Вы находитесь на странице: 1из 43

-COMPILACIN BIBLIOGRAFICA SOBRE ESTANDARES, ENFOQUES Y DIRECTRICES DE AUDITORIA-

COSO, SOX, MEJORES PRACTICAS INTERNACIONALES EN CONTROL INTERNO

Presentado por: Catheryne Patio Cardona 1700621484

Presentado a: Ing., Carlos Hernn Gmez Gmez

Materia: Auditora de Sistemas Informticos

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERAS INGENIERA EN SISTEMAS Y COMPUTACIN MANIZALES, CALDAS OCTUBRE DE 2010

Tabla de contenido
INTRODUCCION .............................................................................................................................. 4 MARCO TERICO........................................................................................................................... 5 1.HISTORIA Y EVOLUCIN. ......................................................................................................... 8 2. COMPONENTES DE CONTROL INTERNO ........................................................................... 9 2.1. AMBIENTE DE CONTROL ................................................................................................. 9 2.1.2 Competencia profesional ............................................................................................... 9 2.1.3 Filosofa y estilo de la Direccin ................................................................................. 10 2.1.4 Estructura y plan organizacional ................................................................................ 10 2.1.5 Polticas y prcticas de los RRHH ............................................................................. 10 2.1.6 Comit de Administracin o Comit de Auditora .................................................... 11 2.2 VALORACIN DE RIESGO ............................................................................................ 11 2.2.1 Identificacin de riesgos .............................................................................................. 12 2.2.2 Objetivos de control de riesgos .................................................................................. 12 2.2.3 Condiciones previas para la evaluacin del riesgo ................................................. 12 2.2.4 Medicin y evaluacin de riesgos ............................................................................. 13 2.2.5 Cuantificacin de riesgos ............................................................................................ 13 2.3 ACTIVIDADES DE CONTROL .......................................................................................... 13 2.3.1 Importancia de las actividades de control................................................................. 14 2.3.2 Quines deben llevar a cabo las actividades de control ........................................ 14 2.3.3 Categoras ..................................................................................................................... 14 2.3.4 Mecanismos de control ................................................................................................ 15 2.3.5 Control sobre los sistemas de procesamiento electrnico de datos .................... 17 2.3.6 Controles sobre las aplicaciones ............................................................................... 20 2.3.7 Autoevaluacin de controles basada en los modelos ........................................... 20 2.4 INFORMACIN Y COMUNICACIN ............................................................................... 22 2.4.1 Informacin .................................................................................................................... 22 2.4.2 Comunicacin................................................................................................................ 23 2.5 MONITOREO Y SUPERVISIN ....................................................................................... 24

2.5.1 Supervisin continua .................................................................................................... 24 5. COMPARATIVO CON COBIT.................................................................................................. 26 5.1 Definiciones. ......................................................................................................................... 30 5.2 Componentes ....................................................................................................................... 31 5.3 Ambiente de Control ............................................................................................................ 31 5.4 Evaluacin de Riesgos ....................................................................................................... 32 6. RESUMEN .................................................................................................................................. 33 6.1 DEFINICIN DE C.O.S.O. ................................................................................................. 34 6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O. ................................. 34 6.3 MARCO INTEGRADO DE CONTROL ............................................................................. 35 6.3.1. Ambiente de control .................................................................................................... 35 6.3.2. Evaluacin de riesgos................................................................................................. 36 6.3.3. Actividades de control ................................................................................................. 37 6.3.4. Informacin y Comunicacin ..................................................................................... 38 6.3.5. Supervisin ................................................................................................................... 39 CONCLUSIONES: .......................................................................................................................... 42 BIBLIOGRAFIA ............................................................................................................................... 43

INTRODUCCION

Debido al mundo econmico integrado que existe hoy en da se ha creado la necesidad de integrar metodologas y conceptos en todos los niveles de las diversas reas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge as un nuevo concepto de control interno donde se brinda una estructura comn el cual es documentado en el denominado informe COSO. La definicin de control interno se entiende como el proceso que ejecuta la administracin con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categoras: Efectividad y eficiencia operacional, confiabilidad de la informacin financiera y cumplimiento de polticas, leyes y normas. El control interno posee cinco componentes que pueden ser implementados en todas las compaas de acuerdo a las caractersticas administrativas, operacionales y de tamao; los componentes son: un ambiente de control, una valoracin de riesgos, las actividades de control (polticas y procedimientos), informacin y comunicacin y finalmente el monitoreo o supervisin. Cabe destacar que la responsabilidad principal en la aplicacin del control interno en la organizacin debe estar siempre en cabeza de la administracin o alta gerencia con el fin de que exista un compromiso real a todos los niveles de la empresa, siendo funcin del departamento de auditora interna o quien haga sus veces, la adecuada evaluacin o supervisin independiente del sistema con el fin de garantizar la actualizacin, eficiencia y existencia a travs del tiempo. La comprensin del control interno puede as ayudar a cualquier entidad pblica o privada a obtener logros significativos en su desempeo con eficiencia, eficacia y economa, indicadores indispensables para el anlisis, toma de decisiones y cumplimiento de metas.

MARCO TERICO La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta Directamente a toda empresa pblica de los Estados Unidos y sus subsidiarias en todo el mundo, as como empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. SOX contempla una revisin ms rigurosa de los datos que una empresa declara en sus estados financierocontables que utiliza para sus controles internos, y no solamente abarca fraudes por falsedad en dichas declaraciones, sino tambin por inferencia, y todos los casos de fraude en los que se desvirten de manera importante los estados financieros, como la malversacin de activos, corrupcin, entre otros. Las multas por proveer informacin falsa o incorrecta son muy severas, y pueden llegar al extremo de encarcelar a los ejecutivos de la empresa, o que sta sea retirada de la Bolsa de Valores en que cotiza. Adems exige contar con un canal de denuncias de irregularidades por parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas por el Comit de Auditora. La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado republicano Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas organizaciones, muchas otras toman la decisin de adoptarla dado que constituye una prctica sana de negocios, mejorando notablemente la reputacin de quien la cumpla.

Modelo COSO: El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseado por el Comit of Sponsoring Organization of Treadway Comision (COSO). El COSO fue originalmente instaurado en el ao 1985 con la finalidad de estudiar los factores que permitan la emisin fraudulenta de reportes financieros. A comienzos de los aos 90, el Comit realiz un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO. COSO posee cinco componentes de control, los cuales al ser integrados en cada una de las unidades de negocio de la organizacin, ayudan a lograr los objetivos de control para alcanzar los objetivos del negocio, preparacin de cuentas financieras confiables y el cumplimiento de leyes y regulaciones. A continuacin se indican las caractersticas de control de los cinco componentes COSO, a saber: El aspecto ms pertinente del Informe COSO es su establecimiento, por primera vez, de una definicin universal de control interno: Efectividad y Eficiencia de las operaciones. Confiabilidad en la informacin Econmico-Financiera. Adecuado cumplimiento de las leyes y regulaciones aplicables.

El control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administracin maneja su negocio, y estn integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin y Monitoreo. Las siguientes secciones brindan una breve visin de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe. Ambiente de control Entre los factores, interno o externos, que pudiesen incidir en un ambiente de control, se encuentran los siguientes: integridad y valores morales del personal, compromiso para contratar y mantener personal de calidad, capacidad en la identificacin de riesgos operacionales, adiestramiento especializado sobre la aplicacin de controles internos y los roles desempeados por la Junta y el Comit de Auditora. Evaluacin de riesgo Incluye procedimientos para identificar cambios externos que puedan afectar el negocio, herramientas y metodologas para la identificacin, evaluacin y medicin de los riesgos operacionales y evaluacin peridica de dichos riesgos en las diversas reas de la organizacin. En este sentido, se establecen los siguientes objetivos de la evaluacin del riesgo: existencia, totalidad, derechos y obligaciones, evaluacin, presentacin, divulgacin y segregacin de funciones. Actividades de control Se refieren a las acciones tomadas para implementar polticas y estndares dentro de las organizaciones. La Ley SOX requiere la evaluacin de las actividades de control para cada actividad relevante del negocio. Las actividades de control incluyen administracin de los riesgos operacionales en los procesos de negocio, control de acceso a los sistemas de informacin y recursos informticos, as como la existencia de controles para mitigar errores operacionales. Adicionalmente, exige una evaluacin de los controles generales de cmputo, asociados al rea de IT. Informacin y Comunicacin Incluye el despliegue de informacin suficiente para la toma de decisiones, informacin adecuada y oportuna de los sistemas de informacin, comunicacin apropiada entre los Departamentos para la coordinacin de actividades conjuntas, as como la disponibilidad de medios para comunicar irregularidades y resultados a la Alta Gerencia de la organizacin. Monitoreo Un sistema de control necesita ser monitoreado para asegurar que el mismo contina operando efectivamente. Esto incluye actividades de supervisin, as como la labor desempeada por Auditora Interna. El seguimiento incluye el monitoreo permanente

entre los indicadores de riesgos operacionales y situaciones crticas, seguimiento peridico a la efectividad de los controles implantados, as como la disponibilidad de herramientas para el monitoreo de los riesgos operacionales y su impacto.

1.HISTORIA Y EVOLUCIN. El denominado INFORME COSO sobre control interno, publicado en EE.UU. en 1992, surgi como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temtica referida. Plasma los resultados de la tarea realizada durante ms de cinco aos por el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING cre en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las siguientes organizaciones: American Accounting Association (AAA). American Institute of Certified Public Accountants (AICPA). Financial Executive Institute (FEI). Institute of Internal Auditors (IIA). Institute of Management Accountants (IMA).

