Está en la página 1de 9

CASO 1

Empresa: Publica

La empresa donde laboro, cada año conforma un grupo de evaluación de riesgos donde
participan funcionarios (operativos) de diferentes áreas. De las reuniones se crean un
documento con los riesgos, sus implicaciones y los controles que se deben realizar para
disminuir la ocurrencia de dichos eventos. El manual o recopilación de esta información es
entregada a control interno.

Después de entregar la información a control interno no se vuelve a hablar del tema, ya que las
personas que conforman el grupo inicial de evaluación, continua en sus actividades cotidianas y
las personas que conforman control interno nunca realizan supervisión sobre la aplicación o
implementación de los controles que se deben estar aplicando en las diferentes áreas.

Las razones por las cuales sucede esto, es el continuo cambio de coordinadores de las
diferentes direcciones, ya que por lo general todos los estudios son conocidos por la parte
operativa, más no por los directivos, ya que estos solo se preocupan por su puesto transitorio,
más no por la institución.

Por lo anterior, considero que para el funcionamiento e implementación de una estructura de
control interno, es muy importante que los directivos de la empresa publica o privada brinden
su apoyo total, delegando la responsabilidad de estas funciones a cada uno de los coordinadores
de las diferentes áreas funcionales de la institución, de tal manera que se permita cumplir con
las políticas y controles definidos en cada área de la institución..

La falta de la aplicación de los procesos de control interno, hace que la institución no cumpla de
manera optima con los objetivos de cada área y en consecuencia los institucionales, dejando
en entre dicho, el trabajo ejecutado por las diferentes administraciones.

CASO 2

El caso a presentar es de un organismo Público, y respecto de los controles internos mal
aplicados, normalmente son producidos por falta de normativa respecto de las responsabilidades
de cada uno y de los aportes que deben realizar con el fin de mejoramiento continuo de todo el
proceso de control:
Esta falta de normativas escritas y con conocimiento de todos los involucrados genera en el
ámbito del área informática, los siguientes inconvenientes:
Sobre las aplicaciones:

El control sobre la captura de datos de las aplicaciones son realizadas en casi la totalidad de las
veces por el desarrollador, al no existir una normativa de prueba de aplicaciones, por ejemplo
designando otros desarrolladores, personal de operaciones, etc, que puedan presentar las
alternativas tanto para las validaciones de datos, orden y claridad de menú y submenues,
presentación de los campos y leyendas aclaratorias, generaciones de muestras con información
atípica con el objeto de detectar inconvenientes, etc.
También al no existir registro de sistemas, no se tiene constancia de la documentación del
Sistema así como de los cambios, su autor, etc.
Controles Físicos:

También son afectados por falta de normativa escrita, y se visualizan en la dualidad de
mecanismos de seguridad en el ingreso físico. Para el ingreso al área informática, se cuenta con
tarjetas de aproximación mediante la cual se registran ingresos y salidas del personal de planta,
pero no se documenta el ingreso y salida de personal externo al área con lo que no se podrían
relacionar los posibles problemas de seguridad con personal externo al ámbito de trabajo.

Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

como dice la definición. el cumplimiento de sus objetivos. de manera razonable.Adicionalmente al tema de controles de ingreso al ambiente de trabajo. directorios. es decir contrataciones. no existe ningún medio de seguridad en el ingreso al centro de procesamiento de datos. Ernesto Karlo Celi Arévalo . la administración y el manejo financiero de la empresa recaen sobre la misma persona. que culminó con la renuncia del Gerente de Informática y algunos jefes de area. Para lo cual es fundamental que el departamento cuente con una estructrura de control interno que le permita cumplir con estos objetivos. Respecto de los controles de seguridad de acceso a ficheros. producción y soporte a usuarios. El control de cobro de cartera lo controla la misma persona. Sc. etc. Esta situación llegó a circunstancias extremas. que la alta gerencia tuvo que tomar la descición de reestructurar el área de informática. lo cual fue degradando poco a poco la confianza de la organización en el departamento de informática. Situación: Todas las actividades de administración las aprueba la misma persona. ya sea por ejemplo con puerta con apertura por código de seguridad o tarjeta. CASO 3 Organización: Privada Asunto: Organización con más de 50 empleados donde existe una estructura piramidal. Entendiendose que el objetivo fundamental de un departamento de informática el de dar un soporte eficiente a los procesos operativos de la organización a traves de sus areas de Desarrollo. manejo de caja menor. El caso es que este departamento no tenia bien definido esta estructura de control en lo relacionado a un análisis de su eficacia operativa. Problema: Si todas las actividades de administración y Manejo financiero de la organización esta en cabeza de una misma persona quien controla?. Ms. compras. La facturación lo aprueba la misma persona. equipos. Ing. lo que produjo que las areas usuarias no se sintieran satisfechas en sus necesidades de información y atención oportuna. y entre otras cosas el buscar un Centro de Cómputos de respaldo con las correspondientes pruebas de procesamiento y ejecución realizada que permita dar una alternativa de procesamiento y comunicaciones. no se encuentra implementado un plan de contingencias que involucre la remisión de respaldos de la información a otro edificio. si bien se encuentran implementados con claves de acceso y logs de seguridad. CASO 4 Empresa Pública Area: Departamento de Informática Pienso que el caso que voy a presentar. representa en forma precisa las consecuencias que pueden acarrear cuando una entidad o departamento no cuenta con un buen control interno que permita asegurar. la cual cuenta con un número de asistentes. Todas los registros contables los aprueba la misma persona.

es decir no tienen un grado de conciencia del control interno y se observa una gran ocupación para cumplir con en las tareas operativas. La Empresa en la cual se ha observado un control interno mal aplicado es una empresa de administración financiera que a la vez subcontrata algunas de las funciones a su cargo y que son de su responsabilidad. etc. Ernesto Karlo Celi Arévalo . Ms. La persona realiza las normas para las que fue contratada. Ing. CASO 5 PLANTEO Un organismo contrata a una persona para cumplir con la tarea de normalizar todo lo relativo al área de sistemas. La comunicación oportuna de las tareas que se realizan dentro del organismo al resto del personal. Los integrantes o empleados que conforman esta Empresa no conocen ni identifican claramente las metas. ya que en dicho caso también la comunicación tardía de todo lo anteriormente enunciado provoca disconformidad en el personal. Accesos. que como no se comunicó debidamente a todos. Esta Empresa tienen un nivel jerárquico muy común. debe ser no solo oportuna sino que pertinente. uso de internet. correo. no tenía para el resto del organismo tal autoridad. y sean objetadas permanentemente. en especial la de quienes deben hacer cumplir determinada normativa. pero los servicios y productos son de calidad deficiente. queda claro. que era lo que se pretendía con estos cambios. ni quien tenía la autoridad para realizarlos. lo que generaba que las normas no se cumplan. Situación Las tareas han sido enumeradas perfectamente en su contrato de trabajo. Sc. Pero no existe una comunicación por parte de las autoridades de este puesto de trabajo creado. CONCLUSIÓN Es decir. Ya que no es fácil que el personal acepte nuevas reglas. pero dichas normas no tienen aceptación por gran parte de los usuarios. en el que cada empleado sepa cual es su lugar y sus obligaciones de control. Lo que ocurre es que como la persona contratada para realizar dicha tarea no fue presentada oportunamente como la responsable de generar este cambio. CASO 6 Entidad: Mixta Objeto de la Empresa: Administración Financiera. ya que sus clientes o usuarios se quejan y están inconformes con los resultados obtenidos. Con lo cual no se logra el objetivo buscado. y que la persona que realizó el trabajo no tuviera la autoridad en la práctica para hacerlas cumplir. sin detenerse a mirar sobre la calidad y nivel de satisfacción de sus clientes. ello provocó que la normativa no fuera acatada. que para que una organización sea eficiente y eficáz necesita tener bien definido su control interno institucional. pero su debilidad radica en la falta de comunicación y liderazgo por parte de la dirección de la Empresa.Por lo expuesto. seguridad física. Es de resaltar que esta Empresa cumple con la mayoría de sus responsabilidades y objeto principal por el cual fue contratado.

