MODELOS DE CONTROL INTERNO

INTRODUCCIN En los ltimos aos, a consecuencia de los numerosos problemas detectados en las entidades de corrupcin y fraudes, que han involucrado hasta corporaciones internacionales, se ha fortalecido e implementado el Control Interno en diferentes pases, ya que se han percatado de que este no es un tema reservado solamente para contadores sino que es una responsabilidad tambin de los miembros de los Consejos de Administracin de las diferentes actividades econmicas de cualquier organizacin o pas. La presente investigacin data de los modelos de control aplicados a la auditora informtica, ya que los modelos de control son informes que permiten seguir las pautas para la elaboracin de los sistemas de control interno, a continuacin se describen algunos modelos como son el COSO, el COCO, el CADBURY, el COBIT, el TURNBULL y el AEC por mencionar algunos, ya que existen muchos ms modelos. PANORMICA DE MODELOS DE CONTROL -Marcos de referencia (comunidades) para clasificar los modelos de control segn Philip L. Campbell. Comunidad de Objetivos de Control Se basan en el concepto de objetivo de control: Control: Las polticas, procedimientos, prcticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarn y que los eventos no deseados se evitarn o detectarn y corregirn. Objetivo de control: Una declaracin de que el resultado o propsito deseado se alcanzar al implantar mecanismos de control en una actividad particular de tecnologa de informacin Comunidad de Principios Se basan en la nocin de principios como rendicin de cuentas, concientizacin, equidad y tica. Comunidad de Madurez de la Capacidad Se basa en la nocin del modelo de madurez, cuyo nico miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM).

La teora es que una organizacin cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y slo en forma secundaria en el producto.

ANTECEDENTES Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995. MODELO COSO CONTROL Cualquier medida que tome la direccin, el Consejo y otros, para mejorar la gestin de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La direccin planifica, organiza y dirige la realizacin de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarn los objetivos y metas. CONCEPTO DE CONTROL INTERNO Proceso llevado a cabo por el Consejo de Administracin, la Gerencia y otro personal de la Organizacin, diseado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organizacin clasificados en: Efectividad y eficiencia de las operaciones Confiabilidad de la informacin financiera Cumplimiento con las leyes, reglamentos, normas y polticas CARACTERSTICAS Medio para alcanzar un fin, no un fin en s mismo. No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organizacin. Forma parte de los procesos bsicos de la administracin -planeacin ejecucin y monitoreo y se encuentra integrado en ellos. Los controles deben construirse Dentro de la infraestructura de la organizacin y no Sobre ella. Es efectuado por personas. No es solamente un conjunto de manuales de polticas y procedimientos, sino son personas en cada nivel de la organizacin. Es ejecutado por la gente de una organizacin a travs de lo que hace y dice. La gente disea los objetivos de la Entidad y establece los mecanismos de control.

 Afecta las acciones del personal, sealndole sus responsabilidades y lmites de autoridad, as como la vinculacin entre sus deberes y la forma en que los desempean. La alta direccin es responsable de la existencia de un eficiente sistema de control. Los Directores tienen la obligacin de la vigilancia del control adems de que proporcionan directrices y aprueban ciertas transacciones y polticas. Cada individuo dentro de la organizacin tiene algn rol respecto al control interno. No existe sistema infalible. Ningn sistema har por siempre lo que se espera que haga. No importa lo bien diseado y operado que sea un sistema de control; lo ms que puede esperarse es que proporcione seguridad razonable. El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos. Limitaciones del control: Errores por falta de capacidad para ejecutar las instrucciones Errores de juicio en la toma de decisiones. Errores por mala interpretacin, negligencia, distraccin o fatiga. Inobservancia gerencial a las polticas o procedimientos prescritos. Colusin. Costo - beneficio. Caractersticas de los objetivos de una organizacin: Operacionales: Relacionados con el uso eficiente y eficaz de los recursos. Informacin financiera: Relacionados con la preparacin de reportes financieros confiables. Cumplimiento: Relacionados con el cumplimiento con leyes y reglamentos aplicables. MARCO INTEGRADO DE CONTROL RELACIN DE OBJETIVOS Y COMPONENTES