La redaccin del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venan siendo utilizados sobre este tema, logrando as que, al nivel de las organizaciones pblicas o privadas, de la auditora interna o externa, o de los niveles acadmicos o legislativos, se cuente con un marco conceptual comn, una visin integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Las primeras empresas en adoptarlo fueron las norteamericanas, para luego extenderse en el resto del mundo. Una dcada despus, en el 2002, el gobierno de los Estados Unidos sanciono la ley Sarbanes oxley (ley sox), a partir de la cual las empresas que cotizan en la bolsa de valores de USA, deban adoptar para la confeccin de sus estados financieros, una serie de lineamientos especficos.

2. COMPONENTES DE CONTROL INTERNO El Informe C.O.S.O. destaca cinco componentes esenciales de un sistema de control interno eficaz que pueden ser implementados en todas las compaas de acuerdo a las caractersticas administrativas, operacionales y de tamao especficas de cada una. Estos componentes son: ambiente de control, valoracin de riesgos, actividades de control, informacin y comunicacin y finalmente monitoreo o supervisin. Estos componentes representan las categoras que se necesitan considerar para lograr los objetivos citados anteriormente. Existe una interrelacin directa entre estos objetivos y estos componentes. 2.1. AMBIENTE DE CONTROL Est compuesto por el comportamiento que se mantiene dentro de la organizacin. Algunos de estos aspectos son la integridad y valores ticos de los recursos humanos, la atmsfera de confianza mutua, la filosofa y estilo de direccin, la estructura y plan organizacional, reglamentos y manuales de procedimiento y polticas en materia de recursos humanos. 2.1.1 Integridad y valores ticos La Comisin Treadway estableci: Un clima tico vigoroso dentro de la empresa y en todos los niveles de la misma, es esencial para el bienestar de la organizacin, de todos los componentes y del pblico en general. Un clima as contribuye en forma significativa a la eficacia de las polticas y los sistemas de control de las empresas y permite influir sobre los comportamientos que no estn sujetos ni a los sistemas de control ms elaborados. La dificultad en establecer valores ticos radica en la frecuente necesidad de atender intereses de las distintas partes que pueden ser contrapuestos. Es una tarea fundamental lograr equilibrio entre los intereses de la direccin, los de la empresa, sus empleados, proveedores, clientes, competidores y el pblico. Algunas veces, una determinacin incompetente de las metas y objetivos en la misma organizacin dificulta lograr conductas ticas incitando a los individuos que en ella trabajan a cometer actos fraudulentos, ilegales o poco ticos. Un ejemplo es poner nfasis en lograr o mostrar resultados a corto plazo. Esta premisa en principio inocente fomenta una condicin que el personal debe cumplir y de no hacerlo pagar un costo. Por ello, para defender sus propios intereses, se ve tentado a hacerlo. 2.1.2 Competencia profesional Es muy importante contar con personal competente que tenga una formacin adecuada de acuerdo al cargo que ocupa y responsabilidades que tenga. La aptitud se refiere a los conocimientos y habilidades de cada persona.

2.1.3 Filosofa y estilo de la Direccin Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al control interno. Un planteo empresarial orientado excesivamente al riesgo o no tomar en cuenta los aspectos de control al emprender negocios son indicativos de riesgos en el control interno. Desde otro punto de vista, una gerencia que sin dejar de afrontar riesgos toma en cuenta todos los elementos necesarios para su seguimiento pero evitando riesgos inadecuados crea un ambiente propicio para control interno en la organizacin. 2.1.4 Estructura y plan organizacional Todo organismo debe desarrollar una estructura organizativa que atienda el cumplimiento de su misin y objetivos, la que deber estar plasmada en un algn tipo de herramienta grfica. La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo, as como tambin las actividades a desempear a los fines de alcanzar los objetivos definidos por la alta gerencia de la organizacin, clasificando dichas actividades como de planificacin, de gestin o de control. El nivel de formalidad que alcanza la estructura organizativa definida es directamente proporcional al tamao de la organizacin. Conforme las organizaciones crecen, las mismas demandan una mayor especializacin en los cargos, lo que conlleva a los niveles de formalidad requeridos. Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes estn ms cerca de la operacin a modo de auto gestionarse. Esto se ve posibilitado debido a que los sistemas de control internos han mejorado sustancialmente debido al surgimiento de programas de aplicacin cuya finalidad es registrar los datos transaccionales facilitando as el control. Toda delegacin de tareas conlleva la necesidad de que los jefes examinen y aprueben, cuando corresponda, el trabajo de sus subordinados, y que ambos cumplan con la debida rendicin de cuentas de sus responsabilidades y tareas tanto en tiempo como en forma. Tambin requiere que todo el personal conozca, responda y entienda cmo su accionar repercute en los objetivos generales. 2.1.5 Polticas y prcticas de los RRHH El personal es el recurso ms valioso que posee cualquier organismo. Por ende, debe ser tratado y conducido de forma tal que se consiga su mximo rendimiento. Debe procurarse su satisfaccin y realizacin personal en el trabajo que realiza, tendiendo a que ste se enriquezca. Para lograr este objetivo, la direccin debe realizar diferentes actividades al momento de seleccin, capacitacin, rotacin y promocin del personal as como tambin cuando se aplican sanciones disciplinarias.

2.1.6 Comit de Administracin o Comit de Auditora Dichos comits se encuentran con mayor frecuencia en organizaciones de mayor tamao. Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de control interno como as tambin procura el mejoramiento continuo del mismo. Para su efectivo desempeo debe integrarse adecuadamente, es decir, con miembros de capacidad y trayectoria que exhiban adems un grado elevado de conocimiento y experiencia que les permita apoyar objetivamente a la Direccin mediante su gua y supervisin. 2.2 VALORACIN DE RIESGO El riesgo es otro de los elementos que constituyen el control interno. Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta pero no nula. La importancia de cada riesgo en el control interno se basa en su probabilidad de manifestacin y en el impacto que puede causar en la organizacin. El riesgo puede ser tanto interno como externo y comprende situaciones que imponen a la organizacin barreras para su crecimiento o inclusive para su supervivencia. Eliminar completamente el riesgo es una situacin hipottica porque los factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin embargo, existen muchas opciones para reducir el riesgo de que la organizacin sea afectada por amenazas. Una de ellas es precisamente un adecuado control interno que tiene el objetivo, en lo que respecta al riesgo, de mantener en observacin las principales variables que comprenden los riesgos ms importantes. El principal responsable de considerar y tomar acciones contra los riesgos involucrados en el actuar de la organizacin es la alta direccin. Sin embargo, a partir de sus observaciones y determinaciones, la responsabilidad de mantener control interno sobre los riesgos se propaga hacia el resto de la organizacin, tanto en dimensin vertical como horizontal. De esta manera se mantienen responsabilidades bien definidas en toda la organizacin pero manteniendo una estructura jerrquica en stas. En este apartado, la auditora tiene la responsabilidad de supervisar que el control interno cumple sus objetivos de minimizar los riesgos y en el caso de existir puntos dbiles en el control, identificarlos. Podemos citar algunos de los riesgos ms frecuentes que puede sufrir una organizacin. Algunos riesgos externos: desarrollos tecnolgicos que en caso de no adoptarse, provocaran obsolescencia organizacional cambios en las necesidades y expectativas de la demanda. condiciones macroeconmicas (tanto a nivel internacional como nacional) condiciones microeconmicas competencia elevada con otras organizaciones dificultad para obtener crdito o costos elevados del mismo complejidad y elevado dinamismo del entorno de la organizacin reglamentos y legislacin que afecten negativamente a la organizacin

Algunos riesgos internos: riesgos referentes a la informacin financiera sistemas de informacin defectuosos pocos o cuestionables valores ticos del personal problemas con las aptitudes y actitudes (comportamiento) del personal

Los riesgos internos son abarcados por el control interno. 2.2.1 Identificacin de riesgos Para identificar los riesgos ms importantes es necesario realizar un mapeo de estos, que incluya la especificacin de los dominios o puntos clave de la organizacin, las interacciones significativas entre la organizacin y los terceros, la identificacin de los objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar. La direccin tendr la responsabilidad de identificar riesgos, siendo tambin importante que se analicen con la misma profundidad los factores que pueden contribuir a aumentarlos. 2.2.2 Objetivos de control de riesgos En este apartado en particular nos referimos a los objetivos de control del riesgo. Los procesos mediante los que se establecen objetivos en una organizacin pueden ser muy estructurados o formales o, por el contrario, informales. Asmismo, los objetivos pueden encontrarse claramente identificados o bien ser implcitos (por ej., intentar mantener el mismo nivel de costos fijos que el perodo anterior). Sin embargo, para permitir un control interno bien determinado es preciso que estn cuantificados de alguna manera ya que de no estarlo se hace difcil la comparacin de valores categricos. De existir indicadores cualitativos (sin cuanta explcita) es necesario asignarles una ponderacin cuantitativa de acuerdo a las necesidades de la organizacin. Los objetivos relativos al riesgo deben considerar controles que aseguren detectarlo para posteriormente tomar medidas correctivas para reducirlo. Por ello los parmetros consisten en valores adecuados que de alguna manera aseguren que el control interno es eficiente y efectivo. 2.2.3 Condiciones previas para la evaluacin del riesgo El establecimiento de los objetivos de la empresa, es una condicin previa a la evaluacin de los riesgos. La direccin debe fijar primero los objetivos, y luego determinar cules sern los riesgos ms importantes que pueden afectar su logro para poder tomar las medidas necesarias. De no seguir este orden no se pueden determinar cuantificaciones correctas para los riesgos y sus impactos. Establecer objetivos es un requisito previo para un control interno eficaz. Los mismos deben estar parametrizados para ser mensurables. Sin embargo, an cuando debera existir una seguridad razonable de que estos objetivos puedan cumplirse, no siempre existe la seguridad que todos lo hagan.

