Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COMPILACIÓN Coso, SOX, Mejores Practicas Internacionales en Control Interno PDF
COMPILACIÓN Coso, SOX, Mejores Practicas Internacionales en Control Interno PDF
DIRECTRICES DE AUDITORIA-
Presentado por:
Catheryne Patio Cardona 1700621484
Presentado a:
Ing., Carlos Hernn Gmez Gmez
Materia:
Auditora de Sistemas Informticos
UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERAS
INGENIERA EN SISTEMAS Y COMPUTACIN
MANIZALES, CALDAS
OCTUBRE DE 2010
Tabla de contenido
INTRODUCCION .............................................................................................................................. 4
MARCO TERICO........................................................................................................................... 5
1.HISTORIA Y EVOLUCIN. ......................................................................................................... 8
2. COMPONENTES DE CONTROL INTERNO ........................................................................... 9
2.1. AMBIENTE DE CONTROL ................................................................................................. 9
2.1.2 Competencia profesional ............................................................................................... 9
2.1.3 Filosofa y estilo de la Direccin ................................................................................. 10
2.1.4 Estructura y plan organizacional ................................................................................ 10
2.1.5 Polticas y prcticas de los RRHH ............................................................................. 10
2.1.6 Comit de Administracin o Comit de Auditora .................................................... 11
2.2 VALORACIN DE RIESGO ............................................................................................ 11
2.2.1 Identificacin de riesgos .............................................................................................. 12
2.2.2 Objetivos de control de riesgos .................................................................................. 12
2.2.3 Condiciones previas para la evaluacin del riesgo ................................................. 12
2.2.4 Medicin y evaluacin de riesgos ............................................................................. 13
2.2.5 Cuantificacin de riesgos ............................................................................................ 13
2.3 ACTIVIDADES DE CONTROL .......................................................................................... 13
2.3.1 Importancia de las actividades de control................................................................. 14
2.3.2 Quines deben llevar a cabo las actividades de control ........................................ 14
2.3.3 Categoras ..................................................................................................................... 14
2.3.4 Mecanismos de control ................................................................................................ 15
2.3.5 Control sobre los sistemas de procesamiento electrnico de datos .................... 17
2.3.6 Controles sobre las aplicaciones ............................................................................... 20
2.3.7 Autoevaluacin de controles basada en los modelos ........................................... 20
2.4 INFORMACIN Y COMUNICACIN ............................................................................... 22
2.4.1 Informacin .................................................................................................................... 22
2.4.2 Comunicacin................................................................................................................ 23
2.5 MONITOREO Y SUPERVISIN ....................................................................................... 24
INTRODUCCION
MARCO TERICO
La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco de
transparencia para las actividades y reportes financieros de las empresas que cotizan en
Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta
Directamente a toda empresa pblica de los Estados Unidos y sus subsidiarias en todo el
mundo, as como empresas extranjeras que coticen en cualquier Bolsa de Valores en los
Estados Unidos.
SOX contempla una revisin ms rigurosa de los datos que una empresa declara en sus
estados financierocontables que utiliza para sus controles internos, y no solamente
abarca fraudes por falsedad en dichas declaraciones, sino tambin por inferencia, y todos
los casos de fraude en los que se desvirten de manera importante los estados
financieros, como la malversacin de activos, corrupcin, entre otros. Las multas por
proveer informacin falsa o incorrecta son muy severas, y pueden llegar al extremo de
encarcelar a los ejecutivos de la empresa, o que sta sea retirada de la Bolsa de Valores
en que cotiza. Adems exige contar con un canal de denuncias de irregularidades por
parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas
por el Comit de Auditora.
La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado republicano
Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos reglamentos, sino
que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas
organizaciones, muchas otras toman la decisin de adoptarla dado que constituye una
prctica sana de negocios, mejorando notablemente la reputacin de quien la cumpla.
