Casos

CASO 1 Empresa: Publica La empres empresaa don donde de laboro laboro,, cada cada año conform conformaa un grupo grupo de evalua evaluació ciónn de riesgo riesgoss don donde de participan funcionarios (operativos) de diferentes áreas. De las reuniones se cre crean an un documento con los riesgos, riesgos, sus impl implicac icacion iones es y los contr controle oless que se debe debenn realiz realizar ar para para disminuir la ocurrencia de dicos eventos. !l manual o recopilación de esta información es entregada a control interno. Despu"s de entregar la información información a control interno interno no se vuelve a ablar del tema, ya que las personas que conforman el grupo inicial de evaluación, continua en sus actividades cotidianas y las personas que conforman control interno nunca realizan supervisión sobre la aplicación o implementación de los controles que se deben estar aplicando en las diferentes áreas. Las razones razones por las cuales cuales sucede sucede esto, esto, es el continuo continuo camb cambio io de coord coordinado inadores res de las las difere diferente ntess direcc direccion iones, es, ya que por lo gen genera erall todos los estudios son conocidos por la parte operativa, más no por los directivos directivos,, ya que estos solo se preocupan preocupan por su puesto transitorio, transitorio, más no por la institución. #or lo anterior, considero que para para el funcionamiento e implementación implementación de una estructura estructura de de control interno, es muy importante que los directivos de la empresa publica o privada privada brinden su apoyo total, delegando la responsabilidad responsabilidad de estas funciones a cada uno de los coordinadores coordinadores de las diferentes áreas funcionales de la institución, de tal manera manera que se permita permita cumplir con las pol$ticas y controles controles definidos en cada área de la institución.. La falta de la aplicación de los procesos de control interno, ace que la institución no cumpla de manera optima con los ob%etivos de cada cada área área y en consecuencia los institucionales, de%ando en entre dico, el traba%o e%ecutado por las diferentes administraciones. administraciones. CASO 2 !l caso a presentar es de un organismo organismo #&blico, #&blico, y respecto respecto de los controles internos internos mal aplicados, normalmente son producidos por falta de normativa respecto de las responsabilidades de cada uno y de los aportes que deben realizar con el fin de me%oramiento continuo de todo el proceso de control' !sta falta de normativas normativas escritas escritas y con conocimien conocimiento to de todos los involucrado involucradoss genera genera en el ámbito del área informática, informática, los siguientes inconvenientes' inconvenientes' obre las aplicaciones' !l control sobre la captura de datos de las aplicaciones son realizadas en casi la totalidad de las veces por el desarrollador, al no eistir una normativa de prueba de aplicaciones, por e%emplo design designand andoo otros otros desarr desarroll ollado adores res,, person personal al de ope operac racion iones es,, etc, etc, que pue pueda dann presen presentar tar las alternativas tanto para las validaciones de datos, orden y claridad de men& y submenues, presentación de los campos y leyendas le yendas aclaratorias, generaciones de muestras con información at$pica con el ob%eto de detectar inconvenientes, etc. *ambi" *ambi"nn al no eistir registro registro de sistemas, sistemas, no se tiene constancia constancia de la documentación documentación del istema as$ como de los cambios, ca mbios, su autor, etc. +ontroles $sicos' *ambi"n son afectados por falta de normativa escrita, y se visualizan en la dualidad de mecanismos de seguridad en el ingreso f$sico. #ara el ingreso al área informática, se cuenta con tar%etas de aproimación mediante la cual se registran ingresos y salidas del personal de planta, pero no se documenta el ingreso y salida de personal eterno al área con lo que no se podr$an relacionar los posibles problemas de seguridad con personal eterno al ámbito á mbito de traba%o. Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