Esta actividad es una fase clave de los procesos de gestin, y si bien no constituye estrictamente un componente del control interno, es un requisito que permite garantizar el funcionamiento del mismo. 2.2.4 Medicin y evaluacin de riesgos Se debe estimar la frecuencia con que se presentarn los riesgos identificados,as como tambin se debe cuantificar la probable prdida que ellos pueden ocasionar. Una vez identificados los riegos a nivel de organismo y de programa/actividad, debe procederse a su anlisis. Los mtodos utilizados para determinar la importancia relativa de los riesgos pueden ser diversos e incluirn como mnimouna estimacin de su importancia, la evaluacin de su probabilidad de ocurrencia y la valoracin de la prdida que podra provocar en caso de materializarse. Para determinar el orden de importancia general de los riesgos es necesario considerar su frecuencia y el impacto que pueden provocar en la organizacin. Con estas consideraciones podemos construir una matriz de riesgos que permitir identificar los riesgos prioritarios. 2.2.5 Cuantificacin de riesgos Se describe un mtodo sencillo (entre los varios que existen) que es til para la valoracin de riesgos y que permitir disponer de un ndice de importancia. Este ndice considera la frecuencia de ocurrencia de cada riesgo y el impacto que provoca en la organizacin en caso de hacerse realidad. El impacto est referido a prdida de activos, prdida de tiempo, disminucin de la eficiencia y eficacia de las operaciones o el control, efectos negativos en los recursos humanos, y alteracin en la correctitud de la informacin de la organizacin, entre otras. En este modelo los impactos deben estar expresados en una nica unidad, que bien puede ser monetaria. Este mtodo consiste en asignar una frecuencia F (segn un intervalo de tiempo igual para todos los riesgos, que puede ser anual), y el impacto I que genera (en el mismo intervalo de tiempo considerado para la frecuencia) medido en dinero. Luego se obtiene un ndice de exposicin de acuerdo a la frmula: E=FxI Una vez obtenidos estos ndices se procede a su ordenamiento para determinar la prioridad de atencin que se le debe otorgar. Un requisito importante es que todos los valores deben estar sincronizados. Esto significa que deben estar referidos a un mismo perodo de tiempo y una misma unidad de impacto. 2.3 ACTIVIDADES DE CONTROL Las actividades de control son las normas, reglas de qu debe hacerse - y procedimientos de control que se realizan en el entorno de las organizaciones con el fin de asegurar que se cumplen todas las operaciones y tareas que establece la Direccin superior dispuestas de tal forma que tiendan a la prevencin y neutralizacin de los riesgos.

2.3.1 Importancia de las actividades de control Las actividades de control conforman el elemento fundamental de los elementos de control interno. Estas actividades estn orientadas a minimizar los riesgos que dificulten la realizacin de los objetivos generales de la organizacin. Cada control que se realice dentro de la organizacin debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos, ya que las tareas engorrosas reducen la productividad del personal. 2.3.2 Quines deben llevar a cabo las actividades de control Las actividades de control se deben realizar en todos los niveles de la organizacin y en cada una de las etapas de gestin de la misma. Comenzando con un anlisis de riesgos a fin de disponer los controles destinados a: Prevenir la ocurrencia de riesgos innecesarios. Minimizar el impacto de las consecuencias de los mismos. Restablecer el sistema en el menor tiempo posible.

2.3.3 Categoras Los controles se pueden agrupar en tres categoras dependiendo del objetivo de la entidad con la que se relacionen. las operaciones. la confiabilidad de la informacin financiera. el cumplimiento de las leyes y reglamentos.

Algunos controles se relacionan solamente con un rea especfica dentro de una organizacin, pero frecuentemente las tareas de control definidas para un objetivo especfico pueden utilizarse para lograr el cumplimiento de otros objetivos. En cada uno de estos tres grandes grupos se pueden distinguir otros tipos de control: Preventivos / de deteccin / correctivos. Manuales / automatizados o informatizados. Gerenciales / operativos.

Como podemos deducir de lo anterior, en todos los niveles de la organizacin existen responsabilidades en las actividades de control. Debido a esto, es necesario que cada individuo dentro la organizacin sepa cuales son las tareas de control que debe ejecutar. Para lograr esto se debe explicitar claramente cuales son las funciones de control que les compete a cada uno.

2.3.4 Mecanismos de control Seguidamente se explicar en forma sinttica algunos de los mecanismos de control ms conocidos, los cuales no son los nicos mecanismos posibles de implementar dentro de una organizacin. 2.3.4.1 Segregacin de funciones Este es uno de los controles internos mas importantes y efectivos. Todas las responsabilidades de autorizar, ejecutar, registrar y comprobar una transaccin deben ser, dentro de lo posible, claramente segregadas y diferenciadas. 2.3.4.2 Anlisis realizados por la Direccin Una correcta toma de decisiones viene dada por la obtencin de la informacin apropiada en el momento en que se necesita. Para lograr esto es necesario verificar la confiabilidad de dicha informacin. Algunas de las herramientas utilizadas para obtener esa confiabilidad son: Comparacin de los datos con los histricos referidos a los mismos perodos. Anlisis de la informacin real contra la informacin pronosticada. Cruzamiento de fuentes de informacin. Seguimientos de campaas comerciales, programas de mejora de productos, etc. 2.3.4.3 Documentacin Todas las transacciones, los hechos significativos y la estructura de control interno deben estar correctamente documentados de forma completa y exacta, y sta documentacin debe estar disponible para su verificacin. La informacin de control interno debe estar asentada en las polticas de la organizacin y en los manuales de procedimientos. Debe incluir los datos sobre los objetivos, la estructura y los procedimientos de control. 2.3.4.4 Definicin de niveles de autorizacin Las transacciones y tareas ms relevantes para la organizacin slo deben ser autorizados y ejecutados por personal al que le fue asignada la responsabilidad dentro de sus competencias. La autorizacin es la forma ms conocida de asegurar que slo se llevan adelante tareas y transacciones que tienen el apoyo de la direccin de la organizacin, la cual presta su conformidad para ajustarse claramente a la misin, la estrategia, los planes, programas y presupuestos de la organizacin en su totalidad. Las autorizaciones deben documentarse y comunicarse debidamente a las personas o reas autorizadas, las que debern ejecutar las tareas asignadas de acuerdo con las

indicaciones que se les explicit y dentro del mbito de las competencias establecidas por la normativa de la organizacin. 2.3.4.5 Registro oportuno y adecuado de las transacciones y hechos Se debe registrar y clasificar debidamente los hechos y transacciones relevantes que afectan el funcionamiento de la organizacin. Esta registracin debe realizarse en el momento de la ocurrencia del hecho para garantizar su relevancia y utilidad para la toma de decisiones, por lo mismo que se deben clasificar debidamente para ser presentados en informes y/o estados financieros contables a los directivos y gerentes. 2.3.4.6 Acceso restringido a los recursos, activos y registros El acceso a todo recurso, activo, registro y comprobante debe estar protegido por mecanismos de seguridad y limitado a las personas autorizadas, las cuales tienen la responsabilidad sobre los mismos y estn obligados a rendir cuenta de su custodia y utilizacin. Todo activo de valor para la organizacin debe asignarsele a un responsable para su custodia y adems debe contar con las protecciones adecuadas, como ser: seguros, almacenaje, sistemas de alarma, etc. Deben estar debidamente registrados y peridicamente se deben verificar las existencias fsicas con los registros contables para controlar su coincidencia Todos estos mecanismos de proteccin cuestan tiempo y dinero, por lo que se debe analizar cuidadosamente los riesgos que pueden afectar los activos de la organizacin (por ejemplo, robo, mal uso, destruccin, etc.) y realizar una comparativa con los costos del control que se quiera implementar. 2.3.4.7 Rotacin del personal en las tareas claves La idea fundamental es que ningn empleado tenga la posibilidad de cometer algn tipo de irregularidad por un tiempo prolongado al realizar su tarea. Los empleados que realizan tales tareas deben rotar peridicamente con otros empleados que realizan otras funciones dentro de la organizacin. Este es un mecanismo de probada eficacia que muchas veces no se utiliza debido al concepto errneo del empleado imprescindible. 2.3.4.8 Control del sistema de informacin Para garantizar el correcto funcionamiento y asegurar la confiabilidad del procesamiento de transacciones, el sistema de informacin debe ser controlado debidamente. Los sistemas de informacin tienen que contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas del mismo. Adems debe ser flexible para permitir cambios o modificaciones rpidas ante los requerimientos de la Direccin de la organizacin tanto en las operaciones como en la presentacin de informes gerenciales. El sistema debe dar apoyo y controlar todas las actividades de la

