Bases Generales: Riesgos

Si bien es cierto el Riesgo o los Riesgos son un componente importantísimo del Control Interno, no dejan de ser una guía primordial a la hora de abordar los estudios de auditoria. Estudios de auditoria en cualquiera de sus áreas del Universo, pero para continuar con la columna vertebral de este sitio, se procurara relacionar con los procesos de Auditoria de Sistemas. Vamos ahora a su definición.

Definición de Riesgo:

Desde el sitio web de la RAE, de forma sencilla se nos dice: “Contingencia o proximidad de un daño”.

Por otro lado la UNISDR (The United Nations Office for Disaster Risk Reduction) lo define: “El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre

Para la Contraloría General de la Republica en la Norma de Control Interno (N-2-2009-CO-DFOE) en su página 47 se define el Riesgo como: “Probabilidad de que ocurran eventos de origen interno o externo, que tendrían consecuencias sobre el cumplimiento de los objetivos institucionales

Tipos de Riegos:

Como segundo paso es importante definir cuantos tipos se pueden determinar o prevenir (objetivo primordial de una auditoria), en uno curso de cual fui parte (Gestión de auditoria de alto impacto en riesgos, 2016) se nos ofrecía dos tipos de riesgos a gran escala, rescato de mis apuntes lo siguiente:

Riesgo Inherente: riesgo que amenaza el cumplimiento de un objetivo, este va a estar más relacionado con la causa por tanto se les suele conocer como riesgo causal.

Riesgo de Control: es aquel riesgo en que los controles no mitiguen el riesgo inherente, viene a ser la consecuencia de la falta de controles por lo tanto se le conoce como riesgo consecuente.

Entornos de T.I.

Dentro de las Normas Técnicas para la gestión de las Tecnologías de la Información vamos a tener dentro del su alcance en su Capítulo I, las normas de aplicación en donde se puede leer el punto 1.3:

Gestión del Riesgo: La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.

Tomando como punto de partida ese argumento podemos  ver la importancia del tema de riesgo para las tecnologías de información, en donde el propósito fundamental es tender a eliminarlo procurando su disminución al máximo. Es decir tomando en cuenta las definiciones iniciales, “minimizar las probabilidades de que se materialicen los RIESGOS”, esto porque en esencia los riesgos siempre van a existir.

Por otro lado es importante mencionar que dentro de las normativas internacionales el riesgo también forma parte de capítulos de interés, por un lado el Instituto Internacional de Auditoria Interna nos ofrece la certificación CRMA (Certification in Risk Management Assurance) en el otro extremo más del lado de las tecnologías de información tenemos la reciente certificación que ofrece ISACA llamada CRISC (Certified in Risk and Information System Control).

Dentro de la normativa de TI (N-2-2007-CO-DFOE)con la cual solemos trabajar los auditores de sistemas en este bello país como lo es Costa Rica, podemos ubicar dentro de ella 19 resultados donde se menciona la palabra riesgo, esto con justa razón; en todos los procesos donde vemos relacionados las tecnologías de información van a existir riesgos, los cuales debemos de minimizar, esto con el fin de que no se vean materializados para que las empresas u instituciones no vean su día a día afectado.

Es de suma importancia dejar de lado lo urgente y darle la importancia apropiada al tema de los riesgos, debemos apropiarnos de la tarea: de analizar, documentar, clasificar y evaluar de forma periódica el tema. By. RVV

mafalda-riesgos-rvv

Bases Generales: El Control Interno

Dentro de las bases generales que debemos de considerar cuando somos parte de este mundo de la auditoria, independientemente del sector del universo auditable del cual hablemos, es sin duda el Control Interno.

Control Interno 01       Control Interno 02

 

Como auditores debemos de respaldar nuestras respuesta siempre en base a normativas, textos formales (libros, estudios previos; nunca un sitio web sin veracidad científica), razón por la cual en un inicio compre el Libro “Manual práctico de Control Interno” del editorial Profit que a pesar de ser muy orientado a España, tiene conceptos generales y elementos interesantes que sirven como fuente de información. Esto claro está partiendo de la premisa que para nuestro país debemos de tomar como punto de partida la Ley 8292.Definición de Control Interno:

De acuerdo al Libro que tenemos como guía “Manual práctico de Control Interno” en sus pagina 36 menciona la definición proporcionada en el manual de control interno (Internal Control-Integrated Framework) de 1992 publicado por COSO:

“Proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonables en cuanto a la consecución de los objetivos dentro de la siguientes categorías:

  • Eficacia y eficiencia de las operaciones.
  • Fiabilidad de la información financiera.
  • Cumplimiento de las leyes y normas aplicables. “

Cabe mencionar que COSO son las siglas del Committee of Sponsoring Organizations of the Treadway Commission (Comité de Patrocinadores de la Comisión Treadway), que patrocinó el informe de investigación de los Estados Unidos titulado Control interno – Marco Integrado que fue publicado en 1992, teniendo como punto de partida una referencia formal para el CI.