En cuanto al elemento de información. específicamente del Sistema de Información se observa la falta de planeación y de control de a los productos y proyectos programados. de igual manera se evidencia falta de una aplicación adecuada de metodología para cubrir los desarrollos de software y mantenimiento de los mismos que brindan soporte para la toma de decisiones del nivel directivo. Sc. Ing. Ms. Ernesto Karlo Celi Arévalo .

un cliente nos solicito evaluar sus sistemas corporativos en busca de debilidades del software o su utilización. Ms. visión de la institución. pero no se hizo identificación de objetivos. ordenado por el presidente y sobrecarga de trabajo en la mayoría de las áreas de la institución. sobre todo en los procesos relacionados con la administración de los recursos. de tal manera que el control interno se convierte en un “ejercicio académico” mal hecho En conclusión. entre otras. procedimientos e instrumentos requeridos. más no con los conceptos. La institución no tiene recursos asignados para capacitación de su personal. pero no se ha realizado nada al respecto. evaluación y control del personal. criterios básicos.. CASO 8 Empresa: Privada Hace algunos meses. Cotizaciones. en los circuitos administrativos contables. Las consecuencias identificadas son: impredecible cumplimiento de objetivos institucionales. controlar la recepción de mercadería adquirida y su posterior despacho a las almacenes Ing. Aunque existen las normas para la vinculación formación. etc. y luego de algunos interrogatorios y notamos claramente como a pesar de existir los puestos y funciones de trabajos claramente definidos al momento de recibir las facturas. Existen problemas de coordinación y unificación de criterios en la gerencia. Luego de algunos días de evaluación organizativa.) a los efectos de evaluar en la practica la viabilidad de las normas y procedimientos escritos de los cual se nos había dotado al comenzar nuestro trabajo.CASO 7 Una institución pública de orden nacional la cual se encuentra dotada de las normas de control interno. En unas pocas horas. El control interno dentro de la institución se limita a la presentación de documento que ha sido elaborado cumpliendo con el formato definido por los responsables. Aunque el personal desee capacitarse no lo hace porque deben sufragar los gastos. El ambiente laboral se ve afectado por el decremento en sus salarios. no existe motivación y porque no se tiene la disciplina para el autoestudio Se ha llamado a los coordinadores de grupo para que elaboren el Mapa de Riesgos. sino sobre la base de los procesos identificados por cada dependencia determinados por las funciones asignadas dentro un plazo perentorio para su presentación. actualmente la planta se encuentra congelada. Remitos. Facturas. mala imagen institucional. tan sólo a través de las ofertas que recientemente ha empezado a realizar la Escuela Superior de Administración Pública. Sc. Se ha identificado la necesidad de replantear las funciones de la institución en razón a que existen funciones duplicadas o faltantes. anticorrupción. La misión. Ernesto Karlo Celi Arévalo . decidimos analizar el circuito seguido por los comprobantes físicos (Requerimientos. el control interno en la institución se presenta como el cumplimiento de una obligación de estado. falta de transparencia en algunas procesos. afectada por la falta de compromiso en todos los niveles de la institución. orientadas a “garantizar” la transparencia del Estado. así como el plan estratégico de la institución prácticamente fue elaborado por asesores y no hubo difusión de dicho plan hacia los demás niveles.

