Kategoriak: All - objetivos - gerencia - control - estructura

arabera Manuel de Jesus Flores 7 years ago

8520

Modelos de Control Interno

El modelo de control interno KONTRAG tiene como objetivo principal mejorar las organizaciones para evitar crisis corporativas, siguiendo la Ley de Control y Transparencia en los Negocios en Alemania.

Modelos de Control Interno

Modelos de Control Interno

Modelo guía TURNBULL

Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad.
Contribuciones a la auditoria interna

Peligros potenciales

Demasiados Riesgos identificados

Incremento de Burocracia

Falta de Mecanismos de Advertencia

Incapacidad para obtener aceptación del gerente

Inapropiada Orientación de riesgos

Enfoque Insuficiente en Administración de Riesgo

Beneficios potenciales

Disminución de sorpresas desagradables

Mejores bases para establecer estrategias

Enfoque interno en hacer bien las cosas

Mayor probabilidad de lograr cambios

Mayor probabilidad de lograr objetivos

Modelo COCO

Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:
Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.

Criterios de control

Están planteados como metas a cumplir permanentemente.

Los criterios de control son la base para entender el control de una organización.

Subtema

Ciclo del entendimiento básico

Evaluación (Auto) y Aprendizaje

Acción

Aptitud

Compromiso

Propósito

Naturaleza del control

El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.

El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control.

Confiabilidad de los reportes internos o externos.

Información publicada para terceros interesados.

Confiabilidad de la información utilizada.

Mantenimiento de registros contables adecuados.

Efectividad y eficiencia de las operaciones.

Objetivos

Seguridad de que los riesgos son debidamente identificados y administrados

Cumplimiento de obligaciones sociales

Obtención de beneficios

Salvaguarda y uso eficiente de los recursos

Servicio al cliente

Modelo COSO

Control Interno
Marco Integrado de Control

Relación de objetos y componentes

Existe una relación directa entre objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos.

Actividades de control

Supervisión y seguimiento

Reportes de Deficiencias

Evaluaciones Independientes

Proceso de evaluación

Quiénes evalúan

Alcance y frecuencia

Supervisión Concurrente

Información y Comunicacion

Comunicación:

Medios

Interna / Externa

Sistemas de Información:

Calidad

Integración con las Operaciones

Apoyo Actividades Estratégicas

Tipos de Control:

Gerenciales

Manuales / Automatizados

Preventivos / Correctivos

Actividades de control sobre:

El acatamiento

La información financiera

Las operaciones

Evaluación de riesgos

Manejo de Cambios

Análisis de Riesgos

Análisis (Trascendencia / Probabilidad / Control)

Actividad

Organización (Externos / Internos)

Objetivos Específicos

Cumplimiento

Información Financiera

Operativos

Objetivos Institucionales

Ambiente de control

Asignación de Autoridad y Responsabilidad

Estructura Organizacional

Filosofía Administrativa y Estilo de Dirección

Comité de Auditoría

Integridad y Valores Éticos

Limitaciones del control

Costo - beneficio.

Colusión.

Inobservancia gerencial a las políticas o procedimientos prescritos.

Errores por mala interpretación, negligencia, distracción o fatiga.

Errores de juicio en la toma de decisiones.

Errores por falta de capacidad para ejecutar las instrucciones

Caracteristicas

La alta dirección es responsable de la existencia de un eficiente sistema de control.

Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan.

Es ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.

Es efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino son personas en cada nivel de la organización.

Los controles deben construirse “Dentro” de la infraestructura de la organización y no “Sobre ella”.

Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos.

No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización.

Medio para alcanzar un fin, no un fin en sí mismo.

Concepto

Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:

Cumplimiento con las leyes, reglamentos, normas y políticas

Confiabilidad de la información financiera

Efectividad y eficiencia de las operaciones

Control
Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.

Modelo de control de acceso basado en la semántica (SAC)

Fundamentos de SAC
Dado que las entidades de certificación son externas al sistema de control de acceso, es necesario un mecanismo para establecer la confianza entre dichas entidades externas y el sistema de control de acceso.
De esta forma, se garantiza la interoperabilidad de los atributos que pueden ser comunicados de forma segura evitando la necesidad de ser emitidos localmente por el administrador del sistema.
En nuestro modelo SAC, la identificación del usuario o cliente no es obligatoria. Esto es debido a que los clientes poseen una serie de atributos, y el acceso a los recursos se basa igualmente en la especificación de un conjunto de atributos que debe reunir el cliente para poder acceder a ellos.
El modelo SAC contempla la existencia de una serie de sistemas de control de acceso y un conjunto de entidades de acreditación confiables que actúan de manera independiente y dan servicio a los diferentes sistemas de control de acceso.
El diseño de SAC se basa en un modelo de metadatos que permite la integración semántica de una de control de acceso y una infraestructura de acreditación externa. SAC representa una solución al problema del control de acceso para entornos altamente distribuidos, dinámicos y heterogéneos.

