UNIVERSIDAD NACIONAL EXPERIMENTAL

“SIMÓN RODRÍGUEZ”

NÚCLEO MARISCAL ANTONIO JOSÉ DE SUCRE

CONTROL INTERNO EN UN ENTORNO DE SISTEMAS

(Unidad II)
ADMINISTRACIÓN, MENCIÓN, INFORMÁTICA

CONTENIDO: Control Interno en un entorno de sistemas

Código Curso: 32604

Facilitador: Participante:

Lcdo. Héctor A. González R. Alejandro Jiménez

Silva

C.I.30989797

Rosheed Mago Kassie

C.I.30508731

Cumaná, 30 Octubre del 2023

 INDICE

 Introducción………………………………………………………………………..1

Control Interno en un entorno de sistemas……………...…….……...……….2

 Enfoque de auditoría en sistemas sencillos y en sistemas

complejos………......................................................................................…...3

 El control interno en un entorno de sistemas, evaluación de la estructura

organizacional de los sistemas de información.

……………………...........................…...……………..………….4

 Evaluación del establecimiento de políticas, normas y procedimientos

relacionados con el hardware y el software y la funcionalidad en general de

todo el personal de

sistemas……………………………………………………………………………5

 Levantamiento de información correspondiente a los controles internos en

ambientes de sistemas, narrativas, diagramas, flujogramas y

cuestionarios……………………………………………………………………….6

 Conclusión…………………………………………….……………………………7

 Referencias…………...……………………………………………………………8
 INTRODUCCIÓN:

El control interno es un aspecto fundamental para garantizar la eficiencia,

eficacia y confiabilidad de las operaciones de una organización. En un entorno

cada vez más digitalizado, los sistemas de información desempeñan un papel

crucial en la gestión de datos y procesos. Por lo tanto, es necesario evaluar y

fortalecer el control interno en este entorno para mitigar riesgos y salvaguardar los

activos de la organización. En esta introducción, exploraremos el enfoque de

auditoría tanto en sistemas sencillos como en sistemas complejos, así como la

evaluación de la estructura organizacional de los sistemas de información.

También abordaremos la importancia de establecer políticas, normas y

procedimientos relacionados con el hardware, software y la funcionalidad en

general del personal de sistemas. Además, mencionaremos la recopilación de

información a través de narrativas, diagramas, flujogramas y cuestionarios para

evaluar los controles internos en entornos de sistemas.

Control interno en un entorno de sistemas:

El control interno en un entorno de sistemas se refiere a las medidas y

procedimientos implementados para garantizar la integridad, seguridad y eficiencia

de los sistemas de información de una organización. Esto implica el

establecimiento de controles y salvaguardias para proteger los datos, prevenir

fraudes, garantizar la precisión de la información y promover el cumplimiento de

las políticas y regulaciones aplicables. El control interno en un entorno de sistemas

abarca aspectos como la seguridad de la red, el acceso y la autenticación de

usuarios, la gestión de privilegios, la copia de seguridad y recuperación de datos,

entre otros.

El control interno se rige bajo siete principios fundamentales que son la

base para su creación e implementación. Cada uno dicta lo siguiente:

Segregación de funciones: La segregación de funciones implica dividir la

responsabilidad de todas las transacciones, así como de los informes y auditorías.

Cuantas más funciones estén separadas, menor es la posibilidad de sufrir algún

tipo de acto fraudulento.

La segregación de funciones actualmente cuenta con dos connotaciones

importantes:

 Segregación de funciones relacionadas con los distintos roles

vinculados al control interno. Implica la diferenciación fundamental en las

funciones y roles en la búsqueda del logro de objetivos compartidos.

 Segregación de funciones por niveles. Conlleva diferenciar las funciones

de control interno según el nivel organizacional, por ejemplo: estratégico,

táctico, operativo y específico.

2. Autocontrol

Establece controlar el acceso a diferentes partes de un sistema de contabilidad

por medio de contraseñas, bloqueos y registros de acceso electrónico. Esto puede

mantener a los usuarios no autorizados fuera del sistema, al tiempo que

proporciona una forma de auditar el uso del sistema para identificar la fuente de

errores o discrepancias. El rastreo de acceso robusto también puede servir para

disuadir los intentos de acceso fraudulento.

3. Auditorías físicas de activos

Las auditorías físicas incluyen el recuento manual de efectivo y cualquier activo

físico rastreado en el sistema de contabilidad, como inventario, materiales y

herramientas. Este puede revelar discrepancias ocultas en los saldos de las

cuentas al omitir por completo los registros electrónicos. El recuento de efectivo en

los puntos de venta se puede realizar diariamente o incluso varias veces al día.

Los proyectos más grandes, como el recuento manual de inventarios, deben

realizarse con menos frecuencia (anual o bimestral).

4. Costo menor que beneficio

Se genera valor tanto para la organización como para el cliente y el accionista.

Esto establece que los controles internos no pueden ser más costosos que las

mismas actividades que verifican ni los beneficios que proveen.

