ASIGNATURA: AUDITORÍA INFORMÁTICA CONTROL INTERNO Y COBIT

ALUMNO: MEDINA NOLASCO MIGUEL ÁNGEL 3821 19/DICIEMBRE/2022

Introducción

Un buen proceso documentado y ejecutado acompañado de los controles correctos, conlleva

anteponerse a las vulnerabilidades tanto mal intencionados como el malware, el de personas
dentro de la organización, como también los legales por irregularidades de incumplimiento,
además de no linearse con las políticas y objetivos de la misma organización. El presente
ensayo trata de control y procesos, para ello se tratará los estándares COSO, COBIT y veremos
clasificaciones de control.

Brevemente los siguientes términos contribuirá a tener en cuenta lo que se vera a lo largo del
ensayo:

Los estándares: Son acuerdos documentados que van a describir o contener especificaciones
técnicas o criterios precisos que tienen un uso como guías para optimización o correcto uso de
procesos para asegurar que los materiales, productos, procesos y servicios cumplen con su
propósito.

Existen variedades de normas establecidas por los estándares internaciones, cuyos cuales
tratare más adelante. Además de sus breves historias, descripción, uso y estructuras.

COSO: Contiene las principales directivas para la implantación, gestión y control de un sistema
de control.

COBIT: Representa todos los procesos que normalmente se encuentran en las funciones de
TI, proporcionando un modelo común de referencia entendible para los responsables
operacionales de las áreas de servicios informáticos.

1
Desarrollo

Definición de los conceptos

Control Interno

Descripción: Se define como elementos parte de la infraestructura de la organización como

las políticas, procedimientos, prácticas y estructuras diseñadas para brindar una seguridad
razonable que los objetivos de la organización serán alcanzados, además de que los eventos
no previstos sobre todo los dañinos serán prevenidos o detectados y corregidos.
El control interno debe llevar objetivos generales y específicos para lograr cumplirse, cada
objetivo tratado por el marco normativo COBIT, deberá ser identificado por dos caracteres
que representa el dominio al que pertenece más un número de proceso y un número de
objetivo de control. Estas características se verán más adelante dentro de lo que contiene
COBIT.

Antes de COBIT, COSO surge para ser un marco de trabajo de control interno para las
empresas, de el nace COBIT que es orientado al control interno pero enfocado a las TI.

COSO

Se enfoca hacia el mejoramiento del control interno y gobierno de la organización, responde

a un mejor manejo de los recursos de la empresa para evitar crisis y fraudes, ya que un
sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin de
proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos
en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información
financiera, y el cumplimento de leyes y normas aplicables.

Estructura

Se compone de 20 principios los cuales son:

Gobierno y cultura

1)Ejerce la supervisión de riesgos a través del consejo de administración

2)Establece estructuras operativas
3)Define la cultura deseada
4)Demuestra compromiso con los valores clave
5)Atrae, desarrolla y retiene a profesionales capacitados

Estrategia y establecimiento de objetivos

6)Analiza el contexto empresarial
7)Define el apetito al riesgo
8)Evalúa estrategias alternativas
9)Formula objetivos de negocio

Desempeño

10)Identifica el riesgo
11)Evalúa la gravedad del riesgo
12)Prioriza riesgos
13)Implementa respuestas ante los riesgos
14)Desarrolla una visión a nivel de cartera

Revisión y monitorización

15)Evalúa los cambios significativos

16)Revisa el riesgo y el desempeño
17)Persigue la mejora de la gestión del riesgo empresarial

Información, comunicación y reporte

18)Aprovecha la información
19)Comunica información sobre riesgos
20)Informa sobre el riesgo, la cultura y el desempeño

COSO cuenta con 5 componentes:

Ambiente de control
Este es la base de la pirámide del control interno, sus factores son la integridad y sus valores
éticos, el como se asignan la autoridad, responsabilidades y cultura.

Actividades de control
Son las acciones a través de políticas y procedimientos que contribuyen a asegurar que las
instrucciones de la dirección sean llevadas a cabo para mitigar los riesgos con impacto
potencial en los objetivos. Estas actividades se ejecutan en todos los niveles de una
organización.

Tipos de actividades de control:

Análisis efectuados por la dirección
Gestión directa de funciones por actividades
Proceso de información
Controles físicos
Indicadores de rendimiento
Segregación de funciones

Información y comunicación
Debe de existir una comunicación eficaz en todos los niveles de la organización, y que
permita esa interacción entre autoridades o altas direcciones con las personas operativas y
usuarios.
La dirección debe aclarar y asignar responsabilidades y que papel juega cada persona dentro
de la organización, esto igualmente debe dar a conocer los alcances o limitaciones de cada
rol.

