HERRAMIENTAS DEL TRABAJO DEL

AUDITOR INTERNO

1. Estudio y Evaluacin del Control Interno

2. Anlisis de Riesgo
3. Muestreo estadstico

HERRAMIENTAS DEL TRABAJO DEL

AUDITOR INTERNO
Estudio y evaluacin del control
interno

Contenido

Objetivo
Marco integrado COSO
Sarbanes Oxley (Sec. 404)
Normas Internacionales de Auditoria (NIA 315)
Marco integrado de ISACA (COBIT)
COCO (Canad)
Cadbury (Reino Unido)

Antecedentes y Definicin
Primera Generacin. Se bas en acciones empricas, a
partir de procedimientos de ensayo y error se enfoco
principalmente en controles contables y administrativos.
Segunda Generacin. Por sesgo legal, imponen
estructuras y practicas de control especialmente en
sector pblico. Se distorciona al hacerlo operar cerca de
la lnea de cumplimiento.
Tercera Generacin. Se centra en esfuerzos en calidad
derivada del posicionamiento en los ms altos niveles
estratgicos y directivos, garantizar la eficiencia del
control interno. COSO en los 90s complementan los
alcances de la Sarbanes-Oaxley Act en 2002.

Control Interno
Proceso

Realizado
por el
personal

Proporciona Orientado al
Seguridad
logro de
Razonable
objetivos

Fomentar la eficiencia
Reduciendo el riesgo en la consecucin de objetivos
Ayudan a asegurar la confiabilidad de la
informacin financiera y la gestin, a proteger los
recursos; y a cumplir las leyes, reglamentos y
clausulas contractuales aplicables.

Marco integrado del COSO

CI segn COSO
Un proceso efectuado por la Junta Directiva, la
gerencia y otro personal de la organizacin,
diseado para proveer seguridad razonable en
relacin con el cumplimiento de los objetivos en
las siguientes categoras:
Efectividad y Eficiencia de las operaciones
Confiabilidad de Reportes
Cumplimiento con leyes y regulaciones
aplicables
NIA 315

Marco Integrado del COSO

El COSO es un documento que contiene las
principales
directivas
para
la
implantacin, gestin y control de un
sistema de control.
Debido a la gran aceptacin de la que ha gozado,
desde su publicacin en 1992, el Informe
COSO se ha convertido en el estndar de
referencia.

1996.
Problemas de
C. I. en los
derivados de
uso.

Informe de la
Comisin
Treadway

1987

2006. Gua
para pequeas
empresas
sobre
informacin
Financiera

1992
Marco de
Control Interno
Integrado
COSO I

1999.
Estudio I
Inf. Fin.
Fraudulenta

Marco de
Gestin de
Riesgos
Integrado

2004
2009. Gua
sobre la
supervisin
de C.I.

2010.
Estudio II
Inf. Fin.
Fraudulenta

2013
Nuevo Marco
de Control
Interno 2013

20132014.
Transicin
2012.
Comprensin,
comunicacin
y propensin
frente al riego.

Actualizacin
Marco y
Apndices

Herramientas
Ilustrativas

Resumen
Ejecutivo

Compendio
ICEFR
Actualizacin
del Marco

Actualizar el
contexto de la
aplicacin del
control interno
a muchos
cambios en las
empresas y
ambientes
operativos.

Ampliar

Aclarar los
requerimientos
del CI Efectivo

Actualizar

Aclarar

Objetivos de Actualizacin

Ampliar su
aplicacin al
expandir los
objetivos
operativos y de
emisin de
informes.

Desarrollo
Para ayudar a desarrollar estas funciones, COSO
form un consejo asesor que incluye
representantes de las industrias, academias,
organismos gubernamentales y entidades sin
fines de lucro, as como observadores,
reguladores y organismos encargados de
establecer normas que tambin aportaron
informacin a medida que progreso el proyecto.

Factores
Globalizacin por la expansin
de operaciones en las empresas
y organizaciones.

