Universidad Nacional “Santiago Antúnez de Mayolo

Escuela de Postgrado
Maestría en Ciencias Económicas
Mención, Auditoría y Control de Gestión

CONTROL INTERNO DE GESTION

“NORMAS COBIT – MODELOS DE CONTROL INTERNO”

AUTORES:
DEXTRE AGUILAR, Deysi
•MELGAREJO GUILLERMO, Rosario
• ORTIZ PEREZ, Andrea
•VALVERDE ORELLANO, Mirtha Elizabeth

DOCENTE:
Dr. HIDALGO MEJIA, Pedro Javier

HUARAZ-PERÚ
2018
 CAPITULO I
MARCO TEORICO

NORMAS COBIT Y MODELOS DE CONTROL

INTERNO: COCO, CADBURY, TURNBULL,
AEC Y OTROS.
 NORMAS COBIT:
Control Objectives for Information
Systems and related Technology) /
Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas.
 ❑ Lanzado en 1996, es una herramienta de gobierno de Tecnología de Información (TI)
❑ Se aplica a los sistemas de información de toda la empresa, incluyendo los
Antecedentes
computadores personales y las redes.
❑ La Norma COBIT es una herramienta que permite a los gerentes comunicarse y
salvar la brecha existente entre los requerimientos de control
C
O ❑ Es el nombre comercial de Objetivos de Control de las Tecnologías de la Información

B Definición
❑ Es un estándar generalmente aplicable y aceptado para las buenas prácticas de
seguridad y control en Tecnología de Información (TI)
I ❑ Se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos.
T

➢ Orientado al negocio
➢ Alineado con estándares y regulaciones "de facto"
➢ Basado en una revisión crítica y analítica de las tareas y actividades en TI
Características ➢ Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)
 a) Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio
o una responsabilidad organizacional.
Niveles b) Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de
control.
c) Actividades: Acciones requeridas para lograr un resultado medible.

C
O a) Datos
B Recursos TI
b)
c)
Sistemas de Aplicación
Tecnología.
I d) Instalaciones
e) Personal.
T
a) Satisfacer las necesidades de las partes interesadas
b) Cubrir la organización de forma integral
c) Aplicar un solo marco integrado
Principios
d) Habilitar un enfoque Holístico
e) Separar Gobierno de Administración
 a) Efectividad.- Se refiere a que la información relevante sea pertinente
para el proceso del negocio, así como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
b) Eficiencia.- Se refiere a la provisión de información a través de la
utilización óptima (más productiva y económica) de recursos.
c) Confidencialidad.- Se refiere a la protección de información sensible
Comenzando el análisis a partir de los contra divulgación no autorizada.
requerimientos de Calidad, Fiduciarios y de d) Integridad.- Se refiere a la precisión y suficiencia de la información,
Seguridad más amplios, se extrajeron siete así como a su validez de acuerdo con los valores y expectativas del
categorías distintas, ciertamente negocio.
superpuestas. e) Disponibilidad.- Se refiere a la disponibilidad de la información
cuando ésta es requerida por el proceso de negocio ahora y en el futuro.
También se refiere a la salvaguarda de los recursos necesarios y
A continuación se muestran las definiciones capacidades asociadas.
utilizadas por COBIT: f) Cumplimiento.- Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio impuestos externamente.
g) Confiabilidad de la información.- Se refiere a la provisión de
información apropiada para la administración con el fin de operar la
entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
ESTRUCTURA DEL MODELO
 Dominio Dominio
Adquisición e entrega y
Implementación soporte de
servicio

Dominio Dominio
Planeación y Monitoreo
Organización
Propone un conjunto de 34
Objetivos de Control para lograr
niveles de excelencia y calidad
en las auditorías, uno para cada
uno de los Procesos de TI,
agrupados en cuatro dominios:
 Dominio:
Planeación y Organización
1. Definir un Plan Estratégico sobre la introducción y utilización de
las TI
2. Definir la Arquitectura de Información
3. Determinar la dirección tecnológica de adquisición y empleo de
Este dominio cubre la estrategia y las tácticas y se
las TI
refiere a la identificación de la forma en que la
4. Definir la Organización y de las relaciones en el entorno de las TI
tecnología de información puede contribuir de la
5. Manejar las inversiones en TI
mejor manera al logro de los objetivos de negocio.
6. Comunicar la dirección y aspiraciones de la gerencia con relación
Además, la consecución de la visión estratégica
a las TI
necesita ser planeada, comunicada y administrada
7. Administrar los recursos humanos relaciona dos con las TI
desde diferentes perspectivas. Finalmente, deberán
8. Asegurar el cumplimiento de los requerimientos externos
establecerse una organización y una infraestructura
relacionados con las TI
tecnológica apropiadas, abarcan los siguientes
9. Evaluar riesgos en la introducción y utilización de las TI
objetivos de control:
10. Administrar proyectos relacionados con las TI
11. Administrar la calidad de la introducción y utilización de las TI
 Dominio:
Adquisición e Implementación

