MODELOS DE

CONTROL

PARCIAL SEMANA 2

Por:

MARISOL NOBLES PALACIOS

[18/03/2018
UNIREMINGTON
FACILTAD DE ADMINISTRACION CONTADURÍA PÚBLICA
 INTRODUCCIÓN

En los últimos años, las entidades financieras, al igual que corporaciones e

entidades del estado (Gobierno) y como consecuencia del aumento de las
desfalcos, fraudes, corrupción, lavado de dinero, licitaciones, tráfico de influencias
en el ámbito legislativo y judicial entre otros, se ha fortalecido e implementado el
Control Interno en diferentes países, ya que se han percatado de que este no es
un tema reservado solamente para contadores sino que es una responsabilidad
también de los miembros de los Consejos de Administración de las diferentes
actividades económicas de cualquier organización o país.

A través de esta consulta presentaremos otros modelos que también son

aplicados a la auditoría y control informático, ya que los modelos de control son
informes que permiten seguir las pautas para la elaboración de los sistemas de
control interno,, entre estos controles tenemos el COSO, el COCO, el CADBURY,
el COBIT, el TURNBULL y el AEC
¿Qué es el sistema de control de una empresa u organización?

El propósito del ejercicio del control, en cualquier organización, consiste

en disponer de los medios y acciones oportunos para asegurar que sus
miembros internalicen los objetivos de la organización y por tanto, se comporten
de forma que permitan alcanzar tales objetivos. Es decir, el objetivo último de
cualquier sistema de control no es controlar un determinado comportamiento, sino
más bien influir en las personas para que sus acciones y decisiones sean
coherentes con los objetivos de la organización. En general, el sistema de control
persigue el objetivo de eficacia y eficiencia de la organización, es decir, se concibe
como el instrumento idóneo para mantener la organización en condiciones
óptimas.

Con la intención de alcanzar dicho propósito, son cuatro las funciones atribuidas a
un sistema de control: "Énfasis en los objetivos, necesidad de coordinación,
autonomía y control, y finalmente planificación estratégica".
1. El énfasis en los objetivos. En cualquier organización el comportamiento de sus
miembros puede estar orientado a sus propias necesidades más que a
los objetivos de la organización. Por tanto un sistema de control debe ser capaz
de motivar a las personas para que tomen decisiones y actúen según los objetivos
de la empresa.
2. La necesidad de coordinación. En todas las organizaciones existe la necesidad
de integrar el esfuerzo de todos sus miembros. Incluso en organizaciones de
reducido tamaño el origen de los problemas reside en la falta de coordinación. En
ocasiones el ejercicio de control puede consistir simplemente en encuentros
periódicos o la elaboración de informes que aseguren la coordinación y el correcto
funcionamiento de la organización. En cambio en las organizaciones de mayor
tamaño, los problemas de coordinación suelen ser mayores y es necesario un
mayor control.
3. Autonomía y control. Todo sistema de control debe ofrecer información sobre los
resultados de las operaciones y el desempeño de los individuos. Esta información
permite a la organización poder evaluar los resultados mientras simultáneamente
los individuos pueden trabajar sin necesidad de una revisión permanente sobre
sus acciones y decisiones.
4. Planificación estratégica. Otra de las funciones del sistema de control es facilitar
la implantación de la estrategia. En ocasiones se cree, erróneamente, que cuando
una estrategia se ha puesto en práctica ha concluido el proceso. Sin embargo,
esto es simplemente un paso más, ya que los planes se fijan para ser cumplidos y
es necesario un sistema de control efectivo para verificar si lo planificado se ha
cumplido correctamente.

¿Concepto de control interno?:

Sistema integrado por el esquema de organización y el conjunto de los planes,

métodos, principios, normas, procedimientos y mecanismos de verificación y
evaluación adoptados por una entidad, con el fi n de procurar que todas las
actividades, operaciones y actuaciones, así como la administración de la
información y los recursos, se realicen de acuerdo con las normas constitucionales
y legales vigentes dentro de las políticas trazadas por la dirección y en atención a
las metas u objetivos previstos.

En la vertiente anglosajona de control se han desarrollado diferentes

propuestas o modelos de control interno:

COSO:

Definición: El Informe COSO es un documento que contiene las principales

directivas para la implantación, gestión y control de un sistema de control.
Debido a la gran aceptación de la que ha gozado, desde su publicación en
1992, el Informe COSO se ha convertido en el estándar de referencia. (Cabello,
2011)
Objetivos: Diseñado para identificar los eventos que potencialmente puedan
afectar a la entidad y para administrar los riesgos, proveer seguridad razonable
para la administración y para la junta directiva de la organización orientada al logro
de los objetivos del negocio.

Características:

 Proporciona un marco de referencia aplicable a cualquier organización.

 Para COSO, este proceso debe estar integrado con el negocio, de tal
manera que ayude a conseguir los resultados esperados en materia de
rentabilidad y rendimiento.
 Trasmitir el concepto de que el esfuerzo involucra a toda la organización:
Desde la Alta Dirección hasta el último empleado.

 Al personal, para desarrollar sus funciones y ejercitar su juicio y creatividad,

al tiempo que administra o controla los riesgos.

 El personal tiene la flexibilidad de impulsar cambios en la organización o

gestión, al tener un adecuado conocimiento de los riesgos.

