1 EXPOSICIÓN: COSO
COSO 1
El Control Interno se define entonces como un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos.
De una orientación meramente contable, el Control Interno pretende ahora garantizar:
· Efectividad y eficiencia de las operaciones.
· Confiabilidad de la información financiera.
· Cumplimiento de las leyes y normas que sean aplicables.
· Salvaguardia de los recursos.
A través de la implantación de 5 componentes que son:
· Ambiente de control
· Evaluación de riesgos
· Actividades de control
· Información y comunicación
· Supervisión
El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afecta sólo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual más de un componente influye en los otros.
Los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.
Los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.
COSO 2
Ambiente interno. El ambiente interno abarca el tono de una organización y establece la base de cómo el personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de administración de riesgo y el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual ellos operan
Establecimiento de objetivos. Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos que afecten su consecución. La administración de riesgos corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella, además de ser consecuentes con el riesgo aceptado.
Identificación de riesgos. Los eventos internos y externos que afectan a los objetivos de la entidad deben ser identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la estrategia de la dirección o los procesos para fijar objetivos.
Evaluación de riesgos. Los riesgos se analizan considerando su probabilidad e impacto como base para determinar cómo deben ser administrados. Los riesgos son evaluados sobre una base inherente y residual bajo las perspectivas de probabilidad (posibilidad de que ocurra un evento) e impacto (su efecto debido a su ocurrencia), con base en datos pasados internos (pueden considerarse de carácter subjetivo) y externos (más objetivos).
Respuesta al riesgo. La dirección selecciona las posibles respuestas - evitar, aceptar, reducir o compartir los riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las tolerancias al riesgo de la entidad
Actividades de control. Las políticas y procedimientos se establecen e implantan para
ayudar a asegurar que las respuestas a los riesgos se llevan a cabo efectivamente.
Información y comunicación La información relevante se identifica, captura y comunica en forma y plazo adecuado para permitir al personal afrontar sus responsabilidades. Una comunicación efectiva debe producirse en un sentido amplio, fluyendo hacia abajo, a través, y hacia arriba de la entidad.
Monitoreo La totalidad de la administración de riesgos corporativos es monitoreada y se efectúan las modificaciones necesarias. Este monitoreo se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez. La administración de riesgos corporativos no constituye estrictamente un proceso en serie, donde cada componente afecta sólo al siguiente, sino un proceso multidireccional e iterativo en el cual casi cualquier componente puede e influye en otro.
2 EXPOSICIÓN: COBIT
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology)
Es una guía de mejores prácticas presentado como framework, dirigida a la gestión de tecnología de la información (TI). Mantenido por ISACA y el IT Governance Institute , tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.
No hay comentarios:
Publicar un comentario