-COMPILACIÓN BIBLIOGRAFICA SOBRE ESTANDARES, ENFOQUES Y DIRECTRICES DE AUDITORIA-

COSO, SOX, MEJORES PRACTICAS INTERNACIONALES EN CONTROL INTERNO

Presentado por:

Catheryne Patiño Cardona 1700621484

Presentado a:

Ing., Carlos Hernán Gómez Gómez

Materia:

Auditoría de Sistemas Informáticos

UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍAS

INGENIERÍA EN SISTEMAS Y COMPUTACIÓN MANIZALES, CALDAS

OCTUBRE DE 2010

Tabla de contenido

INTRODUCCION .............................................................................................................................. 4

MARCO TEÓRICO ........................................................................................................................... 5

1.HISTORIA Y EVOLUCIÓN. ......................................................................................................... 8

2. COMPONENTES DE CONTROL INTERNO ........................................................................... 9

2.1. AMBIENTE DE CONTROL ................................................................................................. 9

2.1.2 Competencia profesional ............................................................................................... 9

2.1.3 Filosofía y estilo de la Dirección ................................................................................. 10

2.1.4 Estructura y plan organizacional ................................................................................ 10

2.1.5 Políticas y prácticas de los RRHH ............................................................................. 10

2.1.6 Comité de Administración o Comité de Auditoría .................................................... 11

2.2 VALORACIÓN DE RIESGO ............................................................................................ 11

2.2.1 Identificación de riesgos .............................................................................................. 12

2.2.2 Objetivos de control de riesgos .................................................................................. 12

2.2.3 Condiciones previas para la evaluación del riesgo ................................................. 12

2.2.4 Medición y evaluación de riesgos ............................................................................. 13

2.2.5 Cuantificación de riesgos ............................................................................................ 13

2.3 ACTIVIDADES DE CONTROL .......................................................................................... 13

2.3.1 Importancia de las actividades de control................................................................. 14

2.3.2 Quiénes deben llevar a cabo las actividades de control ........................................ 14

2.3.3 Categorías ..................................................................................................................... 14

2.3.4 Mecanismos de control ................................................................................................ 15

2.3.5 Control sobre los sistemas de procesamiento electrónico de datos .................... 17

2.3.6 Controles sobre las aplicaciones ............................................................................... 20

2.3.7 Autoevaluación de controles basada en los modelos ........................................... 20

2.4 INFORMACIÓN Y COMUNICACIÓN ............................................................................... 22

2.4.1 Información .................................................................................................................... 22

2.4.2 Comunicación................................................................................................................ 23

2.5 MONITOREO Y SUPERVISIÓN ....................................................................................... 24

2.5.1 Supervisión continua .................................................................................................... 24

5. COMPARATIVO CON COBIT.................................................................................................. 26

5.1 Definiciones. ......................................................................................................................... 30

5.2 Componentes ....................................................................................................................... 31

5.3 Ambiente de Control ............................................................................................................ 31

5.4 Evaluación de Riesgos ....................................................................................................... 32

6. RESUMEN .................................................................................................................................. 33

6.1 DEFINICIÓN DE C.O.S.O. ................................................................................................. 34

6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O. ................................. 34

6.3 MARCO INTEGRADO DE CONTROL ............................................................................. 35

6.3.1. Ambiente de control .................................................................................................... 35

6.3.2. Evaluación de riesgos ................................................................................................. 36

6.3.3. Actividades de control ................................................................................................. 37

6.3.4. Información y Comunicación ..................................................................................... 38

6.3.5. Supervisión ................................................................................................................... 39

CONCLUSIONES: .......................................................................................................................... 42

BIBLIOGRAFIA ............................................................................................................................... 43

INTRODUCCION

Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales, surge así un nuevo concepto de control interno donde se brinda una estructura común el cual es documentado en el denominado informe COSO. La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: Efectividad y eficiencia operacional, confiabilidad de la información financiera y cumplimiento de políticas, leyes y normas. El control interno posee cinco componentes que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño; los componentes son: un ambiente de control, una valoración de riesgos, las actividades de control (políticas y procedimientos), información y comunicación y finalmente el monitoreo o supervisión. Cabe destacar que la responsabilidad principal en la aplicación del control interno en la organización debe estar siempre en cabeza de la administración o alta gerencia con el fin de que exista un compromiso real a todos los niveles de la empresa, siendo función del departamento de auditoría interna o quien haga sus veces, la adecuada evaluación o supervisión independiente del sistema con el fin de garantizar la actualización, eficiencia y existencia a través del tiempo. La comprensión del control interno puede así ayudar a cualquier entidad pública o privada a obtener logros significativos en su desempeño con eficiencia, eficacia y economía, indicadores indispensables para el análisis, toma de decisiones y cumplimiento de metas.

MARCO TEÓRICO

La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta Directamente a toda empresa pública de los Estados Unidos y sus subsidiarias en todo el mundo, así como empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. SOX contempla una revisión más rigurosa de los datos que una empresa declara en sus estados financiero–contables que utiliza para sus controles internos, y no solamente abarca fraudes por falsedad en dichas declaraciones, sino también por inferencia, y todos los casos de fraude en los que se desvirtúen de manera importante los estados financieros, como la malversación de activos, corrupción, entre otros. Las multas por proveer información falsa o incorrecta son muy severas, y pueden llegar al extremo de encarcelar a los ejecutivos de la empresa, o que ésta sea retirada de la Bolsa de Valores en que cotiza. Además exige contar con un canal de denuncias de irregularidades por parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas por el Comité de Auditoría. La ley fue elaborada por el senador demócrata Paul Sarbanes y el diputado republicano Michael Oxley y no sólo es un ejercicio en el cumplimiento de nuevos reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas organizaciones, muchas otras toman la decisión de adoptarla dado que constituye una práctica sana de negocios, mejorando notablemente la reputación de quien la cumpla. Modelo COSO: El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO). El COSO fue originalmente instaurado en el año 1985 con la finalidad de estudiar los factores que permitían la emisión fraudulenta de reportes financieros. A comienzos de los años 90, el Comité realizó un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO. COSO posee cinco componentes de control, los cuales al ser integrados en cada una de las unidades de negocio de la organización, ayudan a lograr los objetivos de control para alcanzar los objetivos del negocio, preparación de cuentas financieras confiables y el cumplimiento de leyes y regulaciones. A continuación se indican las características de control de los cinco componentes COSO, a saber: El aspecto más pertinente del Informe COSO es su establecimiento, por primera vez, de una definición universal de control interno:

Efectividad y Eficiencia de las operaciones.

Confiabilidad en la información Económico-Financiera.

Adecuado cumplimiento de las leyes y regulaciones aplicables.

El control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administración maneja su negocio, y están integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Monitoreo. Las siguientes secciones brindan una breve visión de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe. Ambiente de control Entre los factores, interno o externos, que pudiesen incidir en un ambiente de control, se encuentran los siguientes: integridad y valores morales del personal, compromiso para contratar y mantener personal de calidad, capacidad en la identificación de riesgos operacionales, adiestramiento especializado sobre la aplicación de controles internos y los roles desempeñados por la Junta y el Comité de Auditoría. Evaluación de riesgo Incluye procedimientos para identificar cambios externos que puedan afectar el negocio, herramientas y metodologías para la identificación, evaluación y medición de los riesgos operacionales y evaluación periódica de dichos riesgos en las diversas áreas de la organización. En este sentido, se establecen los siguientes objetivos de la evaluación del riesgo: existencia, totalidad, derechos y obligaciones, evaluación, presentación, divulgación y segregación de funciones. Actividades de control Se refieren a las acciones tomadas para implementar políticas y estándares dentro de las organizaciones. La Ley SOX requiere la evaluación de las actividades de control para cada actividad relevante del negocio. Las actividades de control incluyen administración de los riesgos operacionales en los procesos de negocio, control de acceso a los sistemas de información y recursos informáticos, así como la existencia de controles para mitigar errores operacionales. Adicionalmente, exige una evaluación de los controles generales de cómputo, asociados al área de IT. Información y Comunicación Incluye el despliegue de información suficiente para la toma de decisiones, información adecuada y oportuna de los sistemas de información, comunicación apropiada entre los Departamentos para la coordinación de actividades conjuntas, así como la disponibilidad de medios para comunicar irregularidades y resultados a la Alta Gerencia de la organización. Monitoreo Un sistema de control necesita ser monitoreado para asegurar que el mismo continúa operando efectivamente. Esto incluye actividades de supervisión, así como la labor desempeñada por Auditoría Interna. El seguimiento incluye el monitoreo permanente

entre los indicadores de riesgos operacionales y situaciones críticas, seguimiento periódico a la efectividad de los controles implantados, así como la disponibilidad de herramientas para el monitoreo de los riesgos operacionales y su impacto.

