UNIVERSIDAD NACIONAL

SANTIAGO ANTÚNEZ DE MAYOLO

MAESTRIA EN CIENCIAS ECONÓMICAS

MENCIÓN: AUDITORIA Y CONTROL DE GESTIÓN.

Normas COBIT, y modelos de control interno: COCO, CADBURY,

TURNBULL, AEC y otros.

PRESENTADO POR:

PRESENTADO POR:

ADRIAN ARIZA SARAY

MAGUIÑA ROMERO AVELIN
SOLÌS VERGARAY SARA SOLANGE

DOCENTE:

Dr. JAVIER HIDALGO MEJÍA.

HUARAZ - PERU
2019
 2

INTRODUCCIÓN

El proyecto COBIt se aprendió por primera vez el año 1995, con el fin de crear un mayor

producto global que pudiese tener impacto duradero sobre el campo de visión de los

negocios, así como sobre los controles de los sistemas de información implantados.
 3

Normas COBIT, y modelos de control interno: COCO, CADBURY,

TURNBULL, AEC y otros.

OBJETIVOS

OBJETIVO GENERAL

 Realizar un informe de los conceptos básicos de las Normas COBIT, y modelos de

control interno: COCO, CADBURY, TURNBULL, AEC y otros para cualquier

organización.

OBJETIVOS ESPECIFICOS

 Identificar la forma en que la tecnología de la información puede contribuir de la

mejor manera al logro de los objetivos del negocio.

 Identificar los beneficios del control TURNBULL y AEC.

 Establecer que requerimientos necesitan para la implantación de las normas

TURNBULL y AEC.

 Analizar el proceso de la autoevaluación del control.

 Identificar los peligros potenciales del control TURNBULL.

 Analizar las fases de la autoevaluación.

 4

CAPITULO I

MARCO TEORICO

1. RESUMEN EJECUTIVO DEL COBIT

1.1 ADMINISTRACIÓN DE LA INFORMACIÓN

La información y la tecnología que las soportan sus más valiosos activos, aunque

con frecuencia son poco entendidos. Las empresas exitosas reconocen los

beneficios de la tecnología de información y la utilizan para impulsar el valor de

sus interesados.

El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y

consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI

en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de

seguridad de su información, así como de los activos. La dirección también debe

optimizar el uso de los recursos del TI. Incluyendo aplicaciones, información,

infraestructura y personas. Para descargar estás responsabilidades, así como para

lograr sus objetivos, la dirección debe entender el estatus de su arquitectura

empresarial para TI y decidir que tipo de gobierno y de control debe aplicar.

 5

1.2

AREAS DE

INFOQUE DEL GOBIERNO DE TI

Las áreas de enfoque del gobierno de TI, coso, recursos TI de COBIT y criterios de

información COBIT, ofreciendo así un puente entre lo que los gerentes operativos

deben realizar y lo que los ejecutivos deben gobernar.

Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser

implementados por los gerentes operativos se encuentren dentro de un marco de

control definido por todos los procesos de TI. Los objetivos de control de TI de COBIT

están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una

alineación clara entre los requerimientos de gobierno de TI y los controles de TI.

 6

1.3 INTERRELACIONES DE LOS COMPONENTES

Una vez que han sido definidas las metas alienadas, estás requieren ser monitoreadas

para garantizar que la entrega cumple con las expectativas. Esto se logra con métricas

derivadas de las metas y capturadas en el scorecard de TI.

Para que el cliente pueda entender las metas de TI y el scorecard de TI todos estos

objetivos y métricas asociadas deben expresarse en términos de negocio significativos

para el cliente. Esto combinado con un lineamiento efectivo de los objetivos

jerárquicos aseguraría que el negocio pueda confirmar que es probable que TI soporte

los objetivos de la empresa.

 7

CAPITULO II

MARCO CONCEPTUAL

2. METODOLOGÍA DE COBIT 5

COBIT 5 acopla los 5 principios que admiten a la Empresa desarrollar de forma

segura el marco de Gobierno y Administración enfocado en una sucesión de 7

habilitadores que tienen relación, que perfeccionan el financiamiento en

información como también en tecnología mediante lo cual la utilización va en

beneficio de los interesados (Isaca, 2013). COBIT 5 es adaptable a todas las

dimensiones de organizaciones incluidas a las pequeñas empresas, al conglomerado

de grupos de diversos vendedores, entornos de tecnología, manufacturas, tradiciones

y campos colectivos. Se lo puede utilizar en:

 Seguridad de la información

 Gestión de riesgo

 Gobierno y administración de TI en la empresa

 Actividades de aseguramiento

 Cumplimiento legislativo y regulador

 Procesamiento financiero o informe de Responsabilidad Social Corporativa (RSC)

