Componente N

ENTORNO DE CONTROL

5
 5

EVALUACIN DE RIESGOS

9
 10

ACTIVIDADES DE CONTROL

11

12
 13

INFORMACIN Y COMUNICACIN14

15

16

ACTIVIDADES DE SUPERVISN
17
 M
Principio

La organizacin demuestra compromiso con la integridad y los valores

ticos.

El consejo de administracin demuestra independencia de la direccin y

ejerce la supervisin del desempeo del sistema de control interno.

La direccin establece, con la supervisin del consejo, las estructuras, las

lneas de reporte y los niveles de autoridad y responsabilidad apropiados
para la consecucin de los objetivos.

La organizacin demuestra compromiso para atraer, desarrollar y retener a

profesionales competentes, en alineacin con los objetivos de la
organizacin

La organizacin define las responsabilidades de las personas a nivel de

control interno para la consecucin de los objetivos.
La organizacin define las responsabilidades de las personas a nivel de
control interno para la consecucin de los objetivos.

La organizacin define los objetivos con suficiente claridad para permitir la

identificacin y evaluacin de los riesgos relacionados.

La organizacin identifica los riesgos para la consecucin de sus objetivos

en todos los niveles de la entidad y los analiza como base sobre la cual
determinar cmo se deben gestionar.

La organizacin considera la probabilidad de fraude al evaluar los riesgos

para la consecucin de los objetivos.

La organizacin identifica y evala los cambios que podran afectar

significativamente al sistema de control interno.
La organizacin define y desarrolla actividades de control que contribuyen a
la mitigacin de los riesgos hasta niveles aceptables para la consecucin de
los objetivos.

La organizacin define y desarrolla actividades de control a nivel de entidad

sobre la tecnologa para apoyar la consecucin de los objetivos.

La organizacin despliega las actividades de control a travs de polticas

que establecen las lneas generales del control interno y procedimientos
que llevan dichas polticas a la prctica.
La organizacin obtiene o genera y utiliza informacin relevante y de
calidad para apoyar el funcionamiento del control interno.
La organizacin comunica la informacin internamente, incluidos los
objetivos y responsabilidades que son necesarios para apoyar el
funcionamiento del sistema de control interno.

La organizacin se comunica con los grupos de inters externos sobre los

aspectos clave que afectan al funcionamiento del control interno.

La organizacin selecciona, desarrolla y realiza evaluaciones continuas y/o

independientes para determinar si los componentes del sistema de control
interno estn presentes y en funcionamiento.

La organizacin evala y comunica las deficiencias de control interno de

forma oportuna a las partes responsables de aplicar medidas correctivas,
incluyendo la alta direccin y el consejo, segn corresponda
 MAPEO COSO-GTAG
COSO
Puntos
Establece el tono de la gerencia, la Junta de enfoque
Directiva. La Alta Gerencia y el personal
supervisor estn comprometidos con los valores y principios ticos y los refuerzan en sus
actuaciones
Establece estndares de conducta. Las expectativas de la Junta Directiva y la Alta
Direccin con respecto a la integridad y los valores ticos son definidos en los estndares
de conducta de la entidad y entendidos en todos los niveles de la organizacin y por los
proveedores de servicio externos y socios de negocios
Evala la adherencia a estndares de conducta. Los procesos estn en su lugar para
evaluar el desempeo de los individuos y equipos en relacin
con los estndares
Aborda de conducta
y decide sobre esperados
desviaciones de oportuna.
en forma la entidadLas desviaciones de los
estndares de conducta esperados en la entidad son identificadas y corregidas oportuna y
adecuadamente
Establece las responsabilidades de supervisin de la direccin. La Junta Directiva identifica
y acepta su responsabilidad de supervisin con respecto a establecer requerimientos y
expectativas
Aplica experiencia relevante. La Junta directiva define, mantiene y peridicamente evala
las habilidades y experiencia necesaria entre sus miembros para que puedan hacer
preguntas de sondeo de la Alta
Direccin y tomar medidas proporcionales