 El personal posee información confiable y está en aptitud de usarla al

momento oportuno y al más adecuado nivel en la organización

 La organización puede lograr mejoras en la efectividad y eficiencia y

obtener mayor confianza por parte de terceros interesados. (Galaz,
Yamazaki, & C, 2015)
Ventajas:
 Permite a la dirección de la empresa poseer una visión global del riesgo y
accionar los planes para su correcta gestión.
 Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los
controles implantados, lo que permite su adecuada gestión. toma de
decisiones más segura, facilitando la asignación del capital.
 Alinea los objetivos del grupo con los objetivos de las diferentes unidades
de negocio, así como los riesgos asumidos y los controles puestos en
acción.
 Permite dar soporte a las actividades de planificación estratégica y control
interno.
 Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas
prácticas de gobierno corporativo.

 Fomenta que la gestión de riesgos pase a formar parte de la cultura del

grupo.

Limitaciones:

 Errores por falta de capacidad para ejecutar las instrucciones

 Errores de juicio en la toma de decisiones.
 Errores por mala interpretación, negligencia, distracción o fatiga.
 Inobservancia gerencial a las políticas o procedimientos prescritos.
 Colusión.
 Costo - beneficio.

)
Elementos componentes y Principios:

AMBIENTE DE CONTROL: Es el conjunto de normas, procesos y estructuras que

proveen las bases para llevar a cabo el control interno a través de la organización.
El directorio y la alta gerencia establecen el ejemplo en relación con la importancia
del control interno y las normas de conducta esperada; enmarca el tono de la
organización, influenciando la conciencia del riesgo en su personal; esta es
además la base del resto de los componentes y provee disciplina y estructura.
Este consta de 5 principios los cuales son:
 la organización demuestra compromiso con la integridad y valores éticos.
 el directorio demuestra independencia de la gerencia y vigila el desarrollo y
funcionamiento del control interno.
 la gerencia establece, con la vigilancia del directorio, estructuras, líneas de
repite y una apropiada asignación de autoridad y responsabilidad para la
consecución de los objetivos.
 la organización demuestra compromiso para reclutar, desarrollar y retener
individuos competentes en función delos objetivos.
 la organización tiene personas responsables por las responsabilidades de
control interno en función de los objetivos

Aportes a la auditoría:
El enfoque COSO constituye la concepción de control interno que actualmente
cuenta con aceptación mundial. En efecto, tras la emisión del Informe COSO
original, en 1992, la normativa internacional fue adaptándose y ajustándose poco a
poco a sus definiciones. Teniendo en cuenta la dinámica mundial, en 2013 se
emitió una versión actualizada. En el marco original, COSO identificó los cinco
componentes de control interno, a saber:
 Ambiente de control: Es la base del sistema de control interno, y aporta
disciplina a la estructura. En él se apoyan los restantes componentes y
resulta fundamental para concretar los cimientos de un control interno
eficaz y eficiente, pues marca la pauta del funcionamiento de la
organización e influye en la forma de actuación de sus funcionarios. Sus
factores incluyen la integridad y los valores éticos, la capacidad de los
funcionarios, el estilo de dirección y gestión, la asignación de autoridad y
responsabilidad, la estructura organizacional y, las políticas y prácticas de
personal utilizadas.
  Evaluación de riesgos: Consiste en la identificación y el análisis de los
riesgos relevantes para la consecución de los objetivos, y sirve de base
para determinar cómo deben ser gestionados. Tiene como condición
previa la identificación de los objetivos a los distintos niveles, los cuales
deben estar vinculados entre sí.
 Actividades de control: Son las políticas, los procedimientos, las técnicas,
las prácticas y los mecanismos que permiten a la Dirección administrar los
riesgos identificados con base en la evaluación de riesgos y asegurar que
se llevan a cabo los lineamientos establecidos. Se ejecutan en todos los
niveles de la organización y en cada una de las etapas de la gestión.
 Información y comunicación: Según este componente, se debe identificar,
recopilar y propagar la información pertinente en tiempo y forma que
permitan cumplir a cada funcionario con sus responsabilidades a cargo.
De igual modo, debe existir una comunicación eficaz que fluya en todas
direcciones a través de todos los ámbitos de la organización, tanto de
forma descendente como ascendente.
Supervisión y seguimiento: El sistema de control interno precisa de
supervisión, es decir, un proceso que verifique la vigencia del sistema a lo
largo del tiempo. Esto se logra mediante actividades de supervisión
continuada, evaluaciones periódicas o una combinación de ambas. Esos
componentes se representaban como una pirámide en el enfoque emitido
en 1992. (público, 2015)

COCO:
Definición: Es un proceso efectuado por la junta directiva, la administración, y por
el personal en general diseñado para proporcionar por medio de criterios un
aseguramiento razonable con respecto al logro de los objetivos. (Gere, 2016)
Objetivos: (efectividad y eficiencia de las operaciones)
• Servicio al cliente
• Salvaguarda y uso eficiente de los recursos
• Obtención de beneficios
 • Cumplimiento de obligaciones sociales
• Seguridad de que los riesgos son debidamente identificados y administrados
Confiabilidad de los reportes internos y externos
• Mantenimiento de registros contables adecuados.
• Confiabilidad de la información utilizada.
• Información publicada para terceros interesados.

Cumplimiento con la normatividad y políticas internas aplicables

Aseguramiento de que las actividades de la organización se conducen en

total concordancia con el marco legal y con las políticas internas.

