CONFERENCIAS ISACA CIUDAD DE MXICO

Control Interno y COSO

C.P. Estanislao Snchez y Lpez, CIA

Vicepresidente de la Federacin
Latinoamericana de Auditores Internos

Agosto 2015
1

Contenido
1. Introduccin
Modelos de Control
Antecedentes
COSO y herramientas de gestin
2. COSO 2013
Definicin de Control Interno
Modelo COSO 2013
Principios
3. Las tres lneas de defensa
4. COSO y COBIT como modelos de control
5. Normas de Auditora Interna en materia de TI
6. Conclusiones
2
2

1. Introduccin /
Modelos de Control
COSO

EUA

CADBURY

Reino Unido

COCO

Canad

TURNBULL

Reino Unido

COBIT

EUA - TIC

Los modelos de control estn diseados para integrarse en los procesos de

gestin y de gobernanza para servir de gua y establecer las
responsabilidades en materia de control interno y riesgos, mismos que al
ser aplicados de manera adecuada, contribuyen a la mejora del desempeo
y la gobernanza en las organizaciones.
3
3

Antecedentes
El Comit de Organizaciones Patrocinadoras de la Comisin Treadway,
COSO por sus siglas en ingls, se form en 1985 y representa una iniciativa
conjunta de cinco organizaciones.

COSO tiene como misin: Proporcionar liderazgo a travs de la

elaboracin de modelos y guas en materias de administracin de riesgos
(ERM), control interno y disuasin del fraude; diseados para mejorar el
desempeo y la gobernanza institucional, as como para reducir el fraude
en las organizaciones.

4
4

COSO y herramientas de gestin

1985

1992

2004

2006

2009

2013

5
5

2. COSO 2013

ISACA particip en el programa de actualizacin de COSO 2013, fungiendo

como miembro del consejo consultivo de COSO.
6
6

Definicin de Control Interno

Concepto de Control Interno segn COSO1/ :

Proceso que efectan

Consejo de
Administracin

Categoras
Para administrar los riesgos
y lograr los objetivos

Direccin

Resto del
Personal
1/

1
Eficacia y
eficiencia de las
operaciones

3
Cumplimiento
de leyes y
normativa
aplicables

2
Confiabilidad,
oportunidad y
transparencia
de la
informacin

Comit de Organizaciones Patrocinadoras de la Comisin Treadway (COSO, por sus siglas en ingls)

7
7

Modelo COSO 2013

AMBIENTE DE CONTROL
ADMINISTRACIN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIN Y COMUNICACIN
SUPERVISIN

2/

Son caractersticas importantes de los principios

INSTITUCIN
DIVISIN
UNIDAD ADMINISTRATIVA
FUNCIN

Modelo COSO 2013

Principios
en cada
componente

Puntos de inters2/
en cada
componente

20

27

16

14

2
_____
17

10
____
87

nfasis en:
Riesgos de fraude
Utilizacin de las tecnologas de informacin
Servicios tercerizados
8
8

Principios / Ambiente de Control

P1

La organizacin demuestra compromiso

con la integridad y los valores ticos

P2

El consejo ejerce responsabilidad

de supervisin

P3

La administracin establece la estructura,

autoridad y responsabilidad

P4

La organizacin demuestra compromiso

con la competencia profesional

P5

La organizacin fomenta la
rendicin de cuentas
9
9

Elementos Relevantes
Ambiente de Control
1

Cdigo de tica

Cdigo de conducta

Difusin de los cdigos de tica y conducta

Comit de tica

Lnea tica u otros mecanismos similares para captar

denuncias por actos contrarios a la tica y conducta

Investigacin de actos contrarios a la tica y conducta

10
10

Elementos Relevantes
Ambiente de Control

Informes a instancias superiores del estado que guardan

las denuncias de los actos contrarios a la tica e integridad

Informe al rgano de Gobierno o a la Direccin, de la

situacin que guarda el sistema de control interno

Programa de capacitacin para el personal de los distintos

niveles en la institucin

11
11

Principios / Evaluacin de Riesgos

La Organizacin
P6

Especifica objetivos adecuados

P7

P8

P9

Identifica y analiza riesgos

Evala el riesgo de fraude

Identifica y analiza la importancia de los

cambios en el Sistema de Control Interno
12
12

Elementos relevantes
Evaluacin de Riesgos
1

Plan o programa estratgico

Objetivos y metas relevantes del plan estratgico,

comunicados y asignados a las reas responsables

Metodologa de la institucin para la administracin de riesgos

a) Asignacin de responsabilidades sobre la administracin
de riesgos
b) Identificacin y evaluacin de riesgos, as como las
acciones para mitigarlos
c) Evaluacin de riesgos y determinacin de acciones de
prevencin y mitigacin a los procesos susceptibles a
fraude
13
13