Conserva o delega responsabilidades de supervisin

Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes
son independientes de la Administracin y objetivos en
evaluaciones
Considera y toma
todas de decisiones
las estructuras de la entidad. La Administracin y la Junta Directiva
consideran las estructuras mltiples utilizadas (incluyendo unidades operativas,
entidades legales, distribucin geogrfica, y proveedores de servicios externos) para
apoyar la consecucin
Establece de losLa
lneas de reporte. objetivos
Administracin disea y evala las lneas de reporte para
cada estructura de la entidad para permitir la ejecucin de autoridades y
responsabilidades
y el flujo de informacin para gestionar las actividades de la entidad
Define, asigna y delimita autoridades y responsabilidades.

Establece polticas y prcticas. Las polticas y prcticas reflejan las expectativas de

competencia
necesarias para apoyaryeldirecciona
Evala la competencia cumplimiento de los objetivos
las deficiencias. La Junta Directiva y la Administracin
evalan la competencia a travs de la organizacin y en los proveedores de servicios
externos de acuerdo con las polticas y prcticas establecidas, y acta cuando es
necesario direccionando las deficiencias
Atrae, desarrolla y retiene profesionales. La organizacin provee la orientacin y la
capacitacin necesaria para atraer, desarrollar y retener personal suficiente y competente
y proveedores
Planea de servicios
y se prepara externos para
para sucesiones. apoyar
La Alta el cumplimiento
Direccin de los objetivos
y la Junta Directiva desarrollan
planes de contingencia para la asignacin de la responsabilidad importante para el control
interno
Hace cumplir la responsabilidad a travs de estructuras, autoridades y responsabilidades.

Directiva establecen los mecanismos para comunicar y mantener profesionales

responsables para el desempeo de las responsabilidades de control interno a travs de la
organizacin, e implementan acciones correctivas cuando es necesario
Establece medidas de desempeo, incentivos y remios. La Administracin y la Junta
Directiva establecen medidas de desempeo, incentivos, y otros premios apropiados para
las responsabilidades en todos los niveles de la entidad, reflejando dimensiones de
desempeo
apropiadas y estndares de conducta esperados, y considerando el cumplimiento de
objetivos a corto y largo plazo
Evala medidas de desempeo, incentivos y premios para la relevancia en curso. La
Administracin y la Junta Directiva alinean incentivos y premios con el cumplimiento de
las responsabilidades de control interno para la consecucin de los objetivos
Considera presiones excesivas. La administracin y la Junta Directiva evalan y ajustan las
presiones asociadas con el cumplimiento de los objetivos as como asignan
responsabilidades, desarrollan medidas de desempeo y evalan el desempeo
Evala desempeo y premios o disciplina los individuos. La Administracin y la Junta

Directiva evalan el desempeo de las responsabilidades de control interno, incluyendo la

adherencia a los estndares de conducta y los niveles de competencia esperados, y
proporciona premios o ejerce acciones disciplinarias cuando es apropiado
Objetivos Operativos: " Refleja las elecciones de la administracin. " Considera la
tolerancia al riesgo. " Incluye las metas de desempeo operativo y financiero. " Constituye
una base para administrar los recursos

Objetivos de Reporte Financiero Externo: " Cumple con los estndares contables
aplicables.
Objetivos de" Reporte
Considera
nola materialidad.
Financiero " Refleja
Externo: las actividades
" Cumple de la entidad.
con los estndares y marcos
externos establecidos. " Considera los niveles de precisin requeridos. " Refleja las
actividades de la entidad.