Evaluación de riesgo
Previamente a la evaluación de los riesgos deben identificarse los objetivos de los distintos
niveles y vinculados entre sí. Entonces al darse la evaluación se identifican y analizan los
riesgos para el cumplimiento de los objetivos, posteriormente todo lo anterior mencionado
servirá para determinar cómo deben el riesgo debe ser gestionado.

Super visión y monitoreo

Un sistema de control interno necesita supervisión, que se refiere a un proceso que verifica
la vigencia, correcta utilidad y funcionamiento del sistema a lo largo del tiempo.

Clasificación de los controles

Control preventivo
Se enfoca en anteponerse, predecir, analizar y supervisar un proceso o procedimiento para
evitar que un evento perjudicial para la organización o parte de ella aparezca, que en
ocasiones incluso una simple falla puede convertirse en algo mayor.
Controles detectivos
Llegan a medir la efectividad de los preventivos, hace uso de las revisiones y comparaciones
de los procedimientos o bien de los controles preventivos, algunas herramientas que nos
ayudan son por ejemplo la de un inventarío o técnicas automatizadas.

Controles automáticos
Son procedimientos automatizados que operan a nivel de procesos de gestión en un sistema
y comúnmente tienen relación con alguna aplicación o procedimiento informático.
Estos ayudan a que algunos procesos se realicen de manera cíclica sin necesidad de que
este una persona realizándolas las 24 horas del día.

COBIT

Descripción: Es un estándar que brinda buenas practicas de procesos en TI a través de un

marco de trabajo de dominios y procesos. Vincula metas de la organización o negocio con
las metas establecidas para la TI, haciendo uso de métricas para medir la madurez y los
logros.

Estructura
El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide
en 4 dominios y en 34 procesos de acuerdo a las áreas de responsabilidad de planear,
construir, ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los
conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para
el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

Los dominios de cobit y sus procesos

Dominio: Planificar y organizar (PO).

Procesos:
PO1. Definición de un plan estratégico de TI.
PO2. Definición de la arquitectura de información.
PO3. Determinación de la dirección tecnológica.
PO4. Definición de la organización y relaciones de TI.
PO5. Administrar las inversiones de TI.
PO6. Comunicación de los objetivos y expectativas de la gerencia.
PO7. Administración de los recursos humanos.
PO8. Garantía del cumplimiento de requisitos externos.
PO9. Evaluación de riesgos.
PO10. Administración de proyectos.
PO11. Administración de la calidad.

Dominio: Adquirir e implementar (AI).

AI1. Identificación de soluciones.
AI2. Adquisición y mantenimiento de software de aplicación.
AI3. Adquisición y mantenimiento de la arquitectura tecnológica.
AI4. Desarrollo y mantenimiento de TI.
AI5. Instalación y acreditación de sistemas.
AI6. Administración de cambios.

Dominio: Entregar y dar soporte (ES).

ES1. Definición de niveles de servicio.
ES2. Administrar servicios prestados por terceros.
ES3. Administración de capacidad y desempeño.
ES4. Garantía de servicio continuo.
ES5. Garantía de seguridad de los sistemas.
ES6. Identificación y asignación de costos.
ES7. Educación y entrenamiento de usuarios.
ES8. Apoyo y asistencia a los clientes de TI.
ES9. Administración de la configuración.
ES10. Administración de problemas e incidentes.
ES11. Administración de datos.
ES12. Administración de las instalaciones.
ES13. Administración de las operaciones.

Dominio: Evaluar y monitorear (M).

M1. Monitoreo de procesos.
M2. Evaluación del control interno.
 M3. Obtención de certificación independiente.
M4. Provisión de auditoría independiente.

Orientación a procesos
Cada proceso, en el ámbito de las IT, debe ser definido, indicando y describiendo las
actividades principales y secundarias, la información de entrada necesaria y el resultado
esperado del proceso.

Para un correcto control de cada proceso, se deben definir los siguientes elementos:

➢ Responsable del proceso: quien responde por el proceso a la gerencia.

➢ Metas del proceso: son los KGI definidos.
➢ Objetivos de control e indicadores clave de desempeño: son los KPI definidos para
cada proceso.

