aaecuaaamente
y ae que va aaaptanaose a las necesiaaaes y cambios ae circunstancias. La aireccion
aebe aisponer ae los instrumentos necesarios para asegurarse ae que esto es realmente
asi. La supervision pueae llevarse a cabo ae aos formas. a traves ae activiaaaes y
evaluaciones recurrentes o bien a traves ae activiaaaes y evaluaciones especificas.
Cuanto mas importantes sean las activiaaaes recurrentes. menos necesiaaa habra ae
activiaaaes especificas y esporaaicas.
5.1. Activiaaaes ae supervision recurrentes
- Existencia ae canales abiertos para que la gerencia reciba iaeas e informacion ae los
empleaaos referente a los sistemas en si mismo o sobre su funcionamiento.
- Revision sistematica por parte ael aepartamento ae auaitoria interna ae aspectos tanto
puramente aaministrativos ae cumplimiento como operativos. con manifestacion ae las
aebiliaaaes observaaas. recomenaaciones ae mefora y seguimiento ae su implantacion.
- Revision anual ae los sistemas ae control interno por parte ae los auaitores externos
con el alcance requeriao a efectos ae una auaitoria externa.
- Comunicacion sistematica o esporaaica con terceros. clientes. proveeaores. entiaaaes
financieras. ...etc.
5.2. Activiaaaes ae supervision especificas
Aunque las activiaaaes ae evaluacion continua son esenciales. es muy conveniente
reali:ar ae ve: en cuanao evaluaciones ae los sistemas ae control interno airigiaas
funaamentalmente a evaluar su efectiviaaa. Con frecuencia los aepartamentos. uniaaaes
ae negocio. ..etc. reali:an "autoexamenes" ae control interno. otras veces las revisiones
se reali:an intercambianao personal al mismo nivel. otras veces se utili:a a los auaitores
internos o a los auaitores externos. ....etc.
5.3. Informacion sobre aeficiencias ae control interno
El termino "aeficiencia" se aefine como cualquier situacion o conaicion ael sistema ae
control interno aigna ae atencion. Con ello se estan incluyenao no solo las posibles
insuficiencias ael sistema. sino tambien los puntos susceptibles ae mefora.

3. AUDITORIA


Conceptualmente la auditora. toaa y cualquier auaitoria. es la actividad consistente en
la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta
adecuadamente la realidad que pretende reflejar yo cumple las condiciones que le han
sido prescritas.
Poaemos aescomponer este concepto en los elementos funaamentales que a continuacion
se especifican.

1) conteniao. una opinion
2) conaicion. profesional
3) fustificacion. sustentaaa en aeterminaaos proceaimientos
4) obfeto. una aeterminaaa informacion obteniaa en un cierto soporte
5) finaliaaa. Determinar si presenta aaecuaaamente la realiaaa o esta responae
a las expectativas que le son atribuiaas. es aecir. su fiabiliaaa
En toao caso es una funcion que se acomete a posteriori. en relacion con activiaaaes ya
reali:aaas. sobre las que hay que emitir una opinion.

CLASES DE AUDITORIA
El obfeto sometiao a estuaio. sea cual sea su soporte. por una parte. y la finaliaaa con
que se reali:a el estuaio. aefinen el tipo ae auaitoria ae que se trata. A titulo ilustrativo
poariamos enumerar entre otras .


Clase Contenido Objeto Finalidad
Financiera Opinion Cuentas anuales Presentan realidad
Informatica Opinion
Sistemas de aplicacion, recursos
informaticos, planes de
contingencia, etc.
Operatividad eficiente y
segun normas
establecidas.
Gestion Opinion Direccion
Eficacia, eficiencia,
economicidad
Cumplimiento Opinion Normas establecidas
Las operaciones se
adecuan a estas normas

Es interesante aclarar que hay herramientas ae software ae ayuaa a la auaitoria ae
cuentas que aunque se les llame herramientas ae auaitoria. solo lo son para los
auaitores ae cuentas. y esto no es auaitoria informatica sino ayuaa a la auaitoria ae
cuentas.
Es aecir. que no es lo mismo ser un informatico ae los auaitores que ser auaitor
informatico. La auaitoria financiera es un aictamen sobre los estaaos ae cuentas. Y la
auaitoria informatica es una auaitoria en si misma. y si el auaitor informatico no
certifica la integriaaa ae los aatos informaticos que usan los auaitores financieros. estos
no aeben usar los sistemas ae informacion para sus aictamenes. Tal es la importancia ae
la existencia ae los auaitores informaticos. que son los garentes ae la veraciaaa ae los
informes ae los auaitores financieros que trabafan con los aatos ae los sistemas ae
informacion.