 Existe una relacin directa entre objetivos que la organizacin busca y los componentes que representan lo necesario para alcanzar los objetivos que la organizacin busca y los componentes que representan lo necesario para alcanzar los objetivos. AMBIENTE DE CONTROL Integridad y Valores ticos Comit de Auditora Filosofa Administrativa y Estilo de Direccin Estructura Organizacional Asignacin de Autoridad y Responsabilidad Poltica de Recursos Humanos Competencia EVALUACIN DE RIESGOS Objetivos Institucionales Objetivos Especficos Operativos Informacin Financiera Cumplimiento Anlisis de Riesgos Organizacin (Externos / Internos) Actividad Anlisis (Trascendencia / Probabilidad / Control) Manejo de Cambios ACTIVIDADES DE CONTROL Actividades de control sobre: Las operaciones La informacin financiera

 El acatamiento Tipos de Control: Preventivos / Correctivos Manuales / Automatizados Gerenciales INFORMACIN Y COMUNICACIN Sistemas de Informacin: Apoyo Actividades Estratgicas Integracin con las Operaciones Calidad Comunicacin: Interna / Externa Medios SUPERVISIN Y SEGUIMIENTO Supervisin Concurrente Evaluaciones Independientes Alcance y frecuencia Quines evalan Proceso de evaluacin Metodologa / documentacin Plan de accin Reportes de Deficiencias MODELO DE CONTROL KONTRAG (Ley de Control y Transparencia en los Negocios Alemania) Objetivo.- Mejorar a la organizacin con el fin de evitar crisis corporativas Principales elementos:

Obligacin de establecer una estructura gerencial de riesgo (encargada del control y administracin)

Anlisis y evaluacin sistemtico del riesgo Comunicacin oportuna del reconocimiento de riesgos

RESPONSABILIDADES SOBRE EL CONTROL Consejo de Administracin.- Es la instancia responsable de establecer gua, supervisin general y gobernabilidad a la organizacin Gerencia.- El Director General es el ltimo responsable y asume la propiedad del sistema de control Auditores Internos.- Evala la efectividad del sistema de control Personal.- es responsable todo el personal dependiendo de su nivel y ubicacin funcional TIPOS DE CONTROL Preventivos De actividades (repetitivas) De recursos De insumos De acceso De investigacin y desarrollo De proyectos Detectivos Concurrentes (sobre la marcha) Posteriores De resultados (actividades creativas) De operaciones De procesos - De salidas De seguridad (resguardo)

MODELO CADBURY Desarrollado por el llamado Comit Cadbury (UK Cadbury Committee). Adopta una interpretacin amplia del control. Mayores especificaciones en la definicin de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo. Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la informacin y reportes financieros. c) Cumplimiento con leyes y reglamentos Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideracin de los sistemas de informacin integrados en los otros componentes y un mayor nfasis respecto a riesgos. Limitacin en la responsabilidad de los reportes de control a la confiabilidad de los financieros MODELO COCO CONCEPTO DE CONTROL INTERNO Incluye aquellos elementos de una organizacin (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organizacin: Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, as como con las polticas internas. OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones) Servicio al cliente Salvaguarda y uso eficiente de los recursos Obtencin de beneficios Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados Confiabilidad de los reportes internos y externos

 Mantenimiento de registros contables adecuados. Confiabilidad de la informacin utilizada. Informacin publicada para terceros interesados. Cumplimiento con la normatividad y polticas internas aplicables Aseguramiento de que las actividades de la organizacin se conducen en total concordancia con el marco legal y con las polticas internas. Naturaleza del control El control debe ser realizado por el personal de toda la organizacin, quien ser responsable del diseo, establecimiento, supervisin y mantenimiento del control. El personal responsable de lograr determinados objetivos tambin deber evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluacin ante quien l es responsable. El costo del control deber ser proporcional a los beneficios esperados. El control requiere de un equilibrio entre autonoma e integracin y entre consistencia y adaptacin al cambio. Ciclo del entendimiento bsico Propsito Compromiso Aptitud Accin Evaluacin (Auto) y Aprendizaje Criterios de control Los criterios de control son la base para entender el control de una organizacin. Estn planteados como metas a cumplir permanentemente. MODELO COBIT Qu es? Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin.

Promueve el enfoque y la propiedad de los procesos. Apoya a la organizacin al proveer un marco que asegura que: La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente. Usuarios Gerencia: Apoyar decisiones de inversin en TI y control sobre su rendimiento, as como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente Auditores: Apoyar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y el control mnimo requerido. Responsables de TI: Identificar los controles que requieren. Principios Requerimientos de la Informacin del Negocio Efectividad: Informacin relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Empleo ptimo de los recursos. Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada Integridad: Informacin exacta y completa, as como vlida de acuerdo con las expectativas de la organizacin. Disponibilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo. Recursos de TI Datos: Todos los objetos de informacin interna y externa, estructurada o no, grficas, sonidos, etc.