Recursos de TI

Las IT cuentan con un conjunto de recursos, clasificados en:

Aplicaciones: entendido como la suma de las funciones de procedimientos manuales y
programados que procesan la información.
Información: datos en todas sus formas (insumos, procesados, salidas de los sistemas de
información) que sean utilizados por el negocio.
Infraestructura: tecnología y entorno (hardware, sistemas operativos, bases de datos, redes,
multimedia, etc.) que posibilitan el funcionamiento de las aplicaciones.
Personas: habilidades, conocimientos y productividad del personal, tanto para personal interno
como para el contratado.

Conclusión

Conforme hemos visto nuestro mundo, necesidades, tecnologías, entre muchos otros
avances, alcanzar o necesitar de nuevas adaptaciones, los gobiernos y organizaciones han
necesitado estandarizarse y acoplarse unos a otros a la demanda de los clientes, de los
cambios y relaciones antes mencionadas entre si. Una parte importante para asegurar que
todo un sistema tenga control, automatizado y seguro es el control interno de una
organización, si no existe control y solo caos, no se podrá satisfacer ni los objetivos
empresariales ni un buen producto e imagen ante la sociedad y clientes. Por esto mismo
también existen los lineamientos y estándares internacionales que se trataron en este
ensayo, para una mejor distribución y que no exista un desorden y nulo control en las
organizaciones es necesario pautas que nos ayuden a seguir una dirección común o de
mejora continua y que además el desorden siempre existirá un porcentaje de manifestarse,
de aquí igualmente estas estandarizaciones ayudan a mitigarla, tener un plan y prevenirlas.

Fuentes de Información

Ministerio de ambiente y desarrollo

sostenible, (s.f.) ¿Qué son los
estándares?
ideam.gov.co/web/ecosistemas/normas-
estandares

CEUPE, (S.F.) ¿Qué es COBIT?

https://www.ceupe.com/blog/que-es-
cobit.html?dt=1668379596908

EALDE, (S.F.) El origen del marco de gestión

COSO
https://www.ealde.es/marco-coso-
riesgos/#:~:text=Riesgos%20de%20EALDE-
,El%20origen%20del%20marco%20de%20gesti
%C3%B3n%20COSO,sector%20privado%20en
%20Estados%20Unidos.

Jose Luis Villeda-Linkeedin, (08 de julio de

2020) Modelo de Control Interno: Cadbury
https://es.linkedin.com/pulse/modelo-de-control-
interno-cadbury-jose-luis-villeda-

Nacional financiera, (s. f.), Fundamentos de

negocio Administración
nafin.com/portalnf/files/secciones/capacitacion_
asitencia/pdf/Fundamentos%20de%20negocio/A
dministracin/administracion4_4.pdf

Comisión Técnica de los OCEX, (12 de

Noviembre de 2018), GPF-OCEX 5340: Los
controles de aplicación: qué son y cómo
revisarlos
asocex.es/wp-content/uploads/2018/11/GPF-
OCEX-5340-Controles-de-aplicacion-
v20181112.pdf

Guillermo Adolfo Cuéllar Mejía, (20 de junio de

2020), Control Interno (COSO): Componente
Actividades de Control
https://www.youtube.com/watch?v=-g1P8ZfcFzY

Jorge Alejandro Sánchez Ruiz, (03 de

septiembre de 2017), MODELO DE CONTROL
INTERNO "COSO"
https://www.youtube.com/watch?v=fTymzxKVAi
E

RUBRICA DE ENSAYO

NOMBRE DEL ALUMNO: Medina Nolasco Miguel Ángel MATERIA: AUDITORIA INFORMÁTICA
REALIZA ENSAYO SOBRE CONCEPTOS CONTROL
ACTIVIDAD: GRUPO: 3821
INTERNO Y COBIT
NOMBRE DEL DOCENTE: M. EN C DIANA MARISOL PRADO CALIFICACIÓN:
4.. Identifica los principios de control interno y su relación con la auditoría informática
COMPETENCIA:

REQUERIMIENTOS DE FORMATO: CON RECUADRO DE DATOS PERSONALES, JUSTIFICADO, INTERLINEADO DE 1.15, LETRA ARIAL
11, DESTACA CON SUBRAYADO LOS TEMAS A DESARROLLAR, ENUMERA PÁGINAS, POR LO MENOS 3 CUARTILLAS MÍNIMO.
Realiza el ensayo de los temas vistos en clase: Concepto de control Interno, Definición
estándar COSO, Componentes de COSO (El Ambiente De Control, La Evaluación De Riesgos,
Los Sistemas De Información Y Comunicación, Los Procedimientos ó Actividades De Control,
Supervisión ó Vigilancia), Definición de actividades de control, Categorías de los controles
generales de acuerdo a COSO (Controles de monitoreo, Controles a nivel de transacciones,
TEMAS A DESARROLLAR: Controles de Salvaguarda de Activos, Controles de Segregación de Funciones, Controles
Generales de Tecnologías de Información) Clasificación de los controles (Preventivos,
Detectivos, Automáticos y Manuales) y COBIT ( definición, orientaciones(orientación a
negocios, orientado a procesos, Basado en controles y Generar Mediciones) y panoramas de
COBIT (Procesos de TI, Recursos de TI y requerimientos del negocio,))
RUBROS/ %
EXCELENTE (100) MUY BIEN (90) BIEN (80) SUFICIENTE (70) N/A (69-0)
NIVELES OBTENIDO
Explica con claridad
de qué trata el
INTRODUCCIÓN 10%

ensayo, Explica con claridad de qué

Presenta una Mal
especificando las trata el ensayo, Explica de qué
introducción, elaborado.
partes que los especificando las partes trata el ensayo,
pero no se refiere No es clara
componen y una que los componen y una especificando las
concretamente al ni especifica
pequeña pequeña descripción de partes que lo
ensayo, es decir, el propósito
descripción de cada cada una de ellas en por lo componen.
al qué y al cómo. del ensayo.
una de ellas en por menos 5 renglones
lo menos 6
renglones
 Presenta

CONTENIDO 50%
Presenta Presenta entre Presenta entre un
menos del
ampliamente todos un 85% y un 75% 75% y un 60% de
Le falta uno de los puntos 50% de los
los puntos de los elementos los elementos
sugeridos en los temas a elementos
sugeridos en los sugeridos en los sugeridos en los
desarrollar. sugeridos en
temas a temas a temas a
los temas a
desarrollar. desarrollar. desarrollar.
desarrollar.

Los conceptos están

ORGANIZACIÓN 10%

organizados de
El 20% de los El 50% de los
manera que hay Los conceptos están
conceptos conceptos Sólo es una
conexión lógica organizados de manera
presentados no presentados no lista de
entre ellos, que hay conexión lógica
están conectados están conectados conceptos
predomina la entre ellos.
con el resto con el resto
coherencia y la
cohesión

Presenta títulos,
lenguaje formal, Presenta títulos,
Presenta títulos,
apoyos gráficos, aprovecha recursos del
temas
temas desarrollados procesador de texto más Presentación
desarrollados
PRESENTACIÓN 10%

completos, allá de simples párrafos, Sólo presenta muy

completos,
referencias temas desarrollados párrafos, temas descuidada,
coloca
bibliográficas completos, coloca incompletos, con sin
referencias
consultadas y/o referencias bibliográficas referencias sin referencias,
bibliográficas
citadas que consultadas y/o citadas formato y con información
consultadas y/o
fundamentan la que fundamentan la teoría diversas faltas de incompleta,
citadas que
teoría en formato en formato APA (mínimo 3 ortografía con faltas de
fundamentan y
APA (mínimo 3 de de diferentes autores) y ortografía
con pocas faltas
diferentes autores) con una o dos faltas de
de ortografía.
y sin faltas de ortografía.
ortografía.

Se nota un análisis
Se observan Hay por lo
personal con
ANÁLISIS 10%

opiniones menos un
coherencia y orden Se nota un análisis Es un buen
propias pero párrafo que
de lo que esta personal de lo que esta resumen de las
también cosas es copy-
describiendo describiendo de forma fuentes
directas de las paste ó igual
intercalando breve. bibliográficas
fuentes al de un
fundamento teórico
bibliográficas compañero.
con ideas propias
CONCLUSIONES 10%

Incluye opiniones
personales Incluye opiniones
Es
combinados con personales combinados Sólo incluye Sólo incluye un
demasiado
argumentos con argumentos opiniones resumen del resto
corta (menor
bibliográficos con bibliográficos con una personales del ensayo.
a 3 líneas)
una extensión de 6 extensión de 5 renglones
renglones
NOTA: SE RECOMIENDA LEER EL ÁRTICULO DE CÓMO HACER UN ENSAYO EN: http://blog.udlap.mx/blog/2014/11/ensayoacademico/
NO SE ACEPTAN COPIAS DE TRABAJOS DE OTROS COMPAÑEROS