Características: La característica principal es la participación del personal, ya que

ayuda a:
 Al personal, para desarrollar sus funciones y ejercitar su juicio y creatividad,
al tiempo que administra o controla los riesgos.
 El personal tiene la flexibilidad de impulsar cambios en la organización o
gestión, al tener un adecuado conocimiento de los riesgos.
 El personal posee información confiable y está en aptitud de usarla al
momento oportuno y al más adecuado nivel en la organización
 La organización puede lograr mejoras en la efectividad y eficiencia y
obtener mayor confianza por parte de terceros interesados.
Ventajas:
El modelo COCO se representa en cuatro etapas:
 Una se refiere al propósito,
 otra al compromiso
 la siguiente a la aptitud y
 la última a la evaluación y al aprendizaje.
 Cada una de ellas contiene varios criterios que pueden ser aplicables en
nuestras organizaciones
Limitaciones:
  El concepto seguridad razonable está relacionado con el
reconocimiento explícito de la existencia de limitaciones
inherentes del Control Interno.
 En el desempeño de los controles pueden cometerse
errores por falta de capacidad para ejecutar las
instrucciones, errores de juicio en la toma de decisiones,
errores por mala interpretación, negligencia, distracción o
fatiga.
 Las actividades de control dependientes de la separación
de funciones, pueden ser burladas por colusión entre
trabajadores, es decir, ponerse de acuerdo para dañar a
terceros.
 La extensión de los controles adoptados en una
organización está limitada por consideraciones de costo
(Costo – beneficio), por lo tanto, no es factible establecer
controles que proporcionan protección absoluta del fraude y
del desperdicio.

Principios: Se basan en la noción de principios como:

 rendición de cuentas,
 concientización,
 equidad y
 ética.

Elementos componentes: El modelo COCO busca proporcionar un

entendimiento del control y dar respuesta a las siguientes tendencias:
 En el impacto de la tecnología y el recorte a las estructuras
organizacionales, debido a la implantación de medios informales, como la
visión empresarial compartida, comunión de valores y una comunicación
más abierta.
 En el énfasis de las autoridades para establecer controles, como una forma
de proteger los intereses del accionista.
  En la creciente demanda de informar públicamente acerca de la efectividad
del control.
 El modelo pretende desarrollar orientaciones o guías generales para el
diseño, evaluación y reportes sobre los sistemas de control de las
organizaciones.

Aportes a la auditoría:

El cambio importante que plantea el Modelo Canadiense consiste que en lugar de

conceptuar al proceso de Control como una pirámide de componente y elementos
interrelacionados, proporciona un marco de referencia a través de 20 criterios
generales, que el personal en toda la organización puede usar para diseñar,
desarrollar, modificar o evaluar el Control.

Esto debido a que diversos factores o criterios según el caso, corresponden a

aspectos intangibles o informales desde el punto de vista de su documentación,
percepción o funcionamiento, tales como integridad y valores éticos, filosofía de la
organización, estilo de mando, medición de los riesgos, etc.; así como él tener que
evaluar las tres categorías (y no solamente el financiero) para opinar sobre la
suficiencia y efectividad del sistema de control. (cano, 2014)

Cadbury:

Definición Este modelo se enfoca básicamente en las políticas de gobierno,

analizando el código ético sobre los aspectos financieros del gobierno de las
sociedades, que permite una contribución positiva a la promoción de este en su
conjunto y los principios de actuación derivados de ellos; los valores éticos son de
gran importancia para la aplicación de este modelo en una organización, además
de que son altamente seleccionados teniendo en cuenta la ética discursiva, como
un intento de explicar que significa “buen” gobierno y justificar la elección de
valores realizada. (Cuaran, 2015)
Objetivos:
 Apoyar a los administradores a cumplir con una parte de sus
responsabilidades
 Incrementar la credibilidad y objetividad de las cuentas anuales y la
información financiera
 Establecer mejoras en la comunicación con los auditores externos.
 Aumentar la independencia de los auditores externos
Su principal objetivo: está orientado a proporcionar una seguridad razonable de
la efectividad y eficiencia de sus operaciones, confiabilidad de la información y el
cumplimiento de las leyes.

Características:
 Adopta una interpretación amplia de control.
 Mayores especificaciones en la definición de su enfoque sobre el sistema
de control en su conjunto financiero y de cualquier tipo.
 Los elementos clave este modelo son similares a los del COSO, salvo la
consideración de los sistemas de información integrados en los otros
componentes y un mayor énfasis respecto a riesgos.
 Objetivos orientados a proporcionar una razonable seguridad en:
1. Efectividad y eficiencia de las operaciones
2. Confiabilidad de la información y reportes financieros
3. Cumplimiento con leyes y reglamentos
4. Salvaguardar el patrimonio.
Ventajas:
 Beneficios al proceso operativo.
 Mejora de la moral del personal.
 Eliminación de atmósferas de desconfianza.
 Generación de ideas y planes de acción.
 Identificación y solución de problemas.
 Realiza el papel de auditoría interna.
 Eficiencia de Procesos
 AEC - Fases de la Autoevaluación
 Involucramiento de la alta gerencia
 Mejora del control y sus riesgos,
 Beneficios para la Administración
o Auditoría Informática
La auditoría informática es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema de información salvaguarda
el activo empresarial, mantiene la integridad de los datos.
o Auto Evaluación de Control AEC
La ejecución de proyectos de autoevaluación de control (AEC) debe
realizarse de acuerdo con un método sistemático y estructurado, que
asegure en todo tiempo que los esfuerzos llevados a cabo por los
distintos participantes, se realicen en un orden y consecuencia
apropiados al fin que se persigue.
o Adopta una interpretación amplia del control.
Es el modelo de control que se enfoca básicamente en las políticas
del gobierno.
o Desarrollado por el llamado Comité Cadbury
(UKCadburyCommittee).
o Mayores especificaciones en la definición de su enfoque sobre el
sistema de control en su conjunto-financiero.
Fue el inicio y el referente de los esfuerzos realizados por
organizaciones gremiales para mejorar el clima de inversión en
diferentes países del mundo.
 Comité de nombramientos
Constitución de los comités De remuneraciones
La creación de diversos comités y los consejos externos son las
mayores e importantes aportaciones realizadas por el informe
CADBURY.
 o De auditoría
Compuesto en su totalidad o por mayoría de consejeros no
ejecutivos independientes externos.
o Asegurar que los ejecutivos son razonablemente compensados.
 Apoyar a los administradores a cumplir con una parte de sus
responsabilidades.
 Establecer mejoras en la comunicación con los auditores externos.
 Rotar periódicamente, reuniones bien preparadas y con tiempo.
 No designar consejeros ejecutivos

