MODELOS DE CONTROL
Commite of Sponsoring Organizations – COSO Modelos Estándar de Control Interno – MECI
COCO Model Control Objectives for Information and Related Technology – COBIT Webtrust y Systrust BS 7799 / ISO 2700
TEMARIO
Guia Turnbull y Kontrag
En cualquier empresa es imprescindible mantener un control interno eficiente, para así dejar de lado la posibilidad de fraudes y riesgos. Además, gracias al control interno, se pueden preservar los activos e intereses corporativos, llevar a cabo evaluaciones organizacionales de acuerdo a grados de eficiencia, y otros muchos aprovechamientos. Creación de Empresas.es. “Importancia del Control Interno en Ámbitos Empresariales” Disponible en_: http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO---Control-Internoen-Organizaciones.html Citado el: 22 Febrero de 2012
El Informe COSO es el resultado de estudios y discusiones llevados a cabo durante más de cinco años por un grupo de trabajo constituido por representantes de: •American Accounting Association (AAA) •Institute of Internal Auditors (IIA) •American Institute of Certified Public Accountants (AICPA) •Financial Executive Institute (FAI) •Institute of Management Accountants (IMA) Las siglas COSO corresponden al Committee of Sponsoring Organizations of the Treadway Commission, National Commission on Fraudulent Financial Reporting, creada en los Estados Unidos en 1985 por las instituciones que se mencionaron anteriormente. La redacción del informe fue encomendada a Coopers & Lybrand
Esta definición nos permite advertir ciertos conceptos fundamentales sobre el Control Interno: -Es un proceso: Es un medio utilizado para conseguir un fin; no es un fin en sí mismo. - Es llevado a cabo por personas: No se trata solamente de manuales de políticas, procedimientos y formularios, sino de personas en todos los niveles de la organización. - Aporta un grado de seguridad razonable –no la seguridad total– a la Dirección y al Consejo de Administración de la entidad. - Está pensado para facilitar el logro de objetivos en una de las diferentes categorías que, al mismo tiempo, se solapan.
Modelo COSO Los COMPONENTES son los siguientes: -Entorno de control: El núcleo de una empresa es su personal (sus atributos individuales, incluyendo la integridad, los valores éticos y la profesionalidad) y el entorno en el que trabaja. Los empleados son el motor que impulsa la entidad y los cimientos sobre los que descansa todo. -Evaluación de los riesgos: La empresa debe conocer y abordar los riesgos con los que se enfrenta. Debe fijar objetivos integrados en todas las actividades necesarias para que la organización funcione en forma coordinada, estableciendo mecanismos para identificar, analizar y tratar los riesgos correspondientes. -Actividades de control: Deben establecerse y ejecutarse políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan a cabo de forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la organización. -Información y comunicación: Las mencionadas actividades están rodeadas de sistemas de información y comunicación. Éstos permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones. - Supervisión: Todo el proceso ha de ser supervisado, introduciéndose las modificaciones pertinentes cuando se estime oportuno. De esta forma, el sistema puede reaccionar ágilmente y cambiar de acuerdo con las circunstancias.
Tomado de: http://www.iaia.org.ar/Normaria/Normaria05.pdf
Modelo Estándar de Control Interno
E C I 1 0 0 0 2 0 0 5
El Modelo Estándar de Control Interno para entidades del Estado, se genera tomando como base el artículo 1° de la Ley 87 de 1993, el cual se encuentra compuesto por una serie de Subsistemas, Componentes y Elementos de Control, establecidos en la Figura 1, ilustrando de esta manera los vínculos existentes entre cada uno de ellos, bajo el enfoque sistémico que establece la citada Ley.
Modelo Estándar de Control Interno
E C I 1 0 0 0 2 0 0 5
Principios MECI
Tomado de: http://www.utp.edu.co/meci/cualesson-los-fundamentos.html
Autocontrol: Es la capacidad que ostenta cada servidor público para controlar su trabajo, detectar desviaciones y efectuar correctivos para el adecuado cumplimiento de los resultados que se esperan en el ejercicio de su función, de tal manera que la ejecución de los procesos, actividades y/o tareas bajo su responsabilidad, se desarrollen con fundamento en los principios establecidos en la Constitución Política. Autorregulación: Es la capacidad institucional para aplicar de manera participativa al interior de las entidades, los métodos y procedimientos establecidos en la normatividad, que permitan el desarrollo e implementación del Sistema de Control Interno bajo un entorno de integridad, eficiencia y transparencia en la actuación pública. c) Autogestión: Es la capacidad institucional de toda entidad pública para interpretar, coordinar, aplicar y evaluar de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Constitución, la Ley y sus Reglamentos.