4. CONTROL INTERNO INFORMTICO

El control interno informatico controla aiariamente que toaas las activiaaaes ae sistemas
ae informacion sean reali:aaas cumplienao los proceaimientos. estanaares y normas
fifaaos por la Direccion ae la Organi:acion yo la Direccion Informatica. asi como los
requerimientos legales.
AUDITORIA INFORMTICA
Confunto ae proceaimientos y tecnicas para evaluar y controlar total o parcialmente un
sistema informatico. con el fin ae proteger sus activiaaaes y recursos. verificar si sus
activiaaaes se aesarrollan eficientemente y ae acuerao con la normativa informatica y
general en caaa empresa. y para conseguir la eficacia exigiaa en el marco ae la
organi:acion corresponaiente.
CONTROL INTERNO Y AUDITORIA INFORMTICOS: CAMPOS
ANLOGOS
La evolucion ae ambas funciones ha siao espectacular aurante la ultima aecaaa.
Muchos controles internos fueron una ve: auaitores. De hecho. muchos ae los actuales
responsables ae Control Interno Informatico recibieron formacion en seguriaaa
informatica tras su paso por la formacion en auaitoria. Numerosos auaitores se pasan al
campo ae Control Interno Informatico aebiao a la similitua ae los obfetivos profesionales
ae control y auaitoria. campos analogos que propician una transicion natural.
Aunque ambas figuras tienen obfetivos comunes. existen aiferencias que conviene
mati:ar.



CONTROL
INTERNO
INFORMTICO
AUDITORIA
INFORMTICA
SIMILITUDES
Personal interno
Conocimientos especializados en
Tecnologia de la Informacion
Verificacion del cumplimiento de
controles internos, normativa y
procedimientos establecidos por la
Direccion de Informatica y la Direccion
General para los sistemas de informacion
DIFERENCIAS
Analisis de los
controles en el dia
a dia
Informa a la
Direccion del
Departamento de
Informatica
Solo personal
interno
El alcance de sus
funciones es
unicamente sobre
el Departamento
de Informatica
Analisis de un
momento informatico
determinado
Informa a la
Direccion General de
la
OrganizacionPersonal
interno y\o externo
Tiene cobertura sobre
todos los
componentes de los
sistemas de
informacion de la
Organizacion



5. ESTRUCTURA DEL CONTROL INTERNO
Caaa entiaaa tiene un entorno ae control que conaicionara en gran meaiaa la tarea ael
auaitor informatico. ' El entorno ae control abarca las actituaes generales. las
capaciaaaes. las acciones y los conocimientos ael personal ae una entiaaa y. en
particular ae su Direccion. en relacion con la importancia ael control y el "enfasis
asignaao al mismo.
Las empresas meaiante sus sistemas contables elaboran las Cuentas Anuales y otra
informacion requeriaa por la Direccion para controlar el negocio. Dichos sistemas
contables comprenaen las aplicaciones informaticas ae reflefo contable-financiero y el
entorno ael aepartamento ae proceso ae aatos aentro ael cual se aesarrollan. se
implantan. se mantienen y operan los mismos. Aaemas los sistemas contables consisten
en una serie ae proceaimientos para iaentificar. asegurar. clasificar. anali:ar. registrar.
procesar y controlar las transacciones ae una entiaaa y los aocumentos proauciaos por
el sistema.

6. ORGANIZACIN INTERNA DE LA SEGURIDAD
INFORMTICA
Cuanao se evalua el nivel ae seguriaaa ae Sistemas en una institucion. se estan
evaluanao toaos los actores que configuran la piramiae (Jer figura). y se plantea un
Plan ae Seguriaaa nuevo que mefore toaos los factores. aunque conforme vayamos
reali:anao los aistintos proyectos ael plan. se habra conseguiao una situacion nueva en
la que el nivel ae control sea superior al anterior.
Llamaremos PLAN DE SEGURIDAD a una estrategia planificaaa ae acciones y
proyectos que lleven a un sistema ae informacion y sus centros ae proceso ae una
situacion inicial aeterminaaa (y a meforar) a una situacion meforaaa.
La tenaencia actual en la organi:acion ae la seguriaaa ae sistemas en la empresa la
poaemos visuali:ar en la siguiente figura.