 Aplicaciones: Sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Hardware y software bsico, sistemas op erativos, de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano: Habilidad, actitud y productividad del personal. DOMINIOS - PROCESOS Planeacin y Organizacin Definicin de un plan estratgico Definicin de la arquitectura de informacin Determinacin de la direccin tecnolgica Definicin de organizacin y relaciones Administracin de la inversin Comunicacin de las polticas Administracin de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluacin de riesgos Administracin de proyectos Administracin de la calidad Adquisicin e Implantacin Identificacin de soluciones automatizadas Adquisicin y mantenimiento del software aplicativo Adquisicin y mantenimiento de la infraestructura tecnolgica Desarrollo y mantenimiento de procedimientos Instalacin y aceptacin de los sistemas Administracin de los cambios

Servicios y Soporte

Definicin de los niveles de servicios Administracin de los servicios de terceros Administracin de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificacin y asignacin de los costos Asistencia y soporte a los clientes Administracin de la configuracin Administracin de los problemas Administracin de los datos Administracin de las instalaciones Administracin de la operacin SEGUIMIENTO Seguimiento de los procesos Evaluacin del control Interno Contratacin de un aseguramiento independiente MODELO GUA TURNBULL QU ES LA GUA TURNBULL? Es la adopcin de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad. CONTRIBUCIONES A LA AUDITORA INTERNA BENEFICIOS POTENCIALES Mayor probabilidad de lograr objetivos Mayor cobertura a largo plazo Mayor probabilidad de lograr cambios Ventajas competitivas Enfoque interno en hacer bien las cosas

 Menores costos de capital Mejores bases para establecer estrategias Reduccin de tiempo para emergencias Disminucin de sorpresas desagradables Desplazamiento oportuno a otras reas de negocios PELIGROS POTENCIALES Enfoque Insuficiente en Administracin de Riesgo Inapropiada Orientacin de riesgos Incapacidad para obtener aceptacin del gerente Sobrecarga del comit de Auditora Falta de Mecanismos de Advertencia Ignorar Controles Financieros bsicos Incremento de Burocracia Abandonarlo Demasiado tarde Demasiados Riesgos identificados MODELO AUTOEVALUACION DE CONTROLES (AEC) Proceso documentado en el que: La administracin o el equipo de trabajo se involucra directamente en una funcin. Se juzga la efectividad del proceso de control vigente. Se define si se asegura razonablemente el lograr alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de que se alcanzarn los objetivos de la organizacin.

OTROS NOMBRES Autoevaluacin de riesgo-control. Evaluacin dinmica del control.

 Co-evaluacin del control. Autoevaluacin organizacional. Autoevaluacin de proceso. Autoevaluacin de riesgos. Autoevaluacin de riesgos de la organizacin. ENTRENAMIENTO Para desarrollar la AEC se requiere capacitacin: En metodologa. En modelos de control En evaluacin de riesgos En talleres de autoevaluacin de control En redaccin. En tecnologa. BENEFICIOS PARA LA ADMINISTRACIN - Mejora de la moral del personal. - Eliminacin de atmsferas de desconfianza. - Generacin de ideas y planes de accin implantados ms all del alcance original. - Facilidad de implantacin de acciones de mejora. - Promocin de la unidad organizacional mediante la identificacin y solucin de problemas. - Realiza el papel de auditora interna. INVOLUCRAMIENTO DE LA ALTA GERENCIA Adopcin de la AEC

Conocimiento de la AEC en los niveles adecuados Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC Aceptacin, involucramiento y patrocinio de la alta gerencia en la AEC

Requisitos de la Organizacin - Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control. - Entorno libre de riesgos (no represalias) - Reconocimiento de la complejidad de la implantacin de la AEC. Requisitos del Facilitador - Ser innovador y desear tomar riesgos - Saber escuchar, comunicarse y aprender de la gente - Saber qu alcanzar y qu herramientas se necesitan - Conocer la organizacin, su entorno y normatividad - Entender la cultura organizacional - Asegurarse que la administracin sabe que es responsable de los controles - Explicar el proceso de AEC - Proporcionar informacin y conocimiento al taller - Utilizar enfoques y herramientas especficas - Desarrollar la dinmica del equipo - Asegurar la logstica del taller. - Obtener acciones de mejora del taller.