Objetivos de Reporte interno: " Refleja las elecciones de la administracin. " Considera el
nivel requerido
Objetivos de precisin.""Refleja
de Cumplimiento: Reflejalas
lasleyes
actividades de la entidad.
y regulaciones externas. " Considera la
tolerancia al riesgo.
Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La
organizacin identifica y evala los riesgos a nivel de la entidad, sucursales, divisiones,
unidad operativa y niveles funcionales relevantes para la consecucin de los objetivos
Evala la consideracin de factores externos e internos en la identificacin de los riesgos
que puedan afectar a los objetivos
Envuelve niveles apropiados de administracin. La direccin evala si existen mecanismos
adecuados para la identificacin y anlisis de riesgos
Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al
riesgo de la organizacin
Determina la respuesta a los riesgos. La evaluacin de riesgos incluye la consideracin de
cmo el riesgo debera ser gestionado y si aceptar, evitar, reducir o compartir el riesgo
Considera varios tipos de fraude: La evaluacin del fraude considera el Reporting
fraudulento, posible prdida de activos y corrupcin
La evaluacin del riesgo de fraude evala incentivos y presiones
La evaluacin del riesgo de fraude tiene en consideracin el riesgo de fraude por
adquisiciones no autorizadas, uso o enajenacin de activos, alteracin de los registros de
informacin, u otros actos inapropiados
La evaluacin del riesgo de fraude considera cmo la direccin u otros empleados
participan en, o justifican, acciones inapropiadas.

Evala cambios en el ambiente externo. El proceso de identificacin de riesgos considera

cambios en los ambientes regulatorio, econmico, y fsico en los que la entidad opera.

Evala cambios en liderazgo. La organizacin considera cambios en administracin y

respectivas actitudes y filosofas en el sistema de control interno.

Se integra con la evaluacin de riesgos. Las actividades de control ayudan a asegurar que
las respuestas a los riesgos que direccionan y mitigan los riesgos son llevadas a cabo.
Considera factores especficos de la entidad. La administracin considera cmo el
ambiente, complejidad, naturaleza y alcance de sus operaciones, as como las
caractersticas especficas de la organizacin, afectan la seleccin y desarrollo de las
actividades de control.

Determina la importancia de los procesos del negocio. La administracin determina la

importancia de los procesos del negocio en las actividades de control.

Evala una mezcla de tipos de actividades de control. Las actividades de control incluyen
un rango y una variedad de controles que pueden incluir un equilibrio de enfoques para
mitigar los riesgos teniendo en cuenta controles manuales y automatizados, y controles
preventivos y de deteccin

Considera en qu nivel las actividades son aplicadas. La administracin considera las

actividades de control en varios niveles de la entidad.

Direcciona la segregacin de funciones. La administracin segrega funciones

incompatibles, y donde dicha segregacin no es prctica, la administracin selecciona y
desarrolla actividades de control alternativas

Determina la relacin entre el uso de la tecnologa en los procesos del negocio y los
controles generales de tecnologa: La direccin entiende y determina la dependencia y la
vinculacin entre los procesos de negocios, las actividades de control automatizadas y los
Controles Generales de tecnologa

Establece actividades de control para la infraestructura tecnolgica relevante: la Direccin selecciona y

desarrolla actividades de control diseadas e implementadas para ayudar a asegurar la completitud, precisin y
disponibilidad de la tecnologa.

Establece las actividades de control para la administracin de procesos relevantes de

seguridad: la direccin selecciona y desarrolla actividades de control diseadas
e implementadas para restringir los derechos de acceso, con el fin de proteger los activos de la organizacin de
amenazas externas.

Establece actividades de control relevantes para los procesos de adquisicin, desarrollo y mantenimiento de la
tecnologa: la direccin selecciona y desarrolla actividades de control
sobre la adquisicin, desarrollo y mantenimiento de la tecnologa y su infraestructura

administracin: la administracin establece actividades de control

que estn construidas dentro de los procesos del negocio y las actividades del da a da de
los
empleados a travs de polticas estableciendo lo que se espera y los procedimientos
relevantes
especificando acciones
procedimientos: la
administracin establece la responsabilidad y rendicin de cuentas para las actividades de
control con la administracin (u otro personal asignado) de la unidad de negocios o
funcin en
el cual los riesgos relevantes residen

Funciona oportunamente: el personal responsable desarrolla las actividades de control

oportunamente, como es definido en las polticas y procedimientos.
Se dispone de un proceso para identificar la informacion necesaria y que se espera para
respaldar el funcionamiento de los otros componentes del control interno y la
consecuencia de los objetivos de la organizacin.

existe un proceso destinado a comunicar la informacion necesaria para posibilitar que

todo el personal comprenda y desempee sus responsabilidades de control interno.