1.HISTORIA Y EVOLUCIÓN.

El denominado “INFORME COSO” sobre control interno, publicado en EE.UU. en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las siguientes organizaciones: - American Accounting Association (AAA). - American Institute of Certified Public Accountants (AICPA). - Financial Executive Institute (FEI). - Institute of Internal Auditors (IIA). - Institute of Management Accountants (IMA). La redacción del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Las primeras empresas en adoptarlo fueron las norteamericanas, para luego extenderse en el resto del mundo. Una década después, en el 2002, el gobierno de los Estados Unidos sanciono la ley Sarbanes – oxley (ley sox), a partir de la cual las empresas que cotizan en la bolsa de valores de USA, debían adoptar para la confección de sus estados financieros, una serie de lineamientos específicos.

2. COMPONENTES DE CONTROL INTERNO

El Informe C.O.S.O. destaca cinco componentes esenciales de un sistema de control interno eficaz que pueden ser implementados en todas las compañías de acuerdo a las características administrativas, operacionales y de tamaño específicas de cada una. Estos componentes son: ambiente de control, valoración de riesgos, actividades de control, información y comunicación y finalmente monitoreo o supervisión. Estos componentes representan las categorías que se necesitan considerar para lograr los objetivos citados anteriormente. Existe una interrelación directa entre estos objetivos y estos componentes.

2.1. AMBIENTE DE CONTROL

Está compuesto por el comportamiento que se mantiene dentro de la organización. Algunos de estos aspectos son la integridad y valores éticos de los recursos humanos, la atmósfera de confianza mutua, la filosofía y estilo de dirección, la estructura y plan organizacional, reglamentos y manuales de procedimiento y políticas en materia de recursos humanos. 2.1.1 Integridad y valores éticos La Comisión Treadway estableció: “Un clima ético vigoroso dentro de la empresa y en todos los niveles de la misma, es esencial para el bienestar de la organización, de todos los componentes y del público en general. Un clima así contribuye en forma significativa a la eficacia de las políticas y los sistemas de control de las empresas y permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control más elaborados”. La dificultad en establecer valores éticos radica en la frecuente necesidad de atender intereses de las distintas partes que pueden ser contrapuestos. Es una tarea fundamental lograr equilibrio entre los intereses de la dirección, los de la empresa, sus empleados, proveedores, clientes, competidores y el público. Algunas veces, una determinación incompetente de las metas y objetivos en la misma organización dificulta lograr conductas éticas incitando a los individuos que en ella trabajan a cometer actos fraudulentos, ilegales o poco éticos. Un ejemplo es poner énfasis en lograr o mostrar resultados a corto plazo. Esta premisa en principio inocente fomenta una condición que el personal debe cumplir y de no hacerlo pagará un costo. Por ello, para defender sus propios intereses, se ve tentado a hacerlo.

2.1.2 Competencia profesional

Es muy importante contar con personal competente que tenga una formación adecuada de acuerdo al cargo que ocupa y responsabilidades que tenga. La aptitud se refiere a los conocimientos y habilidades de cada persona.

2.1.3 Filosofía y estilo de la Dirección

Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al control interno. Un planteo empresarial orientado excesivamente al riesgo o no tomar en cuenta los aspectos de control al emprender negocios son indicativos de riesgos en el control interno. Desde otro punto de vista, una gerencia que sin dejar de afrontar riesgos toma en cuenta todos los elementos necesarios para su seguimiento pero evitando riesgos inadecuados crea un ambiente propicio para control interno en la organización.

2.1.4 Estructura y plan organizacional

Todo organismo debe desarrollar una estructura organizativa que atienda el cumplimiento de su misión y objetivos, la que deberá estar plasmada en un algún tipo de herramienta gráfica. La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo, así como también las actividades a desempeñar a los fines de alcanzar los objetivos definidos por la alta gerencia de la organización, clasificando dichas actividades como de planificación, de gestión o de control. El nivel de formalidad que alcanza la estructura organizativa definida es directamente proporcional al tamaño de la organización. Conforme las organizaciones crecen, las mismas demandan una mayor especialización en los cargos, lo que conlleva a los niveles de formalidad requeridos. Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las decisiones queden en manos de quienes están más cerca de la operación a modo de auto gestionarse. Esto se ve posibilitado debido a que los sistemas de control internos han mejorado sustancialmente debido al surgimiento de programas de aplicación cuya finalidad es registrar los datos transaccionales facilitando así el control. Toda delegación de tareas conlleva la necesidad de que los jefes examinen y aprueben, cuando corresponda, el trabajo de sus subordinados, y que ambos cumplan con la debida rendición de cuentas de sus responsabilidades y tareas tanto en tiempo como en forma. También requiere que todo el personal conozca, responda y entienda cómo su accionar repercute en los objetivos generales.

2.1.5 Políticas y prácticas de los RRHH

El personal es el recurso más valioso que posee cualquier organismo. Por ende, debe ser tratado y conducido de forma tal que se consiga su máximo rendimiento. Debe procurarse su satisfacción y realización personal en el trabajo que realiza, tendiendo a que éste se enriquezca. Para lograr este objetivo, la dirección debe realizar diferentes actividades al momento de selección, capacitación, rotación y promoción del personal así como también cuando se aplican sanciones disciplinarias.

2.1.6 Comité de Administración o Comité de Auditoría

Dichos comités se encuentran con mayor frecuencia en organizaciones de mayor tamaño. Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de control interno como así también procura el mejoramiento continuo del mismo. Para su efectivo desempeño debe integrarse adecuadamente, es decir, con miembros de capacidad y trayectoria que exhiban además un grado elevado de conocimiento y experiencia que les permita apoyar objetivamente a la Dirección mediante su guía y supervisión.

2.2 VALORACIÓN DE RIESGO

El riesgo es otro de los elementos que constituyen el control interno. Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta pero no nula. La importancia de cada riesgo en el control interno se basa en su probabilidad de manifestación y en el impacto que puede causar en la organización. El riesgo puede ser tanto interno como externo y comprende situaciones que imponen a la organización barreras para su crecimiento o inclusive para su supervivencia. Eliminar completamente el riesgo es una situación hipotética porque los factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin embargo, existen muchas opciones para reducir el riesgo de que la organización sea afectada por amenazas. Una de ellas es precisamente un adecuado control interno que tiene el objetivo, en lo que respecta al riesgo, de mantener en observación las principales variables que comprenden los riesgos más importantes. El principal responsable de considerar y tomar acciones contra los riesgos involucrados en el actuar de la organización es la alta dirección. Sin embargo, a partir de sus observaciones y determinaciones, la responsabilidad de mantener control interno sobre los riesgos se propaga hacia el resto de la organización, tanto en dimensión vertical como horizontal. De esta manera se mantienen responsabilidades bien definidas en toda la organización pero manteniendo una estructura jerárquica en éstas. En este apartado, la auditoría tiene la responsabilidad de supervisar que el control interno cumple sus objetivos de minimizar los riesgos y en el caso de existir puntos débiles en el control, identificarlos. Podemos citar algunos de los riesgos más frecuentes que puede sufrir una organización. Algunos riesgos externos:

desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia organizacional

cambios en las necesidades y expectativas de la demanda.

condiciones macroeconómicas (tanto a nivel internacional como nacional)

condiciones microeconómicas

competencia elevada con otras organizaciones

dificultad para obtener crédito o costos elevados del mismo

complejidad y elevado dinamismo del entorno de la organización

reglamentos y legislación que afecten negativamente a la organización

Algunos riesgos internos:

riesgos referentes a la información financiera

sistemas de información defectuosos

pocos o cuestionables valores éticos del personal

problemas con las aptitudes y actitudes (comportamiento) del personal Los riesgos internos son abarcados por el control interno.

2.2.1 Identificación de riesgos

Para identificar los riesgos más importantes es necesario realizar un mapeo de estos, que incluya la especificación de los dominios o puntos clave de la organización, las interacciones significativas entre la organización y los terceros, la identificación de los objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar. La dirección tendrá la responsabilidad de identificar riesgos, siendo también importante que se analicen con la misma profundidad los factores que pueden contribuir a aumentarlos.

2.2.2 Objetivos de control de riesgos

En este apartado en particular nos referimos a los objetivos de control del riesgo. Los procesos mediante los que se establecen objetivos en una organización pueden ser muy estructurados o formales o, por el contrario, informales. Asímismo, los objetivos pueden encontrarse claramente identificados o bien ser implícitos (por ej., intentar mantener el mismo nivel de costos fijos que el período anterior). Sin embargo, para permitir un control interno bien determinado es preciso que estén cuantificados de alguna manera ya que de no estarlo se hace difícil la comparación de valores categóricos. De existir indicadores cualitativos (sin cuantía explícita) es necesario asignarles una ponderación cuantitativa de acuerdo a las necesidades de la organización. Los objetivos relativos al riesgo deben considerar controles que aseguren detectarlo para posteriormente tomar medidas correctivas para reducirlo. Por ello los parámetros consisten en valores adecuados que de alguna manera aseguren que el control interno es eficiente y efectivo.

