CAPITULO VII LOS RIESGOS Y EL CONTROL INTERNO EN UN AMBIENTE INFORMATICO 7.1 El control interno en un ambiente informático. El control interno es importante en los ambientes computarizados para asegurar la confiabilidad y razonabilidad del procesamiento de transacciones, mantenimiento de archivos y reportes, así como la seguridad física del ambiente computacional y de los archivos de datos. Los controles en los sistemas de aplicación deben tomar nuevas formas y volverse cada vez más estructurados, conforme las innovaciones tecnológicas dan paso a complejos sistemas telecomunicados e integrados, que comparten archivos comunes de información Procedimientos de control cada vez más complejos son requeridos conforme los propios sistemas se vuelven complejos realizando más tareas y manejando mayores condiciones de excepción. El control interno en los ambientes computarizados se relaciona con el procesamiento y registro de las transacciones de una entidad y los reportes gerenciales resultantes. Son procedimientos que aseguran la exactitud e integridad de las transacciones, registros y reportes manuales y computarizados. Además prevén y detectan errores. Se basan en la revisión de aspectos como el origen de la documentación fuente, autorización, procesamiento, almacenamiento de registros computarizados, y el uso de registros y reportes que permitan controlar las actividades de la entidad. Alcance del control interno El alcance del control interno cubre los elementos organizacionales tales como operación, apoyo administrativo, apoyo técnico, finanzas y sistemas de información computarizados, los mismos que se definen para alcanzar determinados objetivos y metas. Todos estos elementos están enlazados por varias relaciones establecidas a nivel directivo y operativo. El control interno se asegura que dicha relación organizacional esté en concordancia con las políticas de la Dirección. Los altos directivos exigen una verificación continua del control interno en todas las áreas, sin importarles que estén computarizados o no. La siguiente figura muestra el alcance del control interno en relación con las áreas de la entidad. Cobertura Auditoría Interna Control Interno Area Operativa Procesamiento de datos Contabilidad y Finanzas Planes y objetivos de la Institución Apoyo Administrativo Apoyo Técnico Es importante hacer notar que mientras más funciones institucionales se computarizan, el rol del analista de sistemas y del auditor se ha extendido en relación al control interno. El ALCANCE DEL CONTROL INTERNO ENde LA los INSTITUCION diseñador de sistemas se ha preocupado mayormente procedimientos manuales que preceden y siguen a las fases computarizadas. Los auditores se preocupan más de los procedimientos y controles dentro del computador. Preocupación de los diseñadores de sistemas FLUJO DE LAS TRANSACCIONES DE LA INSTITUCIÓN ORIGEN Y APROBACIÓN DE TRANSACCIONES PROCESAMIENTO DE DATOS USO DE LA SALIDA DE PROCESAMIENTO DE DATOS Preocupación de los auditores En la siguiente figura se muestran los tres elementos de la función de la unidad informática, su relación con el control interno y la cobertura de la auditoría. Estos tres elementos se planifican, organizan y administran de tal manera que permiten alcanzar objetivos definidos para el sistema de información gerencial. Así como son relacionados, también son independientes. Por ejemplo, el desarrollo de sistemas puede estar restringido por disponibilidad de la capacidad de procesamiento. En contraste la capacidad de procesamiento puede ser incrementada para incorporar nuevos requerimientos de desarrollo de sistemas. CONTROL INTERNO AREA INFORMATICA CONTROL INTERNO COBERTURA AUDITORÍA DESARROLLO DE LOS SISTEMAS DE APLICACION CENTRO DE SERVICIO DE COMPUTACION OBJETIVO DE LOS SISTEMAS DE INFORMACION GERENCIALES SISTEMAS DE APLICACION Existe una independencia entre los sistemas de aplicación y el centro de operaciones computarizadas. Aplicaciones mal diseñadas pueden degradar significativamente las operaciones del centro de cómputo. Las operaciones del centro de servicio de computación pueden tener un impacto significativo en las aplicaciones desarrolladas. Personal inadecuadamente capacitado son la causa frecuente de problemas de procesamiento que afectan a las aplicaciones y sus usuarios. Procesamientos inadecuados en el centro de servicios computarizados pueden causar o permitir errores que pasen desapercibidos en la preparación, planificación y manejo en las transacciones de entrada, archivo de datos y reportes de salida. Estos riesgos y problemas pueden anular a los controles construidos dentro de las aplicaciones a un costo considerable de tiempo y recursos durante el desarrollo. Los controles relacionados con el centro de servicios de computación y el proceso de desarrollo de aplicaciones son conocidos como controles generales y los relacionados con las aplicaciones se denominan controles de aplicación. El la siguiente figura se ilustra la relación entre términos y los tres elementos de procesamientos de datos identificados. CONTROLES DE APLICACION SISTEMAS DE APLICACION DESARROLLO DE LOS SISTEMAS DE APLICACION CONTROL INTERNO CONTROLES GENERALES CENTRO DE SERVICIOS DE COMPUTACION TRES ELEMENTOS BASICOS DEL PROCESAMIENTO