Modelo COSO:
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la
Ley SOX, es el diseado por el Comit of Sponsoring Organization of Treadway Comision
(COSO). El COSO fue originalmente instaurado en el ao 1985 con la finalidad de
estudiar los factores que permitan la emisin fraudulenta de reportes financieros. A
comienzos de los aos 90, el Comit realiz un estudio extensivo sobre controles
internos, cuyo resultado fue el marco de control interno COSO.
COSO posee cinco componentes de control, los cuales al ser integrados en cada una de
las unidades de negocio de la organizacin, ayudan a lograr los objetivos de control para
alcanzar los objetivos del negocio, preparacin de cuentas financieras confiables y el
cumplimiento de leyes y regulaciones.
A continuacin se indican las caractersticas de control de los cinco componentes COSO,
a saber:
El aspecto ms pertinente del Informe COSO es su establecimiento, por primera vez, de
una definicin universal de control interno:
1.HISTORIA Y EVOLUCIN.
El denominado INFORME COSO sobre control interno, publicado en EE.UU. en 1992,
surgi como una respuesta a las inquietudes que planteaban la diversidad de conceptos,
definiciones e interpretaciones existentes en torno a la temtica referida.
Plasma los resultados de la tarea realizada durante ms de cinco aos por el grupo de
trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING cre en Estados Unidos en 1985 bajo la sigla COSO
(COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por
representantes de las siguientes organizaciones:
-
La redaccin del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de
materializar un objetivo fundamental: definir un nuevo marco conceptual del control
interno, capaz de integrar las diversas definiciones y conceptos que venan siendo
utilizados sobre este tema, logrando as que, al nivel de las organizaciones pblicas o
privadas, de la auditora interna o externa, o de los niveles acadmicos o legislativos, se
cuente con un marco conceptual comn, una visin integradora que satisfaga las
demandas generalizadas de todos los sectores involucrados.
Las primeras empresas en adoptarlo fueron las norteamericanas, para luego extenderse
en el resto del mundo. Una dcada despus, en el 2002, el gobierno de los Estados
Unidos sanciono la ley Sarbanes oxley (ley sox), a partir de la cual las empresas que
cotizan en la bolsa de valores de USA, deban adoptar para la confeccin de sus estados
financieros, una serie de lineamientos especficos.
Esta actividad es una fase clave de los procesos de gestin, y si bien no constituye
estrictamente un componente del control interno, es un requisito que permite garantizar el
funcionamiento del mismo.
2.2.4 Medicin y evaluacin de riesgos
Se debe estimar la frecuencia con que se presentarn los riesgos identificados,as como
tambin se debe cuantificar la probable prdida que ellos pueden ocasionar. Una vez
identificados los riegos a nivel de organismo y de programa/actividad, debe procederse a
su anlisis. Los mtodos utilizados para determinar la importancia relativa de los riesgos
pueden ser diversos e incluirn como mnimouna estimacin de su importancia, la
evaluacin de su probabilidad de ocurrencia y la valoracin de la prdida que podra
provocar en caso de materializarse. Para determinar el orden de importancia general de
los riesgos es necesario considerar su frecuencia y el impacto que pueden provocar en la
organizacin. Con estas consideraciones podemos construir una matriz de riesgos que
permitir identificar los riesgos prioritarios.
2.2.5 Cuantificacin de riesgos
Se describe un mtodo sencillo (entre los varios que existen) que es til para la valoracin
de riesgos y que permitir disponer de un ndice de importancia. Este ndice considera la
frecuencia de ocurrencia de cada riesgo y el impacto que provoca en la organizacin en
caso de hacerse realidad. El impacto est referido a prdida de activos, prdida de
tiempo, disminucin de la eficiencia y eficacia de las operaciones o el control, efectos
negativos en los recursos humanos, y alteracin en la correctitud de la informacin de la
organizacin, entre otras. En este modelo los impactos deben estar expresados en una
nica unidad, que bien puede ser monetaria.