Grandes fraudes corporativos

Necesidad de
mejorar el control

Aparicin de nuevas tecnologas

y sistemas

Nuevas formas de hacer

negocios

Transicin
El 14 de mayo de 2013, COSO public el marco,
Herramientas ilustrativas y compendio ICEFR,
COSO
haba
informado
previamente
que
continuara disponible el marco original durante el
perodo de transicin hasta el 15 de diciembre de
2014 fecha despus de la cual COSO considerara el
marco original como reemplazado.
El uso continuo del marco original es adecuado
durante el perodo de transicin y cualquier
aplicacin del marco que involucre informes
externos debe divulgarse claramente si se utiliz el
marco original o el marco actualizado

Evolucin del marco integrado

Marco
original

Marco integrado
1992

Actualizacin
de objetivos

Mejoras

Reflejar cambios
en negocio y
ambiente
operativo

Actualizar
contextos

Expandir
operaciones y
reflejar objetivos

Ampliar la
aplicacin

Articular
principios para
facilitar el control
interno efectivo

Clarificar
requerimientos

Marco
integrado
2013

Marco Integrado 2013

El marco 2013 hace explcitos 17 principios que integran
los 5 componentes

CAMBIOS

La categora de reportes se expande para incluir los

reportes externos financieros y no financieros
Mejora conceptos de gobierno

Considera globalizacin de mercados y operaciones

(identificacin y anlisis de factores de riesgo internos y
externos relativos a fusiones y adquisiciones)
Diferentes modelos de negocio y estructuras
organizacionales (tercerizacion, industria,
globalizacin)

Marco Integrado 2013

CAMBIOS

Considera las demandas y complejidad de las leyes,

reglamentos, regulaciones y normas (Reconoce el papel de los
reguladores y establece objetivos y criterios para evaluar la
gravedad y reportar deficiencias de control interno))
Considera el incremento en la competencia y rendicin de
cuentas

Refleja el incremento de la importancia de la tecnologa

Desarrolla la consideracin de expectativas anti fraude.considera el riesgo de fraude (posibilidad) como un principio
de control interno.

Requisitos para un control interno

efectivo
El control
interno efectivo
proporciona
una seguridad
razonable
sobre el logro
de los objetivos
y establece que:

Cada componente y cada

principio relevante esta
presente y funcionando

Los cinco componentes

actan juntos de una
manera integrada

Requisitos para un control interno

efectivo
Cada principio es adecuado para todas las entidades,
todos los principios se presumen relevantes

Los componentes funcionan juntos cuando todos los

componentes estn presentes y en funcionamiento, las
deficiencias de control interno agregadas se reducen
Una deficiencia importante representa una deficiencia o
una combinacin de deficiencias de control interno,
que reduce considerablemente la probabilidad de que
una entidad puede alcanzar sus objetivos

Marco de control interno integrado

2013

PUNTOS QUE NO CAMBIAN

CAMBIOS

Definicin bsica de control interno

Los cambios en los entornos

empresariales y operativos considerados

Hay tres categoras de objetivos y cinco

componentes del control interno

Los objetivos de operacin y de reporte se

ampliaron

Cada uno de los cinco componentes del

control interno son necesarios para un
control interno efectivo

Otros enfoques y ejemplos pertinentes a

las operaciones, el cumplimiento y los
objetivos de informes no financieros
aadidos

Importante papel del diseo,

implementacin y realizacin de control
interno, y en la evaluacin de su eficacia

Conceptos fundamentales subyacentes a

cinco componentes articulados como
principios

Actualizacin de principios para un efectivo control

interno
Principles

Components

Control Environment

Risk Assessment

Control Activities

Information &
Communication

Monitoring Activities

Focus

1.
2.
3.
4.
5.

Demonstrates commitment to integrity and ethical values

Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability

4
4
3
4
5

6.
7.
8.
9.