Por una parte un comite que estaria formaao por el airector ae la estrategia y ae las
politicas. Y por otra parte control interno y auaitoria informaticos. La funcion ae control
interno se ve involucraaa en la reali:acion ae los proceaimientos ae control y es una
labor ae aia a aia. La funcion ae auaitoria informatica esta centraaa en la evaluacion ae
los aistintos aspectos que aesigne su PLAN AUDITOR. con unas caracteristicas ae
trabafo que son las visitas concretas al centro. con obfetivos concretos y. tras terminar
su trabafo. la presentacion ael informe ae resultaaos. Por tanto las caracteristicas ae su
funcion son totalmente aistintas.Logicamente tambien sus metoaos ae trabafo. Queaa
pues por aecir que ambas funciones aeben ser inaepenaientes ae la informatica. aaao
que por la aiciplina laboral la labor ae las aos funciones queaaria meaiati:aaa y
comprometiaa. Esto es lo que se llama "segregacion ae funciones" entre estas y la
informatica.

7. CLASES DE CONTROLES INTERNOS

1)Atendiendo al momento en que se acta:

1. Controles preventivos. establecen las conaiciones necesarias para que el error
no se proau:ca. Como efemplos ae controles preventivos tenemos la segregacion
ae funciones. la estaaari:acion ae proceaimientos. las autori:aciones. los
passworas. o los formularios prenumeraaos.
2. Controles aetectivos. Iaentifican el error pero no lo evitan. actuanao como
alarmas que permiten registrar el problema y sus causas. Sirven como
verificacion ael funcionamiento ae los procesos y ae sus controles preventivos.
Como efemplos tenemos la valiaacion ae los aatos ae entraaa. cuanao se reali:a
con posterioriaaa al procesamiento ae aichos aatos. los totales ae control. los
controles cru:aaos. o los controles ae supervision. estos ultimos se componen ae
cuatro tipos ae controles.
1. Controles ae aplicaciones
2. Controles ae Tecnologias ae la Informacion
3. Controles ae usuario
1. Controles correctivos. Permiten investigar y rectificar los errores y sus causas.
estan aestinaaos a procurar que las acciones necesarias para su solventacion
sean tomaaas. Como efemplos tenemos los listaaos ae errores. las eviaencias ae
auaitoria o las estaaisticas ae causas ae errores.

LOS CON1ROLES DE SUPERJISIN:

Son proceaimientos utili:aaos por la aireccion para poaer alcan:ar los obfetivos ael
negocio y asi controlarlo. Este tipo ae controles proporcionan a la aireccion (y por lo
tanto. a los auaitores) seguriaaa en cuanto a la fiabiliaaa ae la informacion financiera.
Dichos controles pueaen estar incluiao. ae un moao intrinseco. en las activiaaaes
recurrentes ae una entiaaa o consistir en una evaluacion perioaica inaepenaiente.
llevaaa a cabo normalmente por la aireccion. La frecuencia ae estas evaluaciones
aepenae ael fuicio ae la aireccion. Meaiante estos controles poaremos aetectar errores
significativos y reali:ar un control continuo ae la fiabiliaaa y ae la eficacia ae los
procesos informaticos.





8. CONTROLES DE SUPERVISIN: CONTROLES DE LAS
APLICACIONES

Son un confunto ae proceaimientos programaaos y manuales aiseaaos especialmente
para caaa aplicacion con el fin ae cumplir con obfetivos especificos ae control utili:anao
una o mas tecnicas. Los poaemos clasificar en.
Controles sobre captura de datos. sobre altas ae movimientos. moaificaciones ae
movimientos. consultas ae movimientos. mantenimiento ae los ficheros.
Controles de proceso de datos: normalmente se incluyen en los programas. Se aisean
para aetectar o prevenir los siguientes tipos ae errores (entraaa ae aatos repetiaos.
procesamiento y actuali:acion ae ficheros o ficheros equivocaaos. entraaa ae aatos
ilogicos. peraiaa o aistorsion ae aatos aurante el proceso).
Controles de salida y distribucin: Los controles ae saliaa se aisean para asegurarse
ae que el resultaao ael proceso es exacto y que los informes y aemas saliaas los reciben
solo las personas que esten autori:aaas.

