CASO 1 Empresa: Publica La empresa donde laboro, cada ao conforma un grupo de evaluacin de riesgos donde participan funcionarios (operativos)

de diferentes reas. De las reuniones se crean un documento con los riesgos, sus implicaciones y los controles que se deben realizar para disminuir la ocurrencia de dic os eventos. !l manual o recopilacin de esta informacin es entregada a control interno. Despu"s de entregar la informacin a control interno no se vuelve a ablar del tema, ya que las personas que conforman el grupo inicial de evaluacin, continua en sus actividades cotidianas y las personas que conforman control interno nunca realizan supervisin sobre la aplicacin o implementacin de los controles que se deben estar aplicando en las diferentes reas. Las razones por las cuales sucede esto, es el continuo cambio de coordinadores de las diferentes direcciones, ya que por lo general todos los estudios son conocidos por la parte operativa, ms no por los directivos, ya que estos solo se preocupan por su puesto transitorio, ms no por la institucin. #or lo anterior, considero que para el funcionamiento e implementacin de una estructura de control interno, es muy importante que los directivos de la empresa publica o privada brinden su apoyo total, delegando la responsabilidad de estas funciones a cada uno de los coordinadores de las diferentes reas funcionales de la institucin, de tal manera que se permita cumplir con las pol$ticas y controles definidos en cada rea de la institucin.. La falta de la aplicacin de los procesos de control interno, ace que la institucin no cumpla de manera optima con los ob%etivos de cada rea y en consecuencia los institucionales, de%ando en entre dic o, el traba%o e%ecutado por las diferentes administraciones. CASO 2 !l caso a presentar es de un organismo #&blico, y respecto de los controles internos mal aplicados, normalmente son producidos por falta de normativa respecto de las responsabilidades de cada uno y de los aportes que deben realizar con el fin de me%oramiento continuo de todo el proceso de control' !sta falta de normativas escritas y con conocimiento de todos los involucrados genera en el mbito del rea informtica, los siguientes inconvenientes' (obre las aplicaciones' !l control sobre la captura de datos de las aplicaciones son realizadas en casi la totalidad de las veces por el desarrollador, al no e)istir una normativa de prueba de aplicaciones, por e%emplo designando otros desarrolladores, personal de operaciones, etc, que puedan presentar las alternativas tanto para las validaciones de datos, orden y claridad de men& y submenues, presentacin de los campos y leyendas aclaratorias, generaciones de muestras con informacin at$pica con el ob%eto de detectar inconvenientes, etc. *ambi"n al no e)istir registro de sistemas, no se tiene constancia de la documentacin del (istema as$ como de los cambios, su autor, etc. +ontroles ,$sicos' *ambi"n son afectados por falta de normativa escrita, y se visualizan en la dualidad de mecanismos de seguridad en el ingreso f$sico. #ara el ingreso al rea informtica, se cuenta con tar%etas de apro)imacin mediante la cual se registran ingresos y salidas del personal de planta, pero no se documenta el ingreso y salida de personal e)terno al rea con lo que no se podr$an relacionar los posibles problemas de seguridad con personal e)terno al mbito de traba%o. -dicionalmente al tema de controles de ingreso al ambiente de traba%o, no e)iste ning&n medio de seguridad en el ingreso al centro de procesamiento de datos, ya sea por e%emplo con puerta con apertura por cdigo de seguridad o tar%eta. .especto de los controles de seguridad de acceso a fic eros, directorios, equipos, si bien se encuentran implementados con claves de acceso y logs de seguridad, no se encuentra implementado un plan de contingencias que involucre la remisin de respaldos de la informacin a otro edificio, y entre otras cosas el buscar un +entro de +mputos de respaldo con las correspondientes pruebas de procesamiento y e%ecucin realizada que permita dar una alternativa de procesamiento y comunicaciones. CASO 3 /rganizacin' #rivada -sunto' /rganizacin con mas de 01 empleados donde e)iste una estructura piramidal, la administracin y el mane%o financiero de la empresa recaen sobre la misma persona, la cual cuenta con un n&mero de asistentes. (ituacin' *odas las actividades de administracin las aprueba la misma persona, es decir contrataciones, compras, mane%o de ca%a menor, etc. *odas los registros contables los aprueba la misma persona. !l control de cobro de cartera lo controla la misma persona. La facturacin lo aprueba la misma persona. #roblema' (i todas las actividades de administracin y 2ane%o financiero de la organizacin esta en cabeza de una misma persona quien controla3.