La empresa cuenta con varios técnicos y dos profesionales de segundo nivel que capacitan a los técnicos y verifican los training que llegan de Estados Unidos antes de que los soportes técnicos realicen la capitación. en una revisión de auditoría que realizamos. Se le aviso a los técnicos solo una vez de esta capacitación sin tener en cuenta que alguno de ellos no estaban en el horario en que se realizo el anuncio. detectamos dos falencias en el control interno del área financiera: Ing. pero no se encargara de hacer cumplir. Sc. En segundo lugar. Un mes antes de lanzarse un nuevo update para uno de los productos del cual brindamos soporte recibimos el manual de instrucciones para dicho update. dando lugar a posibles abusos en cada uno de los puntos de control que “alguien“ estableciera en alguna oportunidad. nadie seguía los documentos de normas y procedimientos elaborados a tal fin. Ernesto Karlo Celi Arévalo . CASO 11 La empresa en la que yo trabajo es pública. testeados y actualizados. eran mas que evidentes. CASO 9 Planteo Un organismo intenta implementar normas de control y seguridad Situación Un organismo tiene sus normas y procedimientos debidamente confeccionados. los técnicos no estaban capacitados. En primera instancia. CASO 10 Empresa: Privada. El área de mesa de ayuda y demás gerencias efectúan las solicitudes de desbloqueo y re- activación telefónicamente al sector de seguridad. siendo ella misma quien: Pactaba los precios de compra Efectuava la Compra Recepcionaba la mercadería Autorizaba el Pago Obviamente los fallos a nivel de control interno en este caso. Entre las normas se encuentran las normas de bloqueo de cuentas y contraseñas. Un día antes de lanzarse el producto. Conclusión El bloqueo de usuarios y contraseñas se efectúa según cumplimiento de las normas y procedimientos establecidos. Ms.minoristas. pero no existen métodos de control interno que aseguren que los llamados telefónicos son efectuados por los usuarios reales Teniendo como consecuencia la inutilidad de la norma. Es obvio que el error fue del segundo nivel por la mala comunicación que en este caso hubo con los técnicos y por no hacer un seguimiento y control interno de la capacitación de los mismos. por ende si algún cliente llamaba para consultar sobre dicho update no tenían la capacidad de responderle correctamente con la consecuencia de no poder cumplir un objetivo tan importante como es la satisfacción anteriormente mencionada. toda la cadena de aprobación de un circuito recaía “en la practica” en la misma persona. por cuestiones de comodidad era la misma persona quien realizaba TODOS los controles relativos a las ordenes de compra y su recepción. Nuestra empresa se dedica a brindar soporte a usuarios finales de un producto tecnológico es de suma importancia brinda satisfacción al cliente y este es uno de nuestros principales objetivos.

mediante esta planilla se facturan los materiales utilizados a cada uno de los clientes visitados. Se desconoce la eficiencia del sector instalaciones. Datos Generales Se trata de una empresa dedicada al servicio técnico de instalaciones para telefonía celular. existía uno para modificar el estatus de la deuda a “Pagado” (programa que debía utilizarse únicamente en casos de excepción). entregó su clave de acceso a su secretaria. cada uno de los técnicos solicita al encargado de depósito se le entreguen los materiales que de acuerdo al listado de tarea a realizar calcula utilizar ese día mas un margen de seguridad. El encargado de deposito carga en una planilla resumen los materiales usados en las visitas detallando el usado en cada una de las visitas. 1. En ese momento recibe los remitos de materiales firmados por los clientes visitados en el día anterior. ya que él “carecía” de suficiente tiempo para efectuarlas. Detalle de las tareas realizadas por el sector involucrado. La administración de la compañía ha colocado en cabeza del jefe de crédito la potestad de aprobar facturación de clientes teniendo en cuenta todas las políticas de restricción que se han establecido para estos casos. esto fue aprovechado por la empleada para cobrar dinero. cambiar el estado a “pagado” a ciertas deudas y emitir comprobantes de pago falsos (con sellos y firmas falsas a los cuales tenía acceso). Ernesto Karlo Celi Arévalo . el caso en estudio se refiere al control de stock de materiales de la misma. lo cual hubiera permitido detectar oportunamente el fraude. Entonces solo esa persona puede aprobar o autorizar una facturación analizando aspectos como forma de pago. La segunda falencia de control interno. para luego entregarlos al contribuyente (el cual ignoraba que su título “pagado” era falso). No hay un control efectivo de la eficiencia de los técnicos porque en ningún lugar queda registro de materiales que hayan salido de deposito y que por fallas en la instalación hayan tenido que descartarse. sin embargo entre los programas asignados al Jefe de Recaudaciones. para que esta realice transacciones en el sistema automatizado.El caso es que se manejaba un sistema de recaudaciones mediante el cual los cajeros cobraban y emitían automáticamente comprobantes de pago. CASO 13 Empresa de Carácter Privado. Problemas que se presentan El stock de materiales no refleja exactamente la cantidad de materiales existente porque no tiene en cuenta lo que cada técnico tenga como margen de seguridad. Ing. por lo tanto no se puede cuantificar la perdida. El control de stock de materiales en deposito se lleva independientemente de la planilla de materiales usados. fue la falta de “validación” de transacciones realizadas en el sistema automatizado por parte del Jefe de Recaudaciones o algún funcionario de esta área. CASO 12 APORTACIÓN El siguiente caso describe el mal empleo de herramientas informáticas para el control interno. como estos no se facturan no queda ninguna constancia sobre lo que haya pasado con estos materiales. Sc. Consecuencias No se sabe exactamente cuanto del material comprado es efectivamente facturado y cuanto va perdida. Ms. mediante la revisión del “reporte de cambios de estado a pagado” versus la documentación soporte de cada transacción (la cual en estos casos era inexistente). y “confiaba en ella”. capacidad de pago. Las tareas son las siguientes. La primera falencia de control interno fue: que dicho Jefe. días de pago.