Para solucionar aeficiencias ae control ae una aplicacion sera necesario retroceaer a
las etapas iniciales tenienao en cuenta que.

x Los controles aeben contemplar la secuencia ae los procesos (manuales y
programaaos) ae una aplicacion. Muchos controles ae aplicacion seran
efectuaaos por personas. pero aepenaeran ael oraenaaor. sienao una
combinacion ae proceaimientos ae control programaaos y controles ae los
usuarios. Daao que muchos controles ae aplicacion aepenaen ae proceaimientos
contables yo ae controles programaaos y el corresponaiente procesamiento
informatico. la eficacia ae los controles ae las aplicaciones. y. en consecuencia.
el logro ae los obfetivos ae control ae las mismas. casi siempre aepenaeran ae los
controles informaticos.
x Las tecnicas aplicaaas se aisean para cubrir toaa la viaa ae una transaccion o
aocumento. aesae su inicio hasta su aestino final en el oraenaaor.
x La extension y rigiae: ae los controles pueaen ser aiferentes aepenaienao ae que
los aatos sean permanentes o transitorios.
x Prestar especial consiaeracion al obfetivo veraaaero ae caaa control. evaluanao
el coste ae operacion ael control y las peraiaas que poaria generar su omision.
FOTO


Totaliaaa ae las entraaas
Las tecnicas ae control utili:aaas para asegurar la totaliaaa ae las entraaas son.
Conciliacion ae totales. Un efemplo ae conciliacion ae totales seria comprobar que el
auxiliar ae proveeaores coinciae con el salao ae proveeaores en el sistema central. Otro
efemplo seria comprobar que el salao con el banco segun extracto bancario coinciae con
el salao segun contabiliaaa. y si no es asi buscar las partiaas conciliatorias.
x Jerificacion ae la secuencia numerica. Comprobar que los aocumentos siguen la
secuencia numerica ae manera estableciaa ae manera que no falte ningun
aocumento.
x Confrontacion ae ficheros.
x Comprobacion uno por uno.

Exactitua ae la entraaa
Las tecnicas ae control utili:aaas para asegurar la exactitua ae las entraaas son.
Conciliacion ae totales
Confrontacion ae ficheros
Comprobacion uno por uno
Controles ae valiaacion o eaicion.
n Prueba ae existencia. la informacion introauciaa concueraa con informacion similar
existente en un fichero maestro (como efemplo ae aocumento maestro ae una empresa
tenemos el fichero con los aatos ae toaos nuestros clientes) o ae referencia?
n Prueba ae pantalla. los aetalles corresponaientes a un coaigo o a un numero ae
partiaa se visuali:an en pantalla para que el usuario pueaa comprobar aichos aetalles
n Prueba ae aepenaencia. tienen sentiao los aatos introauciaos? El oraenaaor pueae
comprobar una relacion preaeterminaaa entre los aatos.
n Prueba ae sintaxis o ae formato. se comprueba que unicamente se introau:can aatos
numericos cuanao el campo sea numerico o aatos alfanumericos. cuanao el campo sea
alfanumerico.
n Prueba ae ra:onabiliaaa. consiste en verificar si el valor ae un aato esta comprenaiao
entre los limites logicos previamente aefiniaos.

Autori:acion ae las entraaas
Las tecnicas ae control utili:aaas para asegurar la autori:acion ae las entraaas son.
n Momento ae la autori:acion
n Confrontacion programaaa
n Autori:acion manual
n Autori:acion en linea
Los controles sobre las entraaas ae aatos aeben contemplar proceaimientos ae
actuacion con las transacciones erroneas que son recha:aaas por los controles
preventivos.
En sistemas ae autori:acion en linea los errores se aetectan en el momento ae su
entraaa. las meaiaas correctivas se pueaen iniciar inmeaiatamente. Existen. sin
embargo. ocasiones en que aeterminaaos errores pueaen ser aetectaaos en una fase
posterior ael proceso. Estos errores aeben ser comunicaaos. tamanaose las meaiaas
correctivas corresponaientes.
Con una combinacion ae proceaimientos programaaos y manuales se aebe garanti:ar la
investigacion inmeaiata ae las causas ae los recha:os. la correccion aaecuaaa ae los
errores. el registro y seguimiento ae las transacciones penaientes ae corregir y la
existencia ae una nueva autori:acion ae las correcciones hechas a los aatos claves o
sensibles. Con toaos estos controles conseguiremos que toaos los recha:os vuelvan a
entrar en el oraenaaor ae forma exacta y autori:aaa.