Este mtodo consiste en asignar una frecuencia F (segn un intervalo de tiempo igual
para todos los riesgos, que puede ser anual), y el impacto I que genera (en el mismo
intervalo de tiempo considerado para la frecuencia) medido en dinero. Luego se obtiene
un ndice de exposicin de acuerdo a la frmula:
E=FxI
Una vez obtenidos estos ndices se procede a su ordenamiento para determinar la
prioridad de atencin que se le debe otorgar. Un requisito importante es que todos los
valores deben estar sincronizados. Esto significa que deben estar referidos a un mismo
perodo de tiempo y una misma unidad de impacto.
2.3 ACTIVIDADES DE CONTROL
Las actividades de control son las normas, reglas de qu debe hacerse - y
procedimientos de control que se realizan en el entorno de las organizaciones con el fin
de asegurar que se cumplen todas las operaciones y tareas que establece la Direccin
superior dispuestas de tal forma que tiendan a la prevencin y neutralizacin de los
riesgos.
2.3.3 Categoras
Los controles se pueden agrupar en tres categoras dependiendo del objetivo de la
entidad con la que se relacionen.
las operaciones.
la confiabilidad de la informacin financiera.
el cumplimiento de las leyes y reglamentos.
indicaciones que se les explicit y dentro del mbito de las competencias establecidas por
la normativa de la organizacin.
2.3.4.5 Registro oportuno y adecuado de las transacciones y hechos
Se debe registrar y clasificar debidamente los hechos y transacciones relevantes que
afectan el funcionamiento de la organizacin. Esta registracin debe realizarse en el
momento de la ocurrencia del hecho para garantizar su relevancia y utilidad para la toma
de decisiones, por lo mismo que se deben clasificar debidamente para ser presentados en
informes y/o estados financieros contables a los directivos y gerentes.
2.3.4.6 Acceso restringido a los recursos, activos y registros
El acceso a todo recurso, activo, registro y comprobante debe estar protegido por
mecanismos de seguridad y limitado a las personas autorizadas, las cuales tienen la
responsabilidad sobre los mismos y estn obligados a rendir cuenta de su custodia y
utilizacin.
Todo activo de valor para la organizacin debe asignarsele a un responsable para su
custodia y adems debe contar con las protecciones adecuadas, como ser: seguros,
almacenaje, sistemas de alarma, etc. Deben estar debidamente registrados y
peridicamente se deben verificar las existencias fsicas con los registros contables para
controlar su coincidencia
Todos estos mecanismos de proteccin cuestan tiempo y dinero, por lo que se debe
analizar cuidadosamente los riesgos que pueden afectar los activos de la organizacin
(por ejemplo, robo, mal uso, destruccin, etc.) y realizar una comparativa con los costos
del control que se quiera implementar.
2.3.4.7 Rotacin del personal en las tareas claves
La idea fundamental es que ningn empleado tenga la posibilidad de cometer algn tipo
de irregularidad por un tiempo prolongado al realizar su tarea. Los empleados que
realizan tales tareas deben rotar peridicamente con otros empleados que realizan otras
funciones dentro de la organizacin.
Este es un mecanismo de probada eficacia que muchas veces no se utiliza debido al
concepto errneo del empleado imprescindible.
2.3.4.8 Control del sistema de informacin
Para garantizar el correcto funcionamiento y asegurar la confiabilidad del procesamiento
de transacciones, el sistema de informacin debe ser controlado debidamente.
Los sistemas de informacin tienen que contar con mecanismos de seguridad que
alcancen a las entradas, procesos, almacenamiento y salidas del mismo. Adems debe
ser flexible para permitir cambios o modificaciones rpidas ante los requerimientos de la
Direccin de la organizacin tanto en las operaciones como en la presentacin de
informes gerenciales. El sistema debe dar apoyo y controlar todas las actividades de la
organizacin (como ser registrar y supervisar las transacciones y eventos que ocurran)
adems de mantener registros financieros.