Limitaciones:
Mayores limitaciones en la responsabilidad de los reportes de control a la
confiabilidad de los informes financieros.

Principios:

Se basan en la noción de principios como:

 Rendición de cuentas.
 Concientización.
 Equidad y ética.
 Comunidad de Principios:
 Comunidad de Madurez de la Capacidad: Se basa en la noción del modelo
de madurez, cuyo único miembro es el Sistemas Security Engineering
Capability Maturity Model (SSE- CMM). La teoría es que una organización
cuyo nivel de madurez es mayor que otra es probable que produzca un
mejor producto o servicio. El enfoque se centra en el proceso y sólo en
forma secundaria en el producto.

Elementos componentes:
Incluye normas que considera de práctica aconsejable, para los Estados
Financieros, sobre los siguientes temas:
1. Responsabilidades que les competen a los directores y administradores para
revisar e informar a los accionistas y otras partes interesadas.
2. Composición, rol y desempeño de los comités de auditoría.
3. Responsabilidades de directores y administradores en el control, el alcance y el
valor de la auditoría.
4. Establece los puntos de contacto entre accionistas, directores y auditores. 5.
Otros temas vinculados.

Aportes de estos modelos a la auditoría:

A LA AUDITORÍA EXTERNA:
 El informe Cadbury establece a la auditoria como la que ofrece a los
accionistas una visión interna, independiente y objetiva de modo en que las
cuentas anuales han sido preparadas y presentadas, asegurando su
objetividad y eficacia.
 Deben desarrollarse normas contables más eficaces.
 Constitución, para las compañías que cotizan en bolsa, de un comité de
Auditoria que, como se comentó al hablar de sus funciones, sea el
responsable de proponer al Consejo la contratación, rescisión y honorarios
de los auditores externos.
 Informa de los honorarios por trabajo ajeno a la auditoria, y realizados por
los auditores externos.
 La rotación de los auditores fue otra propuesta realizada por el Comité. “…
debería ser introducida alguna forma de rotación obligatoria de las firmas de
auditoría”.

A LA AUDITORIA INTERNA
  Es una buena medida que las empresas implanten esta función para que
informen sobre la eficacia del sistema de control interno.
 La función ha de tener independencia de la gestión y poder acceder sin
restricciones, al presidente y al comité de auditoría

COBIT

Definición:

Es un modelo para auditar la gestión y control de los sistemas de información y

tecnología, orientado a todos los sectores de una organización, es decir,
administradores de las tecnologías de información (TI), usuarios y por supuesto,
los auditores involucrados en el proceso.
Objetivos:

Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos están agrupados en cuatro grandes dominios que se
describen a continuación junto con sus procesos y una descripción general de las
actividades de cada uno:

Dominio: Planificación y Organización

Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la
tecnología información puede contribuir de la mejor manera al logro de los
objetivos de la organización. La consecución de la visión estratégica debe ser
planeada, comunicada y administrada desde diferentes perspectivas y debe
establecerse una organización y una infraestructura tecnológica apropiadas.

Procesos:
PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo
entre las oportunidades de tecnología de información y los requerimientos de TI de
negocio, para asegurar sus logros futuros.

PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los

requerimientos de la organización, en cuanto al manejo y gestión de los sistemas
de información, a través de la creación y mantenimiento de un modelo de
información de la organización.

PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al

máximo de la tecnología disponible o tecnología emergente, satisfaciendo los
requerimientos de la organización, a través de la creación y mantenimiento de un
plan de infraestructura tecnológica.

PO4 Definición de la organización y de las relaciones de TI: El objetivo es la

prestación de servicios de TI, por medio de una organización conveniente en
número y habilidades, con tareas y responsabilidades definidas y comunicadas.

PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos

de la organización, asegurando el financiamiento y el control de desembolsos de
recursos financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo

es asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones
de la gerencia, a través de políticas establecidas y transmitidas a la comunidad de
usuarios, necesitándose para esto estándares para traducir las opciones
estratégicas en reglas de usuario prácticas y utilizables.
PO7 Administración de recursos humanos: El objetivo es maximizar las
contribuciones del personal a los procesos de TI, satisfaciendo así los
requerimientos de negocio, a través de técnicas sólidas para administración de
personal.

PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo

es cumplir con obligaciones legales, regulatorias y contractuales, para ello se
realiza una identificación y análisis de los requerimientos externos en cuanto a su
impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos.

PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de

TI y responder a las amenazas hacia la provisión de servicios de TI, mediante la
participación de la propia organización en la identificación de riesgos de TI y en el
análisis de impacto, tomando medidas económicas para mitigar los riesgos.