Para llevar a cabo la estrategia de TI, las

soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del
proceso del negocio. Además, este
dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes., abarcan los siguientes
objetivos de control:
12. Identificar solución es integrales de TI.
13. Adquirir y mantener el software de aplicación.
14. Adquirir y mantener la arquitectura de TI.
15. Desarrollar y mantener los procedimientos relacionados con las TI.
16. Instalar y acreditar sistemas.
17. Administrar cambios en las TI.
 Dominio:
Entrega y Soporte de servicio
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del
proceso del negocio. Además, este
dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes, consisten en:
18. Definir los niveles de servicio a prestar.
19. Administrar los servicios prestados por terceros.
20. Administrar el desempeño y la capacidad.
21. Asegurar el servicio continuo y sistemático.
22. Garantizar la seguridad de los sistemas.
23. Identificar y a signar costos.
24. Educar y entrenar a los usuarios.
25. Apoyar y asistir a los clientes de las TI.
26. Administrar la configuración de las TI.
27. Administrar los problemas e incidentes posibles.
28. Administrar los datos y su evolución.
29. Administrar las instalaciones.
30. Administrar las operaciones.
 Dominio: Monitoreo

Todos los procesos de una organización

necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos
de control, integridad y confidencialidad.
Este es, precisamente, el ámbito de este
domino, son:
31. Monitorear los procesos.
32. Evaluar lo adecuado del control interno.
33. Obtener aseguramiento independiente.
34. Proporcionar auditorías independientes.
Principios de COBIT
1. Satisfacer
las
necesidades
de las partes
interesadas

5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral

Principios de
COBIT

4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado

Fuente: COBIT®, Figura 2. © 2012 ISACA® Todos los derechos reservados.

 MODELOS DE CONTROL INTERNO
COCO, CADBURY, TURNBULL, AEC

A partir de la década de los noventa, los nuevos modelos desarrollados en el campo del control, están
definiendo una nueva corriente del pensamiento, con una amplia concepción sobre la organización,
involucrando una mayor participación de la dirección, gerentes y personal en general de las
organizaciones a nivel mundial.

Estos modelos han sido desarrollados con la idea de que representen fuertes soportes del éxito de la organización,
siempre que los mismos sean llevados con el criterio y la perspicacia necesaria de parte del profesional.
 MODELO COCO
El informe COCO fue publicado por el Instituto Canadiense de Contadores Autorizados en 1995, con el objetivo de
simplificar los conceptos y lenguaje para hacer posible una discusión del alcance total del control en cualquier nivel de
la organización.

DEFINICION OBJETIVO

Busca proporcionar un entendimiento ➢ Se orienta a desarrollar lineamientos generales para

del control y dar respuesta a las el diseño, implementación evaluación y reportes
tendencias que se observan en los sobre estructuras de control en una organización, en
desarrollos siguientes: él se engloba el sector público y el privado

✓ El impacto de la tecnología y el recorte a las estructuras

organizacionales, que han proporcionado mayor énfasis sobre el
control a través de medios informales, como la visión empresarial
compartida, comunión de valores y una comunicación abierta

✓ En el énfasis de las autoridades para establecer controles,

como una forma de proteger los intereses de los accionistas
 AGRUPADOS POR:

➢ Objetivos.- Los objetivos deben ser comunicados los riesgos internos y externos que pudieran afectar el
logro de los objetivos deben ser identificados y debidamente analizados.

➢ Compromiso.- Los valores éticos de la organización deben ser establecido y comunicados a todos sus
miembros.

➢ Aptitud.- El personal debe tener conocimientos, habilidades y las herramientas necesarias para desempeñar
sus labores orientadas al logro de los objetivos organizacionales.

➢ Evaluación y Aprendizaje. Se debe supervisar el ambiente interno y externo para identificar

información que oriente hacia la evaluación de los objetivos el desempeño debe ser evaluado tomando como
punto de partida las metas e indicadores preestablecidos.
 ➢ Al personal, para desarrollar sus funciones y ejercitar su juicio y creatividad, al
C A R A C T E R I S T I C A S

tiempo que administra o controla los riesgos.

➢ El personal tiene la flexibilidad de impulsar cambios en la organización o gestión, al

tener un adecuado conocimiento de los riesgos

➢ El personal posee información confiable y está en aptitud de usarla al momento

oportuno y al más adecuado nivel en la organización.