2.3.4.9 Controles fsicos
Se deben realizar peridicamente recuentos fsicos de los elementos de naturaleza
tangible. Estos controles son muy efectivos al contrastarlos con los datos
correspondientes a los registros contables de los mismos.
2.3.4.10 Indicadores de desempeo
Los mtodos de medicin del desempeo de indicadores para su respectiva supervisin y
evaluacin deben estar presentes en toda organizacin. El resultado de la evaluacin de
estos indicadores se utiliza para tomar, en caso de haber desvos, medidas correctivas en
las
actividades
y
de
esta
manera
mejorar
el
rendimiento.
Si bien este mecanismo contribuye al sustento de las decisiones, los indicadores de
rendimiento no deben ser muy numerosos como para que se hagan engorrosos e
ininteligibles, ni tampoco deben ser tan escasos que no permitan ver cuestiones claves de
las actividades relevantes dentro de la organizacin. Esto se logra analizando el sistema
de indicadores que se ajuste a sus caractersticas, como ser en tamao, produccin, nivel
de competencia de los empleados y otros elementos que diferencien a la organizacin.
El sistema debe tener tanto indicadores cuantitativos (por ejemplo montos
presupuestarios), como cualitativos (por ejemplo nivel de satisfaccin de los usuarios).
2.3.4.11 Funcin de auditora interna independiente
La funcin de auditora interna en las organizaciones debe depender de sus autoridades
superiores y las funciones y actividades que se realizan en dichas auditoras deben ser
independientes de las operaciones que se analizan.
Es una forma certera y efectiva para la gerencia de estar informada sobre el
funcionamiento y confiabilidad de los sistemas de control interno que posee la
organizacin.
La auditora interna, al ser independiente de los sectores que analiza, puede realizar su
cometido con total libertad realizando inspecciones, verificaciones y pruebas que
considere necesario, ya que las actividades que realiza estn desligadas de las
operaciones que analiza. Dicho con otras palabras, no controla lo que realiza sino lo que
realizan las reas de la organizacin.
La auditora interna hace las veces de un representante de la autoridad superior en
cuanto a vigilar el adecuado funcionamiento del sistema, informando en forma oportuna
de las ocurrencias de cualquier situacin indeseada.
2.3.5 Control sobre los sistemas de procesamiento electrnico de datos
Los sistemas de informacin realizan un papel primordial en el desempeo de la gestin
de una organizacin, no slo por el tamao de la misma o la naturaleza de la informacin
que se procese, sino porque es la estructura que sostiene uno de los activos ms
Contrataciones formales.
Disposicin de programas fuentes.
Documentacin de desarrollo del sistema
Acceso irrestricto a: sistemas, datos y documentacin
Identificacin o loggin.
Autenticacin.
Autorizacin (matriz de autorizaciones).
Registracin.
La identificacin o autenticacin se sustentan:
Algo conocido (contrasea).
Algo posedo (tarjeta, llave).
Algo personal (reconocimiento, firma, huellas dactilares, etc).
Todos estos controles forman parte de los controles generales que se pueden realizar a
los centros de procesamiento de datos de cualquier organizacin.
2.3.6 Controles sobre las aplicaciones
Estos controles permiten asegurar la completitud y exactitud en el procesamiento de las
transacciones, su autorizacin y su validez. Estn diseados principalmente para evitar
que se ingresen en el sistema datos errneos, es decir que son controles preventivos.
Tambin pueden ser eficaces para detectar y corregir errores que fueron ingresados al
sistema con anterioridad. Estn dirigidos bsicamente a:
Registro de transacciones.
Actualizacin de datos aceptados y seguimiento de los rechazados.
Actualizacin de archivos.
Controles de acceso a los registros.
Documentacin tcnica y del usuario actualizada.
Resguardo de los archivos.
Administracin del sistema.
Interfaces con otros sistemas.
restantes del marco integrado del control interno (evaluacin de riesgo, actividades de
control, informacin y comunicacin, y supervisin).
