Adoptando los modelos de

control interno COSO y CoBIT

1
Modelo de Control Interno
COSO
Dr. Ing. Jorge Valencia del Toro

2
 Qué significa COSO?

C ommittee
Of 9 2
19
S ponsoring
O rganizations
(of the Treadway Commission)
3
 Objetivos del Informe COSO
Establecer una definición común
del CONTROL INTERNO
“Marco de Referencia”
Informe
Proporcionar el “marco” para que
COSO cualquier tipo de organización pueda
evaluar sus SISTEMAS DE CONTROL
y decidir cómo mejorarlos

Ayudar a la dirección de las empresas

a mejorar el CONTROL DE LAS
ACTIVIDADES de sus organizaciones

4
 Definición de Control
Interno En qué
Qué? Para Qué? niveles?

Eficacia y Eficiencia
CONTROL Proporcionar en las Operaciones
INTERNO un grado de
seguridad
Confiabilidad de la
Proceso efectuado razonable en Información Financiera
por la Dirección, cuanto a la
la alta gerencia y consecución
el resto Cumplimiento con las
del personal
de objetivos leyes y normas que
c ia
f i ca sean aplicables
E
5
Los 3 Objetivos del
Control Interno
Eficacia y Eficiencia
en las Operaciones

Confiabilidad de la
Información Financiera

Cumplimiento con las leyes y

normas que sean aplicables

6
 • EFICACIA: Capacidad de alcanzar las
metas y/o resultados propuestos.

• EFICIENCIA: Capacidad de producir el

máximo de resultados con el mínimo de
recursos, energía y tiempo. Se refiere
Eficacia y básicamente a los objetivos
Eficiencia empresariales:
en las • Rendimiento y rentabilidad
Operaciones • Salvaguarda de los recursos

7
Los 3 Objetivos del
Control Interno
Eficacia y Eficiencia
en las Operaciones

Confiabilidad de la Cumplimiento
Información Financiera SOX

Cumplimiento con las leyes y

normas que sean aplicables

8
 Los 3 Objetivos del
Control Interno

• Elaboración y publicación de Estados

Financieros confiables, estados
Confiabilidad contables intermedios y toda otra
de la información que deba ser publicada.
información
financiera • Abarca también la información de
gestión de uso interno.

9
Los 3 Objetivos del
Control Interno

Eficacia y Eficiencia
en las Operaciones

Confiabilidad de la
Información Financiera

Cumplimiento con las leyes y

normas que sean aplicables
10
 Los 3 Objetivos del
Control Interno
• Cumplimiento con aquellas leyes y
normas a las cuales está sujeta la
organización. De esta forma logra evitar:

Cumplimiento • Efectos perjudiciales para la

con las leyes reputación de la organización.
y normas
• Contingencias.
que sean
aplicables • Otros eventos de pérdidas y
demás consecuencias negativas.
11
Los 5 Componentes
interrelacionados
del Control Interno
12
 El Control Interno - COSO
Committee of Sponsoring Organizations
of the Treadway Commission

Eficacia y
Eficiencia Cumplimiento
en las con las Leyes
Operaciones y Normas
Aplicables

Cumplimiento
SOX
Confiabilidad
de la
Información
que se Publica

13
Los 5 Componentes del
Control Interno

14
 Un adecuado Ambiente de Control se
verifica por medio de 7 aspectos:
Ambiente de Control

1. Integridad y valores éticos

2. Compromiso de competencia profesional
3. Filosofía de dirección y el estilo de gestión
4. Estructura Organizacional
5. Asignación de autoridad y responsabilidad
6. Políticas y Prácticas de Recursos Humanos
7. Consejo de Administración / Comité de Auditoría
15
Los 5 Componentes del
Control Interno