organizacin (como ser registrar y supervisar las transacciones y eventos que ocurran) adems de mantener registros financieros. 2.3.4.9 Controles fsicos Se deben realizar peridicamente recuentos fsicos de los elementos de naturaleza tangible. Estos controles son muy efectivos al contrastarlos con los datos correspondientes a los registros contables de los mismos. 2.3.4.10 Indicadores de desempeo Los mtodos de medicin del desempeo de indicadores para su respectiva supervisin y evaluacin deben estar presentes en toda organizacin. El resultado de la evaluacin de estos indicadores se utiliza para tomar, en caso de haber desvos, medidas correctivas en las actividades y de esta manera mejorar el rendimiento. Si bien este mecanismo contribuye al sustento de las decisiones, los indicadores de rendimiento no deben ser muy numerosos como para que se hagan engorrosos e ininteligibles, ni tampoco deben ser tan escasos que no permitan ver cuestiones claves de las actividades relevantes dentro de la organizacin. Esto se logra analizando el sistema de indicadores que se ajuste a sus caractersticas, como ser en tamao, produccin, nivel de competencia de los empleados y otros elementos que diferencien a la organizacin. El sistema debe tener tanto indicadores cuantitativos (por ejemplo montos presupuestarios), como cualitativos (por ejemplo nivel de satisfaccin de los usuarios). 2.3.4.11 Funcin de auditora interna independiente La funcin de auditora interna en las organizaciones debe depender de sus autoridades superiores y las funciones y actividades que se realizan en dichas auditoras deben ser independientes de las operaciones que se analizan. Es una forma certera y efectiva para la gerencia de estar informada sobre el funcionamiento y confiabilidad de los sistemas de control interno que posee la organizacin. La auditora interna, al ser independiente de los sectores que analiza, puede realizar su cometido con total libertad realizando inspecciones, verificaciones y pruebas que considere necesario, ya que las actividades que realiza estn desligadas de las operaciones que analiza. Dicho con otras palabras, no controla lo que realiza sino lo que realizan las reas de la organizacin. La auditora interna hace las veces de un representante de la autoridad superior en cuanto a vigilar el adecuado funcionamiento del sistema, informando en forma oportuna de las ocurrencias de cualquier situacin indeseada. 2.3.5 Control sobre los sistemas de procesamiento electrnico de datos Los sistemas de informacin realizan un papel primordial en el desempeo de la gestin de una organizacin, no slo por el tamao de la misma o la naturaleza de la informacin que se procese, sino porque es la estructura que sostiene uno de los activos ms

celosamente protegidos y valorados de toda organizacin: los datos y la informacin. Por esta razn dichos sistemas necesariamente deben estar controlados. Las actividades de control de los sistemas de informacin pueden agruparse en dos categoras: Controles generales y controles de aplicacin. 2.3.5.1 Controles generales Este tipo de actividad de control de la tecnologa de informacin se aplica a todo el sistema de informacin, desde los equipos de procesamiento, almacenamiento y redes de datos hasta la gestin realizada por el usuario final. Incluyen tambin las medidas y procedimientos manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de informacin. 2.3.5.2 Controles sobre las operaciones del centro de procesamiento de datos Este tipo de control est relacionado con la estructura organizativa del centro de procesamiento de datos: responsable del sector, separacin de funciones, niveles de autorizacin, etc. En efecto son las mismas reglas de organizacin que se aplican a cualquier otro sector dentro de la organizacin. Las normas COBIT, complementarias de las C.O.S.O. en materia bancaria, aconsejan la existencia de un Comit de Sistemas, como as tambin la existencia de controles gerenciales sobre el rea de procesamiento de datos. La ubicacin del rea de sistemas dentro del organigrama general de una organizacin moderna est definida como sector autnomo que no supervisa ni es supervisado por ninguna de las reas usuarias. 2.3.5.3 Normativas y procedimientos Son las pautas o instrucciones bsicas que se refieren a las buenas prcticas que son deseables dentro del ambiente de sistemas. Estas normas y procedimientos, se refieren a: 1. Desarrollo y mantenimiento de programas. 2. Pruebas de programas. 3. Pasajes de programas a produccin. 4. Documentacin de sistemas. 2.3.5.4 Normas sobre continuidad del procesamiento La importancia de este tipo de control radica en su objetivo principal que es el de preservar el funcionamiento de la organizacin ante un posible colapso del sistema de informacin. Estos controles estn dirigidos a los siguientes aspectos:

1. Anlisis de criticidad de los procesos. 2. Biblioteca de operaciones. 3. Back-up de archivos. 4. Plan de contingencias. 5. Creacin y mantenimiento. 6. Capacitacin y entrenamiento. 7. Pruebas. 2.3.5.5 Proveedores externos Se deben implementar en la organizacin los mecanismos necesarios para el control de las aplicaciones que pudieran llegar a adquirirse a proveedores externos. Los puntos centrales de atencin cuando se adquiere software de esta manera son: Contrataciones formales. Disposicin de programas fuentes. Documentacin de desarrollo del sistema Acceso irrestricto a: sistemas, datos y documentacin

2.3.5.6 Controles sobre la seguridad fsica La forma ms idnea de proteger la integridad de los datos y programas se realiza a travs de la utilizacin de restricciones a la utilizacin del sistema a personas no autorizadas, como as tambin mediante la creacin y mantenimiento de condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa la informacin. Se deben tener en cuenta en este tipo de control los siguientes puntos: Acceso restringido al rea de procesamiento de datos central. Instalaciones adecuadas. Energa ininterrumpible. Medios de deteccin y extincin de incendios. Aire acondicionado.

2.3.5.7 Controles sobre la seguridad lgica Este tipo de control est relacionado con las redes de telecomunicaciones, y debido al crecimiento de estas ltimas, cobra cada mayor importancia. Estos controles se realizan tendientes a proteger al sistema contra el acceso y uso no autorizados, hasta podran prevenir la piratera informtica. Las actividades de control aplicables a este tipo de actividades son:

Identificacin o loggin. Autenticacin. Autorizacin (matriz de autorizaciones). Registracin. La identificacin o autenticacin se sustentan: Algo conocido (contrasea). Algo posedo (tarjeta, llave). Algo personal (reconocimiento, firma, huellas dactilares, etc).

Todos estos controles forman parte de los controles generales que se pueden realizar a los centros de procesamiento de datos de cualquier organizacin. 2.3.6 Controles sobre las aplicaciones Estos controles permiten asegurar la completitud y exactitud en el procesamiento de las transacciones, su autorizacin y su validez. Estn diseados principalmente para evitar que se ingresen en el sistema datos errneos, es decir que son controles preventivos. Tambin pueden ser eficaces para detectar y corregir errores que fueron ingresados al sistema con anterioridad. Estn dirigidos bsicamente a: Registro de transacciones. Actualizacin de datos aceptados y seguimiento de los rechazados. Actualizacin de archivos. Controles de acceso a los registros. Documentacin tcnica y del usuario actualizada. Resguardo de los archivos. Administracin del sistema. Interfaces con otros sistemas.

2.3.7 Autoevaluacin de controles basada en los modelos Es una metodologa desarrollada por la auditora interna del Banco de Canad, tambin es conocida como Autoevaluacin de control o Evaluacin Dinmica de Control (Dynamic Control Assessment). Se basa y est implcito en las teoras modernas de control. En la estructura de los modelos C.O.S.O. y C.O.C.O. se definen los componentes que estructuran el marco integrado de control y estn involucrados en sus tareas el personal de todos los niveles jerrquicos de la organizacin y de todas las actividades del negocio para evaluar los controles que apoyan el logro de los objetivos predefinidos. Esta es una metodologa que si se aplica correctamente produce una mejora sustancial en el rendimiento y la eficiencia de la organizacin proporcionando mayores resultados con menos recursos, adems de establecer los mecanismos para el anlisis de los controles formales e informales. 2.3.7.1 Evaluacin de los controles informales Para aplicar esta metodologa es necesario identificar los controles informales dentro del componente ambiente de control y los controles formales en los cuatro componentes

restantes del marco integrado del control interno (evaluacin de riesgo, actividades de control, informacin y comunicacin, y supervisin). Esta metodologa consiste en que profesionales en auditora interna realicen talleres con el grupo de personal operativo, sin la participacin del nivel gerencial de la organizacin, tratando temas sobre unidades de trabajo o funciones especficas. La gerencia responsable tiene que definir los objetivos de trabajo ms importantes, as como los controles necesarios para apoyar a su realizacin. A travs del anlisis realizado en los talleres se evalan las fortalezas y debilidades de los procesos de trabajo y se comenta cmo afectan a la consecucin de los objetivos propuestos por la gerencia. Para organizar las discusiones que se realizan en los talleres se utilizan plantillas para evaluacin de riesgo de auditora y fijacin de prioridades, previstas en el modelo C.O.S.O. En estos talleres se evalan los controles formales e informales, utilizando el mismo criterio en cada taller para facilitar la acumulacin y comparaciones en el mbito de toda la organizacin. Los participantes votan para definir la importancia de cada aspecto y para evaluar la eficacia. Este procedimiento se automatiza proporcionando de esta manera los resultados de los talleres que son presentados en forma adecuada para su posterior anlisis. 2.3.7.2 Evaluacin de controles formales Este mtodo analiza las actividades de control que se relacionan con los objetivos especficos de los trabajos que se realizan en cada rea de la organizacin. En una reunin se definen los controles especficos a la vez que se identifican y agrupan en cuatro componentes de control, a saber: Evaluacin de riesgos. Actividades de control. Informacin y comunicacin. Monitoreo o supervisin.