4ng. 2s. (c. !rnesto 5arlo +eli -r"valo

CASO 4 !mpresa #&blica -rea' Departamento de 4nformtica #ienso que el caso que voy a presentar, representa en forma precisa las consecuencias que pueden acarrear cuando una entidad o departamento no cuenta con un buen control interno que permita asegurar, de manera razonable, como dice la definicin, el cumplimiento de sus ob%etivos. !ntendiendose que el ob%etivo fundamental de un departamento de informtica el de dar un soporte eficiente a los procesos operativos de la organizacin a traves de sus areas de Desarrollo, produccin y soporte a usuarios. #ara lo cual es fundamental que el departamento cuente con una estructrura de control interno que le permita cumplir con estos ob%etivos. !l caso es que este departamento no tenia bien definido esta estructura de control en lo relacionado a un anlisis de su eficacia operativa, lo que produ%o que las areas usuarias no se sintieran satisfec as en sus necesidades de informacin y atencin oportuna, lo cual fue degradando poco a poco la confianza de la organizacin en el departamento de informtica. !sta situacin lleg a circunstancias e)tremas, que la alta gerencia tuvo que tomar la descicin de reestructurar el rea de informtica, que culmin con la renuncia del 6erente de 4nformtica y algunos %efes de area. #or lo e)puesto, queda claro, que para que una organizacin sea eficiente y eficz necesita tener bien definido su control interno institucional, en el que cada empleado sepa cual es su lugar y sus obligaciones de control. CASO 5 PLANTEO 7n organismo contrata a una persona para cumplir con la tarea de normalizar todo lo relativo al rea de sistemas. -ccesos, seguridad f$sica, uso de internet, correo, etc. Situacin Las tareas an sido enumeradas perfectamente en su contrato de traba%o. #ero no e)iste una comunicacin por parte de las autoridades de este puesto de traba%o creado. La persona realiza las normas para las que fue contratada, pero dic as normas no tienen aceptacin por gran parte de los usuarios. 8a que no es fcil que el personal acepte nuevas reglas. Lo que ocurre es que como la persona contratada para realizar dic a tarea no fue presentada oportunamente como la responsable de generar este cambio, no ten$a para el resto del organismo tal autoridad, lo que generaba que las normas no se cumplan, y sean ob%etadas permanentemente. CONCLUSIN !s decir, que como no se comunic debidamente a todos, que era lo que se pretend$a con estos cambios, ni quien ten$a la autoridad para realizarlos, ello provoc que la normativa no fuera acatada, y que la persona que realiz el traba%o no tuviera la autoridad en la prctica para acerlas cumplir. La comunicacin oportuna de las tareas que se realizan dentro del organismo al resto del personal, en especial la de quienes deben acer cumplir determinada normativa, debe ser no solo oportuna sino que pertinente, ya que en dic o caso tambi"n la comunicacin tard$a de todo lo anteriormente enunciado provoca disconformidad en el personal. +on lo cual no se logra el ob%etivo buscado. CASO 6 !ntidad' 2i)ta /b%eto de la !mpresa' -dministracin ,inanciera. La !mpresa en la cual se a observado un control interno mal aplicado es una empresa de administracin financiera que a la vez subcontrata algunas de las funciones a su cargo y que son de su responsabilidad. !sta !mpresa tienen un nivel %errquico muy com&n, pero su debilidad radica en la falta de comunicacin y liderazgo por parte de la direccin de la !mpresa. Los integrantes o empleados que conforman esta !mpresa no conocen ni identifican claramente las metas, es decir no tienen un grado de conciencia del control interno y se observa una gran ocupacin para cumplir con en las tareas operativas, sin detenerse a mirar sobre la calidad y nivel de satisfaccin de sus clientes. !s de resaltar que esta !mpresa cumple con la mayor$a de sus responsabilidades y ob%eto principal por el cual fue contratado, pero los servicios y productos son de calidad deficiente, ya que sus clientes o usuarios se que%an y estn inconformes con los resultados obtenidos. !n cuanto al elemento de informacin, espec$ficamente del (istema de 4nformacin se observa la falta de planeacin y de control de a los productos y proyectos programados, de igual manera se evidencia falta de una aplicacin adecuada de metodolog$a para cubrir los desarrollos de soft9are y mantenimiento de los mismos que brindan soporte para la toma de decisiones del nivel directivo.