5. Eficacia

La eficacia del control interno dependerá de los resultados del cumplimiento de

los objetivos dentro de la empresa.

6. Confiabilidad

El uso de un sistema de contabilidad de doble entrada agrega confiabilidad al

garantizar que los libros siempre estén equilibrados. El cálculo de los saldos de

prueba diarios o semanales puede proporcionar información periódica sobre el

estado del sistema, lo que permite descubrir e investigar discrepancias lo antes

posible.
El control interno normalmente debe recorrer cuatro etapas principales:

 No confiable

 Insuficiente

 Confiable

 Óptimo

7. Documentación financiera estandarizada

La estandarización de los documentos utilizados para las transacciones

financieras (como facturas, solicitudes de materiales internos, recibos de

inventario e informes de gastos de viaje) ayuda a mantener la coherencia en el

mantenimiento de registros a lo largo del tiempo. El uso de formatos de

documentos estándares puede facilitar la revisión de registros anteriores al

momento de buscar el origen de una discrepancia en el sistema. La falta de

estandarización puede hacer que los elementos se pasen por alto o se

malinterpreten en dicha revisión.

Ejemplo:

En una organización, se establecen medidas de seguridad informática para

proteger los datos confidenciales de los clientes. Esto incluye la implementación

de firewalls, sistemas de detección de intrusos y políticas de contraseñas fuertes.

Además, se realizan copias de seguridad regularmente para garantizar la

disponibilidad y recuperación de datos en caso de fallos del sistema.

Enfoque de auditoría en sistemas sencillos y en sistemas complejos:

El enfoque de auditoría en sistemas sencillos y en sistemas complejos se

refiere a la forma en que se lleva a cabo la auditoría de los controles internos en

entornos de sistemas con diferentes niveles de complejidad. En sistemas

sencillos, que generalmente implican un menor volumen de transacciones y una

infraestructura tecnológica menos sofisticada, el enfoque de auditoría puede ser

más directo y centrado en la identificación y evaluación de controles clave. En

sistemas complejos, que involucran una mayor cantidad de transacciones,

múltiples aplicaciones y una infraestructura más avanzada, el enfoque de auditoría

puede requerir un análisis más detallado y exhaustivo de los controles internos

para abordar los riesgos específicos asociados con la complejidad del entorno.

Ejemplo:

En una pequeña empresa, un auditor se enfoca en revisar los controles internos

clave relacionados con la gestión de inventario y la facturación. Se analizan los

procedimientos de registro de inventario, se reconcilian con las existencias físicas

y se verifica la precisión de las facturas emitidas. En contraste, en una corporación

multinacional, el enfoque de auditoría se amplía para incluir una revisión detallada

de los controles en áreas como la gestión de acceso a sistemas globales, la

gestión de riesgos de ciberseguridad y la integración de sistemas a nivel mundial.

Evaluación de la estructura organizacional de los sistemas de información:

La evaluación de la estructura organizacional de los sistemas de información

implica analizar cómo se organiza y opera la función de sistemas de información

dentro de una organización. Esto incluye examinar la asignación de

responsabilidades, las interacciones entre los diferentes roles y departamentos

relacionados con los sistemas de información, y la existencia de políticas y

procedimientos adecuados para la gestión de los sistemas. La evaluación de la

estructura organizacional busca identificar posibles brechas o debilidades en la

estructura y recomendar mejoras para optimizar el uso de los sistemas de

información y fortalecer el control interno.

Ejemplo:

Un auditor evalúa la estructura organizativa de la función de tecnología de la

información de una empresa. Se analiza cómo se distribuyen las

responsabilidades entre los equipos de desarrollo de software, soporte técnico y

seguridad informática. Además, se revisa si existe una clara separación de

funciones y si se siguen buenas prácticas de segregación de deberes para

minimizar el riesgo de fraudes y errores.

Evaluación del establecimiento de políticas, normas y procedimientos

relacionados con el hardware y el software y la funcionalidad en general de

todo el personal de sistemas:

La evaluación del establecimiento de políticas, normas y procedimientos

relacionados con el hardware y el software y la funcionalidad en general del

personal de sistemas implica analizar si existen políticas y procedimientos claros y

bien definidos para la adquisición, configuración, uso y mantenimiento de los

recursos de hardware y software en una organización. También implica evaluar si

se han establecido normas y directrices para el personal de sistemas en términos

de seguridad, privacidad, gestión de cambios y otras áreas relevantes. Esta

evaluación busca garantizar que se sigan las mejores prácticas y que existan

controles adecuados en relación con los aspectos técnicos y operativos de los

sistemas de información.

Ejemplo:

En una institución educativa, se establecen políticas y procedimientos para el

uso de dispositivos electrónicos y software por parte del personal. Se definen

normas sobre qué aplicaciones y sitios web están permitidos, se implementa un

proceso de aprobación para la adquisición de nuevo hardware y software, y se

establecen medidas de seguridad, como el cifrado de datos y la autenticación de

dos factores, para proteger la información confidencial de los estudiantes.