Adems, en esta reunin se logra consenso con la gerencia sobre la importancia y la eficacia de los controles propuestos a fin de que ayuden a concretar los objetivos y con la informacin obtenida se elaboran las plantillas para la discusin y votacin que se utilizan en los talleres realizados con los empleados afectados a dichas tareas. En los talleres la discusin se realiza en relacin a las actividades de control dentro de los componentes y la votacin se realiza para definir la importancia y eficacia de dichas actividades. 2.3.7.3 Informe de resultados Los reportes sobre las calificaciones y evaluaciones realizadas basndose en los resultados de los talleres constituyen la base para el anlisis que realiza la gerencia junto con el departamento de auditora interna cuyo resultado incluye las tareas o acciones a

tomar que consideren necesarias para mejorar la gestin. Las gerencias de cada departamento evaluado reciben un informe detallado de la Autoevaluacin de control (el cual brinda una visin general de los controles formales e informales) y tambin reciben un reporte del Perfil de Confianza, el cual contrasta la evaluacin de los controles de cada componente con el nivel general de la totalidad de la organizacin. Con la participacin del departamento de auditora interna en el proceso de Autoevaluacin de Control se obtiene informacin valiosa respecto a controles potenciales a implementar. La auditora adquiere un conocimiento integral de las operaciones y para efectos de revisiones posteriores ayuda a identificar las prioridades en el proceso de planeacin de las actividades que se requieran. 2.4 INFORMACIN Y COMUNICACIN En la actualidad, las organizaciones tienen acceso a un gran volumen de datos. Esto es debido a las herramientas que, en la actualidad, permitieron una mayor disponibilidad de los mismos. Estas herramientas son llamadas sistemas de informacin. Dentro de los mencionados datos existen algunos que son relevantes para la consecucin de los objetivos propuestos por la organizacin. Adems de ser claros, deben ser obtenidos en tiempo y forma. 2.4.1 Informacin La informacin incluye los datos del sector, los datos econmicos de la organizacin y de los mecanismos de control. Estos pueden ser obtenidos de fuentes internas o externas a la organizacin, as como tambin de fuentes formales e informales. Dado que las empresas se mueven en un entorno cada vez ms cambiante, resulta importante que los sistemas de informacin puedan adaptarse en forma oportuna y gil a las condiciones del entorno, es por ello que la flexibilidad de los mismos resulta fundamental. La misma puede presentarse y ser adquirida de diversas maneras sin perder as la cualidad de informacin. 2.4.1.1 Segn la presentacin: Fuentes Formales: Por ejemplo la informacin obtenida en seminarios, congresos o eventos. Fuentes Informales: Por ejemplo aquella que surge de conversaciones con los clientes o proveedores. 2.4.1.2 Segn el origen de donde provenga: Fuentes Internas: la informacin recabada del personal perteneciente a la organizacin. Puede ser tanto formal (reportes) como informal (conversaciones).

Fuente Externas: la informacin recogida de personas ajenas a la organizacin. Tambin puede ser formal como informal. 2.4.1.3 Segn el contenido: Informacin financiera: es informacin que refleja cualquier actividad relacionada con el origen o el manejo de fondos. Informacin de control interno: Se identifica y captura informacin utilizada para poner en marcha otros componentes de control. Tambin se distribuye en un formato predefinido y de manera oportuna para permitir al personal llevar a cabo, si correspondiere, las acciones correctivas. 2.4.1.4 Segn la calidad de la informacin: El grado de calidad de la informacin condiciona fuertemente la toma de decisiones de los individuos de la organizacin y pueden llegar a determinar si las decisiones son acertadas o no. Es necesario que los informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. La calidad de la informacin depender de los siguientes factores: Contenido: Est toda la informacin necesaria. Oportunidad: Tiempo de obtencin adecuado. Actualidad: Informacin reciente. Exactitud: Contiene datos correctos y precisos. Accesibilidad: Fcil obtencin por las personas autorizadas y denegacin de acceso a las no autorizadas.

No es un dato menor que si no se cumple algunos de los factores anteriores, la informacin pierde parte de su utilidad dado que debe servir para que el personal pueda cumplir con sus responsabilidades operacionales, de informacin financiera o de control. 2.4.2 Comunicacin Anteriormente se habl de la obtencin y depuracin de los datos para transformarlos en informacin. Se hizo foco en que el resultado deba ser claro, conciso, exacto y oportuno. Tambin se indic que los sistemas de informacin deban proporcionar informacin que debe ser accesible slo para las personas adecuadas. Por lo expuesto, se puede determinar que la comunicacin forma parte de los sistemas de informacin. Los canales por los que se enva la misma deben ser adecuados y debe estar presente en todos los niveles de la organizacin. Desde el punto de vista jerrquico, debe producirse de arriba hacia abajo, de abajo hacia arriba y hacia ambos lados. As como la informacin, la comunicacin puede producirse de manera interna o externa. 2.4.2.1 Comunicacin interna Cada miembro de la organizacin debe entender la importancia del sistema de control interno y saber cuales son sus derechos, obligaciones y responsabilidades dentro de este sistema. tomar Para tomar las medidas correctivas adecuadas, tambin debe conocer

cmo sus acciones se relacionan con el trabajo de los dems, y cmo afecta cualquier desvo de sus actividades en el resto. Esto aumenta las posibilidades de obtener el mximo rendimiento de cada RRHH. Tambin es importante que los canales de comunicacin estn abiertos hacia los niveles superiores, que el personal cuente con mecanismos para enviar y registrar informacin y que la alta gerencia est dispuesta a escuchar para que as los empleados puedan enviar sus inquietudes, preocupaciones y, si correspondiere, denuncias teniendo como premisa la mejora del ambiente de control. De no ser as es muy probable la consecucin de problemas y violaciones a los controles establecidos, ya sea por desconocimiento o por mala intencin. 2.4.2.2 Comunicacin externa Es la que se realiza con las personas ajenas a la organizacin. Es muy importante debido a que se puede obtener informacin de las preferencias y exigencias de los clientes de fuentes muy confiables. Un ejemplo remarcable de este tipo de comunicacin son los estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en marcha. Las comunicaciones recibidas de terceros a veces brindan informacin importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo seran los reclamos por envos defectuosos que revelan problemas de tipo operativos o denuncias de proveedores. 2.5 MONITOREO Y SUPERVISIN Los sistemas de control interno requieren supervisin, es decir, un proceso que compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Para lograr sto se llevan a cabo actividades de supervisin continua, evaluaciones peridicas o una combinacin de ambas cosas. La supervisin continua se da en el transcurso de las operaciones. Incluye tanto las actividades normales de direccin y control, como otras actividades llevadas a cabo por el personal en la realizacin de sus funciones. El alcance y frecuencia de las evaluaciones depender de la evaluacin de riesgos y de la eficiencia de los procesos de supervisin. Los sistemas de control interno evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse. Es decir que es necesario actualizar dichos procedimientos hasta hacerlos acordes a las variaciones que va sufriendo la organizacin a lo largo de su ciclo de vida. Asmismo, las circunstancias sobre las que se configur el sistema de control interno en un principio tambin pueden cambiar, reduciendo su capacidad de advertir los nuevos riesgos originados por las nuevas circunstancias. En consecuencia, la direccin tendr que determinar si el sistema de control interno es en todo momento adecuado y si se mantiene la capacidad de asimilar nuevos riesgos. 2.5.1 Supervisin continua Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia del control interno, como comparaciones, conciliaciones, actividades corrientes de gestin y supervisin as como otras actividades rutinarias. Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a travs del tiempo.

La supervisin continua tiene tareas permanentes y revisiones peridicas. La frecuencia de estas ltimas dependern de la importancia de los riesgos en juego. Las deficiencias detectadas deben ser oportunamente comunicadas. 3. LIMITACIONES DEL CONTROL INTERNO A pesar de ser un proceso muy til para la organizacin que permite su supervivencia, puede existir el caso de que este mismo no permita el crecimiento. De hecho, el fin del control interno no siempre es lograr crecimiento, sino asegurar que las actividades se realicen de la manera prevista (que no necesariamente puede conducir al crecimiento). Todo procedimiento de control interno comienza con la definicin de los criterios y parmetros sobre los cuales deben funcionar las operaciones. stos son definidos por el Consejo de Administracin, la Direccin o Alta Gerencia pero no permite asegurar la efectividad de las operaciones si los estndares de funcionamiento fueron mal definidos. Los estndares definidos deben contemplar a la normativa y legislacin vigente, no slo los lineamientos de la Direccin. Tampoco toma decisiones finales sino que brinda las herramientas para que stas sean tomadas por las personas correspondientes. 4. RESPONSABLES DEL CONTROL INTERNO Entre los principales responsables del control interno destacamos la alta gerencia, los auditores y el personal, estando sobre todos estos el Consejo de Administracin, el que fija las pautas y la visin global de la organizacin. La Alta Gerencia es la responsable ltima del correcto funcionamiento del sistema de control. La integridad y la tica deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas reas. La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica adecuada (contar con permisos de acceso, autoridad para solicitar y obtener informacin, etc.). Los empleados tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de trabajo. Ellos deben comunicar al nivel superior los desvos que detecten con respecto a los cdigos de conducta, a las polticas establecidas o a la legalidad de las acciones realizadas. El Consejo de Administracin fija las pautas y la visin global del negocio. Debe asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas financieras, legales y de auditora interna para garantizar que dichos sectores comprendan los lineamientos.

