Modelos de Control Interno

Modelos de Control Interno

Panorámica de modelos de control

Se basan en el concepto de “objetivo de control”:

Control:

Control:

Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.

Objetivo de control:

Objetivo de control:

Una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información

Comunidad de Principios:

Comunidad de Principios:

Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.

Comunidad de Madurez de la Capacidad:

Comunidad de Madurez de la Capacidad:

Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM).

Modelo de Control KONTRAG

(Ley de Control y Transparencia en los Negocios – Alemania)

Objetivo

Mejorar a la organización con el fin de evitar crisis corporativas

Principales elementos:

Obligación de establecer una estructura gerencial
de riesgo (encargada del control y administración)

Análisis y evaluación sistemático del riesgo

Comunicación oportuna del reconocimiento de riesgos

Responsabilidades sobre el control

Consejo de Administración

Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización

Gerencia

Gerencia

El Director General es el último responsable y asume la propiedad del sistema de control

Auditores Internos

Auditores Internos

Evalúa la efectividad del sistema de control

Tipos de control

Tipos de control
Preventivos

Preventivos

Personal

Personal

es responsable todo el personal dependiendo de su nivel y ubicación funcional

De actividades (repetitivas)

De recursos

De insumos

De acceso

De investigación y desarrollo

De proyectos

Detectivos

Detectivos

Concurrentes (sobre la marcha)

Posteriores

De resultados (actividades creativas)

De operaciones

De procesos - De salidas

De seguridad (resguardo)

Modelo COBIT

Modelo COBIT

Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
La Tecnología de Información (TI) esté alineada con la misión y visión.
LA TI capacite y maximice los beneficios.

Usuarios

Usuarios

Gerencia:

Apoyar decisiones de inversión en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.

Usuarios Finales:

Usuarios Finales:

Garantizar seguridad y control de los productos que adquieren interna y externamente

Auditores:

Apoyar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y el control mínimo requerido.

Responsables de TI:

Identificar los controles que requieren.

Identificar los controles que requieren.
Principios

Principios

Requerimientos de la Información del Negocio

Efectividad:

Efectividad:

Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

Eficiencia:

Empleo óptimo de los recursos.

Confidencialidad:

Protección de la información sensitiva contra divulgación no autorizada

Protección de la información sensitiva contra divulgación no autorizada

Integridad:

Integridad:

Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.

Disponibilidad:

accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.

Cumplimiento:

Leyes, regulaciones y compromisos contractuales.

Leyes, regulaciones y compromisos contractuales.
Confiabilidad:

Confiabilidad:

Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.

Recursos de TI

Recursos de TI

Datos:

Datos:

Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones:

Sistemas de información, que integran procedimientos manuales y sistematizados.

Sistemas de información, que integran procedimientos manuales y sistematizados.

Tecnología:

Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones:

Instalaciones:

Recursos necesarios para alojar y dar soporte a los sistemas.

Recurso Humano:

Habilidad, actitud y productividad del personal.

Habilidad, actitud y productividad del personal.

Dominios - Procesos

Dominios - Procesos

Planeación y Organización

Definición de un plan estratégico

Definición de organización y relaciones

Asegurar el cumplimiento con los requerimientos Externos

Administración de la calidad

Adquisición y mantenimiento del software aplicativo

Servicios y soporte

Servicios y soporte

Definición de los niveles de servicios

Administración de la capacidad y rendimientos

Entrenamiento a los usuarios

Administración de la configuración

Administración de los datos

Administración de las instalaciones

Administración de la operación

Seguimiento

Seguimiento

Seguimiento de los procesos

Evaluación del control Interno

Contratación de un aseguramiento independiente

Modelo auto evaluación de controles (ABC)

Proceso documentado en el que:

Proceso documentado en el que:

La administración o el equipo de trabajo se involucra directamente en una función.

Se juzga la efectividad del proceso de control vigente.

Se define si se asegura razonablemente el lograr alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización.

El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización.

Otros nombres

Autoevaluación de riesgo-control.

Co-evaluación del control.

Autoevaluación de proceso.

Autoevaluación de riesgos de la organización.

Entrenamiento

Entrenamiento

Para desarrollar la AEC se requiere capacitación:

En modelos de control

En talleres de autoevaluación de control

En tecnología.

Beneficios para la administración

Beneficios para la administración

Mejora de la moral del personal.

Generación de ideas y planes de acción implantados más allá del alcance original.

Facilidad de implantación de acciones de mejora.

Realiza el papel de auditoría interna.

Involucramiento de la alta gerencia

Involucramiento de la alta gerencia

Adopción de la AEC

Conocimiento de la AEC en los niveles adecuados

Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC

Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC

Requisitos de la organización

Requisitos de la organización

Cultura que apoye la AEC

Entorno libre de riesgos (no represalias)

Actitud gerencial orientada al facultamiento y al control.

Reconocimiento de la complejidad de la implantación de la AEC.

Modelo de control de acceso basado en la semántica (SAC)

Modelo de control de acceso basado en la semántica (SAC)

Fundamentos de SAC

Fundamentos de SAC

El diseño de SAC se basa en un modelo de metadatos que permite la integración semántica de una de control de acceso y una infraestructura de acreditación externa. SAC representa una solución al problema del control de acceso para entornos altamente distribuidos, dinámicos y heterogéneos.

