QUE ES EL MODELO COSO?

COSO (Committee of Sponsoring Organizations of the Treadway), es una Comisin voluntaria constituida
por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo
intelectual frente a tres temas interrelacionados: la gestin del riesgo empresarial (ERM), el control
interno, y la disuasin del fraude.
OBJETIVOS DEL MODELO COSO
Efectividad y eficiencia de las operaciones.
Suficiencia y confiabilidad de la informacin financiera.
Cumplimiento de las leyes y regulaciones aplicables.
PRINCIPIOS DEL MODELO COSO.
Ambiente de control
1. La organizacin demuestra compromiso por la integridad y valores ticos.
2. El Consejo de Administracin demuestra una independencia de la administracin y ejerce una
supervisin del desarrollo y el rendimiento de los controles internos.
3. La Administracin establece, con la aprobacin del Consejo, las estructuras, lneas de reporte y las
autoridades y responsabilidades apropiadas en la bsqueda de objetivos.
4. La organizacin demuestra un compromiso a atraer, desarrollar y retener personas competentes en
alineacin con los objetivos.
5. La organizacin retiene individuos comprometidos con sus responsabilidades de control interno en la
bsqueda de objetivos.
Evaluacin de Riesgos
6. La organizacin especifica objetivos con suficiente claridad para permitir la identificacin y
valoracin de los riesgos relacionados a los objetivos.
7. La organizacin identifica los riesgos sobre el cumplimiento de los objetivos a travs de la entidad y
analiza los riesgos para determinar cmo esos riesgos deben de administrarse.
8. La organizacin considera la posibilidad de fraude en la evaluacin de riesgos para el logro de los
objetivos.
9. La organizacin identifica y evala cambios que pueden impactar significativamente al sistema de
control interno.
Actividades de control
10. La organizacin elige y desarrolla actividades de control que contribuyen a la mitigacin de riesgos
para el logro de objetivos a niveles aceptables.
11. La organizacin elige y desarrolla actividades de control generales sobre la tecnologapara apoyar el
cumplimiento de los objetivos.
12. La organizacin despliega actividades de control a travs de polticas que establecen lo que se espera y
procedimientos que ponen dichas polticas en accin.
Informacin y comunicacin
13. La organizacin obtiene o genera y usa informacin relevante y de calidad para apoyar el
funcionamiento del control interno.
14. La organizacin comunica informacin internamente, incluyendo objetivos y responsabilidades sobre
el control interno, necesarios para apoyar funcionamiento del control interno.
15. La organizacin se comunica con grupos externos con respecto a situaciones que afectan el
funcionamiento del control interno.

Actividades de monitoreo
16. La organizacin selecciona, desarrolla, y realiza evaluaciones continuas y/o separadas para
comprobar cuando los componentes de control interno estn presentes y funcionando.
17. La organizacin evala y comunica deficiencias de control interno de manera adecuada a aquellos
grupos responsables de tomar la accin correctiva, incluyendo la Alta Direccin y el Consejo de
Administracin, segn sea apropiado.

ESTRUCTURA DEL MODELO COSO

El modelo COSO se estructura en cuatro partes
Resumen ejecutivo: visin de alto nivel sobre la estructura conceptual del control interno, dirigido a
directores ejecutivos, miembros de consejo, legisladores.
Estructura conceptual: define el control interno, describe sus componentes y proporciona criterios para
que Administradores, Consejeros y otros puedan valorar sus sistemas de control.
Reportes a partes externas: es un documento suplementario que proporciona orientacin a aquellas
entidades que publican informes sobre control interno, adems de la preparacin de estados
financieros.
Herramientas de evaluacin: proporciona materiales que se pueden usar en la realizacin de una
evaluacin de un sistema de control interno.
QU ES COBIT?