Esta metodologa consiste en que profesionales en auditora interna realicen talleres con
el grupo de personal operativo, sin la participacin del nivel gerencial de la organizacin,
tratando temas sobre unidades de trabajo o funciones especficas. La gerencia
responsable tiene que definir los objetivos de trabajo ms importantes, as como los
controles necesarios para apoyar a su realizacin. A travs del anlisis realizado en los
talleres se evalan las fortalezas y debilidades de los procesos de trabajo y se comenta
cmo afectan a la consecucin de los objetivos propuestos por la gerencia.
Para organizar las discusiones que se realizan en los talleres se utilizan plantillas para
evaluacin de riesgo de auditora y fijacin de prioridades, previstas en el modelo
C.O.S.O.
En estos talleres se evalan los controles formales e informales, utilizando el mismo
criterio en cada taller para facilitar la acumulacin y comparaciones en el mbito de toda
la organizacin.
Los participantes votan para definir la importancia de cada aspecto y para evaluar la
eficacia.
Este procedimiento se automatiza proporcionando de esta manera los resultados de los
talleres que son presentados en forma adecuada para su posterior anlisis.
2.3.7.2 Evaluacin de controles formales
Este mtodo analiza las actividades de control que se relacionan con los objetivos
especficos de los trabajos que se realizan en cada rea de la organizacin.
En una reunin se definen los controles especficos a la vez que se identifican y agrupan
en cuatro componentes de control, a saber:
Evaluacin de riesgos.
Actividades de control.
Informacin y comunicacin.
Monitoreo o supervisin.
tomar que consideren necesarias para mejorar la gestin. Las gerencias de cada
departamento evaluado reciben un informe detallado de la Autoevaluacin de control (el
cual brinda una visin general de los controles formales e informales) y tambin reciben
un reporte del Perfil de Confianza, el cual contrasta la evaluacin de los controles de cada
componente con el nivel general de la totalidad de la organizacin.
Con la participacin del departamento de auditora interna en el proceso de
Autoevaluacin de Control se obtiene informacin valiosa respecto a controles potenciales
a implementar.
La auditora adquiere un conocimiento integral de las operaciones y para efectos de
revisiones posteriores ayuda a identificar las prioridades en el proceso de planeacin de
las actividades que se requieran.
2.4 INFORMACIN Y COMUNICACIN
En la actualidad, las organizaciones tienen acceso a un gran volumen de datos. Esto es
debido a las herramientas que, en la actualidad, permitieron una mayor disponibilidad de
los mismos. Estas herramientas son llamadas sistemas de informacin.
Dentro de los mencionados datos existen algunos que son relevantes para la consecucin
de los objetivos propuestos por la organizacin. Adems de ser claros, deben ser
obtenidos en tiempo y forma.
2.4.1 Informacin
La informacin incluye los datos del sector, los datos econmicos de la organizacin y de
los mecanismos de control. Estos pueden ser obtenidos de fuentes internas o externas a
la organizacin, as como tambin de fuentes formales e informales. Dado que las
empresas se mueven en un entorno cada vez ms cambiante, resulta importante que los
sistemas de informacin puedan adaptarse en forma oportuna y gil a las condiciones del
entorno, es por ello que la flexibilidad de los mismos resulta fundamental.
La misma puede presentarse y ser adquirida de diversas maneras sin perder as la
cualidad de informacin.
2.4.1.1 Segn la presentacin:
Fuentes Formales: Por ejemplo la informacin obtenida en seminarios, congresos o
eventos.
Fuentes Informales: Por ejemplo aquella que surge de conversaciones con los clientes o
proveedores.
2.4.1.2 Segn el origen de donde provenga:
Fuentes Internas: la informacin recabada del personal perteneciente a la organizacin.
