RESUMEN ARGUMENTATIVO COBIT

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

Numero de ediciones:

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. Isaca lanzó el 10 de abril de 2012 la nueva edición de este marco de referencia. COBIT 5.

COBIT 4.1

En su cuarta edición, COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios:

1. Planificación y Organización (Plan and Organize))
2. Adquisición e Implantacion (Acquire and Implement)
3. Entrega y Soporte (Deliver and Support)
4. Supervisión y Evaluación (Monitor and Evaluate)

COBIT 5

COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y a la información como protagonistas en la creación de valor para las empresas.

COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITIL ®) y las normas ISO relacionadas en esta norma.

COBIT 5 ayuda a empresas de todos los tamaños a:

• Optimizar los servicios el coste de las TI y la tecnología
• Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas
• Gestión de nuevas tecnologías de información

 Los cinco principios de COBIT 5:
1.Satisfacer las necesidades de los interesados
2.Cubrir la empresa de extremo a extremo
3.Aplicar un solo marco integrado
4.Habilitar un enfoque Holístico
5.Separar Gobierno de Administración

En conclusión el COBIT es una herramienta que permite ser aplicado a diferentes tipos y tamaños de organizaciones, la cual ha venido evolucionando de acuerdo a las necesidades del mundo actual, adaptándose a las nuevas tecnologías y a los requerimientos de las empresas

Bibliografía:

• https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas
• https://en.wikipedia.org/wiki/COBIT
• http://seguridadinformacioncolombia.blogspot.com.co/2010/07/que-es-cobit.HTML
• http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
• http://es.slideshare.net/cbonilla1967/resume-cobit-5
• http://www.isaca.org/chapters7/Monterrey/Events/Documents/20120305%20CobiT%205.pdf
• http://www.isaca.org/COBIT/Documents/COBIT5-Introduction-Spanish.ppt

RESUMEN DESCRIPTIVO COSO

INTRODUCCIÓN

COSO se organizó en 1985 para patrocinar la Comisión Nacional de fraudulento de Información Financiera, una iniciativa independiente del sector privado. También elaboró recomendaciones para las empresas públicas y sus auditores independientes, por la SEC y otros reguladores, y para las instituciones educativas. COSO por sus siglas en inglés (Committee of Sponsoring Organizations of the Treadway) es una iniciativa conjunta constituida por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial (ERM), el control interno, y la disuasión del fraude. Las organizaciones que lo componen son:
* La Asociación Americana de Contabilidad (AAA) 
* El Instituto Americano de Contadores Públicos Certificados (AICPA) 
* Ejecutivos de Finanzas Internacional (FEI)
* El Instituto de Auditores Internos (IIA) 
* La Asociación de Contadores y Profesionales Financieros en negocios (IMA)
El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control, debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, este se ha convertido en el estándar de referencia para las compañías a nivel mundial, existen en la actualidad 2 versiones del Informe COSO, la versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo; a continuación se realizara una descripción más detallada sobre cómo está compuesto.

RESUMEN

El control interno es uno de los pilares bajo los cuales se desarrolla las actividades diarias de la mayoría de organizaciones hoy en día, este viene dado por los administradores al buscar una continua manera de controlar los movimientos de las compañías, con el fin de lograr tomar decisiones que contribuyan al desarrollo de su encargo que es el cumplimiento de la misión, visión y objetivos estratégicos trazados.
Los objetivos principales son:
* Objetivos de reporte
* Objetivos de cumplimiento
* Objetivos de operaciones
Sus principales ventajas son:
* Lograr sus objetivos de ejecución
* Lograr la mejor rentabilidad
* Evitar pérdidas de recursos
* Garantizar un informe financiero confiable y trasparente

COMO ESTÁ COMPUESTO EL COSO

ANTECEDENTES
En 1985, en los Estados Unidos de América se crea un grupo de trabajo por la Treadway Commissión, denominado Comisión Nacional de Informes Financieros Fraudulentos, bajo la sigla COSO (Committee of Sponsoring Organization), Comité de Organizaciones Patrocinadores de la Comisión Treadway, con el objetivo de dar respuesta a lo anteriormente señalado, estando constituido por representantes de las organizaciones siguientes: Asociación Norteamericana de Contabilidad (AAA); Instituto Norteamericano de Contadores Públicos Asociados (AICPA); Instituto Ejecutivo Financiero (FEI); Instituto de Auditores Internos (IIA); Instituto de Contabilidad Gerencial (IMA). En 1992, tras varios años de trabajo y discusiones se publica en Estados Unidos el denominado Informe COSO sobre Control Interno, cuya redacción fue encomendada a Coopers & Lybrand (versión en inglés), y difundidos al mundo de habla hispana en asociación con el Instituto de Auditores Internos de España (IAI) en 1997.
Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún más, sobre la inversión ya realizada en control interno bajo las disposiciones de la Ley Sarbanes-Oxley. A continuación se describe de una manera gráfica de como fue el proceso del COSO I al COSO II:

El Proyecto fue dirigido y supervisado por la Junta de Directores de la organización COSO, obteniendo retroalimentación de la siguiente forma:

• Más de 700 respuestas a encuestas de la estructura vigente (1992)
• Un Consejo Asesor conformado por representantes de:
• Compañías
• Academia
• Agencias de Gobierno
• La profesión de contabilidad
• Organizaciones sin ánimo de lucro
• Respuestas del público sobre los borradores revelados por COSO (Modelo propuesto)

Finalmente el proyecto actualizado de COSO incluye una serie de documentos que se describen a continuación:

1.      Definición de control interno. 6

Control interno es un proceso, ejecutado por la junta directiva o consejo de administración de una entidad, por su grupo directivo (gerencial) y por el resto del personal, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres siguientes categorías de objetivos:
·         Efectividad y eficiencia de las operaciones
·         Suficiencia y confiabilidad de la información financiera
·         Cumplimiento de las leyes y regulaciones aplicables
    Esta definición enfatiza ciertos conceptos o características fundamentales sobre el control interno, como son:

Tabla 1: Efectividad del control interno.

2.      Componentes del control interno. 7

El control interno consta de cinco componentes interrelacionados, que se derivan de la forma como la administración maneja el ente, y están integrados a los procesos administrativos, los cuales se clasifican:
a)      Ambiente de control
b)      Evaluación de riesgos
c)      Actividades de control
d)     Información y comunicación
e)      Supervisión y seguimiento

3.      Ambiente de control 8

El ambiente de control o control circundante es la base de los demás componentes de control a proveer disciplina y estructura para el control e incidir en la manera como:

·         Se estructuran las actividades del negocio.

·         Se asigna autoridad y responsabilidad

·         Se organiza y desarrolla la gente

·         Se comparten y comunican los valores y creencias

·         El personal toma conciencia de la importancia del control

4.      Evaluación de riesgos. 10

Las empresas enfrentan riesgos en todos los niveles de sus organizaciones, los riesgos afectan la habilidad de la empresa para poder sobrevivir ante la competencia de su sector, manteniendo siempre sus fortalezas financieras, la calidad de sus productos y servicios. La administración es la que determina cuántos riesgos es prudente mantener y se esfuerza por tenerlos siempre dentro de unos niveles óptimos.

     Antes de determinar cuáles son los riesgos dentro de una organización, se debe definir cuáles son los objetivos, para  luego proceder con la identificación de los riesgos y poder tomar acciones necesarias para administrarlos.
     Los objetivos presentan una base sólida para que el control interno sea efectivo, la fijación de estos sirve para identificar factores de éxito, después de que los factores han sido identificados la Gerencia está en la responsabilidad de establecer criterios para medir y prevenir posibles ocurrencias por medio de mecanismos de control.

5.      Actividades de control 12

Son las actividades que realiza todo el personal de la organización para cumplir con las actividades asignadas diariamente. Estas actividades se encuentran relacionadas con las políticas, procedimientos y actividades de la organización. Estas actividades se encuentran relacionadas con la verificación, aprobación, inspección, autorización y revisión de tareas de la empresa.

Las actividades de control pueden ser:

§  Manuales o computarizadas

§   Gerenciales u operacionales

§   Generales o específicas

§  Preventivas o detectivas

6.      Información y Comunicación
  Para iniciar se debe proceder a definir los conceptos de los cuales tratamos en este tema; por lo tanto la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje y la comunicación es el proceso mediante el cual se puede transmitir información de una entidad a otra, alterando el estado de conocimiento de la entidad receptora.

7.      Monitoreo. 16

     Los sistemas de control interno necesitan ser monitoreados. Monitoreo es un proceso que evalúa la calidad de la ejecución del sistema con el tiempo. El monitoreo continuo ocurre en el desarrollo de las operaciones e incluye actividades de administración y supervisión continuas y otras acciones que el personal realiza para cumplir con sus obligaciones. Esto es consumado a través de actividades de monitoreo continuo, Evaluaciones separadas o una combinación de ambos. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente, las significativas son comunicadas a la alta gerencia.