2.2.3 Condiciones previas para la evaluación del riesgo

El establecimiento de los objetivos de la empresa, es una condición previa a la evaluación de los riesgos. La dirección debe fijar primero los objetivos, y luego determinar cuáles serán los riesgos más importantes que pueden afectar su logro para poder tomar las medidas necesarias. De no seguir este orden no se pueden determinar cuantificaciones correctas para los riesgos y sus impactos. Establecer objetivos es un requisito previo para un control interno eficaz. Los mismos deben estar parametrizados para ser mensurables. Sin embargo, aún cuando debería existir una seguridad razonable de que estos objetivos puedan cumplirse, no siempre existe la seguridad que todos lo hagan.

Esta actividad es una fase clave de los procesos de gestión, y si bien no constituye estrictamente un componente del control interno, es un requisito que permite garantizar el funcionamiento del mismo.

2.2.4 Medición y evaluación de riesgos

Se debe estimar la frecuencia con que se presentarán los riesgos identificados,así como también se debe cuantificar la probable pérdida que ellos pueden ocasionar. Una vez identificados los riegos a nivel de organismo y de programa/actividad, debe procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los riesgos

pueden ser diversos e incluirán como mínimouna estimación de su importancia, la evaluación de su probabilidad de ocurrencia y la valoración de la pérdida que podría provocar en caso de materializarse. Para determinar el orden de importancia general de los riesgos es necesario considerar su frecuencia y el impacto que pueden provocar en la organización. Con estas consideraciones podemos construir una “matriz de riesgos” que permitirá identificar los riesgos prioritarios.

2.2.5 Cuantificación de riesgos

Se describe un método sencillo (entre los varios que existen) que es útil para la valoración de riesgos y que permitirá disponer de un “índice de importancia”. Este índice considera la frecuencia de ocurrencia de cada riesgo y el impacto que provoca en la organización en caso de hacerse realidad. El impacto está referido a pérdida de activos, pérdida de tiempo, disminución de la eficiencia y eficacia de las operaciones o el control, efectos negativos en los recursos humanos, y alteración en la correctitud de la información de la organización, entre otras. En este modelo los impactos deben estar expresados en una única unidad, que bien puede ser monetaria. Este método consiste en asignar una frecuencia “F” (según un intervalo de tiempo igual para todos los riesgos, que puede ser anual), y el impacto “I” que genera (en el mismo intervalo de tiempo considerado para la frecuencia) medido en dinero. Luego se obtiene un índice de exposición de acuerdo a la fórmula: E = F x I Una vez obtenidos estos índices se procede a su ordenamiento para determinar la prioridad de atención que se le debe otorgar. Un requisito importante es que todos los valores deben estar sincronizados. Esto significa que deben estar referidos a un mismo período de tiempo y una misma unidad de impacto.

2.3 ACTIVIDADES DE CONTROL

Las actividades de control son las normas, reglas – de qué debe hacerse - y procedimientos de control que se realizan en el entorno de las organizaciones con el fin de asegurar que se cumplen todas las operaciones y tareas que establece la Dirección superior dispuestas de tal forma que tiendan a la prevención y neutralización de los riesgos.

2.3.1 Importancia de las actividades de control

Las actividades de control conforman el elemento fundamental de los elementos de control interno. Estas actividades están orientadas a minimizar los riesgos que dificulten la realización de los objetivos generales de la organización. Cada control que se realice dentro de la organización debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos, ya que las tareas engorrosas reducen la productividad del personal.

2.3.2 Quiénes deben llevar a cabo las actividades de control

Las actividades de control se deben realizar en todos los niveles de la organización y en cada una de las etapas de gestión de la misma. Comenzando con un análisis de riesgos a fin de disponer los controles destinados a:

Prevenir la ocurrencia de riesgos innecesarios.

Minimizar el impacto de las consecuencias de los mismos.

Restablecer el sistema en el menor tiempo posible.

2.3.3 Categorías

Los controles se pueden agrupar en tres categorías dependiendo del objetivo de la entidad con la que se relacionen.

las operaciones.

la confiabilidad de la información financiera.

el cumplimiento de las leyes y reglamentos. Algunos controles se relacionan solamente con un área específica dentro de una organización, pero frecuentemente las tareas de control definidas para un objetivo específico pueden utilizarse para lograr el cumplimiento de otros objetivos. En cada uno de estos tres grandes grupos se pueden distinguir otros tipos de control:

Preventivos / de detección / correctivos.

Manuales / automatizados o informatizados.

Gerenciales / operativos. Como podemos deducir de lo anterior, en todos los niveles de la organización existen responsabilidades en las actividades de control. Debido a esto, es necesario que cada individuo dentro la organización sepa cuales son las tareas de control que debe ejecutar. Para lograr esto se debe explicitar claramente cuales son las funciones de control que les compete a cada uno.

2.3.4 Mecanismos de control

Seguidamente se explicará en forma sintética algunos de los mecanismos de control más conocidos, los cuales no son los únicos mecanismos posibles de implementar dentro de una organización.

2.3.4.1 Segregación de funciones

Este es uno de los controles internos mas importantes y efectivos. Todas las responsabilidades de autorizar, ejecutar, registrar y comprobar una transacción deben ser, dentro de lo posible, claramente segregadas y diferenciadas.

2.3.4.2 Análisis realizados por la Dirección

Una correcta toma de decisiones viene dada por la obtención de la información apropiada en el momento en que se necesita. Para lograr esto es necesario verificar la confiabilidad de dicha información. Algunas de las herramientas utilizadas para obtener esa confiabilidad son: • Comparación de los datos con los históricos referidos a los mismos períodos. • Análisis de la información real contra la información pronosticada. • Cruzamiento de fuentes de información. • Seguimientos de campañas comerciales, programas de mejora de productos, etc. 2.3.4.3 Documentación Todas las transacciones, los hechos significativos y la estructura de control interno deben estar correctamente documentados de forma completa y exacta, y ésta documentación debe estar disponible para su verificación. La información de control interno debe estar asentada en las políticas de la organización y en los manuales de procedimientos. Debe incluir los datos sobre los objetivos, la estructura y los procedimientos de control.

2.3.4.4 Definición de niveles de autorización

Las transacciones y tareas más relevantes para la organización sólo deben ser autorizados y ejecutados por personal al que le fue asignada la responsabilidad dentro de sus competencias. La autorización es la forma más conocida de asegurar que sólo se llevan adelante tareas y transacciones que tienen el apoyo de la dirección de la organización, la cual presta su conformidad para ajustarse claramente a la misión, la estrategia, los planes, programas y presupuestos de la organización en su totalidad. Las autorizaciones deben documentarse y comunicarse debidamente a las personas o áreas autorizadas, las que deberán ejecutar las tareas asignadas de acuerdo con las

indicaciones que se les explicitó y dentro del ámbito de las competencias establecidas por la normativa de la organización.

2.3.4.5 Registro oportuno y adecuado de las transacciones y hechos

Se debe registrar y clasificar debidamente los hechos y transacciones relevantes que afectan el funcionamiento de la organización. Esta registración debe realizarse en el momento de la ocurrencia del hecho para garantizar su relevancia y utilidad para la toma de decisiones, por lo mismo que se deben clasificar debidamente para ser presentados en informes y/o estados financieros contables a los directivos y gerentes.

2.3.4.6 Acceso restringido a los recursos, activos y registros

El acceso a todo recurso, activo, registro y comprobante debe estar protegido por mecanismos de seguridad y limitado a las personas autorizadas, las cuales tienen la responsabilidad sobre los mismos y están obligados a rendir cuenta de su custodia y utilización. Todo activo de valor para la organización debe asignarsele a un responsable para su custodia y además debe contar con las protecciones adecuadas, como ser: seguros, almacenaje, sistemas de alarma, etc. Deben estar debidamente registrados y periódicamente se deben verificar las existencias físicas con los registros contables para controlar su coincidencia Todos estos mecanismos de protección cuestan tiempo y dinero, por lo que se debe analizar cuidadosamente los riesgos que pueden afectar los activos de la organización (por ejemplo, robo, mal uso, destrucción, etc.) y realizar una comparativa con los costos del control que se quiera implementar.

2.3.4.7 Rotación del personal en las tareas claves

La idea fundamental es que ningún empleado tenga la posibilidad de cometer algún tipo de irregularidad por un tiempo prolongado al realizar su tarea. Los empleados que realizan tales tareas deben rotar periódicamente con otros empleados que realizan otras funciones dentro de la organización. Este es un mecanismo de probada eficacia que muchas veces no se utiliza debido al concepto erróneo del “empleado imprescindible”.