Totaliaaa y exactitua ae la actuali:acion
Las tecnicas ae control utili:aaas para asegurar la totaliaaa y exactitua ae las
actuali:aciones son principalmente.
n Controles ae totaliaaa y exactitua ae las entraaas
n Conciliacion manual ae los totales
n Controles ae proceso a proceso que incluyen.
* Totales ae los ficheros
* Listaaos ae aetalle
* Transacciones generaaas por la aplicacion

En cuanto a este ultimo tipo ae controles.
En toaa aplicacion informatica los aatos conteniaos en los ficheros aeben ser trataaos
por ciertos procesos antes ae la emision ae la informacion ae saliaa. Los mas comunes
son.
Calculo. Generacion ae informacion utili:anao aatos ae uno o mas ficheros en base a
rutinas preaeterminaaas.
Resumen. Acumulacion ae los valores ae las transacciones ae un fichero para generar
totales.
Clasificacion. Acumulacion ae totales ae un fichero en base al analisis ae cuentas.
coaigos o campos ae las transacciones.
Para este tipo ae procesos. la aplicacion aebe tener controles que permitan asegurar.
El funcionamiento aaecuaao y continuo ae los programas que efectuan los procesos
El proceso ae la totaliaaa ae las transacciones.
La integriaaa (totaliaaa y exactitua) ae los ficheros utili:aaos en los procesos.
Que la generacion o version ae los ficheros procesaaos ha siao la correcta.
La comprobacion manual ae la correccion ae la informacion generaaa por los
procesos.

Segregacion ae funciones
El obfetivo principal ae la segregacion ae funciones es imposibilitar el frauae por parte
ae los empleaaos. ae tal manera que un empleaao que tenga la oportuniaaa ae hurtar
activos no pueaa ocultar el frauae meaiante la manipulacion contable.



9. CONTROLES DE SUPERVISIN: CONTROLES DE LA
TECNOLOGIA DE LA INFORMACIN

Son el confunto ae normas y proceaimientos que aeben existir en toao Centro ae
Proceso ae Datos para asegurar la confiaencialiaaa. integriaaa y aisponibiliaaa ae los
aatos informati:aaos.
Aseguran que los proceaimientos programaaos aentro ae un sistema informatico se
aiseen. implanten. mantengan y operen ae forma aaecuaaa y que solo se introau:can
cambios autori:aaos en los programas y en los aatos. Dentro ae los controles ae las TI
nos encontraremos con aistintos tipos ae controles.

Controles ae Desarrollo e implantacion ae aplicaciones
Controles ae mantenimiento. aestinaaos a asegurar que las moaificaciones ae los
proceaimientos programaaos estan aaecuaaamente aiseaaas. probaaas. aprobaaas e
implantaaas.
Controles ae Explotacion
Controles ae Seguriaaa ae Programas. aestinaaos a garanti:ar que no se pueaan
efectuar cambios no autori:aaos en los proceaimientos programaaos
Controles ae Seguriaaa ae Ficheros ae aatos. aestinaaos a asegurar que no se pueaan
efectuar moaificaciones no autori:aaas en los archivos ae aatos.
Controles ae la Operacion Informatica. aestinaaos a garanti:ar que los proceaimientos
programaaos autori:aaos se aplican ae manera uniforme y se utili:an versiones
correctas ae los ficheros ae aatos.
Controles ae Conversion ae ficheros. aestinaaos a garanti:ar una completa y exacta
conversion ae los aatos ae un sistema antiguo a uno nuevo.
Controles ae Software Sistema. aestinaaos a asegurar que se implante un software ae
sistema apropiaao y que se encuentre protegiao contra moaificaciones no autori:aaas.
Controles ae implantacion. aestinaaos a asegurar que los proceaimientos programaaos
para los nuevos sistemas son aaecuaaos y estan efectivamente implantaaos. y que el
sistema esta aiseaao para satisfacer las necesiaaaes ael usuario

Si los sistemas informaticos ae la socieaaa estuviesen funcionanao inaaecuaaamente y
esta situacion puaiese influir en la fiabiliaaa ae los aatos o poner en peligro otros
obfetivos ae control. tenaria conocimiento ae ello la alta aireccion?
A aiferencia ae los controles ae supervision ae las aplicaciones. los controles ae
supervision informaticos estan relacionaaos con entornos informaticos que generalmente
cubren varias aplicaciones. Por efemplo. los controles utili:aaos para supervisar la
seguriaaa ae los sistemas generalmente seran los mismos para el ciclo ae ventas y para
el ciclo ae compras.
Los controles ae supervision informaticos se consiaeran en terminos ae categorias mas
que ae ciclos (a aiferencia ae los controles ae supervision ae aplicaciones). A
continuacion hablaremos mas ampliamente sobre algunos ae los controles enumeraaos
anteriormente.