➢ La organización puede lograr mejoras en la efectividad y eficiencia y obtener

mayor confianza por parte de terceros interesados.
 I categoría: Efectividad y III Categoría: Cumplimiento de leyes,
eficiencia de las operaciones disposiciones y políticas internas
Los servicios al cliente;
En esta definición del control se
(a) La salvaguarda y uso eficiente de recursos;
entiende que el mismo conlleva la
(b) Del cumplimiento de obligaciones sociales; responsabilidad de identificar y
(c) De la protección de recursos contra pérdida reducir los riesgos
o uso indebido.
Estructura del
Control
Interno COCO
IV Categoría: Evaluación de los
II Categoría: Confiabilidad de los
riesgos, todas las organizaciones
reportes financieros internos y externos
se enfrentan riesgos
Incluye el adecuado mantenimiento de registros
contables, información confiable para uso de la Los riesgos afectan la posibilidad de la
organización y la publicada para información de organización de competir para mantener
terceros y protección de los registros contra su poder financiero y la calidad de los
accesos indebidos. productos y servicios.
 MODELO CADBURY

A consecuencia de los numerosos problemas detectados en las entidades de corrupción y fraudes, que han
involucrado hasta corporaciones internacionales, se ha fortalecido e implementado el Control Interno en
diferentes países, ya que se han percatado de que este no es un tema reservado solamente para contadores, sino
que es una responsabilidad también de los miembros de los Consejos de Administración de las diferentes
actividades económicas de cualquier organización o país.

El modelo CADBURY se enfoca básicamente en las políticas de

gobierno analizando el código de ética sobre los aspectos
DEFINICION financieros de gobierno de las sociedades que permite una
contribución a la promoción de este en su conjunto y los
principios de actuación derivados de ellos
 a) Mayores especificaciones en la definición de su enfoque sobre el
sistema de control en su conjunto financiero y de cualquier tipo.
b) Los elementos clave este modelo son similares a los del COSO, salvo
la consideración de los sistemas de información integrados en los
otros componentes y un mayor énfasis respecto a riesgos.
CARACTERISTICAS
c) Objetivos orientados a proporcionar una razonable seguridad en:
- Efectividad y eficiencia de las operaciones
- Confiabilidad de la información y reportes financieros
- Cumplimiento con leyes y reglamentos
- Salvaguardar el patrimonio.
 a) Constitución de los Comités, la creación de diversos comité y los
consejos externos son las dos mayores e importantes aportaciones
aportadas por el informe Cadbury.
b) Comité de auditoria
c) Comité de nombramientos
d) Cualidades de los miembros: Conocimiento profundo del control
interno, auditoria externa e interna y sistemas de información,
Aportes del CADBURY personas competentes, con personalidad, juicio adecuado y tiempo
suficiente.
e) Rotar periódicamente frecuentar reuniones bien preparadas y con
tiempo
f) No designar consejero ejecutivos
g) Asistir periódicamente a reuniones con el director administrativo,
financiero, el jefe de auditoria interna y el auditor externo
h) Responsabilidad del audito externo:
 MODELO TURNBULL
Este informe fue pensado para ser utilizado como una suerte de guía en los procesos de control interno en las sociedades
y empresas, asimismo, podría ser utilizado como referente en la aplicación de los Códigos Combinados de Inglaterra.

A continuación, señalamos las disposiciones a las que este Informe hace referencia:

➢ En primer lugar, la Junta Directiva debe mantener un sistema de control interno para salvaguardar la inversión
de los accionistas y los activos de la empresa.

➢ Asimismo, en segundo lugar, los directores deberían, por lo menos una vez al año, realizar un examen sobre la
eficiencia de la junta directiva y del sistema de control interno. A estos efectos, los directores deberían emitir
un informe dirigido a los accionistas respecto de la conducta responsable de los administradores. Dicho
examen ha de abarcar todos los controles, incluyendo, un examen operativo, así como, respecto del
cumplimiento de los controles financieros y del riesgo de gestión.
El Informe Turnbull se basa las recomendaciones que establece, en el control interno de la empresa, En este sentido,
señala que todas las empresas deberían contar con una auditoría interna, y en caso no las tuviese, siempre de
vez en cuando debe revisarse la necesidad de tener una.

Los responsables del manejo del sistema de control interno es el Consejo de Administración como de las medidas
que le permita cerciorarse de que el sistema está funcionando con eficacia. En este sentido, la empresa debe incluir
ciertos apartados necesarios, a saber:

a) La naturaleza y el alcance de los riesgos que enfrenta la empresa;

b) El alcance y las categorías de riesgo que considera aceptable para la empresa
c) La probabilidad de materialización de los riesgos inherentes al giro de la empresa;
d) La capacidad de la empresa para reducir la incidencia y el impacto en el negocio de los riesgos que se lleguen a
materializar;
e) Los costes de explotación de los controles específicos en relación con el beneficio obtenido de la gestión de los
riesgos relacionados.
f) Los encargados de la identificación de los riesgos son la Gerencia, quien tiene el deber de evaluar y calificar los
riesgos del negocio. Asimismo, debe aplicar las políticas aprobadas por el Consejo Directivo.
Cabe señalar que un buen sistema de control interno, proporciona razonables criterios para la prevención de fraudes y
reduce la posibilidad del acontecimiento de un riesgo imprevisto, pero no constituye ser una garantía absoluta de que
una empresa no se vea afectada en el logro de sus los objetivos de negocio, o en el desarrollo ordenado y legítimo de
su actividad, por circunstancias que razonablemente puede preverse.