Specifies suitable objectives

Identifies and analyzes risk
Assesses fraud risk
Identifies and analyzes significant change

5
5
4
3

10. Selects and develops control activities

11. Selects and develops general controls over technology
12. Deploys through policies and procedures

6
4
6

13. Uses relevant information

14. Communicates internally
15. Communicates externally

5
4
5

16. Conducts ongoing and/or separate evaluations

17. Evaluates and communicates deficiencies

7
3

Ambiente de Control
1. La organizacin demuestra un compromiso con la integridad y los valores
ticos.
2. El consejo de administracin demuestra independencia y ejerce
supervisin del desarrollo y ejecucin del control interno.
3. La administracin establece, con la supervisin del consejo, estructuras,
canales de reporte, as como las autoridades apropiadas y responsabilidades
para el logro de los objetivos.
4. La organizacin demuestra el compromiso de atraer, desarrollar y retener
a personas competentes en la alineacin con los objetivos.
5. La organizacin retiene a individuos que rindan cuentas de sus
responsabilidades de control interno, en la bsqueda de objetivos.

Descripcin de las caractersticas

importantes de los principios
Ambiente
de
control

La organizacin demuestra un compromiso con la

integridad y los valores ticos.
Puntos de enfoque:
- Establecer la atmsfera tica
- Establece normas de conducta
- Evala la observancia de las normas de conducta
- Direcciona las desviaciones en forma oportuna

Como es que varios controles impactan en los

principios, por ejemplo:
Ambiente de control
Principio: La organizacin demuestra un compromiso con la integridad y los
valores ticos.

Controles
incluidos en otros
componentes que
pueden incidir en
este principio:

Ambiente de
control

Informacin y
comunicacin

Recursos Humanos revisa las confirmaciones de empleados para

asegurar si los estndares de conducta son entendidos y adheridos
por el personal a lo largo de la entidad.

La administracin obtiene y revisa datos e informacin sealando

desviaciones potenciales capturadas en la lnea de denuncia para
asegurar calidad en la informacin

Auditora interna en forma separada evala el Ambiente de Control

considerando el comportamiento de los empleados y los resultados
Actividades de
de la lnea de denuncia y reporta con base en ello.
monitoreo

Evaluacin del riesgo

6. La organizacin especifica objetivos con suficiente nitidez para
permitir la identificacin y evaluacin de riesgos relacionados con
los objetivos.

7. La organizacin identifica los riesgos para el logro de sus

objetivos a travs de la entidad y analiza los riesgos, como base para
determinar cmo se deben manejar los riesgos.
8. La organizacin considera la potencialidad de fraude en la
evaluacin de los riesgos para el logro de los objetivos.
9. La organizacin identifica y evala los cambios que podran
afectar significativamente el sistema de control interno.

Actividades de Control
10. La organizacin selecciona y desarrolla actividades
de control que contribuyan a la mitigacin de los
riesgos para el logro de objetivos a un nivel aceptable.
11. La organizacin selecciona y desarrolla actividades
de control general sobre la tecnologa para apoyar el
logro de los objetivos.
12. La organizacin implementa actividades de control
a travs de polticas que establecen lo que se espera y
procedimientos para poner las polticas en marcha.

Actividades de control
Las actividades de control son las acciones establecidas a travs de las polticas
y procedimientos que permiten mitigar o gestionar el riesgo e incrementa la
probabilidad de que un negocio o proceso logre sus metas y objetivos.
Los controles son actividades incorporadas al proceso que ayudan a prevenir o
detectar la ocurrencia de un evento de riesgo, a fin de cumplir los objetivos
generales del negocio y del proceso.
Las actividades de control se llevan:

Todos los niveles de la entidad

Diversas etapas en los procesos de negocio

Entorno tecnolgico.
Pueden ser preventivos o de deteccin y pueden abarcar una amplia gama de
actividades manuales y automatizados, tales como autorizaciones,
aprobaciones, segregacin de funciones, verificaciones y conciliaciones,
evaluaciones de desempeo.

Actividades de control
Segn la
oportunidad en
que se ejecuta el
control

Segn el grado de
automatizacin

Preventivo: actividad que ayuda a evitar que

ocurra un riesgo

Detectivo: actividad que permite identificar

errores luego de ocurrido el riesgo.

Manual: depende de la habilidad de la persona

para prevenir o detectar los errores ocurridos.
Semiautomtico: depende de la habilidad de la
persona para prevenir o detectar los errores
ocurridos utilizando informacin proveniente
de un sistema.
Automtico: actividad que es realizada
internamente por el sistema.

