ADMINISTRACIÓN DE SERVICIOS DE TECNOLOGÍAS DE

INFORMACIÓN I

CONTROL Y SUPERVISIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Maestra: Maria del Carmen Estee Taibo Cano

Exploración de la aplicación de los componentes de COSO en la organización

del estudiante

Imagen obtenida de: https://www.globalsuitesolutions.com/wp-content/uploads/2020/05/coso-

erm.jpg

Francisco Javier Alvarado de la Cruz

Fecha: 11/07/2022
Introducción

El Comité de Organizaciones Patrocinadoras de la Comision Treadway (COSO, por sus siglas

en inglés, Committee of sponsoring organizations of the treadway commission), Presento en
1992 la primera versión del Marco Integrado de Control Interno, que ha sido aceptado alrededor
del mundo y sea convertido en un marco líder en diseño, implementación y conducción de
control interno y evaluación de su efectividad.

Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin
de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos
en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información
financiera, y el cumplimiento de leyes y normas aplicables.

El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba
cinco componentes relacionas entre sí:

- Ambiente de control
- Evaluacion del riesgo
- Avtividades de Control
- Informacion y comunicaicon
- Supervision y seguimiento

Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin
de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos
en relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información
financiera, y el cumplimento de leyes y normas aplicables.

Un sistema de control interno debe verse como un proceso integrado y dinámico.

1.- Ambiente de Control

Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de

la administración.

El entorno de control es influenciado por factores tanto internos como externos, tales como la
historia de la entidad, los valores, el mercado, y el ambiente competitivo y regulatorio.
Comprende las normas, procesos y estructuras que constituyen la base para desarrollar el
control interno de la organización. Este componente crea la disciplina que apoya la evaluación
el riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las actividades
de control, uso de la información y sistemas de comunicación, y conducción de actividades de
supervisión.

Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la
estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo de
gerencia y el compromiso.

Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida financiera,
pérdida de imagen o un fracaso empresarial.

Por esta razón, este componente tiene una influencia muy relevante en los demás componentes
del sistema de control interno, y se convierte en el cimiento de los demás proporcionando
disciplina y estructura.

Una organización que establece y mantiene un adecuado entorno de control es más fuerte a la
hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:

 Actitudes congruentes con su integridad y valores éticos.

 Procesos y conductas adecuados para la evaluación de conductas.

 Asignación adecuada de responsabilidades.

 Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la

consecución de los objetivos.
2.- Evaluación de riesgos

Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la
organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno
como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes
sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte
y una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de
que no se cumplan los objetivos de la organización.

De esta manera, la organización debe prever, conocer y abordar los riesgos con los que se
enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un
proceso dinámico e iterativo que constituye la base para determinar cómo se gestionaran los
riesgos.

La evaluación de riesgos implica un proceso dinámico e interactivo para identificar y evaluar los
riesgos de cara al logro de los objetivos. Dichos riesgos deben evaluarse en relación con unos
niveles preestablecidos de tolerancia. De este modo, la valuación de riesgos constituye la base
para determinar cómo se gestionarán.

Una condición previa a la evaluación de riesgos es el establecimiento de objetivos asociados a

los diferentes niveles de la compañía. La administración debe definir los objetivos operativos, la
información y que dé cumplimiento con suficiente claridad y detalle que permita la identificación
y evaluación de los riesgos con impacto potencial en dichos objetivos.

Asimismo, la dirección debe considerar la adecuación de los objetivos para la compañía. La

evaluación de riesgos también requiere que la administración considere el impacto que puedan
tener posibles cambios en el entorno externo y dentro de su propio modelo de negocio, y que
puedan provocar que el control interno no resulte efectivo.
3.- Actividades de Control

En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a

que las normas de la organización se ejecuten con una seguridad razonable para enfrentar de
forma eficaz los riesgos.

Las actividades de control se definen como las acciones establecidas a través de las políticas y
procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la
dirección para mitigar los riesgos con impacto potencial en los objetivos.

Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas
de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para
asegurar el cumplimiento de los objetivos.

Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una amplia gama
de actividades manuales y automatizadas.

Las actividades de control conforman una parte fundamental de los elementos de control interno.
Estas actividades están orientadas a minimizar los riesgos que dificultan la realización de los
objetivos generales de la organización.

Cada control que se realice debe estar de acuerdo con el riesgo que previene, teniendo en
cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos excesivos. Estos
controles permiten:

 Prevenir la ocurrencia de riesgos innecesarios.

 Minimizar el impacto de las consecuencias de los mismos.

 Restablecer el sistema en el menor tiempo posible.

En todos los niveles de la organización existen responsabilidades en las actividades de control,

debido a esto es necesario que todo el personal dentro de la organización conozca cuáles son
las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las funciones
de control que le corresponden a cada individuo.
4.- Información y Comunicación

El personal debe no solo captar una información sino también intercambiarla para desarrollar,
gestionar y controlar sus operaciones. Por lo tanto, este componente hace referencia a la forma
en que las áreas operativas, administrativas y financieras de la organización identifican,
capturan e intercambian información. La información es necesaria para que la entidad lleve a
cabo las responsabilidades de control interno que apoyan el cumplimiento de los objetivos. La
gestión de la empresa y el progreso hacia los objetivos establecidos implican que la información
es necesaria en todos los niveles de la empresa.

La información está compuesta por los datos que se combinan y sintetizan con base en la
relevancia para los requerimientos de información. Es importante que la dirección disponga de
datos fiables a la hora de efectuar la planificación, preparar presupuestos, y demás actividades.

