MODELOSDECONTROL

INTERNO
INTRODUCCIN
En los ltimos aos, a consecuencia de los numerosos problemas detectados
en las entidades de corrupcin y fraudes, que han involucrado hasta
corporaciones internacionales, se ha fortalecido e implementado el Control
Interno en diferentes pases, ya que se han percatado de que este no es un
tema reservado solamente para contadores sino que es una responsabilidad
tambin de los miembros de los Consejos de Administracin de las diferentes
actividades econmicas de cualquier organizacin o pas.
La presente investigacin data de los modelos de control aplicados a la
auditora informtica, ya que los modelos de control son informes que
permiten seguir las pautas para la elaboracin de los sistemas de control
interno, a continuacin se describen algunos modelos como son el COSO, el
COCO, el CADBURY, el COBIT, el TURNBULL y el AEC por mencionar
algunos, ya que existen muchos ms modelos.
PANORMICA DE MODELOS DE CONTROL
-Marcos de referencia (comunidades) para clasificar los modelos de control
segn Philip L. Campbell.
Comunidad de Objetivos de Control
Se basan en el concepto de objetivo de control:
Control: Las polticas, procedimientos, prcticas y estructuras organizacionales
para proporcionar seguridad razonable de que los objetivos organizacionales
se alcanzarn y que los eventos no deseados se evitarn o detectarn y
corregirn.
Objetivo de control: Una declaracin de que el resultado o propsito deseado
se alcanzar al implantar mecanismos de control en una actividad particular de
tecnologa de informacin
Comunidad de Principios

Se basan en la nocin de principios como rendicin de cuentas,

concientizacin, equidad y tica.
Comunidad de Madurez de la Capacidad
Se basa en la nocin del modelo de madurez, cuyo nico miembro es el
Systems Security Engineering Capability Maturity Model (SSE- CMM).

La teora es que una organizacin cuyo nivel de madurez es mayor que otra es
probable que produzca un mejor producto o servicio. El enfoque se centra en el
proceso y slo en forma secundaria en el producto.
ANTECEDENTES
Modelo de Control COSO: Committee of Sponsoring Organizations of the
Tradeway Commision, USA, septiembre 1992.
Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense
de Contadores Certificados, CICA, November1995.
MODELO COSO
CONTROL
Cualquier medida que tome la direccin, el Consejo y otros, para mejorar la
gestin de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas
establecidos. La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad razonable de que se
alcanzarn los objetivos y metas.
CONCEPTO DE CONTROL INTERNO
Proceso llevado a cabo por el Consejo de Administracin, la Gerencia y otro
personal de la Organizacin, diseado para proporcionar una seguridad
razonable sobre el logro de los objetivos de la organizacin clasificados en:
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento con las leyes, reglamentos, normas y polticas
CARACTERSTICAS
Medio para alcanzar un fin, no un fin en s mismo.

 No es un evento o circunstancia sino una serie de acciones que permean

en las actividades de la organizacin.
Forma parte de los procesos bsicos de la administracin-planeacin
ejecucin y monitoreo y se encuentra integrado en ellos.
Los controles deben construirse Dentro de la infraestructura de la
organizacin y no Sobre ella.
Es efectuado por personas. No es solamente un conjunto de manuales de
polticas y procedimientos, sino son personas en cada nivel de la organizacin.
Es ejecutado por la gente de una organizacin a travs de lo que hace y
dice. La gente disea los objetivos de la Entidad y establece los mecanismos
de control.
Afecta las acciones del personal, sealndole sus responsabilidades y
lmites de autoridad, as como la vinculacin entre sus deberes y la forma en
que los desempean.
La alta direccin es responsable de la existencia de un eficiente sistema de
control.
Los Directores tienen la obligacin de la vigilancia del control adems de
que proporcionan directrices y aprueban ciertas transacciones y polticas.
Cada individuo dentro de la organizacin tiene algn rol respecto al control
interno.
No existe sistema infalible. Ningn sistema har por siempre lo que se
espera que haga.
No importa lo bien diseado y operado que sea un sistema de control; lo
ms que puede esperarse es que proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza diversa, reducen el
riesgo de que no puedan alcanzarse los objetivos.
Limitaciones del control:
Errores por falta de capacidad para ejecutar las instrucciones
Errores de juicio en la toma de decisiones.
Errores por mala interpretacin, negligencia, distraccin o fatiga.
Inobservancia gerencial a las polticas o procedimientos prescritos.