-dicionalmente al tema de controles de ingreso al ambiente de traba%o, no eiste ning&n medio de seguridad en el ingreso al centro de procesamiento de datos, ya sea por e%emplo con puerta con apertura por código de seguridad o tar%eta. especto de los controles de seguridad de acceso a ficeros, directorios, equipos, si bien se encuentran implementados con claves de acceso y logs de seguridad, no se encuentra implementado un plan de contingencias que involucre la remisión de respaldos de la información a otro edificio, y entre otras cosas el buscar un +entro de +ómputos de respaldo con las correspondientes pruebas de procesamiento y e%ecución realizada que permita dar una alternativa de procesamiento y comunicaciones. CASO 3 /rganización' #rivada -sunto' /rganización con más de 01 empleados donde eiste una estructura piramidal, la administración y el mane%o financiero de la empresa recaen sobre la misma persona, la cual cuenta con un n&mero de asistentes. ituación' *odas las actividades de administración las aprueba la misma persona, es decir contrataciones, compras, mane%o de ca%a menor, etc. *odas los registros contables los aprueba la misma persona. !l control de cobro de cartera lo controla la misma persona. La facturación lo aprueba la misma persona. #roblema' i todas las actividades de administración y 2ane%o financiero de la organización esta en cabeza de una misma persona quien controla3. CASO 4 !mpresa #&blica -rea' Departamento de 4nformática #ienso que el caso que voy a presentar, representa en forma precisa las consecuencias que pueden acarrear cuando una entidad o departamento no cuenta con un buen control interno que permita asegurar, de manera razonable, como dice la definición, el cumplimiento de sus ob%etivos. !ntendiendose que el ob%etivo fundamental de un departamento de informática el de dar un soporte eficiente a los procesos operativos de la organización a traves de sus areas de Desarrollo, producción y soporte a usuarios. #ara lo cual es fundamental que el departamento cuente con una estructrura de control interno que le permita cumplir con estos ob%etivos. !l caso es que este departamento no tenia bien definido esta estructura de control en lo relacionado a un análisis de su eficacia operativa, lo que produ%o que las areas usuarias no se sintieran satisfecas en sus necesidades de información y atención oportuna, lo cual fue degradando poco a poco la confianza de la organización en el departamento de informática. !sta situación llegó a circunstancias etremas, que la alta gerencia tuvo que tomar la descición de reestructurar el área de informática, que culminó con la renuncia del 5erente de 4nformática y algunos %efes de area.

Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

#or lo epuesto, queda claro, que para que una organización sea eficiente y eficáz necesita tener bien definido su control interno institucional, en el que cada empleado sepa cual es su lugar y sus obligaciones de control. CASO 5 PLANTEO 6n organismo contrata a una persona para cumplir con la tarea de normalizar todo lo relativo al área de sistemas. -ccesos, seguridad f$sica, uso de internet, correo, etc. Situación Las tareas an sido enumeradas perfectamente en su contrato de traba%o. #ero no eiste una comunicación por parte de las autoridades de este puesto de traba%o creado. La persona realiza las normas para las que fue contratada, pero dicas normas no tienen aceptación por gran parte de los usuarios. 7a que no es fácil que el personal acepte nuevas reglas. Lo que ocurre es que como la persona contratada para realizar dica tarea no fue presentada oportunamente como la responsable de generar este cambio, no ten$a para el resto del organismo tal autoridad, lo que generaba que las normas no se cumplan, y sean ob%etadas permanentemente. CONCLUSIÓN !s decir, que como no se comunicó debidamente a todos, que era lo que se pretend$a con estos cambios, ni quien ten$a la autoridad para realizarlos, ello provocó que la normativa no fuera acatada, y que la persona que realizó el traba%o no tuviera la autoridad en la práctica para acerlas cumplir. La comunicación oportuna de las tareas que se realizan dentro del organismo al resto del personal, en especial la de quienes deben acer cumplir determinada normativa, debe ser no solo oportuna sino que pertinente, ya que en dico caso tambi"n la comunicación tard$a de todo lo anteriormente enunciado provoca disconformidad en el personal. +on lo cual no se logra el ob%etivo buscado. CASO 6 !ntidad' 2ita /b%eto de la !mpresa' -dministración inanciera. La !mpresa en la cual se a observado un control interno mal aplicado es una empresa de administración financiera que a la vez subcontrata algunas de las funciones a su cargo y que son de su responsabilidad. !sta !mpresa tienen un nivel %erárquico muy com&n, pero su debilidad radica en la falta de comunicación y liderazgo por parte de la dirección de la !mpresa. Los integrantes o empleados que conforman esta !mpresa no conocen ni identifican claramente las metas, es decir no tienen un grado de conciencia del control interno y se observa una gran ocupación para cumplir con en las tareas operativas, sin detenerse a mirar sobre la calidad y nivel de satisfacción de sus clientes. !s de resaltar que esta !mpresa cumple con la mayor$a de sus responsabilidades y ob%eto principal por el cual fue contratado, pero los servicios y productos son de calidad deficiente, ya que sus clientes o usuarios se que%an y están inconformes con los resultados obtenidos.