El modelo SAC contempla la existencia de una serie de sistemas de control de acceso y un conjunto de entidades de acreditación confiables que actúan de manera independiente y dan servicio a los diferentes sistemas de control de acceso.

En nuestro modelo SAC, la identificación del usuario o cliente no es obligatoria. Esto es debido a que los clientes poseen una serie de atributos, y el acceso a los recursos se basa igualmente en la especificación de un conjunto de atributos que debe reunir el cliente para poder acceder a ellos.

De esta forma, se garantiza la interoperabilidad de los atributos que pueden ser comunicados de forma segura evitando la necesidad de ser emitidos localmente por el administrador del sistema.

Dado que las entidades de certificación son externas al sistema de control de acceso, es necesario un mecanismo para establecer la confianza entre dichas entidades externas y el sistema de control de acceso.

Modelo COSO

Modelo COSO

Control

Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.

Control Interno

Control Interno

Concepto

Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:

Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para propor

Efectividad y eficiencia de las operaciones

Confiabilidad de la información financiera

Cumplimiento con las leyes, reglamentos, normas y políticas

Caracteristicas

Caracteristicas

Medio para alcanzar un fin, no un fin en sí mismo.

No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización.

Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos.

Los controles deben construirse “Dentro” de la infraestructura de la organización y no “Sobre ella”.

Es efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino son personas en cada nivel de la organización.

Es ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.

Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan.

La alta dirección es responsable de la existencia de un eficiente sistema de control.

Limitaciones del control

Limitaciones del control

Errores por falta de capacidad para ejecutar las instrucciones

Errores por falta de capacidad para ejecutar las instrucciones

Errores de juicio en la toma de decisiones.

Errores de juicio en la toma de decisiones.

Errores por mala interpretación, negligencia, distracción o fatiga.

Errores por mala interpretación, negligencia, distracción o fatiga.
Inobservancia gerencial a las políticas o procedimientos prescritos.

Inobservancia gerencial a las políticas o procedimientos prescritos.

Colusión.

Colusión.

Costo - beneficio.

Costo - beneficio.
Marco Integrado de Control

Marco Integrado de Control

Relación de objetos y componentes

Existe una relación directa entre objetivos que la organización busca y los componentes que representan lo necesario para alc

Existe una relación directa entre objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos.

Ambiente de control

Ambiente de control

Integridad y Valores Éticos

Comité de Auditoría

Filosofía Administrativa y Estilo de Dirección

Estructura Organizacional

Asignación de Autoridad y Responsabilidad

Evaluación de riesgos

Evaluación de riesgos

Objetivos Institucionales

Objetivos Específicos

Operativos

Información Financiera

Cumplimiento

Análisis de Riesgos

Organización (Externos / Internos)

Actividad

Análisis (Trascendencia / Probabilidad / Control)

Manejo de Cambios

Actividades de control

Actividades de control

Actividades de control sobre:

Las operaciones

La información financiera

El acatamiento

Tipos de Control:

Preventivos / Correctivos

Manuales / Automatizados

Gerenciales

Información y Comunicacion

Sistemas de Información:

Apoyo Actividades Estratégicas

Integración con las Operaciones

Calidad

Comunicación:

Interna / Externa

Medios

Supervisión y seguimiento

Supervisión Concurrente

Evaluaciones Independientes

Alcance y frecuencia

Quiénes evalúan

Proceso de evaluación

Reportes de Deficiencias

Modelo COCO

Modelo COCO

Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en con

Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:

Efectividad y eficiencia de las operaciones.

Efectividad y eficiencia de las operaciones.

Objetivos

Objetivos
Servicio al cliente

Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtención de beneficios

Obtención de beneficios
Cumplimiento de obligaciones sociales

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son debidamente identificados y administrados

Confiabilidad de los reportes internos o externos.

Confiabilidad de los reportes internos o externos.

Objetivos

Objetivos

Mantenimiento de registros contables adecuados.

Confiabilidad de la información utilizada.

Información publicada para terceros interesados.

Información publicada para terceros interesados.

Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.

Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.

Objetivos

Objetivos

Naturaleza del control

El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control.

El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.

Ciclo del entendimiento básico

Ciclo del entendimiento básico
Propósito

Propósito

Compromiso

Aptitud

Aptitud

Acción

Evaluación (Auto) y Aprendizaje

Evaluación (Auto) y Aprendizaje

Criterios de control

Criterios de control

Los criterios de control son la base para entender el control de una organización.

Subtema

Subtema

Están planteados como metas a cumplir permanentemente.

Modelo guía TURNBULL

Modelo guía TURNBULL

Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad.

Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad.
Contribuciones a la auditoria interna

Contribuciones a la auditoria interna

Beneficios potenciales

Beneficios potenciales

Mayor probabilidad de lograr objetivos

Mayor probabilidad de lograr cambios

Enfoque interno en hacer bien las cosas

Mejores bases para establecer estrategias

Disminución de sorpresas desagradables

Peligros potenciales

Peligros potenciales

Enfoque Insuficiente en Administración de Riesgo

Inapropiada Orientación de riesgos

Incapacidad para obtener aceptación del gerente

Falta de Mecanismos de Advertencia

Incremento de Burocracia

Demasiados Riesgos identificados