Modelo 1: COSO I

Modelo 1: COSO I Commitee Of Sponsoring Organizations

Objetivos del Informe COSO: 1.- Establecer una definicin comn del CI. 2.- Proporcionar el marco para que cualquier tipo de organizacin pueda evaluar sus SISTEMAS DE CONTROL y decidir cmo mejorarlos. 3.- Ayudar a la direccin de las empresas a mejorar el control de las actividades de sus organizaciones.

Definicin de Control Interno (CI), segn COSO:

Proceso efectuado por la Direccin, la alta gerencia y el resto del personal para proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos.

Los objetivos del CI, segn Coso, son los siguientes: 1. Eficacia y eficiencia en las operaciones. 2. Confiabilidad de la informacin financiera. 3. Cumplimiento con las leyes y normas que sean aplicables.

Componentes del Control Interno:

Ambiente

de Control. Anlisis de Riesgo Actividades de Control Sistemas de Informacin y Comunicacin Monitoreo.

Ambiente de Control

Determina el estilo de una Empresa e influye en la conciencia de control de los miembros de ella. Es la base de todos los otros componentes del CI Aportando disciplina y estructura. Incide en la manera como: Se estructuran las actividades del negocio. Se asigna autoridad y responsabilidad. Se organiza y desarrolla la gente. Se comparten y comunican los valores y creencias. El personal toma conciencia de la importancia del control.

Elementos o factores del Ambiente de Control: Integridad y valores ticos. Compromiso de competencia. Polticas prcticas de Recursos Humanos. Filosofa de la administracin y estilo de operar. Estructura organizacional. Asignacin de autoridad y responsabilidad. Participacin del Directorio y del Comit de Auditora.

Evaluacin de Riesgos

Toda empresa enfrenta una variedad de riesgos provenientes de fuentes externas e internas. Es la Gerencia quien debe evaluar estos riesgos. Para esto la gerencia debe establecer objetivos generales y especficos, e identificar y analizar los riesgos de que dichos objetivos NO se logren o afecten su capacidad para a) Salvaguardar sus bienes y recursos. b) Mantener ventaja ante la competencia. c) Construir y conservar su imagen. d) Incrementar y mantener su solidez financiera. e) Mantener su crecimiento.

Objetivos del anlisis de riesgo:

Representar la orientacin bsica de todos los recursos y esfuerzos . Proporciona una base slida para un CI efectivo. Establecer las bases para determinar cmo se deben administrar dichos riesgos. Ayuda a que dichos riesgos sean identificados y medidos. La categora de los objetivos son: a) Objetivos de Cumplimiento, dirigidos a cumplir leyes y reglamentos, as como tambin a las polticas emitidas por la administracin. b) Objetivos de Operacin, aquellos relacionados con la efectividad y eficiencia del las operaciones de la empresa. c) Objetivos de Informacin financiera, se refiere a la obtencin de informacin financiera confiable.

Componentes del enfoque de riesgos:

Tipificacin de los riesgos Medicin cuantitativa y peridica Definicin de polticas por cada riesgo. Establecer lmites por riesgo Personal calificado de la administracin a cargo de cada riesgo. Elementos de atenuacin de los riegos. Sistema de comunicacin a la lnea de los riesgos detectados, como medio de autocontrol y prevencin. Comit de Riesgos, cuando corresponda. Control independiente de auditora interna y tambin externa.

Actividades de Control Son las polticas y procedimientos que ayudan a asegurar que las directrices de la administracin son ejecutadas. Las actividades de control pueden ser: automatizadas, manuales, semi-automticas. Son aplicadas a diversos niveles de organizacionales y funcionales.

Las actividades de control relevantes son: a) Revisin de cumplimiento de controles. b) Procesamiento de informacin. c) controles fsicos. d) Segregacin de funciones.

Sistemas de informacin y comunicacin

Su objetivo es identificar, recopilar y comunicar informacin pertinente para que cada empleado cumpla con sus responsabilidades. Los sistemas de informacin generan informes que contienen informacin operativa y Financiera. La calidad de la informacin es muy importante porque afecta la capacidad de la direccin de tomar decisiones adecuadas al gestionar y controlar las actividades de la empresa.

 Para

obtener informacin de calidad nos debemos preguntar: 1. Contiene toda la informacin necesaria? 2. Facilita el tiempo para la toma de desiciones? 3. Es la ms reciente disponible? 4.Los datos son correctos? 5.Puede ser obtenida facilmente?

Comunicacin interna Cada funcin concreta ha de especificarse con claridad. Cada trabajador tiene que entender los aspectos relevantes del sistema CI, es decir, como funcionan los controles de su rea, con qu otras reas se relaciona, cual es su papel y responsabilidad en el sistema de control implementado, saber como sus actividades estn relacionadas con el trabajo de los dems. Con esto se logra eficiencia, calidad, y logro de los objetivos.