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organizacin Seleccionar los objetivos de la organizacin Seleccionar los participantes al TAC Preparar la logstica de la reunin

 Enviar informacin previa a la reunin. Facilitar la identificacin del proceso y obstculos Vigilar la logstica Obtener acciones de mejora del TAC Agregar valor a la organizacin Estrategias 1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo suficiente para la preparacin del taller. 4. Definir los objetivos del Taller de Autoevaluacin del Control (TAC) 5. Emitir pronunciamientos y criterios al inicio del proceso 6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentacin a los participantes sobre los resultados 9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora PLANEACIN 1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta. 4. Seleccionar los participantes del TAC 5. Elaborar el programa de actividades con responsables y tiempos 6. Planear reportes de avance y conclusin Capacitar en Control y Autocontrol: Modelos de Control (COSO, COCO...) Evaluacin de riesgos Autoevaluacin en control y su metodologa Herramientas y tecnologa especializada para su uso en el taller

CONDUCCIN DE REUNIONES 1. Preparar la logstica de las reuniones 2. Enviar informacin previa a las reuniones 3. Presentar los objetivos del TAC Definicin del producto final Metodologa del taller Herramientas a utilizar Mtodo de registro y votacin Beneficios tangibles 4. Explicar el papel de los participantes y aclarar expectativas. 5. Presentar la agenda de la reunin 6. Conducir la reunin 7. Estructurar e inventariar el resultado de las evaluaciones 8. Levantar minuta de los acuerdos DESARROLLO DE PLANES DE ACCIN - Definicin y evaluacin de objetivos, riesgos y controles. - Determinacin de acciones de mejora. - Definicin y realizacin de las acciones, tiempos, responsables y recursos para la implantacin de las mejoras. - Establecimiento de puntos de control para la evaluacin de los avances y la comunicacin de las desviaciones MONITOREO Y REPORTE DE RESULTADOS - Establecer sistema de seguimiento y evaluacin de los planes de accin - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua PROBLEMTICA

- Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes - Costos de honorarios de profesionales, entrenamiento, equipo y software - Inversin fuerte en capacitacin - Esfuerzo serio de venta interna

MODELO DE CONTROL DE ACCESO BASADO EN LA SEMNTICA (SAC)

Fundamentos de SAC El diseo de SAC se basa en un modelo de metadatos que permite la integracin semntica de una de control de acceso y una infraestructura de acreditacin externa. SAC representa una solucin al problema del control de acceso para entornos altamente distribuidos, dinmicos y heterogneos. El diseo de este modelo se basa en la informacin semntica para lograr que se tengan en consideracin las propiedades particulares de los recursos accedidos (lo que se conoce como introspeccin de contenido). El modelo SAC contempla la existencia de una serie de sistemas de control de acceso y un conjunto de entidades de acreditacin confiables que actan de manera independiente y dan servicio a los diferentes sistemas de control de acceso. El control de los recursos es independiente de su localizacin. De esta forma, los recursos controlados por un administrador no han de residir obligatoriamente en su propio sistema de informacin. Igualmente, algunos de los recursos almacenados por un sistema de control de acceso pueden no estar bajo el control de dicho sistema. En nuestro modelo SAC, la identificacin del usuario o cliente no es obligatoria. Esto es debido a que los clientes poseen una serie de atributos, y el acceso a los recursos se basa igualmente en la especificacin de un conjunto de atributos que debe reunir el cliente para poder acceder a ellos. Estos atributos deben venir firmados digitalmente por una entidad de certificacin confiable, externa al sistema gestor de control de acceso, constituyendo lo que se conoce por un certificado de atributo.

De esta forma, se garantiza la interoperabilidad de los atributos que pueden ser comunicados de forma segura evitando la necesidad de ser emitidos localmente por el administrador del sistema. Dado que las entidades de certificacin son externas al sistema de control de acceso, es necesario un mecanismo para establecer la confianza entre dichas entidades externas y el sistema de control de acceso. Para ello, se ha desarrollado un modelo semntico para describir la semntica de las distintas autoridades de certificacin que componen la infraestructura de autorizacin externa o PMI. Este enfoque permite que el proceso de registro del cliente no sea necesario, y evita que un mismo atributo de un cliente deba ser emitido en cada sistema. Adicionalmente, el modelo contempla la realizacin de acciones condicionales, que deben realizarse para poder acceder al recurso.