Su sigla en ingls se refiere a Control Objectives for Information and Related Technology y es un conjunto
de mejores prcticas para el manejo de informacin creado por la Asociacin para la Auditora y Control
de Sistemas de Informacin (ISACA), y el Instituto de Administracin de las Tecnologas de la
Informacin (ITGI) en 1992.
COBIT es un marco de referencia para la direccin de IT, as como tambin de herramientas de soporte
que permite a la alta direccin reducir la brecha entre las necesidades de control, cuestiones tcnicas y los
riesgos del negocio. COBIT permite el desarrollo de polticas claras y buenas prcticas para el control de
TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a
aumentar el valor obtenido de TI, facilita su alineacin y simplifica la implementacin del marco de
referencia de COBIT.
El propsito de COBIT es brindar a la Alta Direccin de una compaa confianza en los sistemas de
informacin y en la informacin que estos produzcan. COBIT permite entender como dirigir y gestionar el
uso de tales sistemas, as como establecer un cdigo de buenas prcticas a ser utilizado por los
proveedores de sistemas. COBIT suministra las herramientas para supervisar todas las actividades
relacionadas con IT.
COBIT organiza la Gestin de IT, los objetivos de control y buenas prcticas del negocio por dominios y
procesos de IT, relacionndolos directamente con los requerimientos del negocio.
El enfoque COBIT propone 34 procesos organizados en 4 dominios que abarcan 318 objetivos de control.

DOMINIOS

PLANEACIN Y
ORGANIZACIN (PO):
Cubre la estrategia y las tcticas, se
refiere a la identificacin de la forma
en que la tecnologa de la
informacin puede contribuir de la
mejor manera al logro de los
objetivos de la organizacin. La
consecucin de la visin estratgica
debe ser planeada, comunicada y
administrada desde diferentes
perspectivas y debe establecerse una
organizacin y una infraestructura
tecnolgicas apropiadas.

PROCESOS

PO1 Definir un Plan Estratgico de TI: El objetivo es lograr un balance ptimo

entre las oportunidades de tecnologa de informacin y los requerimientos de TI de
negocio, para asegurar sus logros futuros.
PO2 Definir la Arquitectura de la Informacin: El objetivo es satisfacer los
requerimientos de la organizacin, en cuanto al manejo y gestin de los sistemas de
informacin, a travs de la creacin y mantenimiento de un modelo de informacin
de la organizacin.
PO3 Determinar la direccin tecnolgica: El objetivo es aprovechar al mximo la
tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de
la organizacin, a travs de la creacin y mantenimiento de un plan de
infraestructura tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI: El objetivo es la prestacin de
servicios de TI, por medio de una organizacin conveniente en nmero y
habilidades, con tareas y responsabilidades definidas y comunicadas.
PO5 Manejar la Inversin en TI: El objetivo es la satisfaccin de los
requerimientos de la organizacin, asegurando el financiamiento y el control de
desembolsos de recursos financieros.
PO6 Comunicar las directrices y aspiraciones gerenciales: El objetivo es asegurar
el conocimiento y comprensin de los usuarios sobre las aspiraciones de la
gerencia, a travs de polticas establecidas y transmitidas a la comunidad de
usuarios, necesitndose para esto estndares para traducir las opciones estratgicas
en reglas de usuario prcticas y utilizables.
PO7 Administrar Recursos Humanos: El objetivo es maximizar las contribuciones
del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a
travs de tcnicas slidas para administracin de personal.
PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y contractuales, para ello se realiza una
identificacin y anlisis de los requerimientos externos en cuanto a su impacto en
TI, llevando a cabo las medidas apropiadas para cumplir con ellos.
PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisin de servicios de TI, mediante la

participacin de la propia organizacin en la identificacin de riesgos de TI y en el

anlisis de impacto, tomando medidas econmicas para mitigar los riesgos.
PO10 Administrar proyectos: El objetivo es establecer prioridades y entregar
servicios oportunamente y de acuerdo al presupuesto de inversin, para ello se
realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber
adoptar y aplicar slidas tcnicas de administracin de proyectos para cada
proyecto emprendido.
PO11 Administrar Calidad: El objetivo es satisfacer los requerimientos del cliente.,
mediante una planeacin, implementacin y mantenimiento de estndares y
sistemas de administracin de calidad por parte de la organizacin.