4ng. 2s. (c. !rnesto 5arlo +eli -r"valo

CASO 7 7na institucin p&blica de orden nacional la cual se encuentra dotada de las normas de control interno, anticorrupcin, entre otras, orientadas a :garantizar; la transparencia del !stado, sobre todo en los procesos relacionados con la administracin de los recursos. La misin, visin de la institucin, as$ como el plan estrat"gico de la institucin prcticamente fue elaborado por asesores y no ubo difusin de dic o plan acia los dems niveles. (e a identificado la necesidad de replantear las funciones de la institucin en razn a que e)isten funciones duplicadas o faltantes, pero no se a realizado nada al respecto. !)isten problemas de coordinacin y unificacin de criterios en la gerencia< -unque e)isten las normas para la vinculacin formacin, evaluacin y control del personal, actualmente la planta se encuentra congelada. La institucin no tiene recursos asignados para capacitacin de su personal< tan slo a trav"s de las ofertas que recientemente a empezado a realizar la !scuela (uperior de -dministracin #&blica. !l ambiente laboral se ve afectado por el decremento en sus salarios, ordenado por el presidente y sobrecarga de traba%o en la mayor$a de las reas de la institucin. -unque el personal desee capacitarse no lo ace porque deben sufragar los gastos, no e)iste motivacin y porque no se tiene la disciplina para el autoestudio (e a llamado a los coordinadores de grupo para que elaboren el 2apa de .iesgos, pero no se izo identificacin de ob%etivos, sino sobre la base de los procesos identificados por cada dependencia determinados por las funciones asignadas dentro un plazo perentorio para su presentacin. !l control interno dentro de la institucin se limita a la presentacin de documento que a sido elaborado cumpliendo con el formato definido por los responsables, ms no con los conceptos, criterios bsicos, procedimientos e instrumentos requeridos, de tal manera que el control interno se convierte en un :e%ercicio acad"mico; mal ec o !n conclusin, el control interno en la institucin se presenta como el cumplimiento de una obligacin de estado, afectada por la falta de compromiso en todos los niveles de la institucin. Las consecuencias identificadas son' impredecible cumplimiento de ob%etivos institucionales< falta de transparencia en algunas procesos, mala imagen institucional. CASO 8 Empresa: #rivada =ace algunos meses, un cliente nos solicito evaluar sus sistemas corporativos en busca de debilidades del soft9are o su utilizacin, en los circuitos administrativos contables. Luego de algunos d$as de evaluacin organizativa, decidimos analizar el circuito seguido por los comprobantes f$sicos (.equerimientos, +otizaciones, ,acturas, .emitos, etc..) a los efectos de evaluar en la practica la viabilidad de las normas y procedimientos escritos de los cual se nos ab$a dotado al comenzar nuestro traba%o. !n unas pocas oras, y luego de algunos interrogatorios y notamos claramente como a pesar de e)istir los puestos y funciones de traba%os claramente definidos al momento de recibir las facturas, controlar la recepcin de mercader$a adquirida y su posterior despac o a las almacenes minoristas, por cuestiones de comodidad era la misma persona quien realizaba */D/( los controles relativos a las ordenes de compra y su recepcin, siendo ella misma quien' #actaba los precios de compra !fectuava la +ompra .ecepcionaba la mercader$a -utorizaba el #ago /bviamente los fallos a nivel de control interno en este caso, eran mas que evidentes. !n primera instancia, nadie segu$a los documentos de normas y procedimientos elaborados a tal fin. !n segundo lugar, toda la cadena de aprobacin de un circuito reca$a :en la practica; en la misma persona, dando lugar a posibles abusos en cada uno de los puntos de control que :alguien: estableciera en alguna oportunidad, pero no se encargara de acer cumplir. CASO 9 Planteo 7n organismo intenta implementar normas de control y seguridad Situacin 7n organismo tiene sus normas y procedimientos debidamente confeccionados, testeados y actualizados. !ntre las normas se encuentran las normas de bloqueo de cuentas y contraseas. !l rea de mesa de ayuda y dems gerencias efect&an las solicitudes de desbloqueo y re>activacin telefnicamente al sector de seguridad. Conclusin !l bloqueo de usuarios y contraseas se efect&a seg&n cumplimiento de las normas y procedimientos establecidos, pero no e)isten m"todos de control interno que aseguren que los llamados telefnicos son efectuados por los usuarios reales *eniendo como consecuencia la inutilidad de la norma.