2.3.4.8 Control del sistema de información

Para garantizar el correcto funcionamiento y asegurar la confiabilidad del procesamiento de transacciones, el sistema de información debe ser controlado debidamente. Los sistemas de información tienen que contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas del mismo. Además debe ser flexible para permitir cambios o modificaciones rápidas ante los requerimientos de la Dirección de la organización tanto en las operaciones como en la presentación de informes gerenciales. El sistema debe dar apoyo y controlar todas las actividades de la

organización (como ser registrar y supervisar las transacciones y eventos que ocurran) además de mantener registros financieros.

2.3.4.9 Controles físicos

Se deben realizar periódicamente recuentos físicos de los elementos de naturaleza tangible. Estos controles son muy efectivos al contrastarlos con los datos correspondientes a los registros contables de los mismos.

2.3.4.10 Indicadores de desempeño

Los métodos de medición del desempeño de indicadores para su respectiva supervisión y evaluación deben estar presentes en toda organización. El resultado de la evaluación de estos indicadores se utiliza para tomar, en caso de haber desvíos, medidas correctivas en las actividades y de esta manera mejorar el rendimiento. Si bien este mecanismo contribuye al sustento de las decisiones, los indicadores de rendimiento no deben ser muy numerosos como para que se hagan engorrosos e ininteligibles, ni tampoco deben ser tan escasos que no permitan ver cuestiones claves de las actividades relevantes dentro de la organización. Esto se logra analizando el sistema de indicadores que se ajuste a sus características, como ser en tamaño, producción, nivel de competencia de los empleados y otros elementos que diferencien a la organización. El sistema debe tener tanto indicadores cuantitativos (por ejemplo montos presupuestarios), como cualitativos (por ejemplo nivel de satisfacción de los usuarios). 2.3.4.11 Función de auditoría interna independiente La función de auditoría interna en las organizaciones debe depender de sus autoridades superiores y las funciones y actividades que se realizan en dichas auditorías deben ser independientes de las operaciones que se analizan. Es una forma certera y efectiva para la gerencia de estar informada sobre el funcionamiento y confiabilidad de los sistemas de control interno que posee la organización. La auditoría interna, al ser independiente de los sectores que analiza, puede realizar su cometido con total libertad realizando inspecciones, verificaciones y pruebas que considere necesario, ya que las actividades que realiza están desligadas de las operaciones que analiza. Dicho con otras palabras, no controla lo que realiza sino lo que realizan las áreas de la organización. La auditoría interna hace las veces de un representante de la autoridad superior en cuanto a “vigilar” el adecuado funcionamiento del sistema, informando en forma oportuna de las ocurrencias de cualquier situación indeseada.

2.3.5 Control sobre los sistemas de procesamiento electrónico de datos

Los sistemas de información realizan un papel primordial en el desempeño de la gestión de una organización, no sólo por el tamaño de la misma o la naturaleza de la información que se procese, sino porque es la estructura que sostiene uno de los activos más

celosamente protegidos y valorados de toda organización: los datos y la información. Por esta razón dichos sistemas necesariamente deben estar controlados. Las actividades de control de los sistemas de información pueden agruparse en dos categorías: Controles generales y controles de aplicación.

2.3.5.1 Controles generales

Este tipo de actividad de control de la tecnología de información se aplica a todo el sistema de información, desde los equipos de procesamiento, almacenamiento y redes de datos hasta la gestión realizada por el usuario final. Incluyen también las medidas y procedimientos manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de información.

2.3.5.2 Controles sobre las operaciones del centro de procesamiento de datos

Este tipo de control está relacionado con la estructura organizativa del centro de procesamiento de datos: responsable del sector, separación de funciones, niveles de autorización, etc. En efecto son las mismas reglas de organización que se aplican a cualquier otro sector dentro de la organización. Las normas COBIT, complementarias de las C.O.S.O. en materia bancaria, aconsejan la existencia de un Comité de Sistemas, como así también la existencia de controles gerenciales sobre el área de procesamiento de datos. La ubicación del área de sistemas dentro del organigrama general de una organización moderna está definida como sector autónomo que no supervisa ni es supervisado por ninguna de las áreas usuarias.

2.3.5.3 Normativas y procedimientos

Son las pautas o instrucciones básicas que se refieren a las “buenas prácticas” que son deseables dentro del ambiente de sistemas. Estas normas y procedimientos, se refieren a: 1. Desarrollo y mantenimiento de programas. 2. Pruebas de programas. 3. Pasajes de programas a producción. 4. Documentación de sistemas.

2.3.5.4 Normas sobre continuidad del procesamiento

La importancia de este tipo de control radica en su objetivo principal que es el de preservar el funcionamiento de la organización ante un posible colapso del sistema de información. Estos controles están dirigidos a los siguientes aspectos:

1. Análisis de criticidad de los procesos. 2. Biblioteca de operaciones. 3. Back-up de archivos. 4. Plan de contingencias. 5. Creación y mantenimiento. 6. Capacitación y entrenamiento. 7. Pruebas.

2.3.5.5 Proveedores externos

Se deben implementar en la organización los mecanismos necesarios para el control de las aplicaciones que pudieran llegar a adquirirse a proveedores externos. Los puntos centrales de atención cuando se adquiere software de esta manera son:

Contrataciones formales.

Disposición de programas fuentes.

Documentación de desarrollo del sistema

Acceso irrestricto a: sistemas, datos y documentación

2.3.5.6 Controles sobre la seguridad física

La forma más idónea de proteger la integridad de los datos y programas se realiza a través de la utilización de restricciones a la utilización del sistema a personas no autorizadas, como así también mediante la creación y mantenimiento de condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa la información. Se deben tener en cuenta en este tipo de control los siguientes puntos:

Acceso restringido al área de procesamiento de datos central.

Instalaciones adecuadas.

Energía ininterrumpible.

Medios de detección y extinción de incendios.

Aire acondicionado.

2.3.5.7 Controles sobre la seguridad lógica

Este tipo de control está relacionado con las redes de telecomunicaciones, y debido al crecimiento de estas últimas, cobra cada mayor importancia. Estos controles se realizan tendientes a proteger al sistema contra el acceso y uso no autorizados, hasta podrían prevenir la piratería informática. Las actividades de control aplicables a este tipo de actividades son:

Identificación o loggin.

Autenticación.

Autorización (matriz de autorizaciones).

Registración.

La identificación o autenticación se sustentan:

Algo conocido (contraseña).

Algo poseído (tarjeta, llave).

Algo personal (reconocimiento, firma, huellas dactilares, etc). Todos estos controles forman parte de los controles generales que se pueden realizar a los centros de procesamiento de datos de cualquier organización.

2.3.6 Controles sobre las aplicaciones

Estos controles permiten asegurar la completitud y exactitud en el procesamiento de las transacciones, su autorización y su validez. Están diseñados principalmente para evitar que se ingresen en el sistema datos erróneos, es decir que son controles preventivos. También pueden ser eficaces para detectar y corregir errores que fueron ingresados al sistema con anterioridad. Están dirigidos básicamente a:

Registro de transacciones.

Actualización de datos aceptados y seguimiento de los rechazados.

Actualización de archivos.

Controles de acceso a los registros.

Documentación técnica y del usuario actualizada.

Resguardo de los archivos.

Administración del sistema.

Interfaces con otros sistemas.

2.3.7 Autoevaluación de controles basada en los modelos

Es una metodología desarrollada por la auditoría interna del Banco de Canadá, también es conocida como “Autoevaluación de control o Evaluación Dinámica de Control” (Dynamic Control Assessment). Se basa y está implícito en las teorías modernas de control. En la estructura de los modelos C.O.S.O. y C.O.C.O. se definen los componentes que estructuran el marco integrado de control y están involucrados en sus tareas el personal de todos los niveles jerárquicos de la organización y de todas las actividades del negocio para evaluar los controles que apoyan el logro de los objetivos predefinidos. Esta es una metodología que si se aplica correctamente produce una mejora sustancial en el rendimiento y la eficiencia de la organización proporcionando mayores resultados con menos recursos, además de establecer los mecanismos para el análisis de los controles formales e informales.

