4.

MODELO COCO
El informe COCO fue publicado por el Instituto Canadiense de Contadores
Autorizados en 1995, con el objetivo de simplificar los conceptos y lenguaje para
hacer posible una discusión del alcance total del control en cualquier nivel de la
organización.

El modelo COCO es producto de una profunda revisión al modelo coso por parte
del Comité de Criterios de Control de Canadá, con el propósito de hacer un
planteamiento de un modelo más sencillo y comprensible ante las dificultades que
enfrentaron inicialmente algunas organizaciones en la aplicación del informe coso.

 El modelo COCO define el control interno de una forma idéntica al modelo coso,
la diferencia se encuentra en que el modelo COCO proporciona un marco de
referencia a través de 20 criterios agrupados en 4 componentes, que el personal
en toda la organización puede usar para diseñar, desarrollar, modificar o evaluar el
control.

DEFINICIÓN

Es un proceso efectuado por la junta directiva, la administración, y por el personal

en general diseñado para proporcionar por medio de criterios un aseguramiento
razonable con respecto al logro de los objetivos

El modelo COCO busca proporcionar un entendimiento del control y dar respuesta

a las siguientes tendencias:

 En el impacto de la tecnología y el recorte a las estructuras organizacionales,

debido a la implantación de medios informales, como la visión empresarial
compartida, comunión de valores y una comunicación más abiertas.
 En el énfasis de las autoridades para establecer controles, como una forma de
proteger los intereses de los accionistas.
 En la creciente demanda de informar públicamente acerca de la efectividad del
control.
El modelo pretende desarrollar orientaciones o guías generales para el diseño,
evaluación y reportes sobre los sistemas de control de las organizaciones.

CARACTERÍSTICAS

Tiene como característica principal la participación del personal, ya que ayuda a:

 Al personal, para desarrollar sus funciones y ejercitar su juicio y creatividad, al

tiempo que administra o controla los riesgos. 
 El personal tiene la flexibilidad de impulsar cambios en la organización o
gestión, al tener un adecuado conocimiento de los riesgos.
 El personal posee información confiable y está en aptitud de usarla al momento
oportuno y al más adecuado nivel en la organización
 La organización puede lograr mejoras en la efectividad y eficiencia y obtener
mayor confianza por parte de terceros interesados. 

ESTRUCTURA
En la estructura del modelo, los criterios son elementos básicos para entender y,
en su caso, aplicar el sistema de control. Se requiere un adecuado análisis y
comparación para interpretar los criterios en el contexto de una organización en
particular, y para una evaluación efectiva de los controles implantados
Este modelo proporciona un marco de referencia a través de 20 criterios
agrupados en 4 componentes que son; propósito u objetivo, compromiso,
aptitud, evaluación y aprendizaje, que el personal en toda la organización puede
usar para diseñar, desarrollar, modificar o evaluar el control.

Estos 20 criterios conforman un ciclo lógico de acciones a ejecutar para asegurar

el cumplimiento de los objetivos de una organización, también conocido como ciclo
de entendimiento básico del control.

Primer grupo: Propósitos u Objetivos.

En esta etapa se Incluyen la misión, visión, estrategia, riesgos y oportunidades,
políticas, objetivos e indicadores de desempeño, como se detalla a continuación: 

Los objetivos deben ser establecidos y ser comunicados: Consiste en que los
objetivos establecidos por la empresa deben darse a conocer a todas las partes
involucradas utilizando todos los medios disponibles y necesarios para que todos
tengan muy claro lo que tienen que hacer y como lo deben hacer,
evitando los esfuerzos innecesarios.

Se deben identificar los riesgo internos y externos que puedan afectar el

logro de los objetivos.: Se debe identificar todos aquellos riesgos que afecten
directamente o indirectamente el logro de objetivos, ya sean estos internos como
externos, lo cual se lograra implementando políticas de prevención de riesgos,
utilizando tecnología de punta para detectar y prevenir los riesgos que puedan
incidir en gran manera en el logro de los objetivos.

Las políticas diseñadas para apoyar el logro de objetivos pueden ser

comunicados, de manera que el personal identifique el alcance de su libertad
de actuación: Para lograr el logro de objetivos es necesario que el personal
conozca las políticas de apoyo para la ejecución de sus actividades, de esta
manera se pretende que el personal conozca su campo de acción, es decir el
alcance de su libertad en una entidad.
Los planes para dirigir esfuerzos en la realización de los objetivos
de organización deben ser establecidos y comunicados: Consiste en que
todas las actividades a realizarse deben estar guiados por un plan muy bien
estructurado y definido, de tal manera que los involucrados sepan que hacer en el
momento, de esta manera se logra optimizar el talento humano.

Los objetivos y planes deben incluir metas, parámetros e indicadores

de medición del desempeño: Todos los objetivos y planes deben estar
acompañados con sus respectivas metas e indicadores que nos permitan medir el
desempeño de la actividad.

SEGUNDO GRUPO: COMPROMISO.

Considera todos los aspectos relativos a la identidad y valores de la organización.