Informacin y comunicacin
13. La organizacin obtiene o genera, y utiliza informacin
relevante y de calidad, para apoyar el funcionamiento del
control interno.
14. La organizacin comunica internamente la informacin,
incluyendo los objetivos y responsabilidades de control interno,
necesarios para apoyar el funcionamiento de los controles
internos.
15. La organizacin se comunica con partes externas sobre
asuntos que afectan al funcionamiento del control interno

Informacin y Comunicacin
La informacin es necesaria para la entidad y permite llevar a cabo las responsabilidades
de control interno para apoyar el logro de sus objetivos.
La comunicacin es el continuo proceso de suministro, el intercambio iterativo, y la
obtencin de la informacin necesaria, la cual puede ser:
Interna: es el medio por el cual la informacin se difunde en toda la organizacin,
que fluye hacia arriba, abajo, y en toda la entidad.
Externa: permite la comunicacin de entrada de informacin externa relevante, y
proporciona informacin a las partes externas en respuesta a las exigencias y
expectativas.
La eficacia del control interno depende de la comunicacin oportuna de expectativas y
resultados.
Las estrategias de comunicacin son esenciales para adaptar el entorno a nuevas
condiciones o actuar frente a deficiencias crticas.

Informacin y Comunicacin
Revisar si se han definido las caractersticas de la informacin, as como la
responsabilidad sobre ella.

Informacin clave
Plazos de entrega internos
Nivel de exactitud y precisin
Niveles de detalle y rigor
Mecanismos de recuperacin de datos

Revisar si hay una integracin de los sistemas de informacin con las operaciones
clave.

Revisar si hay una cultura de flexibilidad al cambio.

Revisar si el archivo central cuenta con las condiciones de seguridad necesarios para
la custodia de la informacin.
Revisar si se han definido e implementado Polticas de comunicacin interna y
externa, entre la Gerencia, Compaa y Personal.

Actividades de monitoreo
16. La organizacin selecciona, desarrolla y lleva a
cabo evaluaciones en curso y / o por separado para
determinar si los componentes del control interno
estn presentes y en funcionamiento.

17. La organizacin evala y comunica las

deficiencias de control interno en forma oportuna
a las partes responsables de tomar acciones
correctivas, incluyendo la alta direccin y el
consejo de administracin, segn el caso.

Actividades de Monitoreo

Es el medio por el
cual la Direccin
conoce si el
proceso sustantivo
de la organizacin
esta operando
efectivamente.

Evaluaciones
continuas,
evaluaciones
separadas o una
combinacin de
los dos.

Los resultados son

evaluados con base
en criterios
establecidos.

Deficiencias se
comunican a la
direccin y el
consejo de
Administracin,
segn
corresponda.

Actividades de Monitoreo
Prevencin y monitoreo
La prevencin y monitoreo se debe efectuar sobre los diferentes documentos que regulen y
sustenten el desarrollo de las actividades de la organizacin, sean stos de gestin, operativos o
de control.
Ello con la finalidad de tener una seguridad razonable de que se van a cumplir con los objetivos
as como aquellos relacionados con el control interno.
Seguimiento de resultados
Reportar las deficiencias, pues provee informacin necesaria para la mejora continua de los
procesos de la organizacin. para ello se requiere registrar y comunicar las deficiencias de
manera oportuna, a travs de reportes, con la finalidad que se tomen acciones correctivas.
Implementar y dar seguimiento a las medidas correctivas tomadas.
Compromisos de mejoramiento
Son las acciones necesarias para corregir las desviaciones encontradas en el sistema de control
interno y en gestin de operaciones, al efectuarse la autoevaluacin y la evaluacin
independiente.

Sarbanes Oxley (Sec. 404)

Cdigo de tica
La Ley Sarbanes Oxley requiere que la
compaa presente en la SEC (Security Exchange
Commission) un cdigo de tica para los
ejecutivos principales de la organizacin,
principalmente en el aspecto financiero.
Las compaas tambin deben presentar la
informacin cuando los cdigos son modificados
y/o algn ejecutivo principal renuncia a la
organizacin.