Elementos relevantes
Evaluacin de Riesgos
d) Inventario institucional de riesgos
e) Autorizacin de planes y programas de administracin de
riesgos
f)

Informar a mandos superiores la existencia o surgimiento

de riesgos de fuentes internas o externas

g) Informar peridicamente al rgano de Gobierno o a la

Direccin, la situacin que guarda la administracin de
riesgos relevantes

14
14

Principios / Actividades de Control

La Organizacin

P10

P11

Selecciona y desarrolla actividades de

control para lograr sus objetivos

Selecciona y desarrolla
controles generales de TI

P12

Implementa polticas y procedimientos

15
15

Elementos relevantes
Actividades de Control
1

Utiliza controles que contribuyen a mitigar y atender los

riesgos especficos identificados

Considera factores como el entorno, la complejidad, la

naturaleza y el alcance de sus operaciones en la
seleccin de controles

Aplica distintos tipos de actividades de control:

preventivos y detectivos manuales, automatizados o una
combinacin

Segrega funciones y desarrolla actividades de control

alternativas para aquellas responsabilidades incompatibles

16
16

Elementos relevantes
Actividades de Control
5

Define la dependencia existente en el uso de tecnologa

en los procesos de negocio

Instrumenta controles generales sobre TIC

Establece un plan de sistemas de informacin e

infraestructura tecnolgica que d soporte al cumplimiento
de objetivos

Implementa controles relevantes sobre los procesos de

gestin de la seguridad

Desarrolla controles relevantes sobre los procesos de

adquisicin, desarrollo y mantenimiento de TICs

10

Considera un Plan de Recuperacin de Desastres,

incluyendo datos, hardware y software crticos
17
17

Elementos relevantes
Actividades de Control
11

Implementa, revisa y actualiza controles a travs de

polticas y procedimientos

12

Define responsabilidades sobre la ejecucin de polticas y

procedimientos

13

Ejecuta los controles de manera oportuna con personal

facultado para el efecto

14

Adopta medidas correctivas ante asuntos identificados

como resultado de la ejecucin de las actividades de control

18
18

Principios / Informacin y Comunicacin

La Organizacin

P13

Obtiene informacin relevante y con calidad

que respalde los componentes del SCI

P14

Se comunica internamente informacin,

incluyendo los objetivos y responsabilidades
de control interno

P15

Se comunica con externos asuntos

relacionados con el control interno

19
19

Elementos relevantes
Informacin y Comunicacin

Proceso para identificar los requerimientos de informacin

Los Sistemas de Informacin captan datos de fuentes

internas y externas para procesarlos en informacin de
calidad

Proceso para comunicar responsabilidades en materia de

Control Interno

Procesos para comunicar y recibir informacin relevante al

interior y exterior de la organizacin

Comunicacin entre la Administracin y el rgano de

Gobierno

Presencia de canales de comunicacin independientes

(lneas de denuncia)
20
20

Principios / Supervisin
La Organizacin

P16

Selecciona, desarrolla y ejecuta

autoevaluaciones y/o evaluaciones
independientes.

P17

Evala y comunica las deficiencias de

control interno a las instancias responsables

21
21

Elementos relevantes
Supervisin
1

Autoevaluacin de control interno por parte de los

responsables de su funcionamiento

Los responsables de los procesos comunican los

resultados de las autoevaluaciones de control interno y sus
deficiencias

Revisiones de control interno por personal ajeno al

proceso
Interno. Personal distinto al ejecutor o Auditora Interna
Auditora Externa

22
22

3. Las tres lneas de defensa

Propietarios
del control

Supervisores

Aseguramiento
independiente

23
23

Reforzando COSO por medio de las

tres lneas de defensa

24
24

 Desarrolla y
comunica
polticas y
procedimientos
en materia de
TIC
Establece
procesos para
monitorear y
evaluar riesgos
emergentes
relacionados
con las TIC