Se deben establecer y comunicar los valores éticos de la organización: Se

debe comunicar a los empleados los valores éticos con los que se van a trabajar,
para de esta manera asegurar la integridad de la empresa, ya que los valores
empresariales dependen de los valores de los trabajadores.

Las políticas y prácticas sobre recursos humanos deben ser consistentes

con los valores éticos de la organización y con el logro de objetivos:
Consiste en que el personal de la organización debe tener claro que en una
empresa las políticas deben desarrollarse tal como se establecen.

La autoridad y la responsabilidad deben ser claramente definidos y

consistentes con los objetivos de la organización, para que las decisiones se
tomen por el personal apropiado: En las organizaciones es fundamental
establecer niveles jerárquicos que permitan el correcto funcionamiento y el
cumplimiento de sus funciones.

Se debe fomentar una atmósfera de confianza, para apoyar el flujo de

la información: Es necesario motivar al personal para que las operaciones sean
realizadas de la mejor manera y poniendo todo el interés posible.

TERCER GRUPO: CAPACIDAD.

Esta etapa cubre aspectos como conocimientos, habilidades y herramientas,

información, coordinación y actividades de control, los criterios son los siguientes.

El personal debe tener los conocimientos, las habilidades y las herramientas

que sean necesarias para el logro de los objetivos de la organización: Es
necesario contratar personal que tenga al menos un conocimiento básico sobre las
actividades a desarrollar.
El proceso de comunicación debe apoyar los valores éticos de
la organización: Debe existir una buena y constante comunicación entre los
gerentes o encargados de las diferentes áreas funcionales de la empresa.

Se debe identificar y comunicar información suficiente y relevante para el

logro de los objetivos: Consiste en la depuración de la información, ya que no
toda es necesaria para la toma de decisiones.

Las decisiones y acciones de las diferentes partes de

una organización deben ser coordinadas: Es necesario que los gerentes de las
diferentes áreas o funciones se reúnan para establecer y planificar acciones en
bien de la compañía.

Las actividades de control deben ser diseñadas como una parte integral de
la organización: Se debe considera que las actividades de control de las
diferentes áreas sean en función a las actividades de control de una compañía.

CUARTO GRUPO: EVALUACIÓN Y APRENDIZAJE.

Toma en cuenta la evolución de la organización, mediante el monitoreo del

entorno, el seguimiento del desempeño y aplicación, y seguimiento de
procedimientos.

Se debe supervisar el ambiente interno y externo para

identificar información que oriente hacia la reevaluación de objetivos: Las
personas encargadas del control interno, deben reunirse para obtener información
de las diferentes áreas que ayuden a identificar factores internos y externos para
realizar una reevaluación de los objetivos.

El desempeño debe ser evaluado contra metas e indicadores: Se el

desempeño del empleado de la empresa en función del cumplimiento de metas
impuestas a cada empleado.

Las premisas consideradas para el logro de los objetivos deben ser

revisadas periódicamente: Se debe revisar periódicamente los resultados
alcanzados para tener plena seguridad de que las metas propuesta se estén
cumpliendo tal como se ha establecido para la toma de decisiones.

Los sistemas de información deben ser evaluados nuevamente en la medida

en que cambien los objetivos y se precisen deficientes en la información: Se
debe revisar que los sistemas de información no se vuelvan obsoletos y
perjudiquen al cumplimiento de los objetivos.

Debe comprobarse el cumplimiento de los procedimientos modificados: La

persona encargada del control interno debe de revisar periódicamente el
cumplimiento de todos los procedimientos que sean modificados.
La gerencia debe determinar la eficacia del control en su organización y
comunicar periódicamente los resultados a los responsables: La evaluación
del sistema de control interno se debe realizar al menos cada tres meses, y se
debe informar a los encargados de área las debilidades encontradas.

MODELO COBIT
Es un modelo para auditar la gestión y control de los sistemas de información y
tecnología, orientado a todos los sectores de una organización, es decir,
administradores de las tecnologías de información (TI), usuarios y por supuesto,
los auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de
varios países, desarrollado por ISACA (Information Systems Audit and Control
Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado
la forma en que trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control, el modelo COBIT consolida y
armoniza estándares de fuentes globales prominentes en un recurso crítico para
la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los

computadores personales y las redes. Está basado en la filosofía de que los
recursos TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.

Misión del COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información,
generalmente aceptadas, para el uso diario por parte de gestores de negocio y
auditores.
BENEFICIOS COBIT
 Mejor alineación basado en una focalización sobre el negocio.
 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en
un lenguaje común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco
de Control Interno de Negocio COSO.
DOMINIOS

El conjunto de lineamientos y estándares internacionales conocidos como COBIT,

define un marco de referencia que clasifica los procesos de las unidades de
tecnología de información de las organizaciones en cuatro "dominios" principales,
a saber:
 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y
las tácticas y se refiere a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la consecución de la visión estratégica necesita ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
 ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del proceso del negocio. Además,
este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega
de los servicios requeridos, que abarca desde las operaciones