Un sistema de control interno no puede, sin embargo, proporcionar una protección con certeza en contra de una
empresa en crisis a cumplir con sus objetivos de negocio o de todos los errores.

A este propósito, el Informe Turnbull señala:

➢ El consejo debe mantener un sólido sistema de control interno para salvaguardar la inversión de los
accionistas y los activos de la compañía”. Asimismo, establece que "Los directores deben, al menos
anualmente, realizar una revisión de la efectividad del sistema de control interno del grupo y deben
informar a los accionistas que lo han hecho. La revisión debe abarcar todos los controles, incluidos los
controles financieros, operacionales y de cumplimiento, y la gestión de riesgos ",
MODELO AUTOEVALUACIÓN DE CONTROLES (AEC):
La administración o el equipo de trabajo se
involucra directamente en una función.

DENIFICION
Se juzga la efectividad del proceso de control
vigente

Se define si se asegura razonablemente el lograr

AEC alguno o todos los objetivos

El objetivo es proporcionar seguridad

OBJETIVO razonable de que se alcanzarán los objetivos
de la organización.
MODELO AUTOEVALUACIÓN DE CONTROLES (AEC): cont

➢ Para desarrollar la AEC se requiere capacitación:

❖ En metología
❖ En modelos de control
❖ En evaluación de riesgos
❖ En talleres de autoevaluación de control
❖ En redacción
❖ En tecnología
MODELO AUTOEVALUACIÓN DE CONTROLES (AEC): cont

➢ BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos
➢ Eficiencia de procesos, satisfacción del cliente, mejora de la calidad, examen de
los procesos organizacionales en general
Delegación de
facultades

Desarrollo de la AEC
responsabilidad

Instrumentación de Diseño de mejores

control controles
MODELO AUTOEVALUACIÓN DE CONTROLES (AEC): cont

AEC – BENEFICIOS PARA LA ADMINISTRACIÓN

• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORIA INTERNA

✓ Mejora de la moral del personal

✓ Eliminación de atmosfera de desconfianza
✓ Generación de ideas y planes acción implantados más allá del alcance
original

✓ Facilidad de implantación de acciones de mejora

✓ Promoción de la unidad organizacional mediante la identificación y
solución de problemas
MODELO AUTOEVALUACIÓN DE CONTROLES (AEC):

FASES DE LA AUTOEVALUACIÓN - AEC

Involucramiento
de la alta Gerencia

Monitoreo y
reporte de Planeación
resultados

Conducción de Capacitación
reuniones
CONCLUSIONES

1. COBIT persigue, ante todo el éxito en los negocios, o dicho en otras palabras, el
cumplimiento satisfactorio de la misión en la entidad que se aplica. Es un modelo muy
completo que debe ser analizado por cualquier consultor o auditor que pretenda
mejorar la gerencia empresarial.
2. El Modelo CADBURY, nos permite brindar certidumbre a los accionistas,
inversionistas, directivos y auditores sobre la situación financiera al mostrar una
concordancia entre los objetivos de la empresa y los resultados reales obtenidos en el
ejercicio para la correcta toma de decisiones.
3. Los métodos que se usan en la autoevaluación de controles (AEC) deben reportar
continuamente la información que identifique los riesgos existentes y por lo tanto a
constante exigencia de solución, aportando las recomendaciones necesarias que
permitan aportar las medidas de aseguramiento.
RECOMENDACIONES
1. La implementación y utilización de las normas COBIT y de los modelos de control
interno apoyara el avance organizacional tanto de macro empresas así como también
de micro y pequeñas empresas; de acuerdo a la información recopilada, con el
objetivo de mejorar la calidad de servicio como:
2. Mejorar el acceso y utilización de las interfaces para la creación, gestión y utilización
del conocimiento, utilizando nuevas tecnologías desarrolladas, ya que además de
lograr una reducción significativa en el tiempo de utilización y lograr una
automatización más transparente acerca de los procesos de actualización de
información como procedimiento, serán de gran utilidad para reducir aún más el
tiempo de solución a los problemas presentados y aumentando la calidad en el
servicio.
3. Adecuar los procedimientos de gestión de información y atención a usuarios a un
modelo de trabajo basado en normas de calidad como COBIT.