Moedlos De Control

MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno.

Los modelos de control interno COSO y COBIT son los dos modelos más difundidos en la actualidad.

COSO está enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT, contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación:

 OECD (Organization for Economic Cooperation and Development)

 GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and Technology (NIST)

 BS 7799 (British Standard Institute)

 SAC (Security Auditability and Control). The Inst. of Internal Audit.

 COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations)

 SSE CMM (Systems Security Engineering Capability Maturity Model)

National Security Agency (NSA) Defense- Canada.

 CoCo (Criteria of Control Board of The Canadian Instituteof Chartered Accountants.)

 ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered Accountants(CICA)

 GASSP (Generaly Accepted System Security Principles). International

Information Security Foundation (IISF)

 Cobit (Control Objectives for Information and Related Technologies)

 FISCAM (Federal Information Systems Controls Audit Manual).

 SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability)

 SSAG (System Self-Assessment Guide for Information Technology Systems).

COBIT – DEFINICIÓN

Es un marco de control interno de TI.

 Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización.

 Promueve el enfoque y la propiedad de los procesos.

 Apoya a la organización al proveer un marco que asegura que:

 La Tecnología de Información (TI) esté alineada con la misión y visión.

 LA TI capacite y maximice los beneficios.

 Los recursos de TI sean usados responsablemente.

 Los riesgos de TI sean manejados apropiadamente.

COBIT – PRINCIPIOS

COBIT – ESTRUCTURA

COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

COBIT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC Y SAS.

COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

 Eficiencia: Empleo óptimo de los recursos.

 Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada

 Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.

 Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.

 Cumplimiento: Leyes, regulaciones y compromisos contractuales.

 Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo

COBIT – PROCESOS DE TI – TRES NIVELES

PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

Principio de Beneficio del Auditado

En este principio el auditor debe conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, no debe de

ningún modo obtener beneficio propio.

Principio de Calidad

El auditor deberá prestar sus servicios conforme las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor.

Principio de Confianza

El auditor deberá facilitar e incrementar la confianza del auditor en base a una actuación de transparencia en su actividad profesional sin alardes

científicos-técnicos.

Principio de Capacidad

El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas.

Principio de Comportamiento Profesional

El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal.

Principio de Criterio Propio

El auditor durante la ejecución deberá actuar con criterio propio y no permitir que esté subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo.

Principio de Concentración en el Trabajo

El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas a él encomendadas, y a que la estructuración y dispersión de trabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de los mismos sin las

debidas garantías de seguridad.

Principio de Discreción

El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoria.

Principio de Economía

El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

Principio de Formación Continuada

Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualización de sus conocimientos

...