Seccin 404- Ley Sarbanes - Oxley

La ley Sarbanes Oxley del 24 de Julio de 2002, establece diferentes
requerimientos con el fin de proteger a los inversionistas, mediante
medidas encaminadas a la mejora de la fiabilidad de la informacin
revelada por las compaas.
La seccin 404 exige a las compaas sujetas a los requerimientos la
inclusin en sus reportes anuales, un informe de la direccin anual
evaluando el control interno sobre el reporte financiero, en el cual, la
direccin:
Responsabilidad

Declare su responsabilidad sobre el establecimiento, mantenimiento y

operatividad de una estructura y unos procedimientos de control interno
adecuados para el reporte financiero.

Marco de
Actuacin

Identifique el marco sobre el que opera la direccin para determinar la

evaluacin de la efectividad de los controles de la compaa sobre
reporte financiero.

Auditado y
Auditable

Realice y documente una evaluacin de la efectividad de los

procedimientos y controles internos de la compaa para el reporte
financiero.

Seccin 101- Ley Sarbanes - Oxley

Se establece el Public Accounting Oversigth
Board (PCAOB), para supervisar las auditoras
de compaas pblicas que estn sujetas a las
leyes de valores, y asuntos relacionados, con el
fin de proteger los intereses de los inversionistas
y fomentar el inters pblico en la preparacin
de informes de auditora independientes,
precisos e informativos, para las compaas que
cuyos acciones se venden a inversionistas
pblicos.

Norma de Auditoria No. 5 (AS 5)

Auditoria Integrada
La auditora del control interno sobre la informacin
financiera (ICFR) debe ser integrada con la auditora de los
estados financieros. Los objetivos de las auditoras no son
idnticos, sin embargo, el auditor debe planificar y llevar a
cabo el trabajo para alcanzar los objetivos de ambas
auditoras.

Objetivos
En una auditora integrada del control interno sobre los
informes financieros y los estados financieros, el auditor
deber disear su prueba de los controles para lograr los
objetivos de las auditoras al mismo tiempo.
Para obtener evidencia
suficiente para respaldar la
opinin del auditor sobre el
control interno sobre los
informes financieros al
cierre del ejercicio, y

Para obtener pruebas

suficientes para apoyar las
evaluaciones de riesgo de
control del auditor a los
efectos de la auditora de
los estados financieros.

Auditoria Integrada - diferencias

Objetivos de una auditora de estados financieros vs una
auditora integrada
Auditora de Estados
Financieros

Auditora Integrada

Expresar una opinin sobre

si los estados financieros
estn presentados
razonablemente.

Expresar una opinin sobre

la eficacia del control
interno sobre la
informacin financiera.

Obtener una comprensin

suficiente del control
interno para evaluar los
riesgos de error material y
disear procedimientos de
auditora adicionales.

Planear y realizar la
auditora para obtener
seguridad razonable acerca
de si existe debilidad
material.

Marco de control interno

Virtualmente todos los emisores sujetos a la Seccin 404
de la Ley Sarbanes-Oxley han elegido al Comit de
Organizaciones Patrocinadoras de Control Interno de la
Comisin Treadway Marco Integrado (COSO) como
los criterios para la evaluacin de la eficacia de la
administracin del ICFR
La AS 5 del PCAOB requiere que utilicemos el mismo
marco que la Administracin para realizar nuestra
auditora del ICFR.

Utilizar el enfoque Top-Down

Un enfoque de arriba hacia abajo comienza en el nivel de
estado financiero y con el entendimiento del auditor de
los riesgos generales para el control interno sobre la
informacin financiera . El auditor entonces se centra en
los controles a nivel de entidad y trabaja hasta las
cuentas y revelaciones importantes y sus aseveraciones
relevantes.

Utilizar el enfoque Top-Down

Identificar los controles a nivel de entidad.
Identificacin de cuentas y revelaciones importantes y
sus aseveraciones relevantes.
Entender fuentes de errores probables.
Seleccionar controles a probar.
El enfoque de arriba hacia abajo describe el proceso de pensamiento
secuencial del auditor en la identificacin de riesgos y los controles a
probar, no necesariamente el orden en el que el auditor lleve a cabo
los procedimientos de auditora.