Existen procesos destinados a comunicar informacion relevante y oportuna a las partes

interesadas externas, incluidos accionistas, socios, propietarios, organismos reguladores,
clientes y analistas financieros, entre otros.

La direccion incluye un conjunto equilibrado de evaluaciones continuas e independientes.

La direccion o el consejo de administracion, segn corresponda analiza los resultados de

las evaluaciones continuas e independientes.
 Referencia
GTAG

Controles de tecnologa de Informacin

Auditora Contnua: Implicancias para el aseguramiento, la

supervisin y la evaluacin de riesgos

Entrega del Plan de Auditora de Tecnologa de la Informacin

Controles de tecnologa de Informacin

Controles de gestin de parches y cambios: cruciales para el xito de la

organizacin
Controles de gestin de parches y cambios: cruciales para el xito de la
organizacin

Auditora Contnua: Implicancias para el aseguramiento, la supervisin y la

evaluacin de riesgos

Gestin y auditora de puntos vulnerables de tecnologa de

informacin

Prevencin y Deteccin de Fraude en un mundo

automatizado / Fraud Prevention and Detection in an
Automated World

Controles de gestin de parches y cambios: cruciales para el

xito de la organizacin
Auditora Contnua: Implicancias para el aseguramiento, la
supervisin y la evaluacin de riesgos

Controles de tecnologa de Informacin

Gestin de identidades y accesos

Controles de tecnologa de Informacin

Tercerizacin de Tecnologa de la informacin

Auditora Contnua: Implicancias para el aseguramiento, la supervisin y la

evaluacin de riesgos
 Control

Existen polticas y normas corporativas que describan la

necesidad de controles de TI?
Se han asignado todas las responsabilidades relevantes de
controles de TI a funciones individuales?

Los responsables individuales de cada funcin,

entienden claramente sus responsabilidades en cuanto a
controles de TI?
Qu evidencia hay de que los titulares de las funciones han
ejercido sus responsabilidades?
Se mantuvieron los requerimientos de control
interno, operaciones y cumplimiento regulatorio?
Proteger el entorno de produccin y respaldar a la organizacin
mientras se persiguen los objetivos de negocio son
responsabilidades clave del departamento de TI.
Delegar por completo en su personal tcnico de
auditora de TI
La gestin de TI posee los controles para alcanzar sus propios
objetivos de negocio
de manera eficiente y eficaz.

Programas de capacitacin y difusin para

promover una cultura de la gestin del cambio.

Polticas claras que describen las categoras y los

niveles de cambios y los grados de formalidad,
aprobacin y severidad asociados con el avance de
los cambios dentro de cada categora desde la
iniciacin hasta la etapa de implementacin

Utilice la tasa de xito del cambio como un indicador

clave del desempeo de la gestin de TI.

Programas de capacitacin y difusin para

promover una cultura de la gestin del cambio.
Desarrollar planes de contingencia de TI a largo y a corto, con el
fin de asignar responsabilidades al personal
Se han implementado estructuras de control y normas de TI
dentro de la organizacin?
La comunicacin adecuada de los cambios pendientes a las
partes afectadas, entre ellas a la gerencia, los usuarios, los
programadores , los administradores de seguridad, operaciones
de TI y al personal de la mesa de ayuda.

Se han establecido procedimientos

para la creacin, almacenamiento y gestin
de los datos del negocio?
Cmo se han implementado
y cmo se asegura su cumplimiento de responsabilidades del
personal
cambio de la organizacin?
de TI para asegurar que los cambios documenten de forma
adecuada
los pasos necesarios para la implementacin del cambio.
cambio
de TI para determinar si los cambios con costo o riesgo
significativos
requieren la aprobacin de los usuarios del negocio en los
puntos adecuados para ello.

