Este documento resume dos modelos de control interno: COSO y COBIT. COSO proporciona un marco de referencia para evaluar y mejorar los sistemas de control interno de una organización. Se enfoca en los objetivos de eficiencia operativa, reporte financiero confiable y cumplimiento normativo. COBIT ofrece guías detalladas similares para TI, centrándose en los procesos y controles necesarios para satisfacer los requerimientos de la organización. Ambos modelos buscan ayudar a las empresas a mejorar sus controles internos.
3. Qué significa COSO?
C ommittee
Of 92
19
S ponsoring
O rganizations
(of the Treadway Commission)
3
4. Objetivos del Informe COSO
Establecer una definición común
del CONTROL INTERNO
“Marco de Referencia”
Informe
Proporcionar el “marco” para que
COSO cualquier tipo de organización pueda
evaluar sus SISTEMAS DE CONTROL
y decidir cómo mejorarlos
Ayudar a la dirección de las empresas
a mejorar el CONTROL DE LAS
ACTIVIDADES de sus organizaciones
4
5. Definición de Control
Interno En qué
Qué? Para Qué? niveles?
Eficacia y Eficiencia
CONTROL Proporcionar en las Operaciones
INTERNO un grado de
seguridad
Confiabilidad de la
Proceso efectuado razonable en Información Financiera
por la Dirección, cuanto a la
la alta gerencia y consecución
el resto Cumplimiento con las
del personal
de objetivos leyes y normas que
cia
fica
sean aplicables
E
5
6. Los 3 Objetivos del
Control Interno
Eficacia y Eficiencia
en las Operaciones
Confiabilidad de la
Información Financiera
Cumplimiento con las leyes y
normas que sean aplicables
6
7. • EFICACIA: Capacidad de alcanzar las
metas y/o resultados propuestos.
• EFICIENCIA: Capacidad de producir el
máximo de resultados con el mínimo de
recursos, energía y tiempo. Se refiere
Eficacia y básicamente a los objetivos
Eficiencia empresariales:
en las • Rendimiento y rentabilidad
Operaciones • Salvaguarda de los recursos
7
8. Los 3 Objetivos del
Control Interno
Eficacia y Eficiencia
en las Operaciones
Confiabilidad de la Cumplimiento
Información Financiera SOX
Cumplimiento con las leyes y
normas que sean aplicables
8
9. Los 3 Objetivos del
Control Interno
• Elaboración y publicación de Estados
Financieros confiables, estados
Confiabilidad contables intermedios y toda otra
de la información que deba ser publicada.
información
financiera • Abarca también la información de
gestión de uso interno.
9
10. Los 3 Objetivos del
Control Interno
Eficacia y Eficiencia
en las Operaciones
Confiabilidad de la
Información Financiera
Cumplimiento con las leyes y
normas que sean aplicables
10
11. Los 3 Objetivos del
Control Interno
• Cumplimiento con aquellas leyes y
normas a las cuales está sujeta la
organización. De esta forma logra evitar:
Cumplimiento • Efectos perjudiciales para la
con las leyes reputación de la organización.
y normas
• Contingencias.
que sean
aplicables • Otros eventos de pérdidas y
demás consecuencias negativas.
11
13. El Control Interno - COSO
Committee of Sponsoring Organizations
of the Treadway Commission
Eficacia y
Eficiencia Cumplimiento
en las con las Leyes
Operaciones y Normas
Aplicables
Cumplimiento
SOX
Confiabilidad
de la
Información
que se Publica
13
15. Un adecuado Ambiente de Control se
verifica por medio de 7 aspectos:
Ambiente de Control
1. Integridad y valores éticos
2. Compromiso de competencia profesional
3. Filosofía de dirección y el estilo de gestión
4. Estructura Organizacional
5. Asignación de autoridad y responsabilidad
6. Políticas y Prácticas de Recursos Humanos
7. Consejo de Administración / Comité de Auditoría
15
17. Un adecuado Análisis de Riesgo se
verifica por medio de 4 aspectos:
Análisis de Riesgo
1. Objetivos Organizacionales Globales
2. Objetivos asignados a cada Actividad
3. Identificación de Riesgos
4. Administración del Riesgo y Cambio
17
19. COSO reconoce los siguientes tipos de
Actividades de Control
Actividades de Control:
1. Análisis efectuados por la dirección
2. Administración directa de funciones por
actividades
3. Proceso de información
4. Controles físicos contra los registros
5. Indicadores de rendimiento
6. Segregación de funciones
7. Políticas y procedimientos 19
21. Evaluación adecuada de los mecanismos de
información:
1. La información interna y externa provee a la Dirección los
reportes necesarios para el establecimiento de objetivos
Información
organizacionales
2. Es proporcionada información a las personas adecuadas con
suficiente detalle y oportunidad para cumplir con sus
responsabilidades
3. Los Sistemas de Información están basados en un “plan
estratégico” (vinculados a la estrategia global de la
organización)
4. Apoyo de la dirección al desarrollo de los sistemas de
información necesarios (aporte de los recursos adecuados,
tanto humanos como financieros) 21
22. Evaluación adecuada de los mecanismos
de Comunicación:
1. La Comunicación al personal, es eficaz en la descripción de
Comunicación
sus funciones y responsabilidades con respecto al control
Interno.
2. El establecimiento de canales de comunicación para la
denuncia de posibles actos indebidos.
3. La Alta Dirección es receptiva a sugerencias de los
empleados.
