ESTÁNDARES Y LEYES DEL CONTROL INTERNO
COSO1
Publicado en
1992. Surge como respuesta a las
inquietudes que planteaban la diversidad
de conceptos, definiciones e interpretaciones existentes en torno al C.I
Objetivos
del Informe COSO:
1.-
Establecer una definición común del CI.
2.-
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar
sus SISTEMAS DE CONTROL y decidir cómo mejorarlos.
3.- Ayudar a
la dirección de las empresas a mejorar el control de las actividades de sus organizaciones.
Definición
de Control Interno (CI), según COSO:
Proceso
efectuado por la Dirección, la alta gerencia y el resto del personal para
proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos.
Los
objetivos del CI, según Coso, son los siguientes:
1. Eficacia
y eficiencia en las operaciones.
2.
Confiabilidad de la información financiera.
3.
Cumplimiento con las leyes y normas que sean aplicables.
El costo del
CI no debería exceder los beneficios que se espera obtener de él.
Componentes
del Control Interno:
1. Ambiente de Control.
2. Análisis de Riesgo
3. Actividades de Control
4. Sistemas de Información y
Comunicación
5. Monitoreo.
Ambiente de
Control
Determina el
estilo de una Empresa e influye en la conciencia de control de los miembros de
ella.
Es la base
de todos los otros componentes del CI Aportando disciplina y estructura.
Incide en la
manera como:
• Se estructuran las actividades del
negocio.
• Se asigna autoridad y
responsabilidad.
• Se organiza y desarrolla la gente.
• Se comparten y comunican los
valores y creencias.
• El personal toma conciencia de la
importancia del control.
Elementos o
factores del Ambiente de Control:
• Integridad y valores éticos.
• Compromiso de competencia.
• Políticas prácticas de Recursos
Humanos.
• Filosofía de la administración y
estilo de operar.
• Estructura organizacional.
• Asignación de autoridad y
responsabilidad.
• Participación del Directorio y del
Comité de Auditoría.
Evaluación
de Riesgos
Toda empresa
enfrenta una variedad de riesgos provenientes de fuentes externas e internas.
Es la
Gerencia quien debe evaluar estos riesgos. Para esto la gerencia debe
establecer objetivos generales y específicos, e identificar y analizar los
riesgos de que dichos objetivos NO se logren o afecten su capacidad para
a)
Salvaguardar sus bienes y recursos.
b) Mantener
ventaja ante la competencia.
c) Construir
y conservar su imagen.
d)
Incrementar y mantener su solidez financiera.
e) Mantener
su crecimiento.
Objetivos
del análisis de riesgo:
• Representar la orientación básica
de todos los recursos y esfuerzos .
• Proporciona una base sólida para un
CI efectivo.
• Establecer las bases para
determinar cómo se deben administrar dichos riesgos.
• Ayuda a que dichos riesgos sean
identificados y medidos.
La categoría
de los objetivos son:
a) Objetivos
de Cumplimiento, dirigidos a cumplir leyes y reglamentos, así como también a
las políticas emitidas por la administración.
b) Objetivos
de Operación, aquellos relacionados con la efectividad y eficiencia del las
operaciones de la empresa.
c) Objetivos
de Información financiera, se refiere a la obtención de información financiera
confiable.
Componentes
del enfoque de riesgos:
• Tipificación de los riesgos
• Medición cuantitativa y periódica
• Definición de políticas por cada
riesgo.
• Establecer límites por riesgo
• Personal calificado de la
administración a cargo de cada riesgo.
• Elementos de atenuación de los
riegos.
• Sistema de comunicación a la línea
de los riesgos detectados, como medio de autocontrol y prevención.
• Comité de Riesgos, cuando
corresponda.
• Control independiente de auditoría
interna y también externa.
Actividades
de Control
Son las
políticas y procedimientos que ayudan a asegurar que las directrices de la
administración
son ejecutadas.
Las
actividades de control pueden ser: automatizadas, manuales, semi-automáticas.
Son
aplicadas a diversos niveles de organizacionales y funcionales.
Las
actividades de control relevantes son:
a) Revisión
de cumplimiento de controles.
b)
Procesamiento de información.
c) controles
físicos.
d)
Segregación de funciones.
Sistemas de
información y comunicación
Su objetivo
es identificar, recopilar y comunicar información pertinente para que cada
empleado
cumpla con sus responsabilidades.
Los sistemas
de información generan informes que contienen información operativa y
Financiera.
La calidad
de la información es muy importante porque afecta la capacidad de la dirección
de tomar decisiones adecuadas al gestionar y controlar las actividades de la empresa.
Para
obtener información de calidad nos
debemos preguntar:
1. ¿Contiene
toda la información necesaria?
2. ¿Facilita
el tiempo para la toma de decisiones?
3. ¿Es la
más reciente disponible?