PO10 Administración de proyectos: El objetivo es establecer prioridades y

entregar servicios oportunamente y de acuerdo al presupuesto de inversión, para
ello se realiza una identificación y priorización de los proyectos en línea con el plan
operacional por parte de la misma organización. Además, la organización deberá
adoptar y aplicar sólidas técnicas de administración de proyectos para cada
proyecto emprendido.

PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del

cliente. Mediante una planeación, implementación y mantenimiento de estándares
y sistemas de administración de calidad por parte de la organización.

Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Procesos:

AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el

mejor enfoque para cumplir con los requerimientos del usuario, mediante un
análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios.

AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es

proporcionar funciones automatizadas que soporten efectivamente la organización
mediante declaraciones específicas sobre requerimientos funcionales y
operacionales y una implementación estructurada con entregables claros.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo

es proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios mediante la realización de una evaluación del desempeño del hardware
y software, la provisión de mantenimiento preventivo de hardware y la instalación,
seguridad y control del software del sistema.

AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el

uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas,
mediante la realización de un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y
material de entrenamiento.

AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar

que la solución sea adecuada para el propósito deseado mediante la realización
de una migración de instalación, conversión y plan de aceptaciones
adecuadamente formalizadas.

AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de

interrupciones, alteraciones no autorizadas y errores, mediante un sistema de
administración que permita el análisis, implementación y seguimiento de todos los
cambios requeridos y llevados a cabo a la infraestructura de TI actual.

Dominio: Servicios y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que

abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.

Procesos

DS1 Definición de niveles de servicio: El objetivo es establecer una

comprensión común del nivel de servicio requerido, mediante el establecimiento
de convenios de niveles de servicio que formalicen los criterios de desempeño
contra los cuales se medirá la cantidad y la calidad del servicio.
DS2 Administración de servicios prestados por terceros: El objetivo es
asegurar que las tareas y responsabilidades de las terceras partes estén
claramente definidas, que cumplan y continúen satisfaciendo los requerimientos,
mediante el establecimiento de medidas de control dirigidas a la revisión y
monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización.

DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la

capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella
para alcanzar el desempeño deseado, realizando controles de manejo de
capacidad y desempeño que recopilen datos y reporten acerca del manejo de
cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio
disponible de acuerdo con los requerimientos y continuar su provisión en caso de
interrupciones, mediante un plan de continuidad probado y funcional, que esté
alineado con el plan de continuidad del negocio y relacionado con los
requerimientos de negocio.

DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la

información contra uso no autorizados, divulgación, modificación, daño o pérdida,
realizando controles de acceso lógico que aseguren que el acceso a sistemas,
datos y programas está restringido a usuarios autorizados.

DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los

usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de
los riesgos y responsabilidades involucrados realizando un plan completo de
entrenamiento y desarrollo.

DS7 Identificación y asignación de costos: El objetivo es asegurar un

conocimiento correcto atribuido a los servicios de TI realizando un sistema de
contabilidad de costos asegure que éstos sean registrados, calculados y
asignados a los niveles de detalle requeridos.

DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que

cualquier problema experimentado por los usuarios sea atendido apropiadamente
realizando una mesa de ayuda que proporcione soporte y asesoría de primera
línea.

DS9 Administración de la configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia
física y proporcionar una base para el sano manejo de cambios realizando
controles que identifiquen y registren todos los activos de TI así como su
localización física y un programa regular de verificación que confirme su
existencia.

DS10 Administración de Problemas: El objetivo es asegurar que los problemas

e incidentes sean resueltos y que sus causas sean investigadas para prevenir que
vuelvan a suceder implementando un sistema de manejo de problemas que
registre y haga seguimiento a todos los incidentes.

DS11 Administración de Datos: El objetivo es asegurar que los datos

permanezcan completos, precisos y válidos durante su entrada, actualización,
salida y almacenamiento, a través de una combinación efectiva de controles
generales y de aplicación sobre las operaciones de TI.

DS12 Administración de las instalaciones: El objetivo es proporcionar un

ambiente físico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace
posible con la instalación de controles físicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las instalaciones y
contemplen su seguridad física.

DS13 Administración de la operación: El objetivo es asegurar que las funciones

importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una
manera ordenada a través de una calendarización de actividades de soporte que
sea registrada y completada en cuanto al logro de todas las actividades.

Dominio: Monitoreo

Todos los procesos de una organización necesitan ser evaluados regularmente a

través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad.
Procesos

M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos

establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la
gerencia reportes e indicadores de desempeño gerenciales y la implementación de
sistemas de soporte así como la atención regular a los reportes emitidos.

M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de

los objetivos de control interno establecidos para los procesos de TI.

M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los

niveles de confianza entre la organización, clientes y proveedores externos. Este
proceso se lleva a cabo a intervalos regulares de tiempo.

M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de

confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su
implementación, lo que se logra con el uso de auditorías independientes
desarrolladas a intervalos regulares de tiempo.

Características:
 Orientado al negocio.
 Alineado con estándares y regulaciones "de facto".
 Basado en una revisión crítica y analítica de las tareas y actividades en TI.
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).