Se mantuvieron los requerimientos de control

interno, operaciones y cumplimiento regulatorio?
Proteger el entorno de produccin y respaldar a la organizacin
mientras se persiguen los objetivos de negocio son
responsabilidades clave del departamento de TI.
Delegar por completo en su personal tcnico de
auditora de TI

La gestin de TI posee los controles para alcanzar sus propios

objetivos de negocio
de manera eficiente y eficaz.

Cuntas vulnerabilidades singulares

existen en su empresa?
Qu porcentaje de sistemas
estn gestionados?
Qu porcentaje de vulnerabilidades
ha validado?
Cul es el tiempo medio para
enmendar una vulnerabilidad?
Qu porcentaje de acuerdos
OLA se cumple?
El control fsico insuficiente sobre el hardware IT ocasiona cambios en la
destruccin o apropiacin indebida para beneficio personal
Reconciliaciones y revisin de cuentas

Revision de terminos de contrato (informacin confidencial,

ninguna revelacin, devolucin de la informacin conficencial.

Polticas
cambio y procedimientos documentados
de TI para asegurar que los cambios documenten de forma
adecuada
los pasos necesarios para la implementacin del cambio.
La comunicacin adecuada de los cambios pendientes a las
partes afectadas, entre ellas a la gerencia, los usuarios, los
programadores , los administradores de seguridad, operaciones
de TI y al personal de la mesa de ayuda.

Una vez que se identificaron las exposiciones, es importante

evaluar el nivel de riesgo. Dos de las medidas de riesgo usuales
son la probabilidad y la gravedad. La probabilidad mide el
grado de certeza de que la exposicin ocasionar una prdida.
La gravedad mide hasta dnde se sentir el impacto. La
 Una vez que se identificaron las exposiciones, es importante
evaluar el nivel de riesgo. Dos de las medidas de riesgo usuales
son la probabilidad y la gravedad. La probabilidad mide el
grado de certeza de que la exposicin ocasionar una prdida.
La gravedad mide hasta dnde se sentir el impacto. La
evaluacin de riesgos debe incluir el anlisis de los controles
adoptados para mitigar estos riesgos.

Delegar por completo en su personal tcnico de

auditora de TI

Se mantuvieron los requerimientos de control

interno, operaciones y cumplimiento regulatorio?

Polticas claras que describen las categoras y los

niveles de cambios y los grados de formalidad,
aprobacin y severidad asociados con el avance de
los cambios dentro de cada categora desde la
iniciacin hasta la etapa de implementacin

Utilice la tasa de xito del cambio como un indicador

clave del desempeo de la gestin de TI.

Programas de capacitacin y difusin para

promover una cultura de la gestin del cambio.

Desarrollar planes de contingencia de TI a largo y a corto, con el

fin de asignar responsabilidades al personal

Existen mtodos definidos para abordar adecuadamente los

problemas relacionados con
la separacin de funciones?

Cmo se establecen las polticas de contraseas? Y estas, son

suficientes para la
organizacin?

La organizacin cuenta con procesos coherentes para gestionar

el acceso al sistema?
La direccin ha tomado medidas para asegurar el cumplimiento
de esta legislacin?

Se han asignado todas las responsabilidades relevantes de

controles de TI a funciones individuales?
Cul es la estructura de gobierno relacionada con las
operaciones tercerizadas? Los roles y responsabilidad estn
definidos con claridad?
Establecer una serie de pruebas automatizadas para indicar si es
probable que alguna transaccin no haya cumplido con todos los
objetivos de control y las afirmaciones de aseguramiento
pertinentes.

Informacin para la toma de decisiones: examinando la

confiabilidad y la posibilidad de acceso a la informacin que
utilizan los directores.
 PRINCIPIO DE COSO
Componente
Entorno de Control

1.