coso-2013-rvv

En el 2013 se publica el MARCO COSO 2013, ojo que no es el COSO 3 como muchos lo llaman, dentro de este Marco la definición del Control Interno no cambio.Otra definición de Control Interno:

Ahora bien, de acuerdo a la normativa que tenemos dentro de la norma: N-2-2009-CO-DFOE Normas de Control Interno, en el glosario al ubicar el concepto de control interno nos pide que veamos el concepto de Sistema de Control Interno (SCI) por lo tanto cito:

Sistema de Control Interno (SCI): También denominado “control interno”. Comprende la serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización, fundamentalmente en las siguientes categorías: a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; b) Confiabilidad y oportunidad de la información; c) Eficiencia y eficacia de las operaciones; y d) Cumplir con el ordenamiento jurídico y técnico.Componentes del Control Interno:

Basado en los estándares internacionales que se establecieron con el COSO, el Sistemas de Control Interno va a caracterizarse por cinco componentes de vital importancia:

  • Entorno de control (Control enveronment)
  • Evaluación de riesgos (Risk assessment)
  • Activación de control (Control Activities)
  • Información y comunicación (Information & Communication)
  • Actividades de seguimiento (Monitoring)

Estos cinco componentes que se mencionan, vienen a ser analógicamente como las fases de aplicación del Control Interno para un escenario ideal dentro de la compañía.

En nuestro caso para Costa Rica cada uno de estos cinco componentes se ven aún más desmenuzados en cada uno de sus capítulos de la Normas de Control Interno N-2-2009-CO-DFEO:

  • Entorno de control (Capítulo II)
  • Evaluación de riesgos (Capítulo III)
  • Activación de control (Capítulo IV)
  • Información y comunicación (Capítulo V)
  • Actividades de seguimiento (Capítulo VI)

Podríamos resumir al Control interno como:

Partiendo de la premisa de la necesidad de un ambiente donde controlamos el mismo, nos lleva a pensar en la tarea periódica de poder medir la posibilidad de ver materializado un riesgo razón por la cual son necesarias las actividades de control. No podemos dejar de lado como auditores la necesidad de comunicar e informar los análisis a los cuales nos llevan el apego de las normas, leyes, etc y sin duda procurar darle seguimiento al accionar de la administración.

Por los datos mencionados es que nace el Control Interno, un eje de la Auditoría que podemos ubicar en cada uno de los elementos del Universo Auditable con el propósito de buscar una seguridad razonable en las instituciones. By. RVV

 

 

Auditoría de Sistemas

  • Debemos partir de lo esencial, una definición para el término de Auditoría:

La Auditoría es una función de dirección que de forma independiente procura analizar, estudiar, apreciar y evaluar, con vistas a las eventuales acciones correctivas (ojala preventivas), tomando como base el control interno de las organizaciones que procura garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión. RV2

Siendo Costa Rica el lugar donde me desarrollo laboralmente debo de tomar como fuente las normativas establecidas por la Contraloría General de la Republica, siendo preciso la N-2-2009-CO-DFOE Normas de Control Interno –Sector Publico en donde menciona la definición del termino Auditoría Interna:

“… Es la actividad independiente, objetiva, asesora y que proporciona seguridad al ente u órgano, puesto que se crea para agregar valor y mejorar sus operaciones. Contribuye a que se alcancen los objetivos institucionales mediante la práctica de un enfoque sistémico y profesional para evaluar y mejorar la efectividad de la administración del riesgo, del control y de los procesos de dirección en las instituciones y órganos…”

Ahora bien, debemos de tener como parámetro una definición mundial para complementar con lo cual tomo como base la que nos da el Instituto de Auditores Internos (The Institute of Internal Audit – IIA):

“Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. “

Como podemos ver ambas muy similares en esencia.

Dentro de la auditoría tenemos un concepto que se conoce como el Universo Auditable (Conjunto de elementos susceptibles de la prestación de los servicios de la auditoría interna dentro de su ámbito de competencia institucional R-DC-119-2009 Norma para el ejercicio de la Auditoría Interna en el Sector Público), este va a estar compuesto por la diferentes áreas que forman parte de la organización o institución una de ellas muy actual y determinante desde mi punto de vista son las Tecnologías de Información, es decir los departamentos de T.I.

  • Vamos a definir que es la Auditoria de Sistemas

También conocida como Auditoría de T.I. o Auditoría Informática, siendo parte esencial del universo auditable teniendo como objetivo evaluar sistemas informáticos en forma integral, los procedimientos y seguridad de los equipos electrónicos o hardware así como los programas o software que posea la empresa sean propios o de modalidad de servicios físicos o virtuales. De igual forma viene a ser el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos

Fuentes:

The Institute of Internal Auditors: https://na.theiia.org/Pages/IIAHome.aspx

Contraloría General de la Republica de C.R.: https://www.cgr.go.cr/