2.3.7.1 Evaluación de los controles informales

Para aplicar esta metodología es necesario identificar los controles informales dentro del componente “ambiente de control” y los controles formales en los cuatro componentes

restantes del marco integrado del control interno (evaluación de riesgo, actividades de control, información y comunicación, y supervisión). Esta metodología consiste en que profesionales en auditoría interna realicen talleres con el grupo de personal operativo, sin la participación del nivel gerencial de la organización, tratando temas sobre unidades de trabajo o funciones específicas. La gerencia responsable tiene que definir los objetivos de trabajo más importantes, así como los controles necesarios para apoyar a su realización. A través del análisis realizado en los talleres se evalúan las fortalezas y debilidades de los procesos de trabajo y se comenta cómo afectan a la consecución de los objetivos propuestos por la gerencia. Para organizar las discusiones que se realizan en los talleres se utilizan plantillas para evaluación de riesgo de auditoría y fijación de prioridades, previstas en el modelo C.O.S.O. En estos talleres se evalúan los controles formales e informales, utilizando el mismo criterio en cada taller para facilitar la acumulación y comparaciones en el ámbito de toda la organización. Los participantes votan para definir la importancia de cada aspecto y para evaluar la eficacia. Este procedimiento se automatiza proporcionando de esta manera los resultados de los talleres que son presentados en forma adecuada para su posterior análisis.

2.3.7.2 Evaluación de controles formales

Este método analiza las actividades de control que se relacionan con los objetivos específicos de los trabajos que se realizan en cada área de la organización. En una reunión se definen los controles específicos a la vez que se identifican y agrupan en cuatro componentes de control, a saber:

Evaluación de riesgos.

Actividades de control.

Información y comunicación.

Monitoreo o supervisión.

Además, en esta reunión se logra consenso con la gerencia sobre la importancia y la eficacia de los controles propuestos a fin de que ayuden a concretar los objetivos y con la información obtenida se elaboran las plantillas para la discusión y votación que se utilizan en los talleres realizados con los empleados afectados a dichas tareas. En los talleres la discusión se realiza en relación a las actividades de control dentro de los componentes y la votación se realiza para definir la importancia y eficacia de dichas actividades.

2.3.7.3 Informe de resultados

Los reportes sobre las calificaciones y evaluaciones realizadas basándose en los resultados de los talleres constituyen la base para el análisis que realiza la gerencia junto con el departamento de auditoría interna cuyo resultado incluye las tareas o acciones a

tomar que consideren necesarias para mejorar la gestión. Las gerencias de cada departamento evaluado reciben un informe detallado de la Autoevaluación de control (el cual brinda una visión general de los controles formales e informales) y también reciben un reporte del Perfil de Confianza, el cual contrasta la evaluación de los controles de cada componente con el nivel general de la totalidad de la organización. Con la participación del departamento de auditoría interna en el proceso de Autoevaluación de Control se obtiene información valiosa respecto a controles potenciales a implementar. La auditoría adquiere un conocimiento integral de las operaciones y para efectos de revisiones posteriores ayuda a identificar las prioridades en el proceso de planeación de las actividades que se requieran.

2.4 INFORMACIÓN Y COMUNICACIÓN

En la actualidad, las organizaciones tienen acceso a un gran volumen de datos. Esto es debido a las herramientas que, en la actualidad, permitieron una mayor disponibilidad de los mismos. Estas herramientas son llamadas sistemas de información. Dentro de los mencionados datos existen algunos que son relevantes para la consecución de los objetivos propuestos por la organización. Además de ser claros, deben ser obtenidos en tiempo y forma.

2.4.1 Información

La información incluye los datos del sector, los datos económicos de la organización y de los mecanismos de control. Estos pueden ser obtenidos de fuentes internas o externas a la organización, así como también de fuentes formales e informales. Dado que las empresas se mueven en un entorno cada vez más cambiante, resulta importante que los sistemas de información puedan adaptarse en forma oportuna y ágil a las condiciones del entorno, es por ello que la flexibilidad de los mismos resulta fundamental. La misma puede presentarse y ser adquirida de diversas maneras sin perder así la cualidad de información.

2.4.1.1 Según la presentación:

Fuentes Formales: Por ejemplo la información obtenida en seminarios, congresos o eventos. Fuentes Informales: Por ejemplo aquella que surge de conversaciones con los clientes o proveedores.

2.4.1.2 Según el origen de donde provenga:

Fuentes Internas: la información recabada del personal perteneciente a la organización. Puede ser tanto formal (reportes) como informal (conversaciones).

Fuente Externas: la información recogida de personas ajenas a la organización. También puede ser formal como informal.

2.4.1.3 Según el contenido:

Información financiera: es información que refleja cualquier actividad relacionada con el origen o el manejo de fondos. Información de control interno: Se identifica y captura información utilizada para poner en marcha otros componentes de control. También se distribuye en un formato predefinido y de manera oportuna para permitir al personal llevar a cabo, si correspondiere, las acciones correctivas. 2.4.1.4 Según la calidad de la información: El grado de calidad de la información condiciona fuertemente la toma de decisiones de los individuos de la organización y pueden llegar a determinar si las decisiones son acertadas o no. Es necesario que los informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. La calidad de la información dependerá de los siguientes factores:

Contenido: Está toda la información necesaria.

Oportunidad: Tiempo de obtención adecuado.

Actualidad: Información reciente.

Exactitud: Contiene datos correctos y precisos.

Accesibilidad: Fácil obtención por las personas autorizadas y denegación de acceso a las no autorizadas.

No es un dato menor que si no se cumple algunos de los factores anteriores, la información pierde parte de su utilidad dado que debe servir para que el personal pueda cumplir con sus responsabilidades operacionales, de información financiera o de control.

2.4.2 Comunicación

Anteriormente se habló de la obtención y depuración de los datos para transformarlos en información. Se hizo foco en que el resultado debía ser claro, conciso, exacto y oportuno. También se indicó que los sistemas de información debían proporcionar información que debe ser accesible sólo para las personas adecuadas. Por lo expuesto, se puede determinar que la comunicación forma parte de los sistemas de información. Los canales por los que se envía la misma deben ser adecuados y debe estar presente en todos los niveles de la organización. Desde el punto de vista jerárquico, debe producirse de arriba hacia abajo, de abajo hacia arriba y hacia ambos lados. Así como la información, la comunicación puede producirse de manera interna o externa.

2.4.2.1 Comunicación interna

Cada miembro de la organización debe entender la importancia del sistema de control interno y saber cuales son sus derechos, obligaciones y responsabilidades dentro de este sistema. tomar Para tomar las medidas correctivas adecuadas, también debe conocer

cómo sus acciones se relacionan con el trabajo de los demás, y cómo afecta cualquier desvío de sus actividades en el resto. Esto aumenta las posibilidades de obtener el máximo rendimiento de cada RRHH. También es importante que los canales de comunicación estén abiertos hacia los niveles superiores, que el personal cuente con mecanismos para enviar y registrar información y que la alta gerencia esté dispuesta a escuchar para que así los empleados puedan enviar sus inquietudes, preocupaciones y, si correspondiere, denuncias teniendo como premisa la mejoría del ambiente de control. De no ser así es muy probable la consecución de problemas y violaciones a los controles establecidos, ya sea por desconocimiento o por mala intención.

2.4.2.2 Comunicación externa

Es la que se realiza con las personas ajenas a la organización. Es muy importante debido a que se puede obtener información de las preferencias y exigencias de los clientes de fuentes muy confiables. Un ejemplo remarcable de este tipo de comunicación son los estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en marcha. Las comunicaciones recibidas de terceros a veces brindan información importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo serían los reclamos por envíos defectuosos que revelan problemas de tipo operativos o denuncias de proveedores.

2.5 MONITOREO Y SUPERVISIÓN Los sistemas de control interno requieren supervisión, es decir, un proceso que compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Para lograr ésto se llevan a cabo actividades de supervisión continua, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continua se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y control, como otras actividades llevadas a cabo por el personal en la realización de sus funciones. El alcance y frecuencia de las evaluaciones dependerá de la evaluación de riesgos y de la eficiencia de los procesos de supervisión. Los sistemas de control interno evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse. Es decir que es necesario actualizar dichos procedimientos hasta hacerlos acordes a las variaciones que va sufriendo la organización a lo largo de su ciclo de vida. Asímismo, las circunstancias sobre las que se configuró el sistema de control interno en un principio también pueden cambiar, reduciendo su capacidad de advertir los nuevos riesgos originados por las nuevas circunstancias. En consecuencia, la dirección tendrá que determinar si el sistema de control interno es en todo momento adecuado y si se mantiene la capacidad de asimilar nuevos riesgos.

2.5.1 Supervisión continua

Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia del control interno, como comparaciones, conciliaciones, actividades corrientes de gestión y supervisión así como otras actividades rutinarias. Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo.

La supervisión continua tiene tareas permanentes y revisiones periódicas. La frecuencia de estas últimas dependerán de la importancia de los riesgos en juego. Las deficiencias detectadas deben ser oportunamente comunicadas.