 Toma de decisiones sobre el manejo de tendencias actuales como cómputo en la

nube.
 8

valores utilizables, como también los precios y peligros implicados por la

incorporación de tecnología de este tipo en la organización. Un específico modelo

es COBIT 5 el que ayuda inducir a todas las organizaciones a las decisiones

necesarias por encima del gobierno global de la informática en el espacio

atmosférico (Decisión TIC, 2013). La consideración que hace COMPUCAJA, con

respecto a la adaptación de COBIT 5 a todos los tamaños de las empresas, modelos,

entornos de tecnología, industria, lugares y culturas corporativas, aplicadas a los

diferentes ámbitos de la gestión tecnológica, es considerablemente propicio en la

aplicación y ejecución de COBIT 5 en las pymes y grandes empresas (Joffre

Vargas, 2013).

2.1 Seguridad Informática

La Salvaguardia de la información y de todos los procedimientos se encarga la

Seguridad informática del ingreso, interrupción o destrucción no autorizada,

divulgación y uso. La definición de Seguridad es generalizada a la persuasión,

escases de peligros o eventualidades. Es considerable comprender la seguridad

como una etapa de algún procedimiento o clase de información que nos muestra que

el sistema o datos están fuera del alcance de cualquier riesgo o deterioro

(Asociación Española para la Calidad, 2014).

Inicialmente se puede pensar que "Seguridad Informática" y "Seguridad de la

Información" alcanzan parecerse exactamente lo mismo, sobre todo al tener en

cuenta que el progreso y la evolución de la tecnología tienden hacia el modelo de

"digitalizar" y "manejar" todo tipo de información mediante un sistema informático.

 9

Sin embargo, si bien están consignados a vivir en armonía y trabajar juntamente,

cada uno de las áreas de Seguridad tiene objetivos y actividades desiguales

(Seguridad para Todos, 2014). La Seguridad Informática (IT Security) se describe

como la distinción táctica y operacional de la Seguridad, mientras la Seguridad de la

Información sería la línea estratégica de la Seguridad (Seguridad para Todos,

2014).

Teniendo en cuenta la definición de la Seguridad Informática, esta disciplina se

encargaría de las implementaciones técnicas de la protección de la información, el

despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de

anomalías, correlación de eventos, atención de incidentes, entre otros elementos,

que—articulados con prácticas de gobierno de tecnología de información—

establecen la forma de actuar y asegurar las situaciones -8- de fallas parciales o

totales, cuando la información es el activo que se encuentra en riesgo (Seguridad

para Todos, 2014).

Seguridad de la Información es la disciplina que nos habla de los riesgos, de las

amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas

normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para

elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión,

recuperación y disposición final de la información (Seguridad para Todos, 2014).

2.2 Gestión de riesgo

El objetivo actual del profesional de gestión de riesgos de TI es el fundamento de

construir un plan permanente, visionario, recursivo y valorable, con lo cual la

 10

medición de gastos, estimación de activos y medición de calidad convivan de forma

constituida con todas las necesidades colectivas.

Prevención de inseguridades, la estimación y la búsqueda de iniciativas para a

minorarlo, gestionando las inminencias que tal vez logren dañar la cima de los

logros del trabajo, es el método normalmente llamado como la gestión de riesgos.

No obstante, el adecuado concepto de peligro (riesgo) puede fluctuar

fundamentalmente de acuerdo a la práctica y alineación del experto o también

depende del ambiente que se lleva en el interior de la organización.

2.3 Modelos de Control

2.3.1 Modelo Coco

2.3.2 Modelo Cadbury

2.3.3 Modelo Turnbull

2.3.4 Modelo Aec

2.3.5 Otros Modelos De Control

 11

CONTROL TURNBULL

1. Definición: Es un enfoque basado en riesgos para establecer un sistema de control

interno y revisar su efectividad.

2. Contribuciones

 Aseguramiento de la adecuación y efectividad de la administración de

riesgos y del sistema de control.

 Promoción de la concientización de riesgos y controles; y los programas de

autoevaluación.

 Apoyo para mejorar el proceso de identificación y administración de riesgos.

3. Disposiciones

 En primer lugar, la junta directiva debe mantener un sistema de control

interno para salvaguardar la inversión de los accionistas y los activos de la

empresa.

 Asimismo, en segundo lugar, los directores deberían, por lo menos una vez

al año, realizar un examen sobre la eficiencia de la junta directiva y del

sistema de control interno. A estos efectos, los directores deberían emitir un

informe dirigido a los accionistas respecto de la conducta responsable de los

administradores. Dicho examen ha de abarcar todos los controles,

incluyendo, un examen operativo, así como, respecto del cumplimiento de

los controles financieros y del riesgo de gestión.