Prueba de controles
Efectividad del
diseo

Efectividad de
la operacin

Relacin de los
riesgos a la
evidencia que se
obtiene

Consideraciones
especiales para
auditorias
posteriores

Deficiencias
Debilidad Material
Form an
Opinion on the
Effectiveness of
ICFR

Existe una posibilidad razonable de que un error

material de los estados financieros anuales o
intermedios de la compaa no ser prevenido o
detectado oportunamente (PCAOB AS 5.A7)

Deficiencia Significativa

"Menos severa que una debilidad material, pero lo

suficientemente importante como para merecer la
atencin de los responsables de la supervisin de
la informacin financiera de la compaa". (PCAOB
AS 5.A11)

Deficiencia

"El diseo u operacin de un control no permite a la

administracin o a los empleados, en el curso
normal del desempeo de sus funciones asignadas,
prevenir o detectar errores oportunamente" - menos
grave que una Debilidad Material o Deficiencia
Significativa. (PCAOB AS 5.A3)

Debilidad Material - Indicadores

Cules son los indicadores de una debilidad
material?
PCAOB AS 5.69 resume cuatro indicadores de una
debilidad material:
Identificacin de fraude, ya
sea material o no, de parte
de la alta administracin

Identificacin por el auditor

de un error material en el
perodo actual en
circunstancias que indican
que el error no hubiera sido
detectado por la entidad

Reestructuracin de los
estados financieros
previamente emitidos para
reflejar la correccin de un
error material

Supervisin ineficaz de la
informacin financiera
externa de la entidad y del
ICFR por el comit de
auditora

Comunicacin
Administracin

Comit de Auditora

Debilidades Materiales

Debilidades Materiales

Deficiencias
Significativas

Deficiencias
Significativas

Todas las Dems

Deficiencias

Todas las Dems

Deficiencias**

**Informar al Comit de Auditora cuando

se haya hecho dicha comunicacin a la
Administracin (no se requieren detalles
especficos de las deficiencias)

Normas Internacionales de Auditoria

(NIA 315)

Control Interno Definicin:

El proceso diseado, implementado y mantenido
por los responsables del gobierno de la entidad, la
direccin y otro personal, con la finalidad de
proporcionar una seguridad razonable sobre la
consecucin de los objetivos de la entidad
relativos a la fiabilidad de la informacin
financiera, la eficacia y eficiencia de las
operaciones, as como sobre el cumplimiento de
las disposiciones legales y reglamentarias
aplicables.

Entorno de
control

Proceso de
valoracin del
riesgo por la
Entidad

Seguimiento
de controles

Componentes

Actividades de
control

Sistemas de
informacin y
comunicacin

Entorno de control
Funciones gobierno y de direccin, as como las actitudes,
grado de percepcin y acciones de los responsables del
gobierno de la entidad y la direccin en relacin con el
control interno de la entidad y su importancia para ella.
Establece el tono de una organizacin, influyendo en la
conciencia de control de sus miembros, entre sus elementos
se encuentran:

Comunicacin, vigilancia de la integridad y de valores ticos.

Compromiso con la competencia.
Participacin de los responsables del gobierno de la entidad.
Filosofa y estilo operativo de la direccin.
Estructura organizativa.
Asignacin de autoridad y responsabilidad.
Polticas y prcticas de recursos humanos.

Proceso valoracin del riesgo

Como identifica la administracin los riesgos de negocios
relevantes a la preparacin de los EEFF de acuerdo con el
marco de referencia de informacin financiera aplicable a la
entidad:

Identificar
riesgos de
negocios
relevantes para
los objetivos de
informacin
financiera.

Estimacin de
la
significatividad
de los riesgos.

La valoracin
de su
probabilidad de
ocurrencia; y

La toma de
decisiones con
respecto a las
actuaciones
para responder
a dichos
riesgos.

Sistemas de informacin y comunicacin

Un sistema de informacin est constituido por una infraestructura
(componentes fsicos y de hadware), software, personas, procedimientos
y datos. Muchos sistemas de informacin hacen un amplio uso de TI.