3. LIMITACI 3. LIMITACIONES DEL CONTROL INTERNO A pesar de ser un proceso muy útil para la organización que permite su supervivencia, puede existir el caso de que este mismo no permita el crecimiento. De hecho, el fin del control interno no siempre es lograr crecimiento, sino asegurar que las actividades se realicen de la manera prevista (que no necesariamente puede conducir al crecimiento). Todo procedimiento de control interno comienza con la definición de los criterios y parámetros sobre los cuales deben funcionar las operaciones. Éstos son definidos por el Consejo de Administración, la Dirección o Alta Gerencia pero no permite asegurar la efectividad de las operaciones si los estándares de funcionamiento fueron mal definidos. Los estándares definidos deben contemplar a la normativa y legislación vigente, no sólo los lineamientos de la Dirección. Tampoco toma decisiones finales sino que brinda las herramientas para que éstas sean tomadas por las personas correspondientes. 4. RESPONSABLES DEL CONTROL INTERNO Entre los principales responsables del control interno destacamos la alta gerencia, los auditores y el personal, estando sobre todos estos el Consejo de Administración, el que fija las pautas y la visión global de la organización. La Alta Gerencia es la responsable última del correcto funcionamiento del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas. La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada (contar con permisos de acceso, autoridad para solicitar y obtener información, etc.). Los empleados tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior los desvíos que detecten con respecto a los códigos de conducta, a las políticas establecidas o a la legalidad de las acciones realizadas. El Consejo de Administración fija las pautas y la visión global del negocio. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna para garantizar que dichos sectores comprendan los lineamientos.

5. COMPARATIVO CON COBIT

Atributo COBIT COSO

Audiencia Primaria CI visto como

Dirección, usuarios, auditores de SI Conjunto de procesos incluyendo políticas, procedimientos, prácticas estructuras organizacionales Operaciones Efectivas y eficientes Confidencialidad, Integridad y disponibilidad de información Informes financieros confiables Cumplimiento de las leyes y regulaciones Dominios: Planeamiento y organización Adquisición e implementación Entrega y soporte Monitoreo Tecnología Informática Por un período de tiempo Dirección 187 páginas en cuatro documentos

Dirección de procesos. Objetivos. Organizacionales del CI. Operaciones Efectivas y eficientes Informes financieros confiables Cumplimiento de las leyes y regulaciones. Componentes o dominios. Componentes: Ambiente de Control Manual y Automatizado Procedimiento de Control de sistemas. Componentes: Supervisión Ambiente de Control Administración de Riesgos Actividades de Control Información y Toda la Entidad En un momento dado Dirección 353 páginas en cuatro volúmenes. Foco Efectividad del CI Evaluado Responsabilidad por el Sistema de CI Tamaño. Tecnología Informática Por un periodo de tiempo Dirección 1193 páginas en 12 módulos.

Resúmenes de los Documentos

COBIT: Control Objectives for Information and related Technology La Information Systems Audit and Control Foundation (ISACF) desarrolló los Objetivos de Control para la Información y Tecnología relacionada (C OBIT) para servir como una estructura generalmente aplicable y prácticas de seguridad y control de SI para el control de la tecnología de la información. Esta estructura COBIT le permite a la gerencia comparar (benchmark) la

El informe COSO define el control interno, describe sus componentes, y provee criterios contra los cuales pueden evaluarse los sistemas de control. El informe ofrece una guía para la elaboración de informes públicos sobre control interno y provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un sistema de control interno. Dos objetivos principales del informe son (1) establecer una definición común de control interno que sirve a muchas partes diferentes, y (2) provee un

seguridad y prácticas de control de los ambientes de TI, permite a los usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre materias de seguridad y control de TI. La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una política clara y buenas prácticas para el control de TI a través de toda la industria en todo el mundo. La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el control de TI, una lista de Objetivos de Control, y un conjunto de Guías de Auditoría. (Los objetivos de control y las guías de auditoria están referenciadas a la estructura). Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e identificarán objetivos nuevos o actualizados mediante incorporación de otros estándares globales de control que se identifiquen. Además, agregar guías de control e identificar indicadores claves de desempeño. Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de aplicación, tecnología, instalaciones y gente. Los datos son definidos en su sentido más amplio e incluyen no sólo números, textos y fechas, sino también objetos tales como gráficos y sonido. Los sistemas de aplicación son entendidos como la suma de procedimientos manuales y

estándar contra el cual las organizaciones pueden evaluar sus sistemas de control y determinar como mejorarlos. Definición: El informe COSO define control interno como: un proceso, efectuado por el directorio, la gerencia y otro personal de la entidad, diseñado para proveer un aseguramiento razonable en relación al logro de los objetivos en las siguientes categorías: efectividad y eficiencia de las operaciones confiabilidad de los reportes financieros cumplimiento con las leyes y regulaciones aplicables. Aunque el informe define el control interno como un proceso, recomienda evaluar la efectividad del control interno a un momento dado. Componentes: El sistema de control interno consiste en cinco componentes interrelacionados: (1) ambiente de control, (2) evaluación de riesgos, (3) actividades de control, (4) información y comunicación, y (5) monitoreo. El ambiente de control provee la base para los otros componentes. El mismo abarca factores tales como filosofía y estilo operativo de la gerencia, políticas y prácticas de recursos humanos, la integridad y valores éticos de los empleados, la estructura organizacional, y la atención y dirección del directorio. El informe COSO brinda una guía para evaluar cada uno de estos factores. Por ejemplo, la filosofía gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de los riesgos del negocio que acepta la

programados. La tecnología se refiere al hardware, sistemas operativos, equipos de redes y otros. Instalaciones son los recursos utilizados para albergar y soportar los sistemas de información. Gente comprende las capacidades y habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de información. Requerimientos: Para satisfacer los objetivos del negocio, la información necesita conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del negocio respecto de la información. COBIT combina los principios incorporados en los modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categorías superpuestas de criterios para evaluar cuan bien están satisfaciendo los recursos de TI los requerimientos de información del negocio. Estos criterios son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información. Procesos y Dominios: En base al análisis de un documento del Reino Unido sobre prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL), COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son (1) planeamiento y

gerencia, la frecuencia de su interacción con los subordinados, y su actitud hacia los informes financieros. La evaluación de riesgo consiste en la identificación del riesgo y el análisis del riesgo. La identificación del riesgo incluye examinar factores externos tales como los desarrollos tecnológicos, la competencia y los cambios económicos, y factores internos tales como calidad del personal, la naturaleza de las actividades de la entidad, y las características de procesamiento del sistema de información. El análisis de riesgo involucra estimar la significación del riesgo, evaluar la probabilidad de que ocurra y considerar cómo administrarlo. Las actividades de control consisten en las políticas y procedimientos que aseguran que los empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen revisiones del sistema de control, los controles físicos, la segregación de tareas y los controles de los sistemas de información. Los controles sobre los sistemas de información incluyen los controles generales y los controles de las aplicaciones. Controles generales son aquellos que cubren el acceso, el desarrollo de software y sistemas. Controles de las aplicaciones son aquellos que previenen que ingresen errores en el sistema o detectan y corrigen errores presentes en el sistema. La entidad obtiene información pertinente y la comunica a través de la organización. El sistema de información identifica, captura y reporta información financiera y operativa que es útil para controlar las actividades de la

organización, (2) adquisición e implementación, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier ambiente de TI. COBIT presenta una estructura de control para los propietarios de los procesos del negocio. Cada vez más, la dirección está totalmente facultada con responsabilidad y autoridad completa por los procesos del negocio. COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI, cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control referenciados a esos 32 procesos y guías de auditoría vinculadas a los objetivos de control. Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por la declaración de control, identifica los recursos de TI administrados por los procesos, establece los controles habilitados y lista los principales objetivos de control aplicables.

organización. Dentro de la organización, el personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de control interno, tomar seriamente sus responsabilidades por el control interno, y, si es necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el mensaje de que la entidad no tolerará acciones impropias. La gerencia monitorea el sistema de control revisando el output generado por las actividades regulares de control y realizando evaluaciones especiales. Las actividades regulares de control incluyen comparar los activos físicos con los datos registrados, seminarios de entrenamiento, y exámenes realizados por auditores internos y externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las deficiencias encontradas durante las actividades regulares de control son normalmente reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones especiales son normalmente comunicadas a los niveles altos de la organización. Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control interno y los roles y responsabilidades de las partes que afectan a un sistema. Las limitaciones incluyen el juicio humado defectuoso, falta de comprensión de las instrucciones, errores, atropellos de la gerencia, colusión, y consideraciones de costo versus beneficio.

El informe COSO define deficiencias como "condiciones dentro de un sistema de control interno digno de atención". Las deficiencias deberían ser reportadas a la persona responsable por la actividad y a la gerencia que está como mínimo un nivel por encima del individuo responsable. Un sistema de control interno es juzgado efectivo si están presentes y funcionando efectivamente los cinco componentes respecto de las operaciones, los reportes financieros y el cumplimiento.