5. COMPARATIVO CON COBIT

Atributo Audiencia Primaria CI visto como

COBIT Direccin, usuarios, auditores de SI Conjunto de procesos incluyendo polticas, procedimientos, prcticas estructuras organizacionales Operaciones Efectivas y eficientes Confidencialidad, Integridad y disponibilidad de informacin Informes financieros confiables Cumplimiento de las leyes y regulaciones Dominios: Planeamiento y organizacin Adquisicin e implementacin Entrega y soporte Monitoreo Tecnologa Informtica Por un perodo de tiempo Direccin 187 pginas en cuatro documentos

COSO Direccin de procesos. Objetivos. Organizacionales del CI. Operaciones Efectivas y eficientes Informes financieros confiables Cumplimiento de las leyes y regulaciones. Componentes o dominios. Componentes: Ambiente de Control Manual y Automatizado Procedimiento de Control de sistemas. Componentes: Supervisin Ambiente de Control Administracin de Riesgos Actividades de Control Informacin y Toda la Entidad En un momento dado Direccin 353 pginas en cuatro volmenes. Foco Efectividad del CI Evaluado Responsabilidad por el Sistema de CI Tamao. Tecnologa Informtica Por un periodo de tiempo Direccin 1193 pginas en 12 mdulos. El informe COSO define el control interno, describe sus componentes, y provee criterios contra los cuales pueden evaluarse los sistemas de control. El informe ofrece una gua para la elaboracin de informes pblicos sobre control interno y provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un sistema de control interno. Dos objetivos principales del informe son (1) establecer una definicin comn de control interno que sirve a muchas partes diferentes, y (2) provee un

Resmenes COBIT: Control Objectives for de los Information and related Documentos Technology La Information Systems Audit and Control Foundation (ISACF) desarroll los Objetivos de Control para la Informacin y Tecnologa relacionada (C OBIT) para servir como una estructura generalmente aplicable y prcticas de seguridad y control de SI para el control de la tecnologa de la informacin. Esta estructura COBIT le permite a la gerencia comparar (benchmark) la

seguridad y prcticas de control de los ambientes de TI, permite a los usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre materias de seguridad y control de TI. La motivacin primaria para brindar esta estructura fue posibilitar el desarrollo de una poltica clara y buenas prcticas para el control de TI a travs de toda la industria en todo el mundo. La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el control de TI, una lista de Objetivos de Control, y un conjunto de Guas de Auditora. (Los objetivos de control y las guas de auditoria estn referenciadas a la estructura). Las fases futuras del proyecto proveern guas de autoevaluacin para la direccin e identificarn objetivos nuevos o actualizados mediante incorporacin de otros estndares globales de control que se identifiquen. Adems, agregar guas de control e identificar indicadores claves de desempeo. Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicacin, tecnologa, instalaciones y gente. Los datos son definidos en su sentido ms amplio e incluyen no slo nmeros, textos y fechas, sino tambin objetos tales como grficos y sonido. Los sistemas de aplicacin son entendidos como la suma de procedimientos manuales y

estndar contra el cual las organizaciones pueden evaluar sus sistemas de control y determinar como mejorarlos. Definicin: El informe COSO define control interno como: un proceso, efectuado por el directorio, la gerencia y otro personal de la entidad, diseado para proveer un aseguramiento razonable en relacin al logro de los objetivos en las siguientes categoras: efectividad y eficiencia de las operaciones confiabilidad de los reportes financieros cumplimiento con las leyes y regulaciones aplicables. Aunque el informe define el control interno como un proceso, recomienda evaluar la efectividad del control interno a un momento dado. Componentes: El sistema de control interno consiste en cinco componentes interrelacionados: (1) ambiente de control, (2) evaluacin de riesgos, (3) actividades de control, (4) informacin y comunicacin, y (5) monitoreo. El ambiente de control provee la base para los otros componentes. El mismo abarca factores tales como filosofa y estilo operativo de la gerencia, polticas y prcticas de recursos humanos, la integridad y valores ticos de los empleados, la estructura organizacional, y la atencin y direccin del directorio. El informe COSO brinda una gua para evaluar cada uno de estos factores. Por ejemplo, la filosofa gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de los riesgos del negocio que acepta la

programados. La tecnologa se refiere al hardware, sistemas operativos, equipos de redes y otros. Instalaciones son los recursos utilizados para albergar y soportar los sistemas de informacin. Gente comprende las capacidades y habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de informacin. Requerimientos: Para satisfacer los objetivos del negocio, la informacin necesita conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del negocio respecto de la informacin. COBIT combina los principios incorporados en los modelos de referencia existentes en tres amplias categoras: calidad, responsabilidad fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categoras superpuestas de criterios para evaluar cuan bien estn satisfaciendo los recursos de TI los requerimientos de informacin del negocio. Estos criterios son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin.

Procesos y Dominios: En base al anlisis de un documento del Reino Unido sobre prcticas de administracin de TI de la biblioteca de infraestructura tecnolgica (ITIL), COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son (1) planeamiento y

gerencia, la frecuencia de su interaccin con los subordinados, y su actitud hacia los informes financieros. La evaluacin de riesgo consiste en la identificacin del riesgo y el anlisis del riesgo. La identificacin del riesgo incluye examinar factores externos tales como los desarrollos tecnolgicos, la competencia y los cambios econmicos, y factores internos tales como calidad del personal, la naturaleza de las actividades de la entidad, y las caractersticas de procesamiento del sistema de informacin. El anlisis de riesgo involucra estimar la significacin del riesgo, evaluar la probabilidad de que ocurra y considerar cmo administrarlo. Las actividades de control consisten en las polticas y procedimientos que aseguran que los empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen revisiones del sistema de control, los controles fsicos, la segregacin de tareas y los controles de los sistemas de informacin. Los controles sobre los sistemas de informacin incluyen los controles generales y los controles de las aplicaciones. Controles generales son aquellos que cubren el acceso, el desarrollo de software y sistemas. Controles de las aplicaciones son aquellos que previenen que ingresen errores en el sistema o detectan y corrigen errores presentes en el sistema. La entidad obtiene informacin pertinente y la comunica a travs de la organizacin. El sistema de informacin identifica, captura y reporta informacin financiera y operativa que es til para controlar las actividades de la

organizacin, (2) adquisicin e implementacin, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier ambiente de TI. COBIT presenta una estructura de control para los propietarios de los procesos del negocio. Cada vez ms, la direccin est totalmente facultada con responsabilidad y autoridad completa por los procesos del negocio. COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI, cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control referenciados a esos 32 procesos y guas de auditora vinculadas a los objetivos de control.

Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por la declaracin de control, identifica los recursos de TI administrados por los procesos, establece los controles habilitados y lista los principales objetivos de control aplicables.

organizacin. Dentro de la organizacin, el personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de control interno, tomar seriamente sus responsabilidades por el control interno, y, si es necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el mensaje de que la entidad no tolerar acciones impropias. La gerencia monitorea el sistema de control revisando el output generado por las actividades regulares de control y realizando evaluaciones especiales. Las actividades regulares de control incluyen comparar los activos fsicos con los datos registrados, seminarios de entrenamiento, y exmenes realizados por auditores internos y externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las deficiencias encontradas durante las actividades regulares de control son normalmente reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones especiales son normalmente comunicadas a los niveles altos de la organizacin. Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control interno y los roles y responsabilidades de las partes que afectan a un sistema. Las limitaciones incluyen el juicio humado defectuoso, falta de comprensin de las instrucciones, errores, atropellos de la gerencia, colusin, y consideraciones de costo versus beneficio.

El informe COSO define deficiencias como "condiciones dentro de un sistema de control interno digno de atencin". Las deficiencias deberan ser reportadas a la persona responsable por la actividad y a la gerencia que est como mnimo un nivel por encima del individuo responsable. Un sistema de control interno es juzgado efectivo si estn presentes y funcionando efectivamente los cinco componentes respecto de las operaciones, los reportes financieros y el cumplimiento.

COBIT adapt su definicin de control a partir de COSO: Las polticas, procedimientos, prcticas y estructuras organizacionales estn diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y que se prevendrn, detectarn y corregirn los eventos no deseables. COBIT adapta su definicin de un objetivo de control de TI del SAC: Una declaracin del resultado deseado o propsito a lograr implementando procedimientos de control en una actividad particular de TI. COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del negocio. El documento describe objetivos de control de TI independientes de plataformas y aplicaciones.

COBIT y COSO definen el control interno, describen sus componentes y proveen herramientas de evaluacin. COSO sugiere formas de reportar los problemas de control interno. Adicionalmente COBIT provee una estructura amplia facilitando el anlisis y comunicacin de las observaciones de control interno. 5.1 Definiciones. Aunque las dos definiciones de control contienen esencialmente los mismos conceptos, el nfasis es algo diferente. COBIT ve el control interno como un proceso que incluye polticas, procedimientos, prcticas y estructuras organizacionales que soportan procesos y objetivos de negocio. COSO acenta el control interno como un proceso, ej. El control interno debera ser una parte integrante de las actividades del negocio en curso. La gente es parte del sistema de control interno. COBIT clasifica a la gente (definida como habilidad, concientizacin y productividad del personal para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin) como uno de los recursos primarios administrados por distintos procesos de tecnologa informtica. El involucramiento de la gente se ha hecho ms xplicito a medida que los documentos evolucionaron. COSO denota que la gente involucrada con el control interno son miembros del Directorio, la gerencia, u otro personal de la entidad. Los documentos acuerdan que la gerencia es la parte