Es por esto que la información debe ser de calidad y tener en cuenta los siguientes aspectos:

- Contenido: ¿presenta toda la información necesaria?

- Oportunidad: ¿se facilita en el tiempo adecuado?
- Actualidad: ¿está disponible la información más reciente?
- Exactitud: ¿los datos son correctos y fiables?
- Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas
adecuadas?

La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener la

información necesaria, relevante y de calidad, tanto interna como externamente. La
comunicación interna es el medio por el cual la información se difunde a través de toda la
organización, que fluye en sentido ascendente, descendente y a todos los niveles de la entidad.
Esto hace posible que el personal pueda recibir de la Alta Dirección un mensaje claro de las
responsabilidades de control. La comunicación externa tiene dos finalidades: comunicar de
afuera hacia el interior de la organización información externa relevante, y proporcionar
información interna relevante de adentro hacia afuera, en respuesta a las necesidades y
expectativas de grupos de interés externos.
5.- Supervisión y Monitoreo

Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de mejoramiento

continuo; así mismo, el Sistema de Control Interno debe ser flexible para reaccionar ágilmente
y adaptarse a las circunstancias.

Las actividades de monitoreo y supervisión deben evaluar si los componentes y principios están
presentes y funcionando en la entidad.

Es importante determinar, supervisar y medir la calidad del desempeño de la estructura de

control interno, teniendo en cuenta:

- Las actividades de monitoreo durante el curso ordinario de las operaciones de la entidad.

- Evaluaciones separadas.
- Condiciones reportables.
- Papel asumido por cada miembro de la organización en los niveles de control.

Es importante establecer procedimientos que aseguren que cualquier deficiencia detectada que
pueda afectar al Sistema de Control Interno sea informada oportunamente para tomar las
decisiones pertinentes. Los sistemas de control interno cambian constantemente, debido a que
los procedimientos que eran eficaces en un momento dado, pueden perder su eficacia por
diferentes motivos, como la incorporación de nuevos empleados, restricciones de recursos,
entre otros.
Identificación de los Roles y Responsables:

Ambiente de Control: establece integridad y valores éticos, estructuras de supervisión,

autoridad y responsabilidad, expectativas de competencia, y rendición de cuentas a la Junta.

El consejo de administración demuestra independencia de la dirección y ejerce la supervisión

del desempeño del sistema de control interno.

La Evaluación de riesgos: monitorea las evaluaciones de riesgos de la administración para el

cumplimiento de los objetivos, incluyendo el impacto potencial de los cambios significativos,
fraude y la evasión del control interno por parte de la administración.

La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.

Actividades de Control: Provee supervisión a la Alta Dirección en el desarrollo y cumplimiento

de las actividades de control.

La organización define y desarrolla actividades de control que contribuyen a la mitigación de los

riesgos hasta niveles aceptables para la consecución de los objetivos.

Información y Comunicación: Analiza y discute la información relacionada con el cumplimiento

de los objetivos de la entidad.

Existe comunicación entre la administración y la Junta Directiva; por lo tanto, ambas partes
tienen la información necesaria para cumplir con sus roles con respecto a los objetivos de la
entidad.

La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el

funcionamiento del control Interno.

Actividad de Supervisión: Evalúa y supervisa la naturaleza y alcance de las actividades de

monitoreo y la evaluación y mejoramiento de la administración de la deficiencias.

La organización selecciona, desarrolla y realiza evaluaciones continuas y/o independientes para

determinar si los componentes del sistema están presentes y funcionando.
Identificación de los procesos organizacionales en donde se lleva a
cabo, o se debería llevar a cabo.

Dentro de la organización donde actualmente laboro, este tipo de control interno, es seguido tal
cual lo hemos aprendido en esta unidad, implementando proceso de seguridad, procesos de
mejora, procesos de calidad y hasta en los procesos que se ejecutan para el envío de la
mercancía que es creada o ensamblada dentro de la institución, cada propuesta de mejor para
la compañía está basada en dichos procesos los cuales se ejecutan mediante el sistema de
control interno y también son evaluados para poder medirlos y corregir o mejorarlos.

Identificación de la documentación existente relacionada o

explicación de porqué no se exhibe dicha documentación.

Toda documentación se encuentra exhibida en cada área de trabajo, por ejemplo en el área
donde se emplean maquinas o robots para la realización de componentes o partes para
posteriormente se ensamblen y formen un artículo, se encuentran hojas con los procesos de
como ejecutar actividades en dicha máquina, el cómo operar en caso de riesgos, se fijan
nombres de los responsables de dichas áreas y también se dejan hojas de trabajo para que el
operador pueda informarse sobre todo lo que se realiza en dicha a rea de trabajo.

Actualmente no considero que existan áreas donde no se exhiba documentación ya que dentro
de la organización se siguen al pie de la letra los lineamientos y procesos que ya se encuentran
establecidos para el uso correcto de las herramientas y máquinas de trabajo.
Referencias:

1.- Apuntes digitales: Control y Supervision de Tecnologias de la Informacion Unidad 1 – Introduccion al control
interno.

2.- Lectura Base: Control Interno “COSO” (Comitte Of Sponsoring Organization of the Tredd Way Comission) Lectura
Semana 1.

3.- Lecturas complementarias: Guía Práctica de ISO/IEC 20000-1 Para servicios de TIC. Obtenido de: Apuntes PDF de
la plataforma IEU en la actividad 3.

4.-C.P. Rafael Gonzalez Martinez Marco Integrado de Control Interno. Modelo COSO. Disponible en:
https://www.ofstlaxcala.gob.mx/doc/material/27.pdf