COBIT adaptó su definición de control a partir de COSO: Las políticas, procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer aseguramiento razonable de que se lograrán los objetivos del negocio y que se prevendrán, detectarán y corregirán los eventos no deseables. COBIT adapta su definición de un objetivo de control de TI del SAC: Una declaración del resultado deseado o propósito a lograr implementando procedimientos de control en una actividad particular de TI. COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del negocio. El documento describe objetivos de control de TI independientes de plataformas y aplicaciones. COBIT y COSO definen el control interno, describen sus componentes y proveen herramientas de evaluación. COSO sugiere formas de reportar los problemas de control interno. Adicionalmente COBIT provee una estructura amplia facilitando el análisis y comunicación de las observaciones de control interno.

5.1 Definiciones.

Aunque las dos definiciones de control contienen esencialmente los mismos conceptos, el énfasis es algo diferente. COBIT ve el control interno como un proceso que incluye políticas, procedimientos, prácticas y estructuras organizacionales que soportan procesos y objetivos de negocio. COSO acentúa el control interno como un proceso, ej. El control interno debería ser una parte integrante de las actividades del negocio en curso. La gente es parte del sistema de control interno. COBIT clasifica a la gente (definida como habilidad, concientización y productividad del personal para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información) como uno de los recursos primarios administrados por distintos procesos de tecnología informática. El involucramiento de la gente se ha hecho más éxplicito a medida que los documentos evolucionaron. COSO denota que la gente involucrada con el control interno son miembros del Directorio, la gerencia, u otro personal de la entidad. Los documentos acuerdan que la gerencia es la parte

responsable por establecer, mantener y monitorear el sistema de control interno. Los tres documentos acentúan el concepto de aseguramiento razonable en lo que se relaciona con el control interno. El control interno no garantiza que la entidad logrará sus objetivos ni que permanecerá en el negocio. Por lo contrario, el control interno está diseñado para proveer a la dirección con un aseguramiento razonable respecto del logro de los objetivos. Los documentos también reconocen que hay limitaciones inherentes al control interno y que, por consideraciones costo/beneficio, no serán implementados todos los controles posibles. Las limitaciones inherentes pueden causar que los controles internos sean menos efectivos que lo planeado. COBIT establece la premisa de que estos objetivos son soportados por procesos de negocio. Estos procesos, a la vez, son soportados por la información provista mediante adecuados de control.

5.2 Componentes

El informe COSO considera cinco componentes. COBIT incorpora los cincos componentes considerados en el informe COSO y los focaliza dentro del entorno de los controles internos de tecnología informática. El diseño de COBIT salta la brecha entre los modelos de control de negocio tales como COSO y los sistemas los modelos de control de sistemas de información más altamente técnicos disponibles en todo el mundo. Aunque pueden parecer que los documentos difieren en sus enfoques de los controles, los estudios posteriores revelan muchas similaridades.

5.3 Ambiente de Control

COBIT y COSO incluyen el ambiente de control como un componente y discuten esencialmente los mismos conceptos. Los factores que impactan el ambiente de control incluyen la integridad y valores éticos de la gerencia, la competencia del personal, la filosofía gerencial y el estilo operativo, cómo se asignan la autoridad y responsabilidades, y la guía que provee el directorio. COBIT entrelaza las implicancias del ambiente de control en todos los objetivos de control aplicables. Categoriza los procesos dentro del planeamiento y organización, adquisición e implementación, entrega y soporte, y monitoreo. También habla del ambiente de control donde es apropiado. El foco exclusivo de COBIT es el establecimiento de una estructura de referencia para seguridad y control en tecnología informática. Define un vínculo claro entre los controles de los sistemas de información y los objetivos de negocio. Además, provee objetivos de control validados globalmente para cada proceso de tecnología informática lo cual brinda una guía pragmática de control para todas las partes interesadas. COBIT también provee un vehículo para facilitar las comunicaciones entre la gerencia, los usuarios y los auditores en relación a los controles de los sistemas de información. COSO discute tanto información como comunicación. En su discusión sobre información, COSO revisa la necesidad de capturar la información pertinente interna y externa, el potencial de sistemas estratégicos e integrados, y la necesidad de calidad en los datos. COSO discute los procedimientos y actividades de control utilizados en toda la entidad. COBIT clasifica los controles en 32 procesos agrupados naturalmente en

cuatro dominios aplicables a cualquier ambiente de procesamiento de información. SAC utiliza cinco esquemas de clasificación diferentes para los procedimientos de control de SI. COSO utiliza solo un esquema de clasificación para los procedimientos de control del sistema de información (SI). La discusión de COSO sobre las actividades de control enfatiza en quién realiza las actividades y en lo operativo más que en los objetivos de informes financieros. COSO también enfatiza la deseabilidad de integrar las actividades de control con la evaluación de riesgos. COBIT es una colección de objetivos de control validados globalmente, organizados en procesos y dominios y vinculados a requerimientos de información del negocio. COSO presenta una definición común de control interno y enfatiza que los controles internos ayudan a las organizaciones a lograr operaciones eficaces y eficientes, informes financieros confiables, y el cumplimiento de las leyes y regulaciones aplicables. El documento provee una guía sobre la evaluación de sistemas de control, informar públicamente sobre control interno, y realizar evaluaciones de sistemas de control. COBIT está dirigido a tres audiencias distintas: la gerencia, los usuarios y los auditores de sistemas de información; COSO a los gerentes y directorios. COBIT está focalizado exclusivamente en los controles sobre la tecnología informática en soporte de los objetivos del negocio. COSO provee una visión amplia, a nivel de entidad.

5.4 Evaluación de Riesgos

COSO identifica la evaluación de riesgos como un componente importante del control interno. COBIT identifica un proceso dentro del ambiente de tecnología informática como evaluando riesgos. Este proceso en particular cae dentro del dominio de planeamiento y organización y tiene seis objetivos específicos de control asociados al mismo. Aunque la evaluación de riesgos no es un componente explícito del sistema de control interno de SAC, el documento contiene amplias discusiones sobre riesgo. COBIT considera en profundidad varios componentes de evaluación de riesgos en un ambiente de tecnología informática. Esto incluye evaluación de riesgos del negocio, el enfoque de evaluación de riesgos, identificación de riesgos, medición de los riesgos, plan de acción sobre riesgos y aceptación de riesgos. Trata directamente con tipos de riesgos de tecnología informática tales como riesgos de tecnología, seguridad, continuidad y regulatorios. Adicionalmente, considera el riesgo tanto desde la perspectiva global como los específicos de sistemas.

6. RESUMEN

Ley Sarbanes Oxley La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta Directamente a toda empresa pública de los Estados Unidos y sus subsidiarias en todo el mundo, así como empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. La ley fue elaborada por el senador demócrata Paul Sarbanes y el diputado republicano Michael Oxley y no sólo es un ejercicio en el cumplimiento de nuevos reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas organizaciones, muchas otras toman la decisión de adoptarla dado que constituye una práctica sana de negocios, mejorando notablemente la reputación de quien la cumpla. Modelo COSO: El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO). El COSO fue originalmente instaurado en el año 1985 con la finalidad de estudiar los factores que permitían la emisión fraudulenta de reportes financieros. A comienzos de los años 90, el Comité realizó un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO. COSO posee cinco componentes de control, los cuales al ser integrados en cada una de las unidades de negocio de la organización, ayudan a lograr los objetivos de control para alcanzar los objetivos del negocio, preparación de cuentas financieras confiables y el cumplimiento de leyes y regulaciones. A continuación se indican las características de control de los cinco componentes COSO, a saber: El aspecto más pertinente del Informe COSO es su establecimiento, por primera vez, de una definición universal de control interno:

Efectividad y Eficiencia de las operaciones.

Confiabilidad en la información Económico-Financiera.

Adecuado cumplimiento de las leyes y regulaciones aplicables.

El control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administración maneja su negocio, y están integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Monitoreo.

Las siguientes secciones brindan una breve visión de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe.

6.1 DEFINICIÓN DE C.O.S.O.

Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge así una nueva perspectiva sobre el control interno donde se brinda una estructura común que es documentada en el denominado “Informe C.O.S.O.”. El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (C.O.S.O.) es una organización voluntaria del sector privado, establecida en los Estados Unidos y dedicada a proporcionar orientación al ámbito privado y gubernamental sobre aspectos críticos de gestión de la organización, control interno de la empresa, gestión del riesgo, el fraude y la presentación de informes financieros. El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes.

6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O.

Como se mencionó anteriormente, y conforme fue transcurriendo el tiempo, las empresas fueron implementando sus propias políticas para implementar el control interno. Esto generó una gran diversidad de conceptos y conllevó a una falta de uniformidad en las prácticas de control interno. Comprendiendo la situación arriba mencionada se hace evidente que es necesario contar con un marco conceptual que estandarice las mejores prácticas con respecto al control interno. Disponer de dicho marco facilitará la comprensión e implementación de nuevos sistemas de control interno que se adecuen a la realidad actual y brinden una referencia conceptual común sobre éste.