responsable por establecer, mantener y monitorear el sistema de control interno. Los tres documentos acentan el concepto de aseguramiento razonable en lo que se relaciona con el control interno. El control interno no garantiza que la entidad lograr sus objetivos ni que permanecer en el negocio. Por lo contrario, el control interno est diseado para proveer a la direccin con un aseguramiento razonable respecto del logro de los objetivos. Los documentos tambin reconocen que hay limitaciones inherentes al control interno y que, por consideraciones costo/beneficio, no sern implementados todos los controles posibles. Las limitaciones inherentes pueden causar que los controles internos sean menos efectivos que lo planeado. COBIT establece la premisa de que estos objetivos son soportados por procesos de negocio. Estos procesos, a la vez, son soportados por la informacin provista mediante adecuados de control. 5.2 Componentes El informe COSO considera cinco componentes. COBIT incorpora los cincos componentes considerados en el informe COSO y los focaliza dentro del entorno de los controles internos de tecnologa informtica. El diseo de COBIT salta la brecha entre los modelos de control de negocio tales como COSO y los sistemas los modelos de control de sistemas de informacin ms altamente tcnicos disponibles en todo el mundo. Aunque pueden parecer que los documentos difieren en sus enfoques de los controles, los estudios posteriores revelan muchas similaridades. 5.3 Ambiente de Control COBIT y COSO incluyen el ambiente de control como un componente y discuten esencialmente los mismos conceptos. Los factores que impactan el ambiente de control incluyen la integridad y valores ticos de la gerencia, la competencia del personal, la filosofa gerencial y el estilo operativo, cmo se asignan la autoridad y responsabilidades, y la gua que provee el directorio. COBIT entrelaza las implicancias del ambiente de control en todos los objetivos de control aplicables. Categoriza los procesos dentro del planeamiento y organizacin, adquisicin e implementacin, entrega y soporte, y monitoreo. Tambin habla del ambiente de control donde es apropiado. El foco exclusivo de COBIT es el establecimiento de una estructura de referencia para seguridad y control en tecnologa informtica. Define un vnculo claro entre los controles de los sistemas de informacin y los objetivos de negocio. Adems, provee objetivos de control validados globalmente para cada proceso de tecnologa informtica lo cual brinda una gua pragmtica de control para todas las partes interesadas. COBIT tambin provee un vehculo para facilitar las comunicaciones entre la gerencia, los usuarios y los auditores en relacin a los controles de los sistemas de informacin. COSO discute tanto informacin como comunicacin. En su discusin sobre informacin, COSO revisa la necesidad de capturar la informacin pertinente interna y externa, el potencial de sistemas estratgicos e integrados, y la necesidad de calidad en los datos. COSO discute los procedimientos y actividades de control utilizados en toda la entidad. COBIT clasifica los controles en 32 procesos agrupados naturalmente en

cuatro dominios aplicables a cualquier ambiente de procesamiento de informacin. SAC utiliza cinco esquemas de clasificacin diferentes para los procedimientos de control de SI. COSO utiliza solo un esquema de clasificacin para los procedimientos de control del sistema de informacin (SI). La discusin de COSO sobre las actividades de control enfatiza en quin realiza las actividades y en lo operativo ms que en los objetivos de informes financieros. COSO tambin enfatiza la deseabilidad de integrar las actividades de control con la evaluacin de riesgos. COBIT es una coleccin de objetivos de control validados globalmente, organizados en procesos y dominios y vinculados a requerimientos de informacin del negocio. COSO presenta una definicin comn de control interno y enfatiza que los controles internos ayudan a las organizaciones a lograr operaciones eficaces y eficientes, informes financieros confiables, y el cumplimiento de las leyes y regulaciones aplicables. El documento provee una gua sobre la evaluacin de sistemas de control, informar pblicamente sobre control interno, y realizar evaluaciones de sistemas de control. COBIT est dirigido a tres audiencias distintas: la gerencia, los usuarios y los auditores de sistemas de informacin; COSO a los gerentes y directorios. COBIT est focalizado exclusivamente en los controles sobre la tecnologa informtica en soporte de los objetivos del negocio. COSO provee una visin amplia, a nivel de entidad. 5.4 Evaluacin de Riesgos COSO identifica la evaluacin de riesgos como un componente importante del control interno. COBIT identifica un proceso dentro del ambiente de tecnologa informtica como evaluando riesgos. Este proceso en particular cae dentro del dominio de planeamiento y organizacin y tiene seis objetivos especficos de control asociados al mismo. Aunque la evaluacin de riesgos no es un componente explcito del sistema de control interno de SAC, el documento contiene amplias discusiones sobre riesgo. COBIT considera en profundidad varios componentes de evaluacin de riesgos en un ambiente de tecnologa informtica. Esto incluye evaluacin de riesgos del negocio, el enfoque de evaluacin de riesgos, identificacin de riesgos, medicin de los riesgos, plan de accin sobre riesgos y aceptacin de riesgos. Trata directamente con tipos de riesgos de tecnologa informtica tales como riesgos de tecnologa, seguridad, continuidad y regulatorios. Adicionalmente, considera el riesgo tanto desde la perspectiva global como los especficos de sistemas.

6. RESUMEN Ley Sarbanes Oxley La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta Directamente a toda empresa pblica de los Estados Unidos y sus subsidiarias en todo el mundo, as como empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado republicano Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas organizaciones, muchas otras toman la decisin de adoptarla dado que constituye una prctica sana de negocios, mejorando notablemente la reputacin de quien la cumpla. Modelo COSO: El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseado por el Comit of Sponsoring Organization of Treadway Comision (COSO). El COSO fue originalmente instaurado en el ao 1985 con la finalidad de estudiar los factores que permitan la emisin fraudulenta de reportes financieros. A comienzos de los aos 90, el Comit realiz un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO. COSO posee cinco componentes de control, los cuales al ser integrados en cada una de las unidades de negocio de la organizacin, ayudan a lograr los objetivos de control para alcanzar los objetivos del negocio, preparacin de cuentas financieras confiables y el cumplimiento de leyes y regulaciones. A continuacin se indican las caractersticas de control de los cinco componentes COSO, a saber: El aspecto ms pertinente del Informe COSO es su establecimiento, por primera vez, de una definicin universal de control interno: Efectividad y Eficiencia de las operaciones. Confiabilidad en la informacin Econmico-Financiera. Adecuado cumplimiento de las leyes y regulaciones aplicables.

El control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administracin maneja su negocio, y estn integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin y Monitoreo.

Las siguientes secciones brindan una breve visin de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe. 6.1 DEFINICIN DE C.O.S.O. Debido al mundo econmico integrado que existe hoy en da se ha creado la necesidad de integrar metodologas y conceptos en todos los niveles de las diversas reas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge as una nueva perspectiva sobre el control interno donde se brinda una estructura comn que es documentada en el denominado Informe C.O.S.O.. El Comit de Organizaciones Patrocinadoras de la Comisin Treadway (C.O.S.O.) es una organizacin voluntaria del sector privado, establecida en los Estados Unidos y dedicada a proporcionar orientacin al mbito privado y gubernamental sobre aspectos crticos de gestin de la organizacin, control interno de la empresa, gestin del riesgo, el fraude y la presentacin de informes financieros. El Informe C.O.S.O. es un documento que especifica un modelo comn de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que stos se mantengan funcionales, eficaces y eficientes. 6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O. Como se mencion anteriormente, y conforme fue transcurriendo el tiempo, las empresas fueron implementando sus propias polticas para implementar el control interno. Esto gener una gran diversidad de conceptos y conllev a una falta de uniformidad en las prcticas de control interno. Comprendiendo la situacin arriba mencionada se hace evidente que es necesario contar con un marco conceptual que estandarice las mejores prcticas con respecto al control interno. Disponer de dicho marco facilitar la comprensin e implementacin de nuevos sistemas de control interno que se adecuen a la realidad actual y brinden una referencia conceptual comn sobre ste. Establecer una definicin comn de control interno que contemple las mejores prcticas en la materia. Facilitar un modelo en base al cual las organizaciones, cualquiera sea su tamao y naturaleza, puedan evaluar sus sistema de control interno. Lograr que el control interno forme parte de la operatoria habitual de la organizacin y que no sea concebido como un mero formalismo o cuestin burocrtica. Esta finalidad se refiere al aspecto organizacional. Disponer de una referencia conceptual comn para los distintos interlocutores que participan en el control interno que sirva de referencia tanto para auditores como para auditados. Sin este marco de referencia

resultaba ser una tarea compleja, dada la multiplicidad de definiciones y conceptos divergentes. Esta finalidad se refiere al aspecto regulatorio o normativo. 6.3 MARCO INTEGRADO DE CONTROL El control consta de cinco componentes interrelacionados que se derivan de la forma cmo la administracin maneja el negocio, y estn integrados a los procesos administrativos. Los componentes son: Ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin Supervisin y seguimiento de sistema de control.

El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afecta slo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual ms de un componente influye en los otros. Los cinco componentes forman un sistema integrado que reacciona dinmicamente a las condiciones cambiantes. 6.3.1. Ambiente de control El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este ltimo imperan sobre las conductas y los procedimientos organizacionales. Es, fundamentalmente, consecuencia de la actitud asumida por la alta direccin, la gerencia, y por carcter reflejo, los dems agentes con relacin a la importancia del control interno y su incidencia sobre las actividades y resultados. Fija el tono de la organizacin y, sobre todo, provee disciplina a travs de la influencia que ejerce sobre el comportamiento del personal en su conjunto. Constituye el andamiaje para el desarrollo de las acciones y de all deviene su trascendencia, pues como conjuncin de medios, operadores y reglas previamente definidas, traduce la influencia colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de polticas y procedimientos efectivos en una organizacin. Los principales factores del ambiente de control son: La filosofa y estilo de la direccin y la gerencia. La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.

La integridad, los valores ticos, la competencia profesional y el compromiso de todos los componentes de la organizacin, as como su adhesin a las polticas y objetivos establecidos. Las formas de asignacin de responsabilidades y de administracin y desarrollo del personal. El grado de documentacin de polticas y decisiones, y de formulacin de programas que contengan metas, objetivos e indicadores de rendimiento. En las organizaciones que lo justifiquen, la existencia de consejos de administracin y comits de auditoras con suficiente grado de independencia y calificacin profesional. El ambiente de control reinante ser tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de stos har, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organizacin.

6.3.2. Evaluacin de riesgos El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A travs de la investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento prctico de la entidad y sus componentes de manera de identificar los puntos dbiles, enfocando los riesgos tanto al nivel de la organizacin (internos y externos) como de la actividad. El establecimiento de objetivos es anterior a la evaluacin de riesgos. Si bien aqullos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la informacin financiera y con el cumplimiento), pueden ser explcitos o implcitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores crticos del xito y determinar los criterios para medir el rendimiento. A este respecto cabe recordar que los objetivos de control deben ser especificados, as como adecuados, completos, razonables e integrados a los globales de la institucin. Una vez identificados, el anlisis de los riesgos incluira: Una estimacin de su importancia/trascendencia. Una evaluacin de la probabilidad/frecuencia. Una definicin del modo en que habrn de manejarse.

Dado que las condiciones en que las entidades se desenvuelven suelen sufrir variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los riesgos asociados con el cambio. Aunque el proceso de evaluacin es similar al de

los otros riesgos, la gestin de los cambios merece efectuarse independientemente, dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos para quienes estn inmersos en las rutinas de los procesos. Existen circunstancias que pueden merecer una atencin especial en funcin del impacto potencial que plantean: Cambios en el entorno. Redefinicin de la poltica institucional. Reorganizaciones o reestructuraciones internas. Ingreso de empleados nuevos, o rotacin de los existentes. Nuevos sistemas, procedimientos y tecnologas. Aceleracin del crecimiento. Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los ms significativos a travs de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones. 6.3.3. Actividades de control Estn constituidas por los procedimientos especficos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevencin y neutralizacin de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organizacin y en cada una de las etapas de la gestin, partiendo de la elaboracin de un mapa de riesgos segn lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categoras, segn el objetivo de la entidad con el que estn relacionados: Las operaciones. La confiabilidad de la informacin financiera. El cumplimiento de leyes y reglamentos.

En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar tambin a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la informacin financiera, stas al cumplimiento normativo, y as sucesivamente. A su vez en cada categora existen diversos tipos de control: Preventivo / Correctivos Manuales / Automatizados o informticos. Gerenciales o directivos.

En todos los niveles de la organizacin existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debindose para ello explicitar claramente tales funciones. La gama que se expone a continuacin muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas: Anlisis efectuado por la direccin. Seguimiento y revisin por parte de los responsables de las diversas funciones o actividades. Comprobacin de las transacciones en cuanto a su exactitud, totalidad, y autorizacin pertinente: aprobaciones, revisiones, cotejos, reclculos, anlisis de consistencia, prenumeraciones. Controles fsicos patrimoniales :arqueos, conciliaciones, recuentos. Dispositivos de seguridad para restringir el acceso a los activos y registros. Segregacin de funciones. Aplicacin de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologas de informacin, pues stas desempean un papel fundamental en la gestin, destacndose al respecto el centro de procesamiento de datos, la adquisicin, implantacin y mantenimiento del software, la seguridad en el acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las aplicaciones. A su vez los avances tecnolgicos requieren una respuesta profesional calificada y anticipativa desde el control. 6.3.4. Informacin y Comunicacin As como es necesario que todos los agentes conozcan el papel que les corresponde desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten con la informacin peridica y oportuna que deben manejar para orientar sus acciones en consonancia con los dems, hacia el mejor logro de los objetivos. La informacin relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La informacin operacional, financiera y de cumplimiento conforma un sistema para posibilitar la direccin, ejecucin y control de las operaciones. Est conformada no slo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones.

Los sistemas de informacin permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisin a travs de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de informacin acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rpidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratgicas, a travs de la evolucin desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas. Ya que el sistema de informacin influye sobre la capacidad de la direccin para tomar decisiones de gestin y control, la calidad de aqul resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. La comunicacin es inherente a los sistemas de informacin. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestin y control. Cada funcin ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno. Asimismo el personal tiene que saber cmo estn relacionadas sus actividades con el trabajo de los dems, cules son los comportamientos esperados, de qu manera deben comunicar la informacin relevante que generen. Los informes deben transferirse adecuadamente a travs de una comunicacin eficaz. Esto es, en el ms amplio sentido, incluyendo una circulacin multidireccional de la informacin: ascendente, descendente y transversal. La existencia de lneas abiertas de comunicacin y una clara voluntad de escuchar por parte de los directivos resultan vitales. Adems de una buena comunicacin interna, es importante una eficaz comunicacin externa que favorezca el flujo de toda la informacin necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de polticas, memorias, difusin institucional, canales formales e informales, resulta la actitud que asume la direccin en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una slida cultura de control no tendr dificultades de comunicacin. Una accin vale ms que mil palabras. 6.3.5. Supervisin Incumbe a la direccin la existencia de una estructura de control interno interno idnea y eficiente, as como su revisin y actualizacin peridica para mantenerla en un nivel adecuado. Procede la evaluacin de las actividades de control de los sistemas a travs del tiempo, pues toda organizacin tiene reas donde los mismos estn en desarrollo, necesitan ser reforzados o se impone directamente su

reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestin que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente, a travs de dos modalidades de supervisin: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutndose en tiempo real y arraigadas a la gestin, generan respuestas dinmicas a las circunstancias sobrevinientes. En cuanto a las consideraciones: evaluaciones puntuales, corresponden las siguientes

a) Su alcance y frecuencia estn determinados por la naturaleza e importancia de los cambios y riesgos que stos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisin continuada. b) Son ejecutados por los propios responsables de las reas de gestin (autoevaluacin), la auditora interna (incluidas en el planeamiento o solicitadas especialmente por la direccin), y los auditores externos. c) Constituyen en s todo un proceso dentro del cual, aunque los enfoques y tcnicas varen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estn formalizados, que se apliquen cotidianamente como una rutina incorporada a los hbitos, y que resulten aptos para los fines perseguidos. d) Responden a una determinada metodologa, con tcnicas y herramientas para medir la eficacia directamente o a travs de la comparacin con otros sistemas de control probadamente buenos. e) El nivel de documentacin de los controles vara segn la dimensin y complejidad de la entidad. Existen controles informales que, aunque no estn documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentacin suele aumentar la eficiencia de la evaluacin, y resulta ms til al favorecer la comprensin del sistema por parte de los empleados. La naturaleza y el nivel de la documentacin requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. f) Debe confeccionarse un plan de accin que contemple: o o o o El alcance de la evaluacin. Las actividades de supervisin continuadas existentes. La tarea de los auditores internos y externos. reas o asuntos de mayor riesgo.

o o o o

Programas de evaluaciones. Evaluadores, metodologa y herramientas de control. Presentacin de conclusiones y documentos de soporte. Seguimiento para que se adopten las correcciones pertinentes.

Las deficiencias o debilidades del sistema de control interno detectadas a travs de los diferentes procedimientos de supervisin deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Segn el impacto de las deficiencias, los destinatarios de la informacin pueden ser tanto las personas responsables de la funcin o actividad implicada como las autoridades superiores.

CONCLUSIONES:

En la actualidad, la Informacin es uno de los recursos ms preciados en cualquier organizacin. El contar con informacin ntegra, accesible, consistente, confiable y oportuna, es fundamental para que dicha organizacin pueda subsistir, desarrollarse y tomar decisiones correctas en el dinmico mundo actual. Por todo esto, es que las organizaciones buscaron diversas formas de formalizar procesos de elaboracin y control de la informacin. Cada una de ellas fue implementando metodologas de control ad-hoc. A razn de esto surge el Informe COSO, el cual es un compendio de definiciones, reglas y buenas prcticas acerca del control interno en una organizacin. Si bien todas las organizaciones necesitan llevar a cabo prcticas de control, este informe est especialmente orientado a aquellas en las que por su envergadura, requieren y estn en condiciones de aplicar mecanismos formales y preestablecidos de control para evitar o reducir los fraudes, riesgos y conductas inadecuadas que puedan surgir, tanto por parte del personal, como de clientes y proveedores. Al implementar las prcticas sugeridas en el Informe C.O.S.O., las organizaciones consiguen controlar ms eficiente, eficaz y transparentemente su operatoria. Una de las grandes ventajas de C.O.S.O. reside en que al parametrizar y formalizar las tcnicas de medicin, el control resulta simple y efectivo. Otra ventaja importante es su dinamismo para ser revisado y actualizado segn los cambios que va experimentando la organizacin. En sntesis, las prcticas C.O.S.O. son una herramienta altamente recomendable en materia de control interno para grandes organizaciones. Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy debemos realizar para ayudar a nuestras organizaciones a definir nuevos horizontes que maximicen oportunidades. Es nuestro propsito actuar como agentes del cambio y, por tanto, es nuestra responsabilidad estar a la vanguardia del cambio. El tratar de convertirnos en asesores o consultores internos confiables, eliminando en lo posible todos los trabajos que nos aportan un valor agregado a nuestros productos o servicios, como por ejemplo tienden a convertirnos en evaluadores crticos de los sistemas de informacin y realizando auditorias sobre las operaciones conforme se van gastando y no sobre acontecimientos pasados que no tienen solucin.

BIBLIOGRAFIA

INFORME COSO. Disponible en: [http://www.ganimides.ucm.cl/ygomez/descargas/Auditoria%20y%20seguridad/CO SO.pdf]. Recuperado [2010, Octubre 4] ANTECEDENTES INFORME CONTROL INTERNO COSO. Disponible en: [http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO--Control-Interno-en-Organizaciones.html]. Recuperado [2010, Octubre 4] SARBANES-OXLEY. Disponible en: [http://www.iaia.org.ar/elauditorinterno/05/articulo2.html]. Recuperado [2010, Octubre 4] LEY SARBANES-OXLEY ACT (SOX,SOA). Disponible en: [http://www.economiaynegocios.uahurtado.cl/peee/pdf/Ley%20Sarbanes%20Oxley %20Federico%20iturbide.pdf] Recuperado [2010, Octubre 4]. COSO v COBIT v ITIL. Disponible en: [http://www.scribd.com/doc/3410099/COSO-v-COBIT-v-ITIL]. Recuperado [2010, Octubre 4].