ADQUISICIN E
IMPLEMENTACIN (AI)
Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser
identificadas, desarrolladas o
adquiridas, as como implementadas
e integradas dentro del proceso del
negocio. Adems, este dominio
cubre los cambios y el
mantenimiento realizados a sistemas
existentes.

AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para cumplir

con los requerimientos del usuario, mediante un anlisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.
AI2 Adquirir y Mantener Software de Aplicacin: El objetivo es proporcionar
funciones automatizadas que soporten efectivamente la organizacin mediante
declaraciones especficas sobre requerimientos funcionales y operacionales, y una
implementacin estructurada con entregables claros.
AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las
plataformas apropiadas para soportar aplicaciones de negocios mediante la
realizacin de una evaluacin del desempeo del hardware y software, la provisin
de mantenimiento preventivo de hardware y la instalacin, seguridad y control del
software del sistema.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El objetivo es
asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas
establecidas, mediante la realizacin de un enfoque estructurado del desarrollo de
manuales de procedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento.
AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la
solucin sea adecuada para el propsito deseado mediante la realizacin de una
migracin de instalacin, conversin y plan de aceptaciones adecuadamente
formalizadas.

AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de

interrupciones, alteraciones no autorizadas y errores, mediante un sistema de
administracin que permita el anlisis, implementacin y seguimiento de todos los
cambios requeridos y llevados a cabo a la infraestructura de TI actual.

SERVICIOS Y SOPORTE (DS)

DS1 Definir niveles de servicio: El objetivo es establecer una comprensin comn

del nivel de servicio requerido, mediante el establecimiento de convenios de niveles
En este dominio se hace referencia a de servicio que formalicen los criterios de desempeo contra los cuales se medir la
la entrega de los servicios
cantidad y la calidad del servicio.
requeridos, que abarca desde las
operaciones tradicionales hasta el
DS2 Administrar Servicios de Terceros: El objetivo es asegurar que las tareas y
entrenamiento, pasando por
responsabilidades de las terceras partes estn claramente definidas, que cumplan y
seguridad y aspectos de continuidad. continen satisfaciendo los requerimientos, mediante el establecimiento de medidas
Con el fin de proveer servicios,
de control dirigidas a la revisin y monitoreo de contratos y procedimientos
debern establecerse los procesos de existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la
soporte necesarios. Este dominio
organizacin.
incluye el procesamiento de los
DS3 Administrar Desempeo y Calidad: El objetivo es asegurar que la capacidad
datos por sistemas de aplicacin,
adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar
frecuentemente clasificados como
el desempeo deseado, realizando controles de manejo de capacidad y desempeo
controles de aplicacin.
que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de
aplicaciones, manejo y demanda de recursos.
DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio disponible de
acuerdo con los requerimientos y continuar su provisin en caso de interrupciones,
mediante un plan de continuidad probado y funcional, que est alineado con el plan
de continuidad del negocio y relacionado con los requerimientos de negocio.
DS5 Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la
informacin contra usos no autorizados, divulgacin, modificacin, dao o prdida,
realizando controles de acceso lgico que aseguren que el acceso a sistemas, datos
y programas est restringido a usuarios autorizados.
DS6 Identificar y Asignar Costos: El objetivo es asegurar un conocimiento correcto

atribuido a los servicios de TI realizando un sistema de contabilidad de costos que