. 19

LEY SARBANES-OXLEY.. 24

Historia y evolución: 24

Ley Sarbanes-Oxley: La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). Se considera uno de los cambios más significativos en la legislación empresarial, desde el “New Deal” de 1930.

La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOX, SarbOx o SOA.
La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor. Esta ley, más allá del ámbito nacional, afecta a todas las empresas que cotizan en NYSE (Bolsa de Valores de Nueva York), así como a sus filiales.

Descripción General: 25

SOX es un sistema de implementación de control interno para la certificación de las empresas mediante la verificación y análisis del correcto funcionamiento de sus procedimientos, información confiable y gestiones oportunas. SOX nace de la Ley Sarbanes Oxley que abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causará más daño económico del que previene.

La primera y más importante parte de la Ley establece una nueva agencia casi pública, “The Public Company Accounting Oversight Board", es decir, una compañía reguladora encargada de revisar, regular, inspeccionar y disciplinar a las auditoras. La Ley también se refiere a la independencia de las auditoras, el gobierno corporativo y la transparencia financiera. La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las compañías que cotizan en Bolsa, lo que le aporta más confianza y mayor certidumbre a los accionistas y al propio Estado.

La ley afecta a todas las empresas públicas en los Estados Unidos, tanto como su subsidiaria en todo el mundo y empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos.

Las principales novedades introducidas por la Ley Sarbanes Oxley son: 27

·         SOX regula la creación y funcionamiento de un órgano que supervise la actividad de las empresas de auditoría (Public accounting firms). Es evidente que los legisladores pretenden monitorear más de cerca la actividad de las firmas de auditoría.

·         SOX establece algunas importantes limitaciones a la actividad de las firmas de auditoría. El principio general es que no se permite a las firmas de auditoría ofrecer a sus clientes otros servicios distintos al de auditoría. Se establece además la obligación de rotación del socio responsable del encargo cada cinco años. Muy interesante es el llamado periodo del “Cooling-off” en base al cual una firma de auditoría no puede ofrecer sus servicios a una empresa en la que el Director General o Administrador, Director Financiero, Controlador, Director Administrativo o Director de Contabilidad han sido miembros del equipo de auditoría en el año anterior.

Los principales beneficios de SOX son: 27

·         Implantación de mecanismos de evaluación de riesgos y revisión de los procesos.

·         Formalización y divulgación de actividades y responsabilidades.

·         Implantación de un Código de ética.

·         Protección de la empresa contra fraudes internas, estableciendo controles y revisiones de delegación de autoridad y aprobaciones.

·         Comprometimiento de los colaboradores en relación a las mejoras de control.

·         Elevación del nivel de seguridad de las aplicaciones.

Además de estos beneficios, también permite hacer viable los controles internos y la evaluación del flujo de información, el mapeo de procesos críticos de las empresas, gestión de los riesgos asociados a estos procesos, asignación de responsabilidades a los responsables internos, identificación de no conformidades y rapidez en la resolución de riesgos.

BIBLIOGRAFÍA.. 37

·         Mantilla S.A (2005) Control interno informe coso. Bucaramanga, Colombia.
·         https://es.wikipedia.org/wiki/Informaci%C3%B3n
·         https://es.wikipedia.org/wiki/Comunicaci%C3%B3n
·         Informe ejecutivo coso, Control Interno – Marco Integrado de trabajo, Universidad del Cauca faculta de ciencias contables económicas y administrativas.

• Trabajo de compilación bibliográfica. Liliana Montes Díaz, Universidad Nacional de Colombia Sede Manizales.

·         http://www.etb.com.co/nuestracom/includes/Informe_de_Control_Interno_2012.pdf
·         http://www.monografias.com/trabajos12/coso/coso.shtml
·         http://www.unap.cl/~setcheve/cdeg/CdeG%20(2)-38.htm
·         http://www.slideshare.net/alafito/coso-version-mail
·         http://212.9.83.4/auditoria/home.nsf/COSO_1!OpenPage
·         http://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley
·         http://www.gestiopolis.com/delta/term/TER417.html
·         http://auditool.org/index.php?option=com_content&task=view&id=252&Itemid=31
·         http://www.upc.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&JER=3749