 Colusin.
Costo - beneficio.
Caractersticas de los objetivos de una organizacin:
Operacionales: Relacionados con el uso eficiente y eficaz de los
recursos.
Informacin financiera: Relacionados con la preparacin de reportes
financieros confiables.
Cumplimiento: Relacionados con el cumplimiento con leyes y
reglamentos aplicables.
MARCO INTEGRADO DE CONTROL
RELACIN DE OBJETIVOS Y COMPONENTES
Existe una relacin directa entre objetivos que la organizacin busca y los
componentes que representan lo necesario para alcanzar los objetivos que la
organizacin busca y los componentes que representan lo necesario para
alcanzar los objetivos.
AMBIENTE DE CONTROL
Integridad y Valores ticos
Comit de Auditora
Filosofa Administrativa y Estilo de Direccin
Estructura Organizacional
Asignacin de Autoridad y Responsabilidad
Poltica de Recursos Humanos
Competencia
EVALUACIN DE RIESGOS
Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento
Anlisis de Riesgos
Organizacin (Externos / Internos)

 Actividad
Anlisis (Trascendencia / Probabilidad / Control)
Manejo de Cambios
ACTIVIDADES DE CONTROL
Actividades de control sobre:
Las operaciones
La informacin financiera
El acatamiento
Tipos de Control:
Preventivos / Correctivos
Manuales / Automatizados
Gerenciales
INFORMACIN Y COMUNICACIN
Sistemas de Informacin:
Apoyo Actividades Estratgicas
Integracin con las Operaciones
Calidad
Comunicacin:
Interna / Externa
Medios
SUPERVISIN Y SEGUIMIENTO
Supervisin Concurrente
Evaluaciones Independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa / documentacin
Plan de accin
Reportes de Deficiencias
MODELO DE CONTROL KONTRAG
(Ley de Control y Transparencia en los Negocios Alemania)

Objetivo.- Mejorar a la organizacin con el fin de evitar crisis corporativas

Principales elementos:

Obligacin de establecer una estructura gerencial

de riesgo (encargada del control y administracin)

Anlisis y evaluacin sistemtico del riesgo

Comunicacin oportuna del reconocimiento de riesgos

RESPONSABILIDADES SOBRE EL CONTROL

Consejo de Administracin.- Es la instancia responsable de establecer
gua, supervisin general y gobernabilidad a la organizacin
Gerencia.- El Director General es el ltimo responsable y asume la
propiedad del sistema de control
Auditores Internos.- Evala la efectividad del sistema de control
Personal.- es responsable todo el personal dependiendo de su nivel y
ubicacin funcional
TIPOS DE CONTROL
Preventivos
De actividades (repetitivas)
De recursos
De insumos
De acceso
De investigacin y desarrollo
De proyectos
Detectivos
Concurrentes (sobre la marcha)
Posteriores
De resultados (actividades creativas)
De operaciones
De procesos - De salidas
De seguridad (resguardo)
MODELO CADBURY

Desarrollado por el llamado Comit Cadbury (UK Cadbury Committee).