Puede ser tanto formal (reportes) como informal (conversaciones).
cmo sus acciones se relacionan con el trabajo de los dems, y cmo afecta cualquier
desvo de sus actividades en el resto. Esto aumenta las posibilidades de obtener el
mximo rendimiento de cada RRHH. Tambin es importante que los canales de
comunicacin estn abiertos hacia los niveles superiores, que el personal cuente con
mecanismos para enviar y registrar informacin y que la alta gerencia est dispuesta a
escuchar para que as los empleados puedan enviar sus inquietudes, preocupaciones y, si
correspondiere, denuncias teniendo como premisa la mejora del ambiente de control. De
no ser as es muy probable la consecucin de problemas y violaciones a los controles
establecidos, ya sea por desconocimiento o por mala intencin.
2.4.2.2 Comunicacin externa
Es la que se realiza con las personas ajenas a la organizacin. Es muy importante debido
a que se puede obtener informacin de las preferencias y exigencias de los clientes de
fuentes muy confiables. Un ejemplo remarcable de este tipo de comunicacin son los
estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en
marcha. Las comunicaciones recibidas de terceros a veces brindan informacin
importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo
seran los reclamos por envos defectuosos que revelan problemas de tipo operativos o
denuncias de proveedores.
2.5 MONITOREO Y SUPERVISIN
Los sistemas de control interno requieren supervisin, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del
tiempo. Para lograr sto se llevan a cabo actividades de supervisin continua,
evaluaciones peridicas o una combinacin de ambas cosas. La supervisin continua se
da en el transcurso de las operaciones. Incluye tanto las actividades normales de
direccin y control, como otras actividades llevadas a cabo por el personal en la
realizacin de sus funciones. El alcance y frecuencia de las evaluaciones depender de la
evaluacin de riesgos y de la eficiencia de los procesos de supervisin. Los sistemas de
control interno evolucionan con el tiempo, por lo que procedimientos que eran eficaces en
un momento dado, pueden perder su eficacia o dejar de aplicarse. Es decir que es
necesario actualizar dichos procedimientos hasta hacerlos acordes a las variaciones que
va sufriendo la organizacin a lo largo de su ciclo de vida. Asmismo, las circunstancias
sobre las que se configur el sistema de control interno en un principio tambin pueden
cambiar, reduciendo su capacidad de advertir los nuevos riesgos originados por las
nuevas circunstancias. En consecuencia, la direccin tendr que determinar si el sistema
de control interno es en todo momento adecuado y si se mantiene la capacidad de
asimilar nuevos riesgos.
2.5.1 Supervisin continua
Existe una gran variedad de actividades que permiten efectuar un seguimiento de la
eficacia del control interno, como comparaciones, conciliaciones, actividades corrientes de
gestin y supervisin as como otras actividades rutinarias.
Debe existir un proceso que compruebe que el sistema de control interno se mantiene en
funcionamiento a travs del tiempo.
Atributo
Audiencia
Primaria CI
visto como
COBIT
Direccin, usuarios, auditores de
SI
Conjunto de procesos
incluyendo
polticas,
procedimientos,
prcticas
estructuras
organizacionales
Operaciones
Efectivas
y
eficientes
Confidencialidad,
Integridad y disponibilidad de
informacin Informes financieros
confiables Cumplimiento de las
leyes y regulaciones Dominios:
Planeamiento y organizacin
Adquisicin e implementacin
Entrega y soporte Monitoreo
Tecnologa Informtica Por un
perodo de tiempo Direccin 187
pginas en cuatro documentos
COSO
Direccin de procesos.
Objetivos.
Organizacionales del CI.
Operaciones
Efectivas
y
eficientes Informes financieros
confiables Cumplimiento de las
leyes y regulaciones.
Componentes o dominios.
Componentes: Ambiente
de
Control Manual y Automatizado
Procedimiento de Control de
sistemas.
Componentes:
Supervisin
Ambiente
de
Control
Administracin
de
Riesgos
Actividades
de
Control
Informacin y Toda la Entidad En
un momento dado Direccin 353
pginas en cuatro volmenes.