 12

4. Beneficios

 Desplazamiento oportuno a otras áreas de negocio

 Mayor probabilidad de lograr objetivos

 Mayor cobertura a largo plazo

 Mayor probabilidad de lograr cambios

 Ventajas competitivas

 Enfoque interno en hacer bien las cosas

 Menores costos de capital

 Mejores bases para establecer estrategias

 Reducción de tiempo para emergencias.

 Disminución de sorpresas desagradables

5. Peligros

 Inapropiada orientación de riesgos.

 Enfoque insuficiente de administración de riesgos.

 Incapacidad para obtener aceptación del gerente.

 Sobrecarga del comité de auditoria

 Ignorar controles financieros básicos

 Incremento de burocracia

 Abandonarlo demasiado tarde.

 13

 Demasiados riesgos identificados

 Falta de mecanismos de emergencia.

6. Procedimiento

 Asignación de responsabilidades para elaborar el plan individual o de

equipos.

 Aceptación del plan por parte de los directores.

 Consideración del plan por el consejo de administración.

 Reconsideración y afinación del plan por el consejo.

 Implantación del plan de desarrollo y de la política de administración de

riesgos.

 Involucramiento de los distintos niveles de la organización.

 Implantación de mecanismos apropiados para la información de avance.

 enfoque a la mejora de negocios.

 14

AUTOEVALUACION DEL CONTROL (AEC)

1. Definición

Es un proceso documentado en el que la administración o el equipo de trabajo se

involucra directamente en una función, se juzga la efectividad del proceso de

control vigente; y se define si se asegura razonablemente el lograr alguno o todos

los objetivos.

2. Objetivo

Proporcionar seguridad razonable de que se alcanzaran los objetivos de la

organización

3. Beneficios

a. Proceso operativo

 Mejora del control y sus riesgos

 Eficiencia de procesos.

 Satisfacción del cliente.

 Mejora de la calidad

 Examen de los procesos organizacionales en general.

b. Para la administración

 Mejora de la moral del personal.

 15

 Eliminación de atmosferas de desconfianza.

 Generación de ideas y planes de acción implantados más allá del alcance

original.

 Facilidad de implantación de acciones de mejora.

 Promoción de la unidad organizacional mediante la identificación y

solución de problemas.

4. Fases de la autoevaluación

A. Involucramiento de la alta gerencia

B. Planeación

C. Capacitación

D. Conducción de reuniones

E. Monitoreo y reporte de resultados.

5. Involucramiento de la alta gerencia.

 Conocimiento de la AEC en los niveles adecuados

 Entendimiento de la complejidad, costos, beneficios, limitaciones de la

AEC.

 Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC.

a. Requisitos de la organización

- Cultura que apoya a la AEC

- Actitud de la gerencia orientada hacia el control

- Entorno libre de riesgos

- Reconocimiento de lo complejo que es la implantación de la AEC.

 16

b. Requisitos del facilitador

- Ser innovador y desear tomar riesgos.

- Saber comunicarse con los demás, escuchar y aprender.

- Conocer a la organización.

c. Responsabilidades del facilitador

- Explicar el proceso de la AEC.

- Proporcionar información y conocimiento del taller.

- Utilizar enfoques y herramientas específicas.

- Asegurar la logística del taller.

- Obtener acciones de mejora del taller.

d. Estrategias

- Limitar el alcance a asuntos de alta prioridad.

- Emplear grupo de trabajo interdisciplinarios y con personal

comprometido.

- Proporcionar tiempo suficiente para el taller.

- Definir los objetivos del taller de autoevaluación del control.

- Emitir criterios al inicio del proceso.

6. Planeación.

7. Capacitación.

8. Conducción de reuniones.

9. Monitoreo y reporte de resultados.

 17

CONCLUSIONES
1. Las Presiones internas y externas motivan a los profesionales contables y

gerenciales a continuar desarrollando y refinando conceptos de control interno. Este

trabajo resume y compara documentos importantes resultantes de estos esfuerzos:

cobit, sac y coso, es una colección de objetivos de control validados globalmente,

organizados en procesos y dominios y vinculados a requerimientos de información

de negocio.

2. COBIT provee explícitamente una guía para los 32 procesos que define este trabajo

y toma la forma de más de los 250 objetivos de control. Luego provee ayudas de

navegación que todos los usuarios dependiendo de su perspectiva particular.

3. Las normas COBIT son utilizadas en el nivel informático tanto en el software con el

hardware, debido a que estos controles hacen que la información cumpla con los

principios de confidencialidad, veracidad, eficiencia y eficacia de datos.

4. El modelo CADBURY nos da a entender como se realizan las prácticas

empresariales, así como el control de ética.

5. El modelo AEC es un modelo que debe ser y es utilizado en general por todas las

entidades ya sean públicas o privadas.

6. Existen diversos modelos de control pero que solo redundan la importancia de los

anteriores.
18