Establecer una definición común de control interno que contemple las mejores prácticas en la materia.

Facilitar un modelo en base al cual las organizaciones, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema de control interno.

Lograr que el control interno forme parte de la operatoria habitual de la organización y que no sea concebido como un mero formalismo o cuestión burocrática. Esta finalidad se refiere al aspecto organizacional.

Disponer de una referencia conceptual común para los distintos interlocutores que participan en el control interno que sirva de referencia tanto para auditores como para auditados. Sin este marco de referencia

resultaba ser una tarea compleja, dada la multiplicidad de definiciones y conceptos divergentes. Esta finalidad se refiere al aspecto regulatorio o normativo.

6.3 MARCO INTEGRADO DE CONTROL

El control consta de cinco componentes interrelacionados que se derivan de la forma cómo la administración maneja el negocio, y están integrados a los procesos administrativos. Los componentes son: Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión y seguimiento de sistema de control.

El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afecta sólo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros. Los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.

6.3.1. Ambiente de control

El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales.

Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por carácter reflejo, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados.

Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce sobre el comportamiento del personal en su conjunto.

Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues como conjunción de medios, operadores y reglas previamente definidas, traduce la influencia colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de políticas y procedimientos efectivos en una organización. Los principales factores del ambiente de control son:

La filosofía y estilo de la dirección y la gerencia.

La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.

La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos.

Las formas de asignación de responsabilidades y de administración y desarrollo del personal.

El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento.

En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de auditorías con suficiente grado de independencia y calificación profesional. El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización.

6.3.2. Evaluación de riesgos

El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto al nivel de la organización (internos y externos) como de la actividad.

El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo.

Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento.

A este respecto cabe recordar que los objetivos de control deben ser especificados, así como adecuados, completos, razonables e integrados a los globales de la institución.

Una vez identificados, el análisis de los riesgos incluiría:

Una estimación de su importancia/trascendencia.

Una evaluación de la probabilidad/frecuencia.

Una definición del modo en que habrán de manejarse.

Dado que las condiciones en que las entidades se desenvuelven suelen sufrir variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los riesgos asociados con el cambio. Aunque el proceso de evaluación es similar al de

los otros riesgos, la gestión de los cambios merece efectuarse independientemente, dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos para quienes están inmersos en las rutinas de los procesos.

Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean:

Cambios en el entorno.

Redefinición de la política institucional.

Reorganizaciones o reestructuraciones internas.

Ingreso de empleados nuevos, o rotación de los existentes.

Nuevos sistemas, procedimientos y tecnologías.

Aceleración del crecimiento.

Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones.

6.3.3. Actividades de control

Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos.

Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la entidad con el que estén relacionados:

Las operaciones.

La confiabilidad de la información financiera.

El cumplimiento de leyes y reglamentos. En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente. A su vez en cada categoría existen diversos tipos de control:

Preventivo / Correctivos

Manuales / Automatizados o informáticos.

Gerenciales o directivos.

En todos los niveles de la organización existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debiéndose para ello explicitar claramente tales funciones. La gama que se expone a continuación muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas:

Análisis efectuado por la dirección.

Seguimiento y revisión por parte de los responsables de las diversas funciones o actividades.

Comprobación de las transacciones en cuanto a su exactitud, totalidad, y autorización pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia, prenumeraciones.

Controles físicos patrimoniales :arqueos, conciliaciones, recuentos.

Dispositivos de seguridad para restringir el acceso a los activos y registros.

Segregación de funciones.

Aplicación de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de información, pues éstas desempeñan un papel fundamental en la gestión, destacándose al respecto el centro de procesamiento de datos, la adquisición, implantación y mantenimiento del software, la seguridad en el acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las aplicaciones. A su vez los avances tecnológicos requieren una respuesta profesional calificada y anticipativa desde el control.

6.3.4. Información y Comunicación

Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones, responsabilidades), es imprescindible que cuenten con la información periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos. La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales.

La información operacional, financiera y de cumplimiento conforma un sistema para posibilitar la dirección, ejecución y control de las operaciones. Está conformada no sólo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones.

Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de información acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratégicas, a través de la evolución desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas. Ya que el sistema de información influye sobre la capacidad de la dirección para tomar decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad.

La comunicación es inherente a los sistemas de información. Las personas deben conocer a tiempo las cuestiones relativas a sus responsabilidades de gestión y control. Cada función ha de especificarse con claridad, entendiendo en ello los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno.

Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los comportamientos esperados, de qué manera deben comunicar la información relevante que generen.

Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto es, en el más amplio sentido, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal.

La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte de los directivos resultan vitales.

Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de políticas, memorias, difusión institucional, canales formales e informales, resulta la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras.

6.3.5. Supervisión

Incumbe a la dirección la existencia de una estructura de control interno interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados o se impone directamente su

reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar.

El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevinientes. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: a) Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada. b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la auditoría interna (incluidas en el planeamiento o solicitadas especialmente por la dirección), y los auditores externos. c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y que resulten aptos para los fines perseguidos. d) Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos. e) El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad. Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación, y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros. f) Debe confeccionarse un plan de acción que contemple:

o El alcance de la evaluación. o Las actividades de supervisión continuadas existentes. o La tarea de los auditores internos y externos. o Áreas o asuntos de mayor riesgo.

o Programas de evaluaciones. o Evaluadores, metodología y herramientas de control. o Presentación de conclusiones y documentos de soporte. o Seguimiento para que se adopten las correcciones pertinentes.

Las deficiencias o debilidades del sistema de control interno detectadas a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto las personas responsables de la función o actividad implicada como las autoridades superiores.

CONCLUSIONES:

En la actualidad, la Información es uno de los recursos más preciados en cualquier organización. El contar con información íntegra, accesible, consistente, confiable y oportuna, es fundamental para que dicha organización pueda subsistir, desarrollarse y tomar decisiones correctas en el dinámico mundo actual. Por todo esto, es que las organizaciones buscaron diversas formas de formalizar procesos de elaboración y control de la información. Cada una de ellas fue implementando metodologías de control ad-hoc. A razón de esto surge el Informe COSO, el cual es un compendio de definiciones, reglas y buenas prácticas acerca del control interno en una organización. Si bien todas las organizaciones necesitan llevar a cabo prácticas de control, este informe está especialmente orientado a aquellas en las que por su envergadura, requieren y están en condiciones de aplicar mecanismos formales y preestablecidos de control para evitar o reducir los fraudes, riesgos y conductas inadecuadas que puedan surgir, tanto por parte del personal, como de clientes y proveedores. Al implementar las prácticas sugeridas en el Informe C.O.S.O., las organizaciones consiguen controlar más eficiente, eficaz y transparentemente su operatoria. Una de las grandes ventajas de C.O.S.O. reside en que al parametrizar y formalizar las técnicas de medición, el control resulta simple y efectivo. Otra ventaja importante es su dinamismo para ser revisado y actualizado según los cambios que va experimentando la organización. En síntesis, las prácticas C.O.S.O. son una herramienta altamente recomendable en materia de control interno para grandes organizaciones.

Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy debemos realizar para ayudar a nuestras organizaciones a definir nuevos horizontes que maximicen oportunidades. Es nuestro propósito actuar como agentes del cambio y, por tanto, es nuestra responsabilidad estar a la vanguardia del cambio. El tratar de convertirnos en asesores o consultores internos confiables, eliminando en lo posible todos los trabajos que nos aportan un valor agregado a nuestros productos o servicios, como por ejemplo tienden a convertirnos en evaluadores críticos de los sistemas de información y realizando auditorias sobre las operaciones conforme se van gastando y no sobre acontecimientos pasados que no tienen solución.

BIBLIOGRAFIA

INFORME COSO. Disponible en: [http://www.ganimides.ucm.cl/ygomez/descargas/Auditoria%20y%20seguridad/COSO.pdf]. Recuperado [2010, Octubre 4]

ANTECEDENTES INFORME CONTROL INTERNO COSO. Disponible en: [http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO---Control-Interno-en-Organizaciones.html]. Recuperado [2010, Octubre 4]

SARBANES-OXLEY. Disponible en: [http://www.iaia.org.ar/elauditorinterno/05/articulo2.html]. Recuperado [2010,

Octubre 4]

LEY SARBANES-OXLEY ACT (SOX,SOA). Disponible en: [http://www.economiaynegocios.uahurtado.cl/peee/pdf/Ley%20Sarbanes%20Oxley%20Federico%20iturbide.pdf] Recuperado [2010, Octubre 4].

COSO v COBIT v ITIL. Disponible en: [http://www.scribd.com/doc/3410099/COSO-v-COBIT-v-ITIL]. Recuperado [2010,

Octubre 4].