!n cuanto al elemento de información, espec$ficamente del istema de 4nformación se observa la falta de planeación y de control de a los productos y proyectos programados, de igual manera se evidencia falta de una aplicación adecuada de metodolog$a para cubrir los desarrollos de soft8are y mantenimiento de los mismos que brindan soporte para la toma de decisiones del nivel directivo.


CASO 7 6na institución p&blica de orden nacional la cual se encuentra dotada de las normas de control interno, anticorrupción, entre otras, orientadas a 9garantizar: la transparencia del !stado, sobre todo en los procesos relacionados con la administración de los recursos. La misión, visión de la institución, as$ como el plan estrat"gico de la institución prácticamente fue elaborado por asesores y no ubo difusión de dico plan acia los demás niveles. e a identificado la necesidad de replantear las funciones de la institución en razón a que eisten funciones duplicadas o faltantes, pero no se a realizado nada al respecto. !isten problemas de coordinación y unificación de criterios en la gerencia; -unque eisten las normas para la vinculación formación, evaluación y control del personal, actualmente la planta se encuentra congelada. La institución no tiene recursos asignados para capacitación de su personal; tan sólo a trav"s de las ofertas que recientemente a empezado a realizar la !scuela uperior de -dministración #&blica. !l ambiente laboral se ve afectado por el decremento en sus salarios, ordenado por el presidente y sobrecarga de traba%o en la mayor$a de las áreas de la institución. -unque el personal desee capacitarse no lo ace porque deben sufragar los gastos, no eiste motivación y porque no se tiene la disciplina para el autoestudio e a llamado a los coordinadores de grupo para que elaboren el 2apa de iesgos, pero no se izo identificación de ob%etivos, sino sobre la base de los procesos identificados por cada dependencia determinados por las funciones asignadas dentro un plazo perentorio para su presentación. !l control interno dentro de la institución se limita a la presentación de documento que a sido elaborado cumpliendo con el formato definido por los responsables, más no con los conceptos, criterios básicos, procedimientos e instrumentos requeridos, de tal manera que el control interno se convierte en un 9e%ercicio acad"mico: mal eco !n conclusión, el control interno en la institución se presenta como el cumplimiento de una obligación de estado, afectada por la falta de compromiso en todos los niveles de la institución. Las consecuencias identificadas son' impredecible cumplimiento de ob%etivos institucionales; falta de transparencia en algunas procesos, mala imagen institucional. CASO 8 Empresa: #rivada