4ng. 2s. (c. !rnesto 5arlo +eli -r"valo

CASO 1 Empresa: #rivada. ?uestra empresa se dedica a brindar soporte a usuarios finales de un producto tecnolgico es de suma importancia brinda satisfaccin al cliente y este es uno de nuestros principales ob%etivos. La empresa cuenta con varios t"cnicos y dos profesionales de segundo nivel que capacitan a los t"cnicos y verifican los training que llegan de !stados 7nidos antes de que los soportes t"cnicos realicen la capitacin. 7n mes antes de lanzarse un nuevo update para uno de los productos del cual brindamos soporte recibimos el manual de instrucciones para dic o update. (e le aviso a los t"cnicos solo una vez de esta capacitacin sin tener en cuenta que alguno de ellos no estaban en el orario en que se realizo el anuncio. 7n d$a antes de lanzarse el producto, los t"cnicos no estaban capacitados, por ende si alg&n cliente llamaba para consultar sobre dic o update no ten$an la capacidad de responderle correctamente con la consecuencia de no poder cumplir un ob%etivo tan importante como es la satisfaccin anteriormente mencionada. !s obvio que el error fue del segundo nivel por la mala comunicacin que en este caso ubo con los t"cnicos y por no acer un seguimiento y control interno de la capacitacin de los mismos. CASO 11 La empresa en la que yo traba%o es p&blica, en una revisin de auditor$a que realizamos, detectamos dos falencias en el control interno del rea financiera' !l caso es que se mane%aba un sistema de recaudaciones mediante el cual los ca%eros cobraban y emit$an automticamente comprobantes de pago< sin embargo entre los programas asignados al @efe de .ecaudaciones, e)ist$a uno para modificar el estatus de la deuda a :#agado; (programa que deb$a utilizarse &nicamente en casos de e)cepcin). La primera falencia de control interno fue' que dic o @efe, entreg su clave de acceso a su secretaria, para que esta realice transacciones en el sistema automatizado, ya que "l :carec$a; de suficiente tiempo para efectuarlas, y :confiaba en ella;< esto fue aprovec ado por la empleada para cobrar dinero, cambiar el estado a :pagado; a ciertas deudas y emitir comprobantes de pago falsos (con sellos y firmas falsas a los cuales ten$a acceso), para luego entregarlos al contribuyente (el cual ignoraba que su t$tulo :pagado; era falso). La segunda falencia de control interno, fue la falta de :validacin; de transacciones realizadas en el sistema automatizado por parte del @efe de .ecaudaciones o alg&n funcionario de esta rea, lo cual ubiera permitido detectar oportunamente el fraude, mediante la revisin del :reporte de cambios de estado a pagado; versus la documentacin soporte de cada transaccin (la cual en estos casos era ine)istente). CASO 12 APO!"AC#$% !l siguiente caso describe el mal empleo de erramientas informticas para el control interno. &at's (enerales (e trata de una empresa dedicada al servicio t"cnico de instalaciones para telefon$a celular, el caso en estudio se refiere al control de stocA de materiales de la misma. Detalle de las tareas realizadas por el sector involucrado, Las tareas son las siguientes, cada uno de los t"cnicos solicita al encargado de depsito se le entreguen los materiales que de acuerdo al listado de tarea a realizar calcula utilizar ese d$a mas un margen de seguridad. !n ese momento recibe los remitos de materiales firmados por los clientes visitados en el d$a anterior. !l encargado de deposito carga en una planilla resumen los materiales usados en las visitas detallando el usado en cada una de las visitas, mediante esta planilla se facturan los materiales utilizados a cada uno de los clientes visitados. !l control de stocA de materiales en deposito se lleva independientemente de la planilla de materiales usados. Pr'blemas )ue se presentan !l stocA de materiales no refle%a e)actamente la cantidad de materiales e)istente porque no tiene en cuenta lo que cada t"cnico tenga como margen de seguridad. ?o ay un control efectivo de la eficiencia de los t"cnicos porque en ning&n lugar queda registro de materiales que ayan salido de deposito y que por fallas en la instalacin ayan tenido que descartarse, como estos no se facturan no queda ninguna constancia sobre lo que aya pasado con estos materiales, por lo tanto no se puede cuantificar la perdida. C'nsecuencias ?o se sabe e)actamente cuanto del material comprado es efectivamente facturado y cuanto va perdida. (e desconoce la eficiencia del sector instalaciones. CASO 13 !mpresa de +arcter #rivado. B.La administracin de la compa$a a colocado en cabeza del %efe de cr"dito la potestad de aprobar facturacin de clientes teniendo en cuenta todas las pol$ticas de restriccin que se an establecido para estos casos. !ntonces solo esa persona puede aprobar o autorizar una facturacin analizando aspectos como forma de pago, d$as de pago, capacidad de pago, vencimiento de facturas, etc. *eniendo en cuenta que es una empresa que factura en promedio diariamente CB01.111.111.oo, este control ace que se armen lo que llamamos :cuellos de botella;, si analizamos que e)isten D puntos de facturacin y todos se remiten al @efe de cr"ditos para que apruebe cada una de ellas. !s decir que el control est mal implementado porque retrasa el proceso normal de facturacin de la compa$a en