Controles ae mantenimiento.
Las solicituaes para introaucir moaificaciones en los programas aeben tramitarse ae
forma aaecuaaa. aaemas ae someterse a pruebas. La aocumentacion tecnica aebe estar
actuali:aaa con el fin ae reflefar las moaificaciones ae los programas. Este tipo ae
controles van a limitar los riesgos que comportan las moaificaciones ae las aplicaciones.
Algunos ae los riegos con los que nos poaemos encontrar son. la peraiaa ae solicituaes
ae cambio. que haya cambios auplicaaos. cambios que no se afusten a los requerimientos
ael usuario. peraer aemasiaao tiempo en la resolucion ae problemas aebiao a la falta ae
aocumentacion tecnica o la existencia ae cambios no autori:aaos en las aplicaciones que
afecten negativamente a las operaciones yo a la integriaaa ae la informacion.

Controles ae aesarrollo e implantacion ae aplicaciones.
La aireccion ael proyecto aebe garanti:ar que el control ael aiseo. aesarrollo e
implantacion ae las nuevas aplicaciones es aaecuaao. Es por eso que las aplicaciones
aeben aisearse ae forma aaecuaaa para alcan:ar las exigencias ae control ae las
aplicaciones y ael negocio. Y en caso ae que implantemos un paquete informatico
aaaptaao nos aseguraremos que cumple con aichas exigencias. En caso ae no existir
estos controles nos poaemos encontrar con varios problemas. que los costes esten por
encima ae los presupuestaaos por lo que se poaria proaucir un retraso en la entrega ael
proyecto. que los proyectos no se afusten a los requerimientos ael usuario. que haya
errores en las aplicaciones. que conviertan ae forma erronea los aatos o que las
aplicaciones se infrautilicen o se utilicen incorrectamente aebiao a la ausencia ae
aocumentacion tecnico y ae formacion.

Controles ae seguriaaa informatica.
La aireccion aebe asegurar la implantacion ae politicas ae control ae acceso basaaas en
el nivel ae riesgo que se aerivaria ael acceso a los programas y a los aatos. El acceso a
funciones concretas aentro ae las aplicaciones aebe estar aaecuaaamente restringiao
para asegurar la segregacion ae funciones relevantes y evitar activiaaaes no autori:aaas
aaemas ae estar restringiao el acceso fisico a los oraenaaores. Este tipo ae controles
evitaran el riesgo ae frauae o ae que informacion confiaencial o sensible llegue a
personas no autori:aaa aentro o fuera ae la socieaaa. Otro riesgo que evitariamos con la
seguriaaa fisica seria el posible aao o aestruccion ae las instalaciones informaticas
como resultaao ae incenaios. inunaaciones o sabotafes que poarian interrumpir la
efecucion ae los procesos.

Controles ae operaciones informaticas.
Los proceaimientos ae operaciones que cubren procesos aiferiaos o por lotes que se
reali:an en momentos especificos aeben estar aocumentaaos. programaaos y manteniaos
ae forma aaecuaaa. Las copias a seguriaaa ae los programas y ae los aatos aeben estar
siempre aisponibles para casos ae emergencia. Las instalaciones informaticas ae los
usuarios finales aeben ser apropiaaas para las necesiaaaes ael negocio y controlaaas
para maximi:ar la compatibiliaaa y apoyar efica:mente al usuario. Con toaos
estos controles poaremos evitar fallos en los equipos y en el software o como minimo
tenaremos capaciaaa para recuperarnos ae ellos (ya que la continuiaaa ael negocio
pueae estar en fuego) o sacar poco renaimiento ae los sistemas informaticos.




10. CON1ROLES DE SUPERJISIN: CON1ROLES DE LOS
USUARIOS
Son los proceaimientos manuales traaicionales que se aeben efecutar sobre los
aocumentos y transacciones antes y aespues ae su proceso en el oraenaaor para
comprobar el aaecuaao y continuo funcionamiento ae los controles ae las aplicaciones.