minoristas, por cuestiones de comodidad era la misma persona quien realizaba */D/ los controles relativos a las ordenes de compra y su recepción, siendo ella misma quien' #actaba los precios de compra !fectuava la +ompra ecepcionaba la mercader$a -utorizaba el #ago /bviamente los fallos a nivel de control interno en este caso, eran mas que evidentes. !n primera instancia, nadie segu$a los documentos de normas y procedimientos elaborados a tal fin. !n segundo lugar, toda la cadena de aprobación de un circuito reca$a 9en la practica: en la misma persona, dando lugar a posibles abusos en cada uno de los puntos de control que 9alguien9 estableciera en alguna oportunidad, pero no se encargara de acer cumplir. CASO  Planteo 6n organismo intenta implementar normas de control y seguridad Situación 6n organismo tiene sus normas y procedimientos debidamente confeccionados, testeados y actualizados. !ntre las normas se encuentran las normas de bloqueo de cuentas y contraseñas. !l área de mesa de ayuda y demás gerencias efect&an las solicitudes de desbloqueo y re= activación telefónicamente al sector de seguridad. Conclusión !l bloqueo de usuarios y contraseñas se efect&a seg&n cumplimiento de las normas y procedimientos establecidos, pero no eisten m"todos de control interno que aseguren que los llamados telefónicos son efectuados por los usuarios reales *eniendo como consecuencia la inutilidad de la norma. CASO 1! Empresa: #rivada. >uestra empresa se dedica a brindar soporte a usuarios finales de un producto tecnológico es de suma importancia brinda satisfacción al cliente y este es uno de nuestros principales ob%etivos. La empresa cuenta con varios t"cnicos y dos profesionales de segundo nivel que capacitan a los t"cnicos y verifican los training que llegan de !stados 6nidos antes de que los soportes t"cnicos realicen la capitación. 6n mes antes de lanzarse un nuevo update para uno de los productos del cual brindamos soporte recibimos el manual de instrucciones para dico update. e le aviso a los t"cnicos solo una vez de esta capacitación sin tener en cuenta que alguno de ellos no estaban en el orario en que se realizo el anuncio. 6n d$a antes de lanzarse el producto, los t"cnicos no estaban capacitados, por ende si alg&n cliente llamaba para consultar sobre dico update no ten$an la capacidad de responderle correctamente con la consecuencia de no poder cumplir un ob%etivo tan importante como es la satisfacción anteriormente mencionada. !s obvio que el error fue del segundo nivel por la mala comunicación que en este caso ubo con los t"cnicos y por no acer un seguimiento y control interno de la capacitación de los mismos. CASO 11 La empresa en la que yo traba%o es p&blica, en una revisión de auditor$a que realizamos, detectamos dos falencias en el control interno del área financiera' Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

!l caso es que se mane%aba un sistema de recaudaciones mediante el cual los ca%eros cobraban y emit$an automáticamente comprobantes de pago; sin embargo entre los programas asignados al ?efe de ecaudaciones, eist$a uno para modificar el estatus de la deuda a 9#agado: (programa que deb$a utilizarse &nicamente en casos de ecepción). La primera falencia de control interno fue' que dico ?efe, entregó su clave de acceso a su secretaria, para que esta realice transacciones en el sistema automatizado, ya que "l 9carec$a: de suficiente tiempo para efectuarlas, y 9confiaba en ella:; esto fue aprovecado por la empleada para cobrar dinero, cambiar el estado a 9pagado: a ciertas deudas y emitir comprobantes de pago falsos (con sellos y firmas falsas a los cuales ten$a acceso), para luego entregarlos al contribuyente (el cual ignoraba que su t$tulo 9pagado: era falso). La segunda falencia de control interno, fue la falta de 9validación: de transacciones realizadas en el sistema automatizado por parte del ?efe de ecaudaciones o alg&n funcionario de esta área, lo cual ubiera permitido detectar oportunamente el fraude, mediante la revisión del 9reporte de cambios de estado a pagado: versus la documentación soporte de cada transacción (la cual en estos casos era ineistente). CASO 12 APO"#AC$%& !l siguiente caso describe el mal empleo de erramientas informáticas para el control interno. 'at(s )enerales e trata de una empresa dedicada al servicio t"cnico de instalaciones para telefon$a celular, el caso en estudio se refiere al control de stoc@ de materiales de la misma. Detalle de las tareas realizadas por el sector involucrado, Las tareas son las siguientes, cada uno de los t"cnicos solicita al encargado de depósito se le entreguen los materiales que de acuerdo al listado de tarea a realizar calcula utilizar ese d$a mas un margen de seguridad. !n ese momento recibe los remitos de materiales firmados por los clientes visitados en el d$a anterior. !l encargado de deposito carga en una planilla resumen los materiales usados en las visitas detallando el usado en cada una de las visitas, mediante esta planilla se facturan los materiales utilizados a cada uno de los clientes visitados. !l control de stoc@ de materiales en deposito se lleva independientemente de la planilla de materiales usados. Pr(blemas *ue se presentan !l stoc@ de materiales no refle%a eactamente la cantidad de materiales eistente porque no tiene en cuenta lo que cada t"cnico tenga como margen de seguridad. >o ay un control efectivo de la eficiencia de los t"cnicos porque en ning&n lugar queda registro de materiales que ayan salido de deposito y que por fallas en la instalación ayan tenido que descartarse, como estos no se facturan no queda ninguna constancia sobre lo que aya pasado con estos materiales, por lo tanto no se puede cuantificar la perdida. C(nsecuencias >o se sabe eactamente cuanto del material comprado es efectivamente facturado y cuanto va perdida. e desconoce la eficiencia del sector instalaciones. CASO 13 !mpresa de +arácter #rivado. A. La administración de la compañ$a a colocado en cabeza del %efe de cr"dito la potestad de aprobar facturación de clientes teniendo en cuenta todas las pol$ticas de restricción que se an establecido para estos casos. !ntonces solo esa persona puede aprobar o autorizar una facturación analizando aspectos como forma de pago, d$as de pago, capacidad de pago, Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