Modelo auto evaluación de controles (ABC)

Requisitos de la organización
Reconocimiento de la complejidad de la implantación de la AEC.
Actitud gerencial orientada al facultamiento y al control.
Entorno libre de riesgos (no represalias)
Cultura que apoye la AEC
Involucramiento de la alta gerencia
Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC
Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC
Conocimiento de la AEC en los niveles adecuados
Adopción de la AEC
Beneficios para la administración
Realiza el papel de auditoría interna.
Facilidad de implantación de acciones de mejora.
Generación de ideas y planes de acción implantados más allá del alcance original.
Mejora de la moral del personal.
Entrenamiento
Para desarrollar la AEC se requiere capacitación:

En tecnología.

En talleres de autoevaluación de control

En modelos de control

Otros nombres
Autoevaluación de riesgos de la organización.
Autoevaluación de proceso.
Co-evaluación del control.
Autoevaluación de riesgo-control.
El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización.
Proceso documentado en el que:
Se define si se asegura razonablemente el lograr alguno o todos los objetivos.
Se juzga la efectividad del proceso de control vigente.
La administración o el equipo de trabajo se involucra directamente en una función.

Modelo COBIT

Seguimiento
Contratación de un aseguramiento independiente
Evaluación del control Interno
Seguimiento de los procesos
Servicios y soporte
Administración de la operación
Administración de las instalaciones
Administración de los datos
Administración de la configuración
Entrenamiento a los usuarios
Administración de la capacidad y rendimientos
Definición de los niveles de servicios
Dominios - Procesos
Adquisición y mantenimiento del software aplicativo
Administración de la calidad
Asegurar el cumplimiento con los requerimientos Externos
Definición de organización y relaciones
Definición de un plan estratégico
Planeación y Organización
Recursos de TI
Recurso Humano:

Habilidad, actitud y productividad del personal.

Instalaciones:

Recursos necesarios para alojar y dar soporte a los sistemas.

Tecnología:

Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Aplicaciones:

Sistemas de información, que integran procedimientos manuales y sistematizados.

Datos:

Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.

Principios
Requerimientos de la Información del Negocio

Confiabilidad:

Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.

Cumplimiento:

Leyes, regulaciones y compromisos contractuales.

Disponibilidad:

accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.

Integridad:

Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.

Confidencialidad:

Protección de la información sensitiva contra divulgación no autorizada

Eficiencia:

Empleo óptimo de los recursos.

Efectividad:

Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

Usuarios
Responsables de TI:

Identificar los controles que requieren.

Auditores:

Apoyar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y el control mínimo requerido.

Usuarios Finales:

Garantizar seguridad y control de los productos que adquieren interna y externamente

Gerencia:

Apoyar decisiones de inversión en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.

Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización. Promueve el enfoque y la propiedad de los procesos. Apoya a la organización al proveer un marco que asegura que: La Tecnología de Información (TI) esté alineada con la misión y visión. LA TI capacite y maximice los beneficios.

Modelo de Control KONTRAG

Tipos de control
Detectivos

De seguridad (resguardo)

De procesos - De salidas

De operaciones

De resultados (actividades creativas)

Posteriores

Concurrentes (sobre la marcha)

Preventivos

De proyectos

De investigación y desarrollo

De acceso

De insumos

De recursos

De actividades (repetitivas)

Personal

es responsable todo el personal dependiendo de su nivel y ubicación funcional

Responsabilidades sobre el control
Auditores Internos

Evalúa la efectividad del sistema de control

Gerencia

El Director General es el último responsable y asume la propiedad del sistema de control

Consejo de Administración

Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización

Principales elementos:
Comunicación oportuna del reconocimiento de riesgos
Análisis y evaluación sistemático del riesgo
Obligación de establecer una estructura gerencial de riesgo (encargada del control y administración)
Objetivo
Mejorar a la organización con el fin de evitar crisis corporativas
(Ley de Control y Transparencia en los Negocios – Alemania)

Panorámica de modelos de control

Se basan en el concepto de “objetivo de control”:
Comunidad de Madurez de la Capacidad:

Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM).

Comunidad de Principios:

Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.

Objetivo de control:

Una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información

Control:

Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.