16
 Un adecuado Análisis de Riesgo se
verifica por medio de 4 aspectos:
Análisis de Riesgo

1. Objetivos Organizacionales Globales

2. Objetivos asignados a cada Actividad

3. Identificación de Riesgos
4. Administración del Riesgo y Cambio

17
Los 5 Componentes del
Control Interno

18
 COSO reconoce los siguientes tipos de
Actividades de Control

Actividades de Control:
1. Análisis efectuados por la dirección
2. Administración directa de funciones por
actividades
3. Proceso de información
4. Controles físicos contra los registros
5. Indicadores de rendimiento
6. Segregación de funciones
7. Políticas y procedimientos 19
Los 5 Componentes del
Control Interno

20
 Evaluación adecuada de los mecanismos de
información:
1. La información interna y externa provee a la Dirección los
reportes necesarios para el establecimiento de objetivos
Información

organizacionales
2. Es proporcionada información a las personas adecuadas con
suficiente detalle y oportunidad para cumplir con sus
responsabilidades
3. Los Sistemas de Información están basados en un “plan
estratégico” (vinculados a la estrategia global de la
organización)
4. Apoyo de la dirección al desarrollo de los sistemas de
información necesarios (aporte de los recursos adecuados,
tanto humanos como financieros) 21
 Evaluación adecuada de los mecanismos
de Comunicación:
1. La Comunicación al personal, es eficaz en la descripción de
Comunicación

sus funciones y responsabilidades con respecto al control

Interno.
2. El establecimiento de canales de comunicación para la
denuncia de posibles actos indebidos.
3. La Alta Dirección es receptiva a sugerencias de los
empleados.
4. La comunicación a través de toda la empresa es efectiva.
5. Seguimiento oportuno y adecuado de la dirección de la
información obtenida de clientes, proveedores, organismos
de control y otros terceros.
22
Los 5 Componentes del
Control Interno

23
 EVALUACION DE LA SUPERVISIÓN y MONITOREO
Supervisión Continua
Monitoreo y Supervisión

1. En qué medida obtiene el personal -al realizar sus

actividades habituales- evidencia del buen funcionamiento
del sistema de control interno?.
2. En qué medida las comunicaciones de 3ros. corroboran la
información generada internamente o advierten problemas?
3. Comparaciones periódicas de importes registrados contra
los activos físicos.
4. Receptividad ante las recomendaciones de auditores
internos y externos.
5. Grado de comprensión del personal sobre los códigos de
ética y conducta (ver si se hacen encuestas periódicas).
6. Eficacia de las actividades de Auditoría Interna. 24
 Evaluación periódica puntual
Monitoreo y Supervisión

1. Alcance y frecuencia
2. El proceso de evaluación es el ideal? (si se hace bien)
3. La metodología para evaluar el sistema de controles
internos es lógica y adecuada?
4. Adecuación de las muestras, son significativas y como está
la calidad de la documentación examinada.

La Comunicación de las Deficiencias

1. Mecanismos para recoger y comunicar cualquier deficiencia
detectada en el control interno.
2. Los procedimientos de comunicación son los ideales.
3. Las acciones de seguimiento y mejora continua del sistema
25
de Controles Internos son las correctas.
 Preguntas y
Respuestas

BDO México
Av. Ejercito Nacional No. 904 Piso 12
Polanco los Morales CP 11510
México, D.F.
Telefono: (55) 5901 3953
E-mail: jvalencia@bdo-mexico.com

26
 Modelo de Control Interno
CoBIT
Juan Antonio Segura González, CISA, CISM

27
 ¿Qué es CoBIT?