 Comunicacin

Externa Los clientes y proveedores pueden aportar informacin de gran valor sobre el diseo y la calidad de los productos o servicios de la Empresa, permitiendo que la empresa responda a los cambios y preferencias de los clientes.

Monitoreo

Es un proceso que comprueba, evala, realiza seguimiento al funcionamiento correcto del sistema de C.I. a lo largo del tiempo. Esto se consigue: a. Mediante actividades de supervisin continua. b. Evaluaciones peridicas o c. Una combinacin de ambas.

Es la administracin quien monitorea los controles en una empresa. La evaluacin del Control Interno forma parte de las funciones normales de A. Interna. El evaluador debe analizar el diseo del sistema de C.I de acuerdo a los criterios establecidos y los resultados de las pruebas realizadas, con el objeto de determinar si el sistema ofrece una seguridad razonable respecto de los objetivos establecidos.

Modelo 1: COCO
Criteria

of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.

El

informe COCO es producto de una profunda revisin del Comit de Control de Canad sobre el reporte COSO.

 Propsito:

Hacer el planteamiento de un informe ms sencillo y comprensible. Proporciona un Marco de referencia a travs de 20 criteriosgenerales.

Concepto de Control Interno: -Incluye aquellos elementos de una organizacin (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organizacin: Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, as como con las polticas internas. El costo del control deber ser proporcional a los beneficios esperados

 Ciclo

del entendimiento bsico: 1. Propsito 2. Compromiso 3. Aptitud 4. Evaluacin (Auto) y Aprendizaje

Propsito (sentido de direccin de la empresa)

1. Los objetivos deben ser establecidos y comunicados.

2. Riesgos internos y externos significativos deben ser indentificados y evaluados. 3. Las polticas para apoyar el logro de los objetivos de una empresa y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, para que el personal entienda lo que se espera de l. 4. Los objetivos y los planes relativos deben incluir metas, parmetros eindicadores de medicin del desempeo.

Compromiso (sentido de identidad y valores de la empresa) 1. Deben establecerse, comunicarse y ponerse en prctica valores ticos compartidos, incluyendo la integridad. 2. Las polticas y prcticas sobre RRHH deben ser consistentes con los valores ticos de la empresa. y con el logro de sus objetivos. 3. La autoridad, la responsabilidad y la obligacin de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la empresa, de tal forma se tomen las decisiones y acciones por el personal apropiado. 4. Debe fomentarse una atmsfera de mutua confianza para apoyar el flujo de la informacin entre el personal y para su efectivo desempeo hacia el logro de los objetivos.

Aptitud (sentido de competencia o aptitud de la empresa) 1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la empresa. 2. El proceso de comunicacin debe apoyar los valores de la empresa y el logro de sus objetivos. 3. Debe ser identificada y comunicada informacin suficiente y relevante de manera oportuna, para posibilitar al personal a desempear las responsabilidades asignadas. 4. Deben coordinarse las decisiones y acciones de las diferentes partes de la empresa. 5. Las actividades de control deben disearse como parte integral de la empresa, tomando en consideracin sus objetivos, los riesgos para su cumplimiento y la interrelacin de los elementos de control.

Evaluacin y Aprendizaje (sentido de evolucin de la organizacin) 1. El ambiente externo e interno debe ser monitoreado para obtener informacin que pueda sealar la necesidad de revaluar los objetivos de la empresa o el control. 2. El desempeo debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la empresa. 3. Las premisas consideradas para los objetivos de la empresa deben cuestionarse. 4. Las necesidades de informacin y los sistemas de informacin relativos deben re evaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la informacin reportada. 5. Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos. 6. Se debe evaluar peridicamente el sistema de control e informar de los resultados.

 Criterios

de Control * Son la base para entender el control de una empresa. * Estn planteados como metas a cumplir permanentemente.

La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de negocios. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association).

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin.

La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado.

PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.

 ADQUISION

E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

MONITOREO: Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

USUARIOS: La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

PRINCIPIOS

El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio: Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

 EFECTIVIDAD

La

informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

 EFICIENCIA

Se

debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica).

 CONFIABILIDAD

proveer

que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

la informacin apropiada para

 CUMPLIMIENTO

de

las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

CONFIDENCIALIDAD
Proteccin

contra divulgacin no autorizada.

de la informacin sensible

INTEGRIDAD
Refiere

a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.

TECNOLOGA
incluye

hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

INSTALACIONES
Incluye

y dar soporte a los sistemas de informacin.

los recursos necesarios para alojar

RECURSO HUMANO
Por

la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin, o de procesos de TI.

(COBIT), define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber: - Planificacin y organizacin - Adquisicin e implantacin - Soporte y Servicios - Monitoreo

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. En conjunto, estos dominios y los objetivos de control, facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la Tecnologa de Informacin, tales como: datos, sistemas de aplicacin, tecnologa (plataformas), instalaciones y el recurso humano.