¿Qué se entiende por control interno?
El control interno es un proceso efectuado, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
- Eficacia y eficiencia de las operaciones
- Fiabilidad de la información financiera
- Cumplimiento de las leyes y normas aplicables
Componentes del control interno
Dentro del marco integrado se identifican cinco elementos de control interno que se relacionan entre sí y son inherentes al estilo de gestión de la empresa. Los mismos son:- Ambiente de Control.
- Evaluación de Riesgos.
- Actividades de Control.
- Información y Comunicación.
- Supervisión o Monitoreo.
Importancia de los componentes:
Ambiente de control: Es la base de todos los demás componentes del control interno, aportando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la empresa, la filosofía de dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados y la atención y orientación que proporciona al consejo de administración.
Evaluación de los riesgos: consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos.
Evaluación de los riesgos: consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos.
Actividades de control: son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones. En algunos entornos, las actividades de control se clasifican en; controles preventivos, controles de detección, controles correctivos, controles manuales o de usuario, controles informáticos o de tecnología de información, y controles de la dirección.
Información y comunicación: Se debe identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas informáticos producen informes que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada. Por otra parte, han de tener medios para comunicar la información significativa a los niveles superiores. Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes, proveedores, organismos de control y accionistas.
Supervisión o monitoreo: proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada.
CONTROL INTERNO EN TECNOLOGÍA DE INFORMACIÓN
El control interno puede ser aplicado al área de tecnología de información con el fin de ayudar en la evaluación de la eficiencia y eficacia de los sistemas de cómputo y de la gestión administrativa que tiene que ver con el área de informática, es decir con protección de los recursos de información y con el personal y para que la definición se encuentre completa habría que agregar que se debe de apoyar a los objetivos de la empresa.
Los objetivos de control en TI
- Proteger la infraestructura tecnológica: Preservar la integridad y funcionalidad protegiendo todos los recursos de infraestructura tecnológica de la empresa
- Apoyar la eficiencia operativa: La tecnología de información apoyará la eficiencia de la operación de la empresa
- Emplear los recursos de TI adecuadamente: Utilizar la tecnología de información de forma legar, eficiente, efectiva y apoyando a los objetivos institucionales
- Brindar apoyo competitivo: Apoyar con tecnología de información la operación y la toma de decisiones para dar soporte competitivo a la empresa
- Preservar las condiciones de la información: El procesamiento, almacenamiento y generación de información utilizando tecnología de información deberá ser confiable, íntegro y disponible
Procedimientos de Control en Tecnología de Información
Los procedimientos de control en tecnología de información son los mecanismos que se establecen para que la tecnología de información cumpla con los objetivos de control.
Los procedimientos de control se clasifican en controles generales y controles específicos:
ü La evaluación de los controles generales: puede ser realizada en diferentes formas: la tradicional por áreas o funciones, por procesos o por los elementos de infraestructura que se utilizan.
Áreas o funciones: Dirección de Informática, Administración, Desarrollo, Operación, Soporte y Telecomunicaciones
Procesos Informáticos: Estos pueden ser procesos informáticos sustantivos (son los servicios que presta) se caracterizan por ser repetitivos por ejemplo: Planeación estratégica de sistemas, Desarrollo de sistemas, Mantenimiento de sistemas, Integración de paquetes, entre otros. Procesos de administración informática (administración de sus recursos) no son tan repetitivos como los sustantivos por ejemplo: Dirección, Administración de equipo, Administración de recursos humanos y Administración de recursos financieros.
Elementos de infraestructura: Se clasifican de acuerdo a los recursos por ejemplo: Datos, Aplicaciones, Tecnología, Instalaciones, Recursos Humanos, Elementos de administración, Recursos financieros y Proveedores.
ü Los procedimientos de controles específicos: A estos también se les conoce como controles de aplicación y de alguna forma aseguran que un sistema específico cumpla con sus objetivos y apoye a los objetivos de la empresa.
Los procedimientos de control interno se clasifican en: Controles de acceso, Controles de entrada de datos, Controles de comunicación de datos, Controles de proceso de datos, Controles de salida y distribución, Controles de continuidad entre los más importantes.
Principales controles a evaluar
- Autenticidad : Ayudan a identificar a la persona por medio de: password, Números de identificación personal (NIP) entre otros
- Exactitud: Asegurar que los datos y procesos sean los correctos: Validador numérico
- Totalidad: Asegurar que no haya datos faltantes y que los procesos lleguen a su final adecuadamente: Validador de espacios en blanco, conteo de registros
- Redundancia: Asegurar que un dato es procesado sólo una vez: Números de secuencia de registros
- Privacidad: Proteger los datos contra divulgaciones: Encriptación, compactación
- Registros de Auditoría: Mantener el registro coronológico de los eventos
- Existencia: Disponibilidad continua de los recursos: Duplicidad de Hardware, Mantenimiento preventivo
- Salvaguarda de activos: Proteger recursos de destrucción o corrupción
- Efectividad: Lograr las metas del sistema: Post-auditorías
- Eficiencia: Lograr que el sistema use el mínimo de recursos: Registro de consumo de recursos