Foco Efectividad del CI Evaluado
Responsabilidad por el Sistema
de CI Tamao.
Tecnologa Informtica Por un
periodo de tiempo Direccin 1193
pginas en 12 mdulos.
programados. La tecnologa se
refiere al hardware, sistemas
operativos, equipos de redes y
otros. Instalaciones son los
recursos utilizados para albergar
y soportar los sistemas de
informacin. Gente comprende
las capacidades y habilidades
individuales
para
planear,
organizar, adquirir, entregar,
apoyar y monitorear los servicios
y sistemas de informacin.
Requerimientos: Para satisfacer
los objetivos del negocio, la
informacin
necesita
conformarse a ciertos criterios a
los cuales COBIT se refiere
como
requerimientos
del
negocio
respecto
de
la
informacin. COBIT combina los
principios incorporados en los
modelos
de
referencia
existentes en tres amplias
categoras:
calidad,
responsabilidad
fiduciaria
y
seguridad. De estos amplios
requerimientos, el informe extrae
siete categoras superpuestas
de criterios para evaluar cuan
bien estn satisfaciendo los
recursos
de
TI
los
requerimientos de informacin
del negocio. Estos criterios son
efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad, cumplimiento y
confiabilidad de la informacin.
gerencia, la frecuencia de su
interaccin con los subordinados,
y su actitud hacia los informes
financieros. La evaluacin de
riesgo consiste en la identificacin
del riesgo y el anlisis del riesgo.
La identificacin del riesgo incluye
examinar factores externos tales
como los desarrollos tecnolgicos,
la competencia y los cambios
econmicos, y factores internos
tales como calidad del personal, la
naturaleza de las actividades de la
entidad, y las caractersticas de
procesamiento del sistema de
informacin. El anlisis de riesgo
involucra estimar la significacin
del riesgo, evaluar la probabilidad
de que ocurra y considerar cmo
administrarlo. Las actividades de
control consisten en las polticas y
procedimientos que aseguran que
los empleados lleven a cabo las
directivas de la gerencia. Las
actividades de control incluyen
revisiones del sistema de control,
los
controles
fsicos,
la
segregacin de tareas y los
controles de los sistemas de
informacin. Los controles sobre
los sistemas de informacin
incluyen los controles generales y
los controles de las aplicaciones.
Controles generales son aquellos
que cubren el acceso, el
desarrollo de software y sistemas.
Controles de las aplicaciones son
aquellos que previenen que
ingresen errores en el sistema o
detectan y corrigen errores
presentes en el sistema. La
entidad
obtiene
informacin
pertinente y la comunica a travs
de la organizacin. El sistema de
informacin identifica, captura y
reporta informacin financiera y
operativa que es til para
controlar las actividades de la
organizacin.
Dentro
de
la
organizacin, el personal debe
recibir el mensaje que ellos deben
comprender sus roles en el
sistema de control interno, tomar
seriamente sus responsabilidades
por el control interno, y, si es
necesario, reportar problemas a
los altos niveles de gerencia.
Fuera de la entidad, los individuos
y organizaciones que suministran
o reciben bienes o servicios
deben recibir el mensaje de que la
entidad no tolerar acciones
impropias. La gerencia monitorea
el sistema de control revisando el
output
generado
por
las
actividades regulares de control y
realizando
evaluaciones
especiales.
Las
actividades
regulares de control incluyen
comparar los activos fsicos con
los datos registrados, seminarios
de entrenamiento, y exmenes
realizados por auditores internos y
externos.
Las
evaluaciones
especiales pueden ser de distinto
alcance
y
frecuencia.
Las
deficiencias encontradas durante
las actividades regulares de
control
son
normalmente
reportadas al supervisor a cargo;
las
deficiencias
detectadas
durante evaluaciones especiales
son normalmente comunicadas a
los
niveles
altos
de
la
organizacin. Otros Conceptos: El
informe
COSO
encara
las
limitaciones de un sistema de
control interno y los roles y
responsabilidades de las partes
que afectan a un sistema. Las
limitaciones incluyen el juicio
humado defectuoso, falta de
comprensin de las instrucciones,
errores, atropellos de la gerencia,
colusin, y consideraciones de
costo versus beneficio.