vencimiento de facturas, etc. *eniendo en cuenta que es una empresa que factura en promedio diariamente BA01.111.111.oo, este control ace que se armen lo que llamamos 9cuellos de botella:, si analizamos que eisten C puntos de facturación y todos se remiten al ?efe de cr"ditos para que apruebe cada una de ellas. !s decir que el control está mal implementado porque retrasa el proceso normal de facturación de la compañ$a en espera de una autorización por cada factura que se genera. . !n auditoria realizada a la aplicación de cartera se detecto que este módulo despu"s que el funcionario grababa e imprim$a un documento (>ota cr"dito, nota d"bito, etc) permit$a modificarle los datos. !ntonces teniendo en cuenta que solo se revisaban cifras controles, perfectamente se pod$an cambiar valores de >otas cr"ditos entre clientes, es decir, el valor de cartera global segu$a siendo el mismo pero se intercambiaban valores de documentos de diferentes clientes para favorecer presentaciones de información gerencial. CASO 14 !mpresa #rivada Erea' Departamento de 4nformática !l caso que voy a narrar está relacionado con la segregación de funciones cuando la empresa es una entidad financiera relativamente pequeña, pero cuyos riesgos, por la naturaleza de sus actividades, tiene el mismo riesgo de una entidad más grande. !ste es un departamento de sistemas en donde &nicamente ay una persona que realiza todas las actividades propias del área. !stá encargada de la planificación de los recursos y el presupuesto, de la operación, de la seguridad, del desarrollo de programas nuevos, de atender a los proveedores de ard8are y soft8are, etc. +uando conversamos con ella de ambiente de control y segregación de funciones, su repuesta fue, 9pero si este Fanco es pequeño y yo llevo años traba%ando aqu$; nos quieres tratar como un banco grande y nosotros somos pequeños:. La estructura de control interno en este Fanco que tiene todas sus operaciones automatizadas es de muco riesgo. !iste una alta dependencia en esta persona que prácticamente realiza todo y por eistir esta alta concentración de actividades en una sola persona, los usuarios no se sienten satisfecos con los resultados el proceso; se que%an de atrasos en el procesamiento y en la atención a sus necesidades productos de su interacción con el sistema. !s un sistema totalmente integrado, con una seguridad robusta, en la cual no encontramos activada ninguna caracter$stica de seguridad, porque eso le consum$a muco tiempo para administrar a los usuarios, cuando por e%emplo, olvidaban sus contraseñas o se iban de vacaciones. La administración está consciente de esta deficiencia, pero se niega a contratar a otra persona en el departamento. +oncluyo con que es muy importante la estructura de control en la empresa, pero más importante es la visión de la gerencia y su actitud acia el cumplimiento de las normas y lo que se considera como las me%ores prácticas. CASO 15 !mpresa' #rivada ectores afectados' toda la empresa Ing. Ms. Sc. Ernesto Karlo Celi Arévalo

!mpezó a aparecer en las pantallas una pantalla azul con el mensa%e de una conocida pel$cula, al principio se pensó que era una broma, luego de varios llamados se logro detectar que ab$a sido infiltrado un virus en el sistema de toda la empresa. Luego de intenso traba%o para levantar todas las terminales que se ab$an ca$do, y luego de una investigación se dio con el autor del eco.

Casos

Recommend Documents