Ventajas:

 La toma de decisiones para niveles gerenciales es más eficaz, porque

COBIT ayuda la dirección en la definición de un plan de TI estratégico, la
 definición de la arquitectura de la información, la adquisición del hardware
necesario TI y el software para ejecutar una estrategia TI, la aseguración
del servicio continuo, y la supervisión del funcionamiento del sistema TI.
 Los usuarios se benefician de COBIT debido al aseguramiento
proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y
el reportaje de información cumplen con COBIT ya que esto implica mandos
y la seguridad es en el lugar para gobernar los procesos.
 A interventores porque esto les ayuda a identificar cuestiones de control de
TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a
corroborar sus conclusiones de auditoria. (Baquero, 2013)

Limitaciones: estas pueden ser consideradas como desventajas del control

 COBIT resulta un modelo ambicioso que requiere de profundidad en el

estudio.
 Se requiere de un esfuerzo de la organización, para adoptar los estándares.
 No existe en la bibliografía resultados de la experiencia práctica de los
países en la implementación de este modelo que lo hagan medible.
 Se requiere un cambio de cultura en las personas que hacen el servicio
(cambiar las formas de pensar de las personas).
 Lleva tiempo ver las reducciones de costos y la mejora en la entrega de los
servicios.
 Una implementación exitosa implica compromiso del personal a todos los
niveles de la organización.

Principios:
1. Satisfaciendo las necesidades de los interesados
2. Cubriendo la empresa de extremo a extremo
3. Aplicando un solo marco integrado
 4. Posibilitando un enfoque holístico
5. Separando Gobierno y Gestión
El enfoque del control en TI se lleva a cabo visualizando la información necesaria
para dar soporte a los procesos de negocio y considerando a la información como
el resultado de la aplicación combinada de recursos relacionados con las TI que
deben ser administrados por procesos de TI. Requerimientos de la información del
negocio: Para alcanzar los requerimientos de negocio, la información necesita
satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.
PRINCIPIO EFECTIVIDAD: La información debe ser relevante y pertinente para
los procesos del negocio y debe ser proporcionada en forma oportuna, correcta,
consistente y utilizable.
PRINCIPIO CONFIABILIDAD: proveer la información apropiada para que la
administración tome las decisiones adecuadas para manejar la empresa y cumplir
con sus responsabilidades.
PRINCIPIO EFICIENCIA: Se debe proveer información mediante el empleo óptimo
de los recursos (la forma más productiva y económica).
PRINCIPIO DE CUMPLIMIENTO: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la empresa. (54, 2007)

Componentes:

Se interrelacionan matricialmente: requerimientos del negocio (calidad, fiduciarios,

seguridad), recursos de TI (gente, sistemas de aplicación, tecnología,
instalaciones, datos) y procesos de TI (dominios, proceso y actividades).
 Resumen Ejecutivo: Es un documento dirigido a la alta gerencia
presentando los antecedentes y la estructura básica de COBIT Además,
describe de manera general los procesos, los recursos y los criterios de
información, los cuales conforman la "Columna Vertebral" de COBIT.
  Marco de Referencia (Framework): Incluye la introducción contenida en el
resumen ejecutivo y presenta las guías de navegación para que los lectores
se orienten en la exploración del material de COBIT haciendo una
presentación detallada de los 34 procesos contenidos en los cuatro
dominios.
 Objetivos de Control: Integran en su contenido lo expuesto tanto en el
resumen ejecutivo como en el marco de referencia y presenta los objetivos
de control detallados para cada uno de los 34 procesos.
 PLANEAR Y ORGANIZAR

Aportes a la auditoría:

1. Integrando Tecnología al Gobierno Corporativo

2. Definiendo cual es el rol del directorio en el Gobierno de Tecnología
3. Separando claramente las actividades de Gestión de las de Gobierno
4. Comprender que Tecnología no está separada del negocio, en una empresa
todos somos el negocio y tecnología esta fusionada
5. Vinculando cada Inversión en Tecnología con Beneficios, Recursos,
Riesgos y Transparencia

MECI

Definición:
El modelo MECI es una herramienta gerencial que tiene como fin servir de control
de controles para que las entidades del Estado logren cumplir con sus objetivos
institucionales y con el marco legal aplicable a ellas.

Objetivos:
 Proporcionar la estructura básica para evaluar la estrategia, la gestión y los
propios mecanismos de evaluación del proceso administrativo y, aunque
promueve una estructura uniforme, puede ser adaptada a las necesidades
 específicas de cada entidad, a sus objetivos, estructura, tamaño, procesos
y servicios que suministran.
 El propósito es orientar esta Institución hacia el cumplimiento de sus
objetivos institucionales (la misión, la visión, la política de calidad, los
objetivos de calidad, los valores, los principios) y la contribución de éstos a
los fines esenciales del Estado Colombiano.
 Proporcionar una estructura que especifique los elementos necesarios para
construir y fortalecer el Sistema de Control Interno en las organizaciones
obligadas por la Ley 87 de 1993, a través de un modelo que determine los
parámetros de control necesarios para que al interior de las entidades se
establezcan acciones, políticas, métodos, procedimientos, mecanismos de
prevención, verificación y evaluación en procura del mejoramiento continuo
de la administración pública.

Características:

Establece una estructura estándar de Control Interno que soporte los procesos de
implementación, unifique los criterios de control en el Estado y garantice un control
corporativo a la gestión de las entidades públicas que les permita el cumplimiento
de sus objetivos.
 Motiva la construcción de un entorno ético alrededor de la función
administrativa de la entidad pública.
 Mantiene una orientación permanente para controlar los riesgos que
pueden inhibir el logro de los propósitos de la entidad.
 Se basa en una gestión de operaciones por procesos.
 Establece la Comunicación Pública como un proceso de control a la
transparencia y la divulgación de información a los diferentes grupos de
interés del sector público.
 Le otorga un valor preponderante a la evaluación ya sea ésta de orden
administrativo, realizada por las Oficinas de Control Interno o efectuada por
los órganos de Control Fiscal.
  Confiere gran impacto a los Planes de Mejoramiento, como herramienta
que garantiza la proyección de la entidad pública hacia la excelencia
administrativa.
 El Modelo de Control Interno para las entidades del Estado ha desarrollado
dos componentes: Primero, Un Marco Conceptual, el cual tiene el propósito
de sentar las bases conceptuales y metodológicas que permitan la
comprensión del pensamiento legal y técnico bajo el cual se estructura el
Modelo de Control Interno para entidades del Estado.