Levantamiento de información correspondiente a los controles internos en

ambientes de sistemas, narrativas, diagramas, flujogramas y cuestionarios:

El levantamiento de información correspondiente a los controles internos en

ambientes de sistemas implica recopilar información detallada y precisa sobre los

controles existentes en un entorno de sistemas. Esto se puede lograr mediante

varios métodos, como la elaboración de narrativas que describen los procesos

involucrados y los controles aplicados, la creación de diagramas y flujogramas que

representan visualmente los flujos de datos y actividades, y el uso de

cuestionarios para recopilar información específica sobre los controles

implementados y su efectividad. Estos métodos de levantamiento de información

permiten a los auditores comprender y evaluar adecuadamente los controles

internos en un entorno de sistemas y proporcionar recomendaciones para

mejorarlos si es necesario.

Desde una perspectiva, el enfoque de riesgo apoyado en el marco conceptual de

control interno sugerido por The Committee of Sponsoring Organizations of the

Treadway Commission (COSO) y utilizado actualmente por grandes compañías a

nivel mundial, ofrece este marco de referencia de control interno, el cual también

es el recomendado por el Instituto de Auditores Internos (THEIIA), y brinda una

excelente guía para asegurar que los principales riesgos del negocio han sido

gerenciados de manera adecuada por la gerencia de la Compañía.

 En este sentido tomamos en cuenta los elementos que componen esta

estructura y evaluaremos si están siendo aplicados en la compañía. Para ello

evaluaremos:

Ambiente de Control

Abarca la totalidad de una organización y establece la base de cómo el

personal de la entidad percibe y trata los riesgos, incluyendo la filosofía para su

gestión, el riesgo aceptado, la integridad y valores éticos y el entorno en que se

actúa. Todo esto incluye elementos como la existencia de políticas y

procedimientos, código de ética, comité de auditoría, departamento de auditoría

interna, línea de denuncias, entre otros.

Evaluación de Riesgos

Los objetivos deben existir antes de que la dirección pueda identificar

potenciales eventos que afecten a su consecución. La gestión de riesgos

corporativos asegura que la dirección ha establecido un proceso para fijar

objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están

en línea con ella, además de ser consecuentes con el riesgo aceptado.

Actividades de control

Las políticas y procedimientos se establecen e implantan para ayudar a asegurar

que las respuestas a los riesgos se llevan a cabo eficazmente. Evaluaremos el

diseño y la efectividad de los controles creados por la compañía y la cultura de

control asumida por el personal.

Información y comunicación

La información relevante se identifica, capta y comunica en forma y plazo

adecuado para permitir al personal afrontar sus responsabilidades. Una

comunicación eficaz debe producirse en un sentido amplio, fluyendo en todas

direcciones dentro de la entidad. Es este sentido también se evaluaran los

controles de aplicación y seguridad de los sistemas de información de la

Compañía.

Monitoreo

El cumplimiento de los objetivos de la organización, la gestión de riesgos

corporativos y la efectividad de los controles, debe ser supervisado. Aun cuando la

gestión de supervisión es responsabilidad de la gerencia, auditoría interna juega

un rol importante en este proceso.

Ejemplo:

Un auditor recopila información sobre los controles internos de un sistema de

gestión de inventario en una empresa de comercio electrónico. Para ello, elabora

una narrativa que describe los pasos involucrados en el proceso de recepción,

almacenamiento y envío de los productos. Además, crea un diagrama de flujo que

muestra visualmente las interacciones entre los departamentos y los sistemas

automatizados. También utiliza cuestionarios para recopilar información detallada

sobre los controles implementados, como la reconciliación de inventario físico y

registros electrónicos, y las autorizaciones requeridas para realizar ajustes en el

inventario.
 CONCLUSIÓN

En conclusión, el control interno en un entorno de sistemas es esencial para

garantizar la efectividad y confiabilidad de las operaciones de una organización.

Tanto en sistemas sencillos como en sistemas complejos, es necesario evaluar y

fortalecer los controles internos para mitigar riesgos y proteger los activos de la

organización. Esto implica evaluar la estructura organizacional de los sistemas de

información, establecer políticas y procedimientos relacionados con el hardware y

software, y recopilar información detallada a través de narrativas, diagramas,

flujogramas y cuestionarios.

Al fortalecer el control interno en entornos de sistemas, las organizaciones

pueden mejorar la seguridad, la eficiencia y la calidad de sus procesos, y

garantizar una gestión adecuada de la información y los recursos tecnológicos.

 REFERENCIA

 Autor: Alejandro Lenis, (20 de enero de 2023). Tema: Sistema de Control

Interno.

https://blog.hubspot.es/marketing/sistema-control-interno

 Autor: Raúl Ponce San Juan (2016, noviembre 17). Tema: Auditoria de

Sistemas.

https://www.gestiopolis.com/auditoria-de-sistemas-informacion/

 Autor: Wilson Valastegui (2015, Septiembre 16). Tema: Evaluación del

sistema.

https://issuu.com/wilsonauditoria/docs/evaluaci__n_del_sistema_de_control