


CASO APLICANDO EL MODELO COSO

Este caso está relacionado con la segregación de funciones en el departamento de

informática de una entidad financiera relativamente pequeña, pero cuyos riesgos por la
naturaleza de sus actividades, tiene el mismo riesgo de una entidad más grande.

 Este es un departamento de sistemas en donde únicamente hay una persona que realiza
todas las actividades propias del área. Está encargada de la planificación de los recursos y el
presupuesto, de la operación, de la seguridad, del desarrollo de programas nuevos, de
atender a los proveedores de hardware y software, etc. 

 Cuando conversamos con ella de ambiente de control y segregación de funciones, su
repuesta fue, “pero si este Banco es pequeño y yo llevo años trabajando aquí; nos quieres
tratar como un banco grande y nosotros somos pequeños”.

 La estructura de control interno en este Banco que tiene todas sus operaciones
automatizadas es de mucho riesgo. Existe una alta dependencia en esta persona que
prácticamente realiza todo y por existir esta alta concentración de actividades en una sola
persona, los usuarios no se sienten satisfechos con los resultados del proceso; se quejan de
atrasos en el procesamiento y en la atención a sus necesidades.
  Es un sistema totalmente integrado, en la cual no encontramos activada ninguna
característica de seguridad, porque eso le consumía mucho tiempo para administrar a los
usuarios, cuando, por ejemplo, olvidaban sus contraseñas o se iban de vacaciones.
 La administración está consciente de esta deficiencia, pero se niega a contratar a otra
persona en el departamento.

 Es muy importante la visión de la gerencia y su actitud hacia el cumplimiento de las normas y

lo que se considera como las mejores prácticas.

EFICACIA Y EFICIENCIA DE LAS OPERACIONES



Duplicidad de funciones.

Concentración significativa de funciones. No se da la segregación de funciones, existe una alta

dependencia en esta persona que prácticamente realiza todo y existe una alta concentración de
actividades en una sola persona.

Inadecuada evaluación de desempeño y toma de decisiones ineficiente.

FIABILIDAD DE LA INFORMACIÓN FINANCIERA


Registro de operaciones no autorizadas

Pérdidas o alteraciones de información registrada.

Es un sistema totalmente integrado, en la cual no encontramos activada ninguna característica

de seguridad, porque eso le consumía mucho tiempo para administrar a los usuarios, cuando, por
ejemplo, olvidaban sus contraseñas o se iban de vacaciones.
ELEMENTOS COSO QUE NO SE ESTÁN LOGRANDO:

AMBIENTE DE CONTROL

Este es un departamento de sistemas en donde únicamente hay una persona que realiza todas las
actividades propias del área. Está encargada de la planificación de los recursos y el presupuesto,
de la operación, de la seguridad, del desarrollo de programas nuevos, de atender a los proveedores
de hardware y software, etc.


 Integridad y valores éticos

 Posibilidad de existencia de fraudes ocasionados por abusos de poder o confabulación que

las actividades de control no pueden prevenir.

 Controles inexistentes o ineficaces, tales como escasa segregación de funciones en áreas

sensitivas, que ofrecen tentaciones de robar u ocultar un pobre desempeño.

 Estructura organizacional

 Los empleados tienen trabajo en exceso.




 Asignación de autoridad y responsabilidad

 Desconocimiento de funciones y responsabilidades. No existen descripciones de puestos que

indiquen claramente el grado de autoridad y responsabilidad.

 La entidad no cuenta con el personal suficiente

 La gerencia delega sin una apropiada supervisión

 Ineficacia de las funciones individuales.

 Prácticas y políticas de recursos humanos

 La gerencia no se reúne periódicamente para revisar el desempeño de trabajo de los

empleados, y en su caso, hacer las sugerencias necesarias para mejorar.

 Si el desempeño es deficiente, no se toman acciones para su corrección.

 Los empleados proyectan una actitud negativa con respecto a la forma en que sus puestos
están diseñados, manejados y medidos.
EVALUACIÓN DE RIESGOS

 No se ha realizado una evaluación de riesgos

 Falta de interés y desconocimiento por parte de la dirección sobre los riesgos existentes
identificados.

 Análisis inadecuado de riesgos.

ACTIVIDADES DE CONTROL

 Duplicidad de funciones.

 Inadecuada evaluación de desempeño y toma de decisiones ineficiente

 Concentración significativa de funciones

 Deficiencias en la cantidad de personal operativo.

 No existe segregación de funciones.

SUPERVISIÓN

 Limitaciones en la toma de decisiones para mejorar los controles en sistemas y operaciones.

 Desconocimiento de la eficacia del proceso de control interno.

 Desatención de la dirección sobre las deficiencias y recomendaciones de los auditores

internos y externos.

PROPUESTAS DE CONTROL

 Estimular, motivar a los trabajadores, incentivar su sentido de pertenencia, mejorando sus

condiciones de trabajo.

 Establecer las medidas de seguridad y protección necesarias de los activos. (Seguridad de

los activos)

 Darles respuesta a las quejas de los Clientes.

 Segregar funciones

 Evaluar a los trabajadores

 Comunicarles a los trabajadores los acuerdos que se toman en el consejo de Dirección y son
de su interés.