Ventajas:

Una ventaja de este enfoque es el control continuo que proporciona sobre los
vínculos entre los procesos individuales que hacen parte de un Sistema
conformado por procesos, así como sobre su combinación e interacción.

Limitaciones:

 El concepto razonable está relacionado con el reconocimiento explícito de

la existencia de limitaciones inherentes del control interno.
 La actividad de control dependiente de la separación de funciones, pueden
ser burladas por colusión entre empleados, es decir ponerse de acuerdo
para dañar a terceros.
 En el desempeño de los controles pueden cometerse errores como
resultados de las interpretaciones erróneas de instrucciones, errores de
juicio, descuido, distracción y fatiga.
 La extensión de los controles adoptados en una organización también está
limitada por consideración de costo, por lo tanto no es factible establecer
controles que proporcionen protección absoluta del fraude y el despilfarro,
sino establecer los controles que garanticen una seguridad razonable desde
el punto de vista de los costos.
Principios:

Ahora veamos un aspecto bien importante y que es el fundamento del sistema de

control interno, LOS PRINCIPIOS. El fundamento del sistema de control interno
son los principios que se describen a continuación:
EL AUTOCONTROL: el principio del autocontrol es la capacidad que tiene toda
persona, en este caso todo servidor público, para controlar su trabajo, detectar
desviaciones y, efectuar correctivos. Este principio es inherente e intrínseco a las
actuaciones y decisiones de las personas. Lo que quiere decir que nuestras
decisiones y actuaciones pueden estar determinadas por el grado de autocontrol
que apliquemos en nuestras laborales cotidianas. LA AUTORREGULACIÓN: El
principio de la Autorregulación es la capacidad que tiene la institución para aplicar
de manera participativa los métodos y procedimientos establecidos en la
normatividad, que permitan el desarrollo e implementación del sistema de control
interno. En otras palabras, es la capacidad que tiene la organización para
autorregular sus acciones. LA AUTOGESTIÓN: La definición del principio de la
Autogestión es la siguiente: la Autogestión es la capacidad institucional para
interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la
función administrativa delegada por la constitución, la ley y sus reglamentos”. En
otras palabras, el principio de la autogestión reconoce la capacidad de cada
funcionario de gestionar de forma autónoma el logro de sus objetivos.

Elementos componentes:
Con base en los Artículos 3º y 4º de la Ley 87 de 1993, el Modelo estándar de
Control Interno estará integrado por Subsistemas, Componentes y Elementos de
Control de la siguiente forma:

1. SUBSISTEMA DE CONTROL ESTRATÉGICO

1.1. COMPONENTE AMBIENTE DE CONTROL
ELEMENTOS DE CONTROL
1.2. COMPONENTE DIRECCIONAMIENTO ESTRATÉGICO ELEMENTOS DE
CONTROL
1.3. COMPONENTE ADMINISTRACIÓN DEL RIESGO ELEMENTOS DE
CONTROL

2. SUBSISTEMA DE CONTROL DE GESTIÓN

2.1. COMPONENTE ACTIVIDADES DE CONTROL ELEMENTOS DE CONTROL
2.2. COMPONENTE INFORMACIÓN ELEMENTOS DE CONTROL
2.3. COMPONENTE COMUNICACIÓN ELEMENTOS DE CONTROL

3. SUBSISTEMA DE CONTROL DE EVALUACIÓN

3.1. COMPONENTE AUTOEVALUACIÓN ELEMENTOS DE CONTROL
3.1.1. Autoevaluación del Control
3.1.2 COMPONENTE EVALUACIÓN INDEPENDIENTE ELEMENTOS DE
CONTROL
Aportes de estos modelos a la auditoría

Opinión Personal:

La auditoría y el control administrativo tienen como finalidad trascendente buscar

irregularidades o deficiencias en cualquiera de los elementos examinados, e
indicar a la vez posibles soluciones para mejorar sus operaciones.
Por lo tanto, su misión es ayudar a la dirección y lograr una administración eficaz,
su intención es:

 Examinar y valorar los métodos.

 El desempeño en todas las áreas.
 Los factores de evaluación abarcan desde el panorama económico en que
actúa la empresa.
 Lo apropiado de la estructura organizativa,
 La observancia de las políticas y procedimientos.
 La exactitud y confiabilidad de los controles.
 Los métodos protectores adecuados.
 Las causas de las variaciones.
 La adecuada utilización de personal, equipo y materiales.
 Los sistemas de funcionamientos satisfactorios.

Por consiguiente, siendo el análisis un elemento primordial para separar las partes
de un todo, se deberá de considerar todos los factores, hasta conocer con
profundidad los elementos de que está compuesto; para verificar la viabilidad de
los diversos procesos especializados. Una de los principales auxiliares en que se
basa la auditoria administrativa es la investigación científica, por lo cual el auditor
administrativo se apoya en la lógica siguiendo los pasos del razonamiento
"inductivo y deductivo" que aconseja la decisión a tomar.

Al examinar cualquier sistema o procedimiento, el auditor debe tener en cuenta el

propósito y su forma de decidir sobre los méritos respecto a la forma en que sirven
a la empresa. Un sistema o procedimiento deficiente puede resultar costoso y
entorpecer las operaciones de la organización, ya que obstaculiza la fluidez de las
políticas que la generaron.