4. ¿Los datos
son correctos?
5. ¿Puede
ser obtenida fácilmente?
Comunicación
interna
Cada función
concreta ha de especificarse con claridad. Cada trabajador tiene que entender
los aspectos relevantes del sistema CI, es decir, cómo funcionan los controles de
su área, con qué otras áreas se relaciona, cuál es su papel y responsabilidad
en el
sistema de
control implementado, saber como sus actividades están relacionadas con el
trabajo de
los demás. Con esto se logra eficiencia, calidad, y logro de los objetivos.
Comunicación
Externa
Los clientes
y proveedores pueden aportar información de gran valor sobre el diseño y la
calidad de
los productos o servicios de la Empresa, permitiendo que la empresa
responda a
los cambios y preferencias de los clientes.
Monitoreo
Es un
proceso que comprueba, evalúa, realiza seguimiento al funcionamiento correcto
del sistema
de C.I. a lo largo del tiempo. Esto se consigue:
a. Mediante
actividades de supervisión continua.
b.
Evaluaciones periódicas o
c. Una
combinación de ambas.
Es la administración quien monitorea los
controles en una empresa.
La
evaluación del Control Interno forma parte de las funciones normales de A.
Interna.
El evaluador
debe analizar el diseño del sistema de C.I de acuerdo a los criterios
establecidos
y los resultados de las pruebas realizadas, con el objeto de determinar si el
sistema
ofrece una seguridad razonable respecto de los objetivos establecidos.
COBIT(Control
Objetives for Information and Telated Technology), esuna herramienta de tecnología
de información TI para uso de las entidades. A diferencia del modelo de control
que preoniza el COSO, el COBIT proporciona buenas practicas para los procesos
de negocios y la información resultante de la aplicación combinada de recursos
que requieren se administrados, apoyados por la tecnología de informacion. Estas
practicas están enfocadas mas al fortalecimiento del control que a su ejecución,
siendo una estructura apropiada para la seguridad y el control de TI. COBIT,
plante que los principios básicos de su Marco referencia se encuentran
representados por siete objetivos de contro.
EFECTIVIDAD,
EFICACIA, CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD, CUMPLIMIENTO,
CONFIABILIDAD. Este modelo enlaza los objetivos de negocios con los objetivos
TI proporcionando métricas y modelos de madurez para evaluar el grado de
confiabilidad o de dependencia que el negocio puede tener en un proceso, al
alcanzar las metas y objetivos.
MODELO
DE CONTROL DE ACCESO BASADO EN LA SEMÁNTICA (SAC)
Fundamentos
de SAC
El diseño de
SAC se basa en un modelo de metadatos que permite la integración semántica de
una de control de acceso y una infraestructura de acreditación externa. SAC
representa una solución al problema del control de acceso para entornos
altamente distribuidos, dinámicos y heterogéneos. El diseño de este modelo se
basa en la información semántica para lograr que se tengan en consideración las
propiedades particulares de los recursos accedidos (lo que se conoce como “introspección
de contenido”).
El modelo
SAC contempla la existencia de una serie de sistemas de control de acceso y un
conjunto de entidades de acreditación confiables que actúan de manera
independiente y dan servicio a los diferentes sistemas de control de acceso. El
control de los recursos es independiente de su localización. De esta forma, los
recursos controlados por un administrador no han de residir obligatoriamente en
su propio sistema de información. Igualmente, algunos de los recursos
almacenados por un sistema de control de acceso pueden no estar bajo el control
de dicho sistema.
En nuestro
modelo SAC, la identificación del usuario o cliente no es obligatoria. Esto es
debido a que los clientes poseen una serie de atributos, y el acceso a los
recursos se basa igualmente en la especificación de un conjunto de atributos
que debe reunir el cliente para poder acceder a ellos. Estos atributos deben
venir firmados digitalmente por una entidad de certificación confiable, externa
al sistema gestor de control de acceso, constituyendo lo que se conoce por un
certificado de atributo.
De esta
forma, se garantiza la interoperabilidad de los atributos que pueden ser
comunicados de forma segura evitando la necesidad de ser emitidos localmente
por el administrador del sistema.
Dado que las
entidades de certificación son externas al sistema de control de acceso, es
necesario un mecanismo para establecer la confianza entre dichas entidades
externas y el sistema de control de acceso. Para ello, se ha desarrollado un
modelo semántico para describir la semántica de las distintas autoridades de
certificación que componen la infraestructura de autorización externa o PMI.
Este enfoque permite que el proceso de registro del cliente no sea necesario, y
evita que un mismo atributo de un cliente deba ser emitido en cada sistema.
Adicionalmente, el modelo contempla la realización de acciones condicionales,
que deben realizarse para poder acceder al recurso.
Ver leyes aqui
No hay comentarios:
Publicar un comentario