4. La comunicación a través de toda la empresa es efectiva.
5. Seguimiento oportuno y adecuado de la dirección de la
información obtenida de clientes, proveedores, organismos
de control y otros terceros.
22
24. EVALUACION DE LA SUPERVISIÓN y MONITOREO
Supervisión Continua
Monitoreo y Supervisión
1. En qué medida obtiene el personal -al realizar sus
actividades habituales- evidencia del buen funcionamiento
del sistema de control interno?.
2. En qué medida las comunicaciones de 3ros. corroboran la
información generada internamente o advierten problemas?
3. Comparaciones periódicas de importes registrados contra
los activos físicos.
4. Receptividad ante las recomendaciones de auditores
internos y externos.
5. Grado de comprensión del personal sobre los códigos de
ética y conducta (ver si se hacen encuestas periódicas).
6. Eficacia de las actividades de Auditoría Interna. 24
25. Evaluación periódica puntual
Monitoreo y Supervisión
1. Alcance y frecuencia
2. El proceso de evaluación es el ideal? (si se hace bien)
3. La metodología para evaluar el sistema de controles
internos es lógica y adecuada?
4. Adecuación de las muestras, son significativas y como está
la calidad de la documentación examinada.
La Comunicación de las Deficiencias
1. Mecanismos para recoger y comunicar cualquier deficiencia
detectada en el control interno.
2. Los procedimientos de comunicación son los ideales.
3. Las acciones de seguimiento y mejora continua del sistema
25
de Controles Internos son las correctas.
26. Preguntas y
Respuestas
BDO México
Av. Ejercito Nacional No. 904 Piso 12
Polanco los Morales CP 11510
México, D.F.
Telefono: (55) 5901 3953
E-mail: jvalencia@bdo-mexico.com
26
27. Modelo de Control Interno
CoBIT
Juan Antonio Segura González, CISA, CISM
27
28. ¿Qué es CoBIT?
“CoBIT (Objetivos de Control para Tecnología de
Informacion), es un modelo estructurado,
lógico de mejores practicas de
Tecnología de Información, definidas por
un consenso de expertos en todo el
mundo en aspectos técnicos, seguridad,
riesgos, calidad y control”
28
30. Componentes CoBIT
Dominios
CoBIT
(PO) (AI) (DS)
(M)
Planear y Adquirir e Entrega y
Monitoreo
Organizar Implementar Soporte
El control de
Procesos de TI
Que satisfacen
Requerimientos
de la Institución
Siendo habilitados por
Esquemas
de Control
y considera
Prácticas
de Control
30
31. La relación entre COSO y CoBIT
Objetivos de Control CoBIT
Si bien COSO identifica
Si bien COSO identifica
cinco componentes de control
Componentes COSO
cinco componentes de control
interno, que deberán estar
interno, que deberán estar
integrados para alcanzar los
integrados para alcanzar los
objetivos de reporte
objetivos de reporte
financiero y su divulgación,
financiero y su divulgación,
CoBIT proporciona una guía
CoBIT proporciona una guía
detallada similar para TI.
detallada similar para TI.
31
34. Enfoque de Control
Administración
Corporativa
Controles a Nivel
Controles a Nivel
Gobierno de TI
Gobierno de TI
Controles de
Controles de
•• Estructura Procesos Procesos Procesos Procesos Aplicación
Aplicación
Estructura
•• Políticas
Políticas de de de de
Corporativas
Corporativas Negocio Negocio Negocio Negocio •• Totalidad
Totalidad
•• Procedimientos
Procedimientos •• Exactitud
Exactitud
(Finanzas) (Manufactura) (Logística) (Etc.) •• Validación
Validación
•• Autorización
Autorización
Controles
Controles •• Separación de
Separación de
Generales de TI
Generales de TI funciones
funciones
•• Desarrollo y
Desarrollo y
cambios a
cambios a
programas
Servicios de Infraestructura de TI
programas (Bases de datos, Sistemas Operativos, Telecomunicaciones,
•• Desarrollo e
Desarrollo e Red, Etc.)
Implementación
Implementación
•• Operación de
Operación de
cómputo
cómputo
•• Acceso a
Acceso a Si bien CoBIT proporciona controles que se refieren aalos objetivos operativos yyde
Si bien CoBIT proporciona controles que se refieren los objetivos operativos de
Programas y Datos
Programas y Datos ejecución, relacionados directamente con el reporte financiero, también se pueden
ejecución, relacionados directamente con el reporte financiero, también se pueden
considerar otros lineamientos de control de TI, incluyendo ISO 17799 yy el
considerar otros lineamientos de control de TI, incluyendo ISO 17799 el
“Information Technology Infrastructure Library” ( (ITIL).
“Information Technology Infrastructure Library” ITIL).
34
36. Ejemplo …
2 Yes
1 3 3
1
4
2
1
1
ACTIVIDAD A ACTIVIDAD B ACTIVIDAD C Error? No ACTIVIDAD D 2
Yes (goes back to analyst who corrects any error and submits for approval)
SAP transaction: 5
GS02
4
6
2 ACTIVIDAD E Error? No ACTIVIDAD F 3
NOMENCLATURA
NOMENCLATURA yes
9
7
10 9 11
8
Riesgo 3 ACTIVIDAD G ACTIVIDAD H Error?
2
No ACTIVIDAD I ACTIVIDAD J ACTIVIDAD K 4
C1ontrol 8
1
Interfases 2
4 ACTIVIDAD L End
3 12
36