asegure que stos sean registrados, calculados y asignados a los niveles de detalle
requeridos.
DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios estn haciendo un
uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.
DS8 Asistir a los Clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa
de ayuda que proporcione soporte y asesora de primera lnea.
DS9 Administrar la Configuracin: El objetivo es dar cuenta de todos los
componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia
fsica y proporcionar una base para el sano manejo de cambios realizando controles
que identifiquen y registren todos los activos de TI, as como su localizacin fsica
y un programa regular de verificacin que confirme su existencia.
DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que los
problemas e incidentes sean resueltos y que sus causas sean investigadas para
prevenir que vuelvan a suceder implementando un sistema de manejo de problemas
que registre y haga seguimiento a todos los incidentes.
DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan
completos, precisos y vlidos durante su entrada, actualizacin, salida y
almacenamiento, a travs de una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI.
DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente fsico
conveniente que proteja el equipo y al personal de TI contra peligros naturales
(fuego, polvo, calores excesivos) o fallas humanas lo cual se hace posible con la
instalacin de controles fsicos y ambientales adecuados que sean revisados
regularmente para su funcionamiento apropiado definiendo procedimientos que
provean control de acceso del personal a las instalaciones y contemplen su
seguridad fsica.
DS13 Administrar Operaciones: El objetivo es asegurar que las funciones
importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una
manera ordenada a travs de una calendarizacin de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las actividades.

MONITOREO (M)

M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos

establecidos para los procesos de TI, lo cual se logra definiendo por parte de la
Todos los procesos de una
gerencia reportes e indicadores de desempeo gerenciales y la implementacin de
organizacin necesitan ser evaluados sistemas de soporte, as como la atencin regular a los reportes emitidos.
regularmente a travs del tiempo
para verificar su calidad y
M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro de los
suficiencia en cuanto a los
objetivos de control interno establecidos para los procesos de TI.
requerimientos de control, integridad
M3 Obtener aseguramiento independiente: El objetivo es incrementar los niveles de
y confidencialidad.
confianza entre la organizacin, clientes y proveedores externos. Este proceso se
lleva a cabo a intervalos regulares de tiempo.
M4 Proveer auditora independiente: El objetivo es incrementar los niveles de
confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditorias independientes
desarrolladas a intervalos regulares de tiempo.

RELACION DE OBJETIVOS DE CONTROL Y LOS PROCESOS DEL COBIT

PLANEACIN Y
ORGANIZACIN
1.0 Definicin de un Plan
Estratgico de Tecnologa
de Informacin
1.1 Tecnologa de
Informacin como parte
del Plan de la
Organizacin a corto y
largo plazo
1.2 Plan a largo plazo de
Tecnologa de
Informacin
1.3 Plan a largo plazo de
Tecnologa de
Informacin - Enfoque y
Estructura
1.4 Cambios al Plan a
largo plazo de Tecnologa
de Informacin
1.5 Planeacin a corto
plazo para la funcin de
Servicios de Informacin
1.6 Evaluacin de
sistemas existentes
2.0 Definicin de la
Arquitectura de
Informacin
2.1 Modelo de la
Arquitectura de
Informacin
2.2 Diccionario de Datos
y Reglas de cinta de
datos de la corporacin
2.3 Esquema de
Clasificacin de Datos
2.4 Niveles de Seguridad
3.0 Determinacin de la
direccin tecnolgica
3.1 Planeacin de la
Infraestructura
Tecnolgica
3.2 Monitoreo de
Tendencias y
Regulaciones Futuras
3.3 Contingencias en la
Infraestructura
Tecnolgica
3.4 Planes de Adquisicin
de Hardware y Software
3.5 Estndares de
Tecnologa
4.0 Definicin de la
Organizacin y de las
Relaciones de TI
4.1 Comit de planeacin
o direccin de la funcin
de servicios de
informacin
4.2 Ubicacin de los
servicios de informacin
en la organizacin
4.3 Revisin de Logros
Organizacionales
4.4 Funciones y