Tomado de: http://www.supersolidaria.gov.co/data/anexo_meci_1000-2005.pdf http://www.caramanta-antioquia.gov.co/apc-aa-files/34643332613237313734326661393161/MECI.jpg
Modelo de Control COCO El propósito del modelo es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los sistemas de control dentro de las organizaciones, incluyendo asuntos gubernamentales en el sector público y privado.
Dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA), a través de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre control. El consejo denominado The Criteria of Control Board emitió, el modelo comúnmente conocido como COCO.
PROPOSITOS DEL MODELO El modelo busca proporcionar un entendimiento del control y dar respuesta a las tendencias que se observan en los desarrollos siguientes: En el impacto de la tecnología y el recorte a las estructuras organizacionales, que han propiciado un mayor énfasis sobre el control a través de medios informales, como la visión empresarial compartida, comunión de valores y una comunicación mas abierta
1
En la creciente demanda de informar públicamente acerca de la efectividad del control, respecto de ciertos objetivos
En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los accionistas. Algunas autoridades financieras han establecido procedimientos y protocolos de información, aplicables a las instituciones bajo su jurisdicción.
2
Tomado de: http://www.iaia.org.ar/revistas/normaria/Normaria11.pdf
3
Modelo de Control COCO 20 Criterios
1
2
3
4
PROPOSITO 1. Los objetivos deben ser comunicados. 2. Se deben identificar los riesgos internos y externos que afecten el logro de objetivos. 3. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuación. 4. Se deben establecer planes para guiar los esfuerzos. 5. Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño COMPROMISO 1. Se deben establecer y comunicar los valores éticos de la organización. 2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. 3. La autoridad y responsabilidad deben ser claramente definidos y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado. 4. Se debe fomentar una atmósfera de confianza para apoyar el flujo de la información APTITUD 1. El personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos. 2. El proceso de comunicación debe apoyar los valores de la organización. 3. Se debe identificar y comunicar información suficiente y relevante para el logro de objetivos. 4. Las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas. 5. Las actividades de control deben ser diseñadas como una parte integral de la organización EVALUACION Y APRENDIZAJE 1. Se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación de objetivos. 2. El desempeño debe ser evaluado contra metas e indicadores. 3. Las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente. 4. Los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la información. 5. Debe comprobarse el cumplimiento de los procedimientos modificados. 6. Se debe evaluar periódicamente el sistema de control e informar de los resultados
CobIT
(Control Objectives for
Information and related Technology)
Es una herramienta desarrollada por Information System Audit and Control Association (ISACA) y por IT Governace Institute (ITGI), cuyo propósito fundamental es ayudar al entendimiento y a la administración de riesgos asociados con TI. El principio del cual parte, es que las empresas exitosas no solo aprovechan los beneficios de una gestión exitosa, sino también gestionan el riesgo y CobIT coadyuva a la identificación y adopción de mejores prácticas de control y auditoría en la gestión de TI, a partir de tres requerimientos del negocio como la calidad, los fiduciarios y los de seguridad.
Modelo COBIT
Modelo COBIT
CobIT (Control Objectives for Information and related Technology)
Tomado de: http://www.monografias.com/trabajos38/cobit/Image8871.gif
WebTrust es el sello de confianza, calidad y seguridad que se concede a la “página Web” de la empresa que, previamente ha obtenido un Informe Favorable de Auditoría Independiente, por una Firma de Auditoría Habilitada para la Prestación de Servicios WebTrust al cumplir, durante un cierto periodo de tiempo, los Criterios y Principios WebTrust, establecidos por las entidades promotoras y licenciatarias del sello; Instituto Americano de Auditores Públicos de Cuentas (AICPA), Instituto Canadiense de Auditores de Cuentas (CICA), e Instituto de Auditores Censores Jurados de Cuentas de España (IACJCE). Desde el año 1997, se han desarrollado y mejorado ( tres versiones) los Principios y Criterios que debe cumplir un “sitio Web” para que obtenga el sello, a la vez que se han ido otorgando licencias a los colectivos más representativos de Auditores en los principales países de todo el mundo, que han iniciado el proceso de desarrollo de la nueva actividad para los auditores de dichos países, de forma que WebTrust se ha convertido en el método mas efectivo de transmitir confianza para los usuarios de Internet.
Trust Services ayuda a diferenciar las entidades de sus competidores, demostrando a los interesados que las entidades están en sintonía con los riesgos planteados por su entorno y equipado con los controles sobre dichos riesgos. Por lo tanto, los beneficiarios potenciales de los informes Trust Assurance Services son los consumidores, socios, acreedores, bancos y otros acreedores, reguladores, subcontratistas y aquellos que utilizan servicios tercerizados, y personas interesadas que de alguna manera se basan en el comercio electrónico (e-commerce) y los sistemas de TI.