Lo que importa es cerciorarse de que el sistema o procedimiento esté proyectado

de forma que se obtengan los resultados deseados, debe determinarse lo que está
haciendo, dónde?, Cómo?, y por quién?; Cada paso individual en el proceso debe
ser estudiado y evaluado. Luego hacer los ajustes a las desviaciones mediante
correcciones oportunas y de bajo costo o en su caso puede haber sobre pasado
su utilidad y es necesario afinar su objetivo. La necesidad de la gerencia de
examinar constantemente todos los sistemas, procedimientos y procesos es una
prioridad de la gerencia delegada en el auditor administrativo.

CONCLUSIONES

 El informe COCO es producto de una profunda revisión del Comité de

Control de Canadá sobre el reporte COSO.

 Se puede decir que es el esfuerzos de varios países por elaborar un marco

conceptual que defina la elaboración de modelos o informes aplicados a los
Sistemas de Control Interno,
 En cuanto a los dos informes (Informe COCO e Informe COSO), es que
ambos abordan al Control Interno como un proceso, además de establecer
como premisa que todo el personal dentro del ámbito de una organización
tienen participación y responsabilidad en el proceso de control.

 El modelo de gestión CADBURY nace con la necesidad de implementar

unas pautas que garantizaran la efectividad y eficacia de las operaciones
 en las empresas, al igual que el óptimo funcionamiento de los
departamentos.
 Permite brindar certidumbre a los accionistas, inversionistas, directivos y
auditores sobre la situación financiera, al mostrar una concordancia entre
los objetivos de la empresa y los resultados reales obtenidos en el ejercicio,
para la correcta toma de decisiones
 Si bien COBIT es un marco general, su flexibilidad y versatilidad nos
permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una
implementación gradual y progresiva acorde a los recursos disponibles y
acompasando la estrategia empresarial.
 Si bien aún no es requerido formalmente en forma regulatoria, es un
estándar de facto en toda Latinoamérica y es una fuerte recomendación en
los ámbitos financieros.
 Es parte de la misión de ISACA, la divulgación de COBIT y apoyo en la
implementación como forma de promover la eficiencia y buena gestión de
los procesos de tecnología que nos permita compararnos y mejorar día a
día en pos de la concreción de los Objetivos de Negocio.
 En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas
de administración y dirección de los recursos de tecnología.
 En el modelo MECI, comprender el control interno es ejecutado por
personas, garantiza coordinación de acciones de manera intencional,
consciente y efectiva al definir los flujos de información y comunicación que
permite a los servidores públicos anticipar y corregir de manera oportuna
las debilidades que se presentan en su quehacer dentro de la institución.
 Cada servidor público tiene responsabilidades frente al control interno, que
se sintetizan en estar “al servicio del Estado y de la Comunidad”.
 Los directivos tienen la responsabilidad de direccionar y orientar el control
interno para que se cumpla con sus objetivos, utilizando la información que
éste genera a fin de retroalimentar y reorientar la función administrativa de
la entidad hacia los fines que persigue.
 La actuación de cada uno de los servidores públicos y en particular, del
nivel directivo, tiene repercusiones en el desempeño de la institución y del
Estado como un todo.
 Para la ejecución de control interno es necesario contar con las
capacidades, habilidades y conocimientos de todas las personas de la
institución. Así mismo, los procesos de selección, capacitación, formación, y
motivación son fundamentales para garantizar los objetivos del control
interno.
 Los servidores públicos deben conocer sus responsabilidades y límites de
autoridad, por lo tanto es necesario entregar a cada funcionario público un
detalle de sus funciones oficializando por la ley o reglamento propio de la
entidad que defina la relación entre los deberes, la manera de llevarlos a
cabo y la correspondencia con los objetivos de la institución.
 Son los servidores públicos quienes hacen del control interno una realidad,
pues es a través de sus acciones se concreta el cumplimiento de los
objetivos institucionales.
 La educación de todos los funcionarios públicos en búsqueda de las
mejores prácticas, depende de un acuerdo fundamental sobre los principios
y valores éticos que direccionan la función administrativa de la
organización.

BIBLIOGRAFÍA
54, U. E. (10 de mayo de 2007).
http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf. Obtenido de
Baquero, K. (15 de noviembre de 2013).
http://www.monografias.com/trabajos93/cobit-objetivo-contro-
tecnologia-informacion-y-relacionadas/cobit-objetivo-contro-
tecnologia-informacion-y-
relacionadas.shtml#caracteria#ixzz5ACs6iDCE. Obtenido de
Cabello, N. (10 de julio de 2011).
https://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/.
Obtenido de
cano, L. A. (3 de marzo de 2014).
https://es.scribd.com/document/239104438/Modelo-Coco. Obtenido
de https://es.scribd.com/document/239104438/Modelo-Coco:
Cuaran, J. (19 de abril de 2015). https://es.slideshare.net/Escorpp/el-cadbury.
Obtenido de https://es.slideshare.net/Escorpp/el-cadbury:
Galaz, Yamazaki, & C, R. U. (13 de Enero de 2015).
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk
/COSO-Sesion1.pdf. Obtenido de
Gere, H. (30 de septiembre de 2016).
http://controlinternohoy.blogspot.com.co/2010/09/modelos-de-
control-interno.html. Obtenido de
público, O. E. (25 de noviembre de 2015). http://www.olacefs.com/wp-
content/uploads/2016/03/15.pdf. Obtenido de