“CoBIT (Objetivos de Control para Tecnología de

Informacion), es un modelo estructurado,
lógico de mejores practicas de
Tecnología de Información, definidas por
un consenso de expertos en todo el
mundo en aspectos técnicos, seguridad,
riesgos, calidad y control”

28
 Componentes CoBIT
ComponentesCoBIT

29
 Componentes CoBIT
Dominios
CoBIT

(PO) (AI) (DS)

(M)
Planear y Adquirir e Entrega y
Monitoreo
Organizar Implementar Soporte

El control de

Procesos de TI
Que satisfacen

Requerimientos
de la Institución
Siendo habilitados por

Esquemas
de Control
y considera

Prácticas
de Control
30
 La relación entre COSO y CoBIT
Objetivos de Control CoBIT

Si
Sibien
bienCOSO
COSOidentifica
identifica
cinco
cincocomponentes
componentesde decontrol

Componentes COSO
control
interno,
interno,que
quedeberán
deberánestar
estar
integrados
integradospara
paraalcanzar
alcanzarlos
los
objetivos
objetivosde
dereporte
reporte
financiero
financieroyysu
sudivulgación,
divulgación,
CoBIT
CoBITproporciona
proporcionauna
unaguía
guía
detallada
detalladasimilar
similarpara
paraTI.
TI.

31
Marco de referencia …

32
Marco de referencia

33
 Enfoque de Control
Administración
Corporativa
Controles
Controles aa Nivel
Nivel
Gobierno
Gobierno de TI
de TI
Controles
Controles de
de
•• Estructura Procesos Procesos Procesos Procesos Aplicación
Aplicación
Estructura
•• Políticas
Políticas de de de de
Corporativas
Corporativas Negocio Negocio Negocio Negocio •• Totalidad
Totalidad
•• Procedimientos
Procedimientos •• Exactitud
Exactitud
(Finanzas) (Manufactura) (Logística) (Etc.) •• Validación
Validación
•• Autorización
Autorización
Controles
Controles •• Separación
Separación de
de
Generales
Generales de
de TI
TI funciones
funciones
•• Desarrollo
Desarrollo yy
cambios
cambiosaa
programas
Servicios de Infraestructura de TI
programas (Bases de datos, Sistemas Operativos, Telecomunicaciones,
•• Desarrollo
Desarrollo ee Red, Etc.)
Implementación
Implementación
•• Operación
Operación dede
cómputo
cómputo
•• Acceso
Accesoaa SiSibien
bienCoBIT
CoBITproporciona
proporcionacontroles
controlesque
queseserefieren
refierenaalos
losobjetivos
objetivosoperativos
operativosyyde
de
Programas
ProgramasyyDatos
Datos ejecución, relacionados directamente con el reporte financiero, también se pueden
ejecución, relacionados directamente con el reporte financiero, también se pueden
considerar
considerar otros
otros lineamientos
lineamientos dede control
control dede TI,
TI, incluyendo
incluyendo ISO
ISO 17799
17799 yy elel
“Information
“InformationTechnology
TechnologyInfrastructure
InfrastructureLibrary”
Library”( (ITIL).
ITIL).
34
 Ejecución

9
8

7
3 5

6
2
4
1

35
 Ejemplo …
2 Yes

1 3 3
1
4
2
1
1
ACTIVIDAD A ACTIVIDAD B ACTIVIDAD C Error? No ACTIVIDAD D 2

Yes (goes back to analyst who corrects any error and submits for approval)
SAP transaction: 5
GS02
4
6
2 ACTIVIDAD E Error? No ACTIVIDAD F 3

NOMENCLATURA
NOMENCLATURA yes

9
7
10 9 11
8
Riesgo 3 ACTIVIDAD G ACTIVIDAD H Error?
2
No ACTIVIDAD I ACTIVIDAD J ACTIVIDAD K 4

C1ontrol 8
1

Interfases 2
4 ACTIVIDAD L End

3 12

36
Ejemplo …

37
Ejemplo …

38
 Controles Generales de TI

39
 Preguntas y Respuestas

ISACA Capítulo Ciudad de México

Vicepresidente
E-mail jsegura@isaca.org.mx
Nextel. 1089-4004

40
 Muchas Gracias
Juan Antonio Segura González, CISA, CISM
Dr. Ing. Jorge Valencia del Toro

41