Adopta una interpretacin amplia del control.
Mayores especificaciones en la definicin de su enfoque sobre el sistema de
control en su conjunto-financiero y de cualquier tipo.
Objetivos orientados a proporcionar una razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la informacin y reportes financieros.
c) Cumplimiento con leyes y reglamentos
Los elementos clave de este modelo son en esencia similares al modelo
COSO, salvo la consideracin de los sistemas de informacin integrados en los
otros componentes y un mayor nfasis respecto a riesgos.
Limitacin en la responsabilidad de los reportes de control a la confiabilidad de
los financieros
MODELO COCO
CONCEPTO DE CONTROL INTERNO
Incluye aquellos elementos de una organizacin (recursos, sistemas, procesos,
cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el
logro de los objetivos de la organizacin:
Efectividad y eficiencia de las operaciones.
Confiabilidad de los reportes internos o externos.
Cumplimiento con las leyes y reglamentos aplicables, as como con las
polticas internas.
OBJETIVOS

ORGANIZACIONALES (efectividad

eficiencia

de

las

operaciones)
Servicio al cliente
Salvaguarda y uso eficiente de los recursos
Obtencin de beneficios
Cumplimiento de obligaciones sociales
Seguridad de que los riesgos son debidamente identificados y
administrados
Confiabilidad de los reportes internos y externos

 Mantenimiento de registros contables adecuados.

Confiabilidad de la informacin utilizada.
Informacin publicada para terceros interesados.
Cumplimiento con la normatividad y polticas internas aplicables
Aseguramiento de que las actividades de la organizacin se conducen en
total concordancia con el marco legal y con las polticas internas.
Naturaleza del control
El control debe ser realizado por el personal de toda la organizacin, quien
ser responsable del diseo, establecimiento, supervisin y mantenimiento del
control.
El personal responsable de lograr determinados objetivos tambin deber
evaluar la efectividad del control dentro de su esfera de competencia y de
reportar tal evaluacin ante quien l es responsable.
El costo del control deber ser proporcional a los beneficios esperados.
El control requiere de un equilibrio entre autonoma e integracin y entre
consistencia y adaptacin al cambio.
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
Criterios de control
Los criterios de control son la base para entender el control de una
organizacin.
Estn planteados como metas a cumplir permanentemente.
MODELO COBIT
Qu es?
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar informacin para lograr
los objetivos de la organizacin.

Promueve el enfoque y la propiedad de los procesos.

Apoya a la organizacin al proveer un marco que asegura que:
La Tecnologa de Informacin (TI) est alineada con la misin y visin.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
Usuarios
Gerencia: Apoyar decisiones de inversin en TI y control sobre su rendimiento,
as como analizar el costo-beneficio del control.
Usuarios Finales: Garantizar seguridad y control de los productos que
adquieren interna y externamente
Auditores: Apoyar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organizacin y el control mnimo requerido.
Responsables de TI: Identificar los controles que requieren.
Principios
Requerimientos de la Informacin del Negocio
Efectividad: Informacin relevante y pertinente, proporcionada en forma
oportuna, correcta, consistente y utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin
no autorizada
Integridad: Informacin exacta y completa, as como vlida de acuerdo con
las expectativas de la organizacin.
Disponibilidad: accesibilidad a la informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el
cumplimiento normativo.
Recursos de TI
Datos: Todos los objetos de informacin interna y externa, estructurada o
no, grficas, sonidos, etc.

 Aplicaciones: Sistemas de informacin, que integran procedimientos

manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos, de
administracin de bases de datos, de redes, telecomunicaciones, multimedia,
etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a los
sistemas.
Recurso Humano: Habilidad, actitud y productividad del personal.
DOMINIOS - PROCESOS
Planeacin y Organizacin
Definicin de un plan estratgico
Definicin de la arquitectura de informacin
Determinacin de la direccin tecnolgica
Definicin de organizacin y relaciones
Administracin de la inversin
Comunicacin de las polticas
Administracin de los recursos humanos
Asegurar el cumplimiento con los requerimientos Externos
Evaluacin de riesgos
Administracin de proyectos
Administracin de la calidad
Adquisicin e Implantacin
Identificacin de soluciones automatizadas
Adquisicin y mantenimiento del software aplicativo
Adquisicin y mantenimiento de la infraestructura tecnolgica
Desarrollo y mantenimiento de procedimientos
Instalacin y aceptacin de los sistemas
Administracin de los cambios