Identificar como la entidad comunica las funciones y responsabilidades

relativas a la informacin financiera y las cuestiones significativas
relacionadas con dicha informacin financiera, incluidas:
- Comunicaciones entre la direccin y los responsables del gobierno de
la entidad; y
- Comunicaciones externas, tales como las realizadas con las
autoridades reguladoras.

Sistemas de informacin
El sistema de informacin financiera relevante para los objetivos de
la informacin financiera, que incluye el sistema contable,
comprende los procedimientos y registros diseados y establecidos
para:

Iniciar, registrar, y procesar las transacciones de la entidad (as

como los hechos y condiciones) e informar sobre ellas as como
para rendir cuentas sobre los activos, pasivos y patrimonio neto
correspondiente;
Asegurar que se recoge, registra, procesa, resume e incluye
adecuadamente en los EEFF la informacin que el marco de
informacin financiera aplicable requiere que se revele.

Actividades de control

Son las polticas y procedimientos que ayudan a asegurar que

se llevan siguen y llevan a cabo las directrices de la direccin,
algunos ejemplos pueden ser:

Autorizacin.
Revisiones de actuacin.
Proceso de la informacin.
Controles fsicos.
Segregacin de funciones.

Seguimiento de los controles

Proceso para valorar la eficacia del

funcionamiento del control interno
a lo largo del tiempo. Conlleva la
valoracin oportuna de la eficacia
de los controles y la adopcin de
las medidas correctivas necesarias.

La direccin es la encargada del

seguimiento de los controles
mediante actividades continuas
y/o evaluaciones puntuales.

Modelo COCO
El modelo COCO es producto de una profunda revisin del Comit de
Criterios de Control de Canad sobre el reporte COSO y cuyo propsito
es hacer el planteamiento de un modelo mas sencillo y comprensible,
ante las dificultades que en la aplicacin del COSO se enfrentaron
inicialmente algunas organizaciones ) Estupin (2006)

Incluye aquellos elementos Efectividad y eficiencia de las

de
una
organizacin
operaciones.
(recursos,
sistemas,
Confiabilidad de los reportes
procesos,
cultura,
internos o externos.
estructura y metas) que
tomadas
en
conjunto Cumplimiento con las leyes y
reglamentos aplicables, as
apoyan al personal en el
como con las polticas internas.
logro de los objetivos de la
organizacin:

Efectividad y eficiencia de las operaciones.

Servicio al cliente
Salvaguarda y uso eficiente de los recursos
Obtencin de beneficios
Cumplimiento de obligaciones sociales
Seguridad de que los riesgos son debidamente identificados y administrados

Confiabilidad de los reportes internos o externos.

Mantenimiento de registros contables adecuados.
Confiabilidad de la informacin utilizada.
Informacin publicada para terceros interesados

Cumplimiento con las leyes y reglamentos aplicables, as como

con las polticas internas.
Aseguramiento de que las actividades de la organizacin se conducen en total
concordancia con el marco legal y con las polticas internas.

Modelo CADBURY
Elementos similares
a COSO

Mayor nfasis en
riesgos

Adopta una
interpretacin
amplia del control

Consideracin de
Sistemas de
Informacin
Integrados en los
otros componentes

Objetivos orientados a proporcionar una razonable seguridad de:

a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la informacin y reportes financieros.
c) Cumplimiento con leyes y reglamentos

Beneficios:
Beneficios de la evaluacin del control interno para el departamento de
auditora:
Mejorar el entendimiento del sistema de control
Mejorar el proceso de auditora
Brindar mayor importancia al desempeo del departamento de
auditora interna
Fortalecer la moral y actitud del personal de auditora
Reducir la extensin y tiempo de las auditoras
Proporcionar mayor cobertura con los mismos recursos
Provocar un cambio de la percepcin del auditor interno como
asesor y no como polica
Sin importar el modelo de control adoptado, para que funcione
exitosamente debe existir un alto grado de compromiso de los
involucrados.
Se debe tener un cabal entendimiento de los objetivos tanto
generales como especficos de la empresa.