Responsabilidad
sobre la
supervisin de
controles
especficos de TIC
Participacin en
grupos de trabajo
para seleccionar,
desarrollar y
mantener los
controles de TIC,
segn lo sealado
por la direccin

3 Lnea

Disea e
implementa
controles de
TIC

2 Lnea

1 Lnea

Roles de los profesionales de las TIC

Evaluacin del
gobierno de TIC y
su impacto en la
consecucin de los
objetivos
Aseguramiento
sobre la eficacia e
integridad de los
controles de TIC
Contar con
conocimientos
sobre los riesgos
clave de TIC para
el desempeo del
trabajo asignado.

25
25

4. COSO y COBIT
Dado que muchas organizaciones
utilizan COSO y COBIT, ISACA
public, en 2014, un documento
que muestra la relacin entre
estos modelos y cmo agregan
valor a las organizaciones, sin
importar la industria o su
ubicacin geogrfica.
Esta gua analiza las coincidencias
entre COBIT 5 y los 17 principios
especficos de COSO, adems de
mostrar la relacin entre el
contenido y los conceptos de
ambos modelos.

26
26

4. COSO y COBIT
Mr. Steven Andrew Babb, CGEIT, CRISC
International Vice President of ISACA
(2014-2015) and Framework Committee Chair.

Algunas organizaciones se han preguntado si stos dos modelos son

complementarios.
Esta gua responde con un rotundo S y muestra exactamente de qu
manera se relacionan.
Al utilizar ambos modelos conjuntamente, las organizaciones pueden
confiar en que estn utilizando guas probadas de evaluacin y mejora
de sus prcticas de control interno en un modelo de gobernanza
efectivo.
27
27

5. Normas de Auditora Interna en

Materia de TIC
Marco Internacional para la Prctica Profesional de la Auditora
Interna
1210.A3 - Los auditores internos deben tener conocimientos
suficientes de los riesgos y controles clave en las tecnologas de
informacin y de las tcnicas de auditora interna disponibles
basadas en tecnologa que le permitan desempear el trabajo
asignado.
2100 - Naturaleza del trabajo
Consejo para la prctica.
Al llevar a cabo una evaluacin, el auditor interno deber:
Coordinarse con los especialistas en tecnologas de la
informacin para asegurar los controles de seguridad de la
informacin y proteccin de datos han sido implementados,
revisados y evaluados.
28
28

6. Conclusiones
COSO es un modelo de control interno que promueve la
consecucin de los objetivos de las organizaciones,
con consideraciones importantes sobre las TIC
La identificacin de las responsabilidades de los
profesionales de TIC en las tres lneas de defensa
promueve la claridad en las funciones, fortalece el
sistema de control interno e impulsa la rendicin de
cuentas (COSO)

COSO y COBIT son modelos complementarios para

evaluar y robustecer el sistema de control interno y la
gobernanza en las organizaciones

29
29

6. Conclusiones
Las normas de auditora interna del Instituto de Auditores
Internos (IIA por sus siglas en ingls) requieren que los
auditores internos posean conocimientos generales en
materia de TIC, as como obtener asesoramiento y
asistencia de personal competente en este tema
Debe existir una estrecha relacin entre los auditores
internos y los profesionales de TIC, incluidos los
auditores de TIC, para la ejecucin de auditoras o
evaluacionesfra

30
30

Documentos de referencia
The three lines of defense in effective risk management and control,
The IIA, enero 2013.
https://na.theiia.org/standardsguidance/Public%20Documents/PP%20The%20Three%20Lines%2
0of%20Defense%20in%20Effective%20Risk%20Management%20a
nd%20Control.pdf
Leveraging COSO across the three lines of defense. COSO, julio
2015.
http://www.coso.org/documents/COSO-2015-3LOD-PDF.pdf
Relating the COSO Internal ControlIntegrated Framework and
COBIT. ISACA, marzo 2014.
http://www.isaca.org/KnowledgeCenter/Research/Documents/Relating-the-COSO-Internal-ControlIntegrated-Framework-and-COBIT_whp_Eng_0314.pdf
31
31