2.

3.

4.

5.

Evaluacin de Riesgos

6.

7.

8.

9.

Actividades de Control

10.

11.

12.

Informacin y Comunicacin

13.
14.

15.

Actividades de Supervisin

16.

17.
PRINCIPIO DE COSO
Principio
Entorno de Control
La organizacin demuestra compromiso con la integridad y los
valores ticos.
El consejo de administracin demuestra independencia de la
direccin y ejerce la supervisin del desempeo del sistema de
control interno.
La direccin establece, con la supervisin del consejo, las
estructuras, las lneas de reporte y los niveles de autoridad y
responsabilidad apropiados para la consecucin de los objetivos.
La organizacin demuestra compromiso para atraer, desarrollar y
retener a profesionales competentes, en alineacin con los objetivos
de la organizacin
La organizacin define las responsabilidades de las personas a nivel
de control interno para la consecucin de los objetivos.

Evaluacin de Riesgos
La organizacin define los objetivos con suficiente claridad para
permitir la identificacin y evaluacin de los riesgos relacionados.
La organizacin identifica los riesgos para la consecucin de sus
objetivos en todos los niveles de la entidad y los analiza como base
sobre la cual determinar cmo se deben gestionar.
La organizacin considera la probabilidad de fraude al evaluar los
riesgos para la consecucin de los objetivos.
La organizacin identifica y evala los cambios que podran afectar
significativamente al sistema de control interno.

Actividades de Control
La organizacin define y desarrolla actividades de control que
contribuyen a la mitigacin de los riesgos hasta niveles aceptables
para la consecucin de los objetivos.
La organizacin define y desarrolla actividades de control a nivel de
entidad sobre la tecnologa para apoyar la consecucin de los
objetivos.
La organizacin despliega las actividades de control a travs de
polticas que establecen las lneas generales del control interno y
procedimientos que llevan dichas polticas a la prctica.

Informacin y Comunicacin
La organizacin obtiene o genera y utiliza informacin relevante y
de calidad para apoyar el funcionamiento del control interno.
 La organizacin comunica la informacin internamente, incluidos
los objetivos y responsabilidades que son necesarios para apoyar el
funcionamiento del sistema de control interno.
La organizacin se comunica con los grupos de inters externos
sobre los aspectos clave que afectan al funcionamiento del control
interno.

Actividades de Supervisin
La organizacin selecciona, desarrolla y realiza evaluaciones
continuas y/o independientes para determinar si los componentes
del sistema de control interno estn presentes y en funcionamiento.
La organizacin evala y comunica las deficiencias de control
interno de forma oportuna a las partes responsables de aplicar
medidas correctivas, incluyendo la alta direccin y el consejo, segn
corresponda
 GTAG
N Referencia

1 Controles de tecnologa de Informacin

Controles de gestin de parches y cambios: cruciales para el xito de la
2 organizacin
Auditora Contnua: Implicancias para el aseguramiento, la supervisin
3 y la evaluacin de riesgos
4 Gestin de la auditora de tecnologa de informacin
5 Gestin y auditora de riesgos de privacidad

6 Gestin y auditora de puntos vulnerables de tecnologa de informacin

7 Tercerizacin de Tecnologa de la informacin
8 Auditar controles de aplicaciones
9 Gestin de identidades y accesos
Administracin de Continuidad de Negocio / Business Continuity
10 Management
Entrega del Plan de Auditora de Tecnologa de la Informacin /
11 Developing the IT Audit Plan
12 Auditora de Proyectos de TI / Auditing IT Projects
Prevencin y Deteccin de Fraude en un mundo automatizado / Fraud
13 Prevention and Detection in an Automated World
Auditora a la entrega de aplicaciones de usuario / Auditing User-
14 developed Applications
Gobierno de Seguridad de la Informacin / Information Security
15 Governance
16 Tecnologas de Anlisis de Datos / Data Analysis Technologies