Servicios y Soporte
Definicin de los niveles de servicios

Administracin de los servicios de terceros

Administracin de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificacin y asignacin de los costos
Asistencia y soporte a los clientes
Administracin de la configuracin
Administracin de los problemas
Administracin de los datos
Administracin de las instalaciones
Administracin de la operacin
SEGUIMIENTO
Seguimiento de los procesos
Evaluacin del control Interno
Contratacin de un aseguramiento independiente
MODELO GUA TURNBULL
QU ES LA GUA TURNBULL?
Es la adopcin de un enfoque basado en riesgos para establecer un sistema de
control interno y revisar su efectividad.
CONTRIBUCIONES A LA AUDITORA INTERNA
BENEFICIOS POTENCIALES
Mayor probabilidad de lograr objetivos
Mayor cobertura a largo plazo
Mayor probabilidad de lograr cambios
Ventajas competitivas
Enfoque interno en hacer bien las cosas
Menores costos de capital
Mejores bases para establecer estrategias
Reduccin de tiempo para emergencias
Disminucin de sorpresas desagradables

 Desplazamiento oportuno a otras reas de negocios

PELIGROS POTENCIALES
Enfoque Insuficiente en Administracin de Riesgo
Inapropiada Orientacin de riesgos
Incapacidad para obtener aceptacin del gerente
Sobrecarga del comit de Auditora
Falta de Mecanismos de Advertencia
Ignorar Controles Financieros bsicos
Incremento de Burocracia
Abandonarlo Demasiado tarde
Demasiados Riesgos identificados
MODELO AUTOEVALUACION DE CONTROLES (AEC)
Proceso documentado en el que:
La administracin o el equipo de trabajo se involucra directamente
en una funcin.
Se juzga la efectividad del proceso de control vigente.
Se define si se asegura razonablemente el lograr alguno o todos los
objetivos.
El objetivo es proporcionar seguridad razonable de que se alcanzarn los
objetivos de la organizacin.

OTROS NOMBRES
Autoevaluacin de riesgo-control.
Evaluacin dinmica del control.
Co-evaluacin del control.
Autoevaluacin organizacional.
Autoevaluacin de proceso.
Autoevaluacin de riesgos.
Autoevaluacin de riesgos de la organizacin.
ENTRENAMIENTO
Para desarrollar la AEC se requiere capacitacin:

 En metodologa.
En modelos de control
En evaluacin de riesgos
En talleres de autoevaluacin de control
En redaccin.
En tecnologa.
BENEFICIOS PARA LA ADMINISTRACIN
- Mejora de la moral del personal.
- Eliminacin de atmsferas de desconfianza.
- Generacin de ideas y planes de accin implantados ms all del alcance
original.
- Facilidad de implantacin de acciones de mejora.
- Promocin de la unidad organizacional mediante la identificacin y solucin
de problemas.
- Realiza el papel de auditora interna.
INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopcin de la AEC

Conocimiento de la AEC en los niveles adecuados

Entendimiento de la complejidad, costos, beneficios y limitaciones de la
AEC
Aceptacin, involucramiento y patrocinio de la alta gerencia en la AEC
Requisitos de la Organizacin
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la implantacin de la AEC.
Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la gente
- Saber qu alcanzar y qu herramientas se necesitan

- Conocer la organizacin, su entorno y normatividad

- Entender la cultura organizacional
- Asegurarse que la administracin sabe que es responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo

Evaluar la estructura organizacional
Aprender sobre la organizacin
Seleccionar los objetivos de la organizacin
Seleccionar los participantes al TAC
Preparar la logstica de la reunin
Enviar informacin previa a la reunin.
Facilitar la identificacin del proceso y obstculos
Vigilar la logstica
Obtener acciones de mejora del TAC
Agregar valor a la organizacin
Estrategias
1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido
3. Proporcionar tiempo suficiente para la preparacin del taller.
4. Definir los objetivos del Taller de Autoevaluacin del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del proceso
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente

8. Proporcionar retroalimentacin a los participantes sobre los resultados

9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de
mejora
PLANEACIN
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con responsables y tiempos
6. Planear reportes de avance y conclusin
Capacitar en Control y Autocontrol:
Modelos de Control (COSO, COCO...)
Evaluacin de riesgos
Autoevaluacin en control y su metodologa
Herramientas y tecnologa especializada para su uso en el taller
CONDUCCIN DE REUNIONES
1. Preparar la logstica de las reuniones
2. Enviar informacin previa a las reuniones
3. Presentar los objetivos del TAC
Definicin del producto final
Metodologa del taller
Herramientas a utilizar
Mtodo de registro y votacin
Beneficios tangibles
4. Explicar el papel de los participantes y aclarar expectativas.
5. Presentar la agenda de la reunin
6. Conducir la reunin
7. Estructurar e inventariar el resultado de las evaluaciones
8. Levantar minuta de los acuerdos
DESARROLLO DE PLANES DE ACCIN
- Definicin y evaluacin de objetivos, riesgos y controles.

- Determinacin de acciones de mejora.

- Definicin y realizacin de las acciones, tiempos, responsables y recursos
para la implantacin de las mejoras.
- Establecimiento de puntos de control para la evaluacin de los avances y la
comunicacin de las desviaciones
MONITOREO Y REPORTE DE RESULTADOS
- Establecer sistema de seguimiento y evaluacin de los planes de accin
- Implantar acciones correctivas y formular nuevos planes
- Establecer y formular reportes de avance de los trabajos del taller
- Evaluar los costos y beneficios de las mejoras implantadas
- Impulsar la mejora continua
PROBLEMTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales, entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna

MODELO DE CONTROL DE ACCESO BASADO EN LA SEMNTICA (SAC)

Fundamentos de SAC
El diseo de SAC se basa en un modelo de metadatos que permite la
integracin semntica de una de control de acceso y una infraestructura de
acreditacin externa. SAC representa una solucin al problema del control de
acceso para entornos altamente distribuidos, dinmicos y heterogneos. El
diseo de este modelo se basa en la informacin semntica para lograr que se
tengan en consideracin las propiedades particulares de los recursos
accedidos (lo que se conoce como introspeccin de contenido).

El modelo SAC contempla la existencia de una serie de sistemas de control de

acceso y un conjunto de entidades de acreditacin confiables que actan de
manera independiente y dan servicio a los diferentes sistemas de control de
acceso. El control de los recursos es independiente de su localizacin. De esta
forma, los recursos controlados por un administrador no han de residir
obligatoriamente en su propio sistema de informacin. Igualmente, algunos de
los recursos almacenados por un sistema de control de acceso pueden no
estar bajo el control de dicho sistema.
En nuestro modelo SAC, la identificacin del usuario o cliente no es obligatoria.
Esto es debido a que los clientes poseen una serie de atributos, y el acceso a
los recursos se basa igualmente en la especificacin de un conjunto de
atributos que debe reunir el cliente para poder acceder a ellos. Estos atributos
deben venir firmados digitalmente por una entidad de certificacin confiable,
externa al sistema gestor de control de acceso, constituyendo lo que se conoce
por un certificado de atributo.
De esta forma, se garantiza la interoperabilidad de los atributos que pueden ser
comunicados de forma segura evitando la necesidad de ser emitidos
localmente por el administrador del sistema.
Dado que las entidades de certificacin son externas al sistema de control de
acceso, es necesario un mecanismo para establecer la confianza entre dichas
entidades externas y el sistema de control de acceso. Para ello, se ha
desarrollado un modelo semntico para describir la semntica de las distintas
autoridades de certificacin que componen la infraestructura de autorizacin
externa o PMI. Este enfoque permite que el proceso de registro del cliente no
sea necesario, y evita que un mismo atributo de un cliente deba ser emitido en
cada sistema. Adicionalmente, el modelo contempla la realizacin de acciones
condicionales, que deben realizarse para poder acceder al recurso.

CONCLUSIN
Como puede observarse han sido muchos los esfuerzos de varios pases por
elaborar un marco conceptual que defina la elaboracin de modelos o informes

aplicados a los Sistemas de Control Interno, ajustado a las caractersticas de

cada uno de ellos que ayude a ofrecer una seguridad razonable al logro de los
objetivos de las entidades.