Trabajo Colaborativo 3 Auditoria

DESARROLLO DE LA ACTIVIDAD

1. Se ingresó a la biblioteca virtual de la UNAD y se investigó el libro Los nuevos conceptos del control interno (Informe COSO) - páginas 67 a 92, para ello hago una breve reseña de lo leído.

ACTIVIDADES DE CONTROL

El Control interno se basa en el conjunto de normas y procedimientos que se usan para identificar las acciones necesarias que se van a desarrollar. Cuando hablamos de este concepto, básicamente lo que se quiere saber es la seguridad de que las actividades o procesos que se estén haciendo, se cumplan de la mejor forma y para poder cumplir con ello, se necesita tener una lista de las actividades, lo que pone en riesgo el cumplimiento de las mismas y sus planes de contingencia junto con los resultados de cada actividad, esto hace que se produzca confiabilidad en el sistema que se evalúa.

A pesar de que hay muchas descripciones de tipos de controles, en el libro se mencionan las siguientes:

Análisis Efectuado por la Dirección: Lo obtenido se compara con lo presupuestado, esto con el fin de evaluar si se alcanzaron los objetivos.

Gestión Directa de Funciones por Actividades: Los responsables de los resultados revisan su información para saber si se alcanzaron estos.

Proceso de Información: Se revisan todos y cada uno de los controles planteados para el cumplimiento de las actividades de tal forma que se puede comprobar su exactitud, totalidad de la evaluación y transacciones realizadas.

Controles Físicos: Periódicamente se realizan evaluación sobre los objetos tangibles, su funcionalidad y se hace evaluación sobre estos.

Indicadores de Rendimiento: Análisis del conjunto de dados obtenidos por diferentes áreas, cuando se ponen en marcha el plan de acciones correctivas. Estos indicadores nos pueden dar una luz más cercana a lo que se trata de realizan en el control ya que nos dan la medida cuantitativa del proceso y su cumplimiento.

Segregación de Funciones: Sirve para reducir el riesgo de cometer errores en el proceso, por ello se realiza una designación de funciones con carácter de autorización de esta manera se pueden reducir los incidentes.

Por otro lado, se pueden observar las políticas y procedimientos de las actividades del control, donde por política se entiende lo que debería hacerse o la base de los procedimientos, y estos constituyen la forma en cómo se ejecutan las actividades de acuerdo a las políticas.

Es importante comprender que los riesgos están catalogados en una escala de nivel de ocurrencia, sin embargo se deben tener en cuenta toda, para poder saber cómo abordarlos en el momento en que ocurran.

Por ello es indispensable integrar la matriz de riesgos dentro de las actividades del control interno, de esta manera estamos dando validez al cumplimiento del control de la empresa.

Del mismo modo se deben tener en cuenta los controles sobre los sistemas de información ya que estos hacen parte del nivel crítico de la organización. Por ejemplo si la empresa usa un servidor con un aplicativo dentro de él, y está en un primer piso, lo más probable para esa empresa es que se pueda presentar una inundación y dichos servidores se dañen, lo cual la información también. Para ello se deben tener controles de riesgo para dichos eventos.

También la parte de la seguridad o robo de información debe administrarse por software especializado y así evitar el hurto de información confidencial de la empresa. De igual manera se debe tener en cuenta un proceso de contingencia o de alta disponibilidad ya sea por medio de Backups de la información o sobre la información en la Nube, término que en la actualidad se refiere a tener los servidores o el manejo de aplicativos en Data Centers y no directamente en la compañía.

Por otro lado, las tecnologías que operan en el mundo, están en constante evolución y hay un tema muy interesante y es el de la Inteligencia Artificial, básicamente, esto consta de tener comportamientos que el usuario puede realizar dentro de un programa y dependiendo del comportamiento del usuario el programa es capaz de sugerir actividades o que debe hacer. Por ejemplo cuando en una lavadora seleccionamos el proceso de FUZZY (Lógica difusa usada en Inteligencia Artificial, básicamente están haciendo uso de inteligencia artificial, ya que dependiendo del peso, cantidad de agua el programa realiza ajustes periódicos para que la ropa no se estropee, diferente a los controles de Enérgico o Delicado. Esto hace parte de controles automáticos que se usan en los programas para detectar errores sin intervención humana.