ADQUISICIN E
IMPLEMENTACIN
1.0 Identificacin de
Soluciones
1.1 Definicin de
Requerimientos de
Informacin
1.2 Formulacin de
Acciones Alternativas
1.3 Formulacin de
Estrategias de Adquisicin.
1.4 Requerimientos de
Servicios de Terceros
1.5 Estudio de Factibilidad
Tecnolgica
1.6 Estudio de Factibilidad
Econmica
1.7 Arquitectura de
Informacin
1.8 Reporte de Anlisis de
Riesgos
1.9 Controles de
Seguridad Econmicos
1.10 Diseo de Pistas de
Auditora
1.11 Ergonoma
1.12 Seleccin de
Software de Sistema
1.13 Control de
Abastecimiento
1.14 Adquisicin de
Productos de Software
1.15 Mantenimiento de
Software de Terceras
Partes
1.16 Contratos de
Programacin de
Aplicaciones
1.17 Aceptacin de
Instalaciones
1.18 Aceptacin de
Tecnologa
2.0 Adquisicin y
Mantenimiento de
Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos
a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y
Documentacin de
Requerimientos de
Archivos
2.5 Especificaciones de
Programas
2.6 Diseo para la
Recopilacin de Datos
Fuente
2.7 Definicin y
Documentacin de
Requerimientos de
Entrada de Datos
2.8 Definicin de
Interfaces
2.9 Interfaces Usuario-

ENTREGA DE
SERVICIOS Y SOPORTE
1.0 Definicin de Niveles
de Servicio
1.1 Marco de Referencia
para el Convenio de Nivel
de Servicio
1.2 Aspectos sobre los
Acuerdos de Nivel de
Servicio
1.3 Procedimientos de
Ejecucin
1.4 Monitoreo y Reporte
1.5 Revisin de
Convenios y Contratos de
Nivel de Servicio
1.6 Elementos sujetos a
Cargo
1.7 Programa de
Mejoramiento del Servicio
2.0 Administracin de
Servicios prestados por
Terceros
2.1 Interfaces con
Proveedores
2.2 Relaciones de Dueos
2.3 Contratos con
Terceros
2.4 Calificaciones de
terceros
2.5 Contratos con
Outsourcing
2.6 Continuidad de
Servicios
2.7 Relaciones de
Seguridad
2.8 Monitoreo
3.0 Administracin de
Desempeo y Capacidad
3.1 Requerimientos de
Disponibilidad y
Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de
Modelado
3.5 Manejo de
Desempeo Proactivo
3.6 Pronstico de Carga
de Trabajo
3.7 Administracin de
Capacidad de Recursos
3.8 Disponibilidad de
Recursos
3.9 Calendarizacin de
recursos
4.0 Aseguramiento de
Servicio Continuo
4.1 Marco de Referencia
de Continuidad de
Tecnologa de Informacin
4.2 Estrategia y Filosofa
de Continuidad de
Tecnologa de Informacin
4.3 Contenido del Plan de

MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos
de Monitoreo
1.2 Evaluacin de
Desempeo
1.3 Evaluacin de la
Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado
del Control Interno
2.1 Monitoreo de Control
Interno
2.2 Operacin oportuna
del Control Interno
2.3 Reporte sobre el Nivel
de Control Interno
2.4 Seguridad de
operacin y
aseguramiento de Control
Interno
3.0 Obtencin de
Aseguramiento
Independiente
3.1 Certificacin /
Acreditacin
Independiente de Control
y Seguridad de los
servicios de TI
3.2 Certificacin /
Acreditacin
Independiente de Control
y Seguridad de
proveedores externos de
servicios
3.3 Evaluacin
Independiente de la
Efectividad
3.4 Evaluacin
Independiente de la
Efectividad de
proveedores externos de
servicios
3.5 Aseguramiento
Independiente del
Cumplimiento de leyes y
requerimientos
regulatorios y
compromisos
contractuales
3.6 Aseguramiento
Independiente del
Cumplimiento de leyes y
requerimientos
regulatorios y
compromisos
contractuales
3.7 Competencia de la
Funcin de Aseguramiento
Independiente
3.8 Participacin Proactiva
de Auditora
4.0 Proveer Auditora
Independiente
4.1 Estatutos de Auditora