pero cuyos riesgos. Concluyo con que es muy importante la estructura de control en la empresa. pero más importante es la visión de la gerencia y su actitud hacia el cumplimiento de las normas y lo que se considera como las mejores prácticas. etc) permitía modificarle los datos. 2.000. Ms. Entonces teniendo en cuenta que solo se revisaban cifras controles. Es un sistema totalmente integrado. Teniendo en cuenta que es una empresa que factura en promedio diariamente $150. “pero si este Banco es pequeño y yo llevo años trabajando aquí.oo. cuando por ejemplo. este control hace que se armen lo que llamamos “cuellos de botella”. tiene el mismo riesgo de una entidad más grande. en la cual no encontramos activada ninguna característica de seguridad. de la operación. CASO 14 Empresa Privada Área: Departamento de Informática El caso que voy a narrar está relacionado con la segregación de funciones cuando la empresa es una entidad financiera relativamente pequeña. pero se niega a contratar a otra persona en el departamento. el valor de cartera global seguía siendo el mismo pero se intercambiaban valores de documentos de diferentes clientes para favorecer presentaciones de información gerencial. Está encargada de la planificación de los recursos y el presupuesto. por la naturaleza de sus actividades. los usuarios no se sienten satisfechos con los resultados el proceso. En auditoria realizada a la aplicación de cartera se detecto que este módulo después que el funcionario grababa e imprimía un documento (Nota crédito. etc. nos quieres tratar como un banco grande y nosotros somos pequeños”. Cuando conversamos con ella de ambiente de control y segregación de funciones. porque eso le consumía mucho tiempo para administrar a los usuarios. La estructura de control interno en este Banco que tiene todas sus operaciones automatizadas es de mucho riesgo. su repuesta fue. etc. La administración está consciente de esta deficiencia. si analizamos que existen 3 puntos de facturación y todos se remiten al Jefe de créditos para que apruebe cada una de ellas. de atender a los proveedores de hardware y software. CASO 15 Empresa: Privada Sectores afectados: toda la empresa Ing. con una seguridad robusta. Este es un departamento de sistemas en donde únicamente hay una persona que realiza todas las actividades propias del área. Sc. olvidaban sus contraseñas o se iban de vacaciones. se quejan de atrasos en el procesamiento y en la atención a sus necesidades productos de su interacción con el sistema. es decir. del desarrollo de programas nuevos. de la seguridad. Ernesto Karlo Celi Arévalo . Existe una alta dependencia en esta persona que prácticamente realiza todo y por existir esta alta concentración de actividades en una sola persona. vencimiento de facturas. perfectamente se podían cambiar valores de Notas créditos entre clientes. nota débito.000. Es decir que el control está mal implementado porque retrasa el proceso normal de facturación de la compañía en espera de una autorización por cada factura que se genera.

Ms. Esto ocurrió por una negligencia en la parte de seguridad por no haber dado inmediatamente de baja la clave del usuario. logro tomar posición en los mismos y logro asi infectar a los servidores. y por no haber cambiado las contraseñas de acceso a los servidores. Esto en parte hubiese ayudado en parte a prevenir el ataque Ing. al principio se pensó que era una broma. Luego de intenso trabajo para levantar todas las terminales que se habían caído.Empezó a aparecer en las pantallas una pantalla azul con el mensaje de una conocida película. se conecto de forma remota y como al irse el empleado no habían cambiado la contraseña de acceso de los servidores. Había sido un ex empleado de la compañía que había trabajado en la parte de servidores. Ernesto Karlo Celi Arévalo . luego de varios llamados se logro detectar que había sido infiltrado un virus en el sistema de toda la empresa. y luego de una investigación se dio con el autor del hecho. Sc.