El
informe
COSO
define
deficiencias como "condiciones
dentro de un sistema de control
interno digno de atencin". Las
deficiencias
deberan
ser
reportadas
a
la
persona
responsable por la actividad y a la
gerencia que est como mnimo
un nivel por encima del individuo
responsable. Un sistema de
control interno es juzgado efectivo
si estn presentes y funcionando
efectivamente
los
cinco
componentes respecto de las
operaciones,
los
reportes
financieros y el cumplimiento.
6. RESUMEN
Ley Sarbanes Oxley
La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco
de transparencia para las actividades y reportes financieros de las empresas que
cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio
Estado. Afecta Directamente a toda empresa pblica de los Estados Unidos y sus
subsidiarias en todo el mundo, as como empresas extranjeras que coticen en
cualquier Bolsa de Valores en los Estados Unidos.
La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado
republicano Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos
reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria
para ciertas organizaciones, muchas otras toman la decisin de adoptarla dado que
constituye una prctica sana de negocios, mejorando notablemente la reputacin de
quien la cumpla.
Modelo COSO:
El marco de control interno sugerido para cumplir con los lineamientos establecidos
por la Ley SOX, es el diseado por el Comit of Sponsoring Organization of
Treadway Comision (COSO). El COSO fue originalmente instaurado en el ao 1985
con la finalidad de estudiar los factores que permitan la emisin fraudulenta de
reportes financieros. A comienzos de los aos 90, el Comit realiz un estudio
extensivo sobre controles internos, cuyo resultado fue el marco de control interno
COSO.
COSO posee cinco componentes de control, los cuales al ser integrados en cada
una de las unidades de negocio de la organizacin, ayudan a lograr los objetivos de
control para alcanzar los objetivos del negocio, preparacin de cuentas financieras
confiables y el cumplimiento de leyes y regulaciones.
A continuacin se indican las caractersticas de control de los cinco componentes
COSO, a saber:
El aspecto ms pertinente del Informe COSO es su establecimiento, por primera
vez, de una definicin universal de control interno:
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin y seguimiento de sistema de control.
Dado que las condiciones en que las entidades se desenvuelven suelen sufrir
variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los
riesgos asociados con el cambio. Aunque el proceso de evaluacin es similar al de
Cambios en el entorno.
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos, o rotacin de los existentes.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los cambios deben estar
orientados hacia el futuro, de manera de anticipar los ms significativos a travs de
sistemas de alarma complementados con planes para un abordaje adecuado de las
variaciones.
6.3.3. Actividades de control
Estn constituidas por los procedimientos especficos establecidos como un
reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la
prevencin y neutralizacin de los riesgos.
Las actividades de control se ejecutan en todos los niveles de la organizacin y en
cada una de las etapas de la gestin, partiendo de la elaboracin de un mapa de
riesgos segn lo expresado en el punto anterior: conociendo los riesgos, se
disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden
agruparse en tres categoras, segn el objetivo de la entidad con el que estn
relacionados:
Las operaciones.
La confiabilidad de la informacin financiera.
El cumplimiento de leyes y reglamentos.
Preventivo / Correctivos
Manuales / Automatizados o informticos.
Gerenciales o directivos.
evaluaciones
puntuales,
corresponden
las
siguientes
El alcance de la evaluacin.
Las actividades de supervisin continuadas existentes.
La tarea de los auditores internos y externos.
reas o asuntos de mayor riesgo.
o
o
o
o
Programas de evaluaciones.
Evaluadores, metodologa y herramientas de control.
Presentacin de conclusiones y documentos de soporte.
Seguimiento para que se adopten las correcciones pertinentes.
CONCLUSIONES:
BIBLIOGRAFIA