4ng. 2s. (c. !rnesto 5arlo +eli -r"valo

espera de una autorizacin por cada factura que se genera. E.!n auditoria realizada a la aplicacin de cartera se detecto que este mdulo despu"s que el funcionario grababa e imprim$a un documento (?ota cr"dito, nota d"bito, etc) permit$a modificarle los datos. !ntonces teniendo en cuenta que solo se revisaban cifras controles, perfectamente se pod$an cambiar valores de ?otas cr"ditos entre clientes, es decir, el valor de cartera global segu$a siendo el mismo pero se intercambiaban valores de documentos de diferentes clientes para favorecer presentaciones de informacin gerencial. CASO 14 !mpresa #rivada Frea' Departamento de 4nformtica !l caso que voy a narrar est relacionado con la segregacin de funciones cuando la empresa es una entidad financiera relativamente pequea, pero cuyos riesgos, por la naturaleza de sus actividades, tiene el mismo riesgo de una entidad ms grande. !ste es un departamento de sistemas en donde &nicamente ay una persona que realiza todas las actividades propias del rea. !st encargada de la planificacin de los recursos y el presupuesto, de la operacin, de la seguridad, del desarrollo de programas nuevos, de atender a los proveedores de ard9are y soft9are, etc. +uando conversamos con ella de ambiente de control y segregacin de funciones, su repuesta fue, :pero si este Ganco es pequeo y yo llevo aos traba%ando aqu$< nos quieres tratar como un banco grande y nosotros somos pequeos;. La estructura de control interno en este Ganco que tiene todas sus operaciones automatizadas es de muc o riesgo. !)iste una alta dependencia en esta persona que prcticamente realiza todo y por e)istir esta alta concentracin de actividades en una sola persona, los usuarios no se sienten satisfec os con los resultados el proceso< se que%an de atrasos en el procesamiento y en la atencin a sus necesidades productos de su interaccin con el sistema. !s un sistema totalmente integrado, con una seguridad robusta, en la cual no encontramos activada ninguna caracter$stica de seguridad, porque eso le consum$a muc o tiempo para administrar a los usuarios, cuando por e%emplo, olvidaban sus contraseas o se iban de vacaciones. La administracin est consciente de esta deficiencia, pero se niega a contratar a otra persona en el departamento. +oncluyo con que es muy importante la estructura de control en la empresa, pero ms importante es la visin de la gerencia y su actitud acia el cumplimiento de las normas y lo que se considera como las me%ores prcticas. CASO 15 !mpresa' #rivada (ectores afectados' toda la empresa !mpez a aparecer en las pantallas una pantalla azul con el mensa%e de una conocida pel$cula, al principio se pens que era una broma, luego de varios llamados se logro detectar que ab$a sido infiltrado un virus en el sistema de toda la empresa. Luego de intenso traba%o para levantar todas las terminales que se ab$an ca$do, y luego de una investigacin se dio con el autor del ec o. =ab$a sido un e) empleado de la compa$a que ab$a traba%ado en la parte de servidores, se conecto de forma remota y como al irse el empleado no ab$an cambiado la contrasea de acceso de los servidores, logro tomar posicin en los mismos y logro asi infectar a los servidores. !sto ocurri por una negligencia en la parte de seguridad por no aber dado inmediatamente de ba%a la clave del usuario, y por no aber cambiado las contraseas de acceso a los servidores. !sto en parte ubiese ayudado en parte a prevenir el ataque

4ng. 2s. (c. !rnesto 5arlo +eli -r"valo