Teniendo en cuenta lo anterior, el control tiene varias características importantes pero también tiene necesidades dependiendo del tipo de organización, ya que las empresas manejan diferentes tipos de procesos y hay diferentes tipos de empresas, entonces, ¿cómo hacer para controlar tanto?.

Se necesita pensar en los objetivos de la empresa, en los riesgos que esta tiene y en mejorar cada día los resultados. De pensar lo anterior surgen muchos pensamientos, dentro de estos está el control de riesgos, entre menos riesgos tenga, mayor probabilidad tengo de cumplir los objetivos de la empresa y más probabilidad tengo de obtener mejores resultados. Los riesgos no solo son físicos, también están en el factor humano, es decir, una persona inestable emocionalmente y aburrida es potencialmente peligrosa para la compañía y esto debe estar contemplado dentro del plan de prevención de riesgos, al igual que muchos otros casos.

INFORMACION Y COMUNICACÓN

Generalmente los sistemas transaccionales se denominan así debido a las transacciones que deben realizar durante 24 horas dependiendo de la periodicidad de la empresa. Básicamente se encargan de recoger información, procesarla y entregar resultados. Aunque la actividad de recolectar información no sirve de nada si no se sabe interpretar, los diferentes sistemas realizan sus funciones por medio de representaciones graficas o reportes para que se puedan mostrar e interpretar arrojando resultados esperados. Un sistema de ventas en line es un ejemplo de esto, donde los usuarios realizan sus comprar y el software realiza los procesos de evaluación de inventarios, separación del producto, alistamiento y entrega del producto.

Para que todo funcione correctamente, es necesario que la calidad de la información sea la correcta, para ello es necesario tener en cuenta unos aspectos fundamentales que son:

Contenido: La información es suficiente para el cliente.

Oportunidad: El tiempo es el adecuado tanto para la recepción como la entrega del producto

Actualidad: Lo que vendo es lo más reciente

Exactitud: las cantidades de lo que se pide son las deseadas

Accesibilidad: El cliente puede obtener fácilmente el producto.

La organización o la empresa deberán tener una correcta comunicación tanto interna como externa, que significa esto, que tanto las áreas de la empresa como sus clientes, deben estar sincronizados, desde que se solicita un producto hasta que se le entrega al cliente. Todo esto debe poder controlarse por medio de uno o varios sistemas sincronizados, para ello en el mercado hay diferentes soluciones tecnologías de ERP (Enterprise Resource Planning), que buscan controlar y sincronizar todas las operaciones de la compañía.

2. Controles que se aplicarían al caso anterior

Se incluyen los riesgos del caso anterior, los controles, el tipo de control y su razón.

RIESGO CONTROL TIPO CONTROL POR QUE

Incendio en el Área de Sistemas, perdida de equipos y servidores. Cambiar todo el cableado para que cumpla con los requisitos de seguridad y las normas establecidas en la parte eléctrica. Control físico Se trata de minimizar todas las posibles causas que puedan generar incendio

Perdida de la información de los servidores. Tener Backup’s en lugares diferentes Proceso de información Se debe hacer back up periódicamente y revisar si este proceso se ejecuta adecuadamente y la información si es recuperable fácilmente

Incendio en las materias primas en las Bodegas. • No tener un stock muy grande de materias primas y poder tenerla en zonas francas

• Minimizar todos los riesgos físicos (eléctricos) de las bodegas de almacenamiento y tener un sistema efectivo contra incendios con detectores y extintores • Indicadores de rendimiento

• Control físico • Se pueden definir metas en días de inventario de materias primas y analizarlos trimestralmente para saber si se está cumpliendo con lo propuesto

• Primero se debe prevenir el incendio mediante la minimización de los riesgos y segundo en caso de que se presente tener los medios eficientes para detectarlo a tiempo y/o controlarlo

Derrame de productos. Tener kits de derrames, arena y diques contenedores para aquellas sustancias más peligrosas como ácidos. Control físico Estos dispositivos se instalan para que una vez sucedido el derrame, este se restrinja a un área muy pequeña y no se propague, de manera que se pueda limpiar fácilmente y evitar un accidente mayor

Hurto de la información de la compañía. Manejar perfiles de usuarios diferentes dependiendo de la confidencialidad de la información Proceso de información y segregación de funciones En este punto se quiere proteger la información por lo que no todos los cargos deben tener acceso a ella ni varios cargos deben tener las mismas funciones y se debe verificar periódicamente que los perfiles tengan sólo

...