Certificación Webtrust & Systrust
Los Trust Services Principles and Criteria, es un Programa sobre el comercio electrónico de ámbito internacional desarrollado y gestionado conjuntamente por el American Institute of Certified Public Accountants (AICPA) y por el Canadian Institute of Chartered Accountants (CICA).
Los siguientes principios y criterios relacionados se han desarrollado por el AICPA y el Canadian Institute of Chartered Accountants (CICA) para uso del profesional en el desempeño de las certificaciones Wwebtrust y Systrust:
Los principios de confianza de servicios y los criterios de seguridad, disponibilidad, integridad de procesamiento, y la confidencialidad están organizados en cuatro grandes áreas: Políticas. La entidad ha definido y documentado sus políticas relacionadas con los principios. Comunicaciones. La entidad ha comunicado sus políticas definidas a las partes responsables y los usuarios autorizados del sistema. Procedimientos. La entidad colocó en los procedimientos de operación para lograr sus objetivos de conformidad con sus políticas definidas. Seguimiento. La entidad supervisa el sistema y toma medidas para mantener el cumplimiento de sus políticas definidas. Tomado de: http://webtrust.es/webtrust/ http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/TrustServices/Pages/Trust%20Services%2 0Principles%E2%80%94An%20Overview.aspx
Certificación Webtrust & Systrust
•Seguridad. El sistema está protegido contra el acceso no autorizado (tanto físicos como lógicos). •Disponibilidad. El sistema está disponible para la operación y el uso •La integridad de procesamiento. El sistema de procesamiento es completo, oportuno, preciso y autorizado. •Confidencialidad. La información designada como confidencial está protegida como tal . •Privacidad. La información personal se recopila, utiliza, mantiene, da conocer, y destruye de conformidad con los compromisos de aviso de privacidad de la entidad y con los criterios establecidos en los principios de privacidad generalmente aceptados emitidos por el AICPA y CICA.
BS 7799 Durante más de un siglo, el Instituto Británico de Normas Técnicas (BSI) y la Organización Internacional de Normas Técnicas (ISO) han brindado parámetros globales a las normas técnicas de operación, fabricación y desempeño. Solo faltaba que BSI e ISO propusieran una norma técnica para la seguridad de la información. En 1995, el BSI publicó la primera norma técnica de seguridad; la BS 7799, la cual fue redactada con el fin de abarcar los asuntos de seguridad relacionados con el e – commerce. La Norma se consideraba inflexible y no tuvo gran acogida. No se presentó la norma técnica en un momento oportuno y los problemas de seguridad no despertaron mucho interés en ese entonces. En Mayo de 1999, el BSI intentó de nuevo publicar su segunda versión de la Norma BS 7799, la que fue una revisión más amplia de la primera publicación. En Diciembre del 2000, La ISO adoptó y publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799. En Septiembre del 2002 se publicó BS 7799 – 2; en esta revisión se adoptó el “Modelo de Proceso” con el fin de alinearla con ISO 9001 e ISO 14001. El 15 de Octubre del 2005 se aprueba la Norma ISO 27001:2005 y en 2006 existen más de 2030 compañías certificadas a nivel mundial.
ISO 27001:2005 Tomado de: http://www.dspace.espol.edu.ec/bitstream/123456789/5247/1/Desarrollo%20de%20Pol%C3%ADticas%20de%20Seguridad%20I nform%C3%A1tica%20e%20Implementaci%C3%B3n.pdf
BS 7799 10 Secciones Política de Seguridad Sistema de Control de Acceso Informática y Gestión de las Operaciones Desarrollo y mantenimiento Seguridad física y ambiental Conformidad Personal de Seguridad Organización de Seguridad Clasificación y control de activos Gestión de Continuidad (BCM) http://www.isconsult.co.uk/i/iso17799-bs7799.gif
http://www.tcpsi.com/imag es/ISO_27001.gif
ISO 27001:2005
Guia Turnbull Es la adopci贸n de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad
http://es.scribd.com/doc/27987761/1-Modelos-de-Control
Kontrag En Alemania, la "Ley para el Control y Transparencia en las empresas" (KonTraG) fue introducida como parte de las responsabilidades de la gestión. Las juntas directivas de las sociedades anónimas tienen que asegurarse de que una adecuada gestión de riesgos se ha establecido y el riesgo a la organización son parte de los informes. KonTraG no es muy específico acerca de la gestión del riesgo. Lo que se afirma es que: - La gestión de riesgos tiene que ser realizada. - Los riesgos tienen que ser descubiertos de forma que la administración tenga tiempo suficiente para tomar las medidas oportunas. - La gestión del riesgo ha de aplicarse en los objetivos corporativos para permitir un desarrollo próspero de la empresa.
http://www.noweco.com/risk/riske18.htm
Modelos de Control Interno Material Educativo La información , gráficos e imágenes no me pertenecen, fueron tomadas solamente para fines educativos. Angie Carolina Díaz Ramirez Docente