Marco integrado COBIT

COBIT
COBIT es un marco de gobierno de las tecnologas
de informacin que proporciona una serie de
herramientas para que la gerencia pueda conectar
los requerimientos de control con los aspectos
tcnicos y los riesgos del negocio
COBIT permite el desarrollo de las polticas y
buenas prcticas para el control de las tecnologas
en toda la organizacin
COBIT enfatiza el cumplimiento regulatorio, ayuda
a las organizaciones a incrementar su valor a travs
de las tecnologas, y permite su alineamiento con los
objetivos del negocio

Evolucin
Evolution of scope

Governance of Enterprise IT
IT Governance
Val IT 2.0
Management

(2008)

Control
Risk IT
(2009)

Audit
COBIT1

1996

COBIT2

1998

COBIT3

2000

COBIT4.0/4.1 COBIT 5

2005/7

2012

De una herramienta de auditora a un marco de gobierno de las TI

COBIT 5
COBIT 5 es producto de la mejora estratgica de
ISACA impulsando la prxima generacin de guas
sobre el Gobierno y la Administracin de la
informacin y los Activos Tecnolgicos de las
Organizaciones
Construido sobre ms de 15 aos de aplicacin
prctica, ISACA desarroll COBIT 5 para cubrir las
necesidades de los interesados, y alinearse a las
actuales tendencias sobre tcnicas de gobierno y
administracin relacionadas con la TI

COBIT 5
La iniciativa del Consejo de Direccin de ISACA ha
sido unir y reforzar todos los activos intelectuales
de ISACA su base de conocimiento en COBIT.
El COBIT 5 Task Force:
Incluye expertos de los distintos grupos profesionales
y comits que componen ISACA
Esta co-dirigida por John Lainhart (Ex Presidente
Internacional) y Derek Oliver (Ex Director del Comit
de Desarrollo del BMIS)
Reporta al Comit de marcos referenciales y luego al
Consejo sobre Base de Conocimientos

COBIT 5 Integra los anteriores marcos

referenciales de ISACA
Val IT es un marco de referencia de gobierno que
incluye principios rectores generalmente aceptados y
procesos de soporte relativos a la evaluacin y seleccin
de inversiones de negocios de TI
Risk IT es un marco de referencia normativo basado en
un conjunto de principios rectores para una gestin
efectiva de riesgos de TI.
BMIS (Business Model for Information Security) una
aproximacin holstica y orientada al negocio para la
administracin de la seguridad informtica
ITAF (IT Assurance Framework) un marco para el
diseo, la ejecucin y reporte de auditorias de TI y de
tareas de evaluacin de cumplimiento.

Marco integrado
La publicacin inicial, define y describe los
componentes que forman el Marco COBIT

Principios
Arquitectura
Facilitadores
Gua de implementacin
Otras publicaciones futuras de inters

Principios
Marco Integrador
Conductores de valor
para los Interesados
Enfoque al Negocio y
su Contexto para toda
la organizacin
Fundamentado en
facilitadores
Estructurado de
manera separada para
el Gobierno y la
Gestin

Arquitectura

COBIT 5 Family of Products

COBIT 5 Enterprise Enablers

Objetivos de Gobierno

Faciliatadores
Cultura, tica y
Comportamiento
Estructura
Organizacional
Informacin
Principios Polticas
Habilidades y
Competencias
Capacidad de
brindar Servicios
Procesos

Productos COBIT

Procesos de Gobierno y Administracin

Procesos de Gobierno
Permite que las mltiples partes
interesadas tengan una lectura
organizada del anlisis de
opciones, identificacin del norte a
seguir y la supervisin del
cumplimiento y avance de los
planes establecidos
Procesos de
Administracin
Utilizacin prudente de medios
(recursos, personas, procesos,
practicas) para lograr un fin
especfico

Beneficios
Incremento de la creacin de valor a travs un
gobierno y gestin efectiva de la informacin y de los
activos tecnolgicos. La funcin de TI se vuelve mas
enfocada al negocio
Incremento de la satisfaccin del usuario con el
compromiso de TI y sus servicios prestados TI es
visto como facilitador clave.
Incremento del nivel de cumplimiento con las leyes
regulaciones y polticas relevantes
Las personas que participan son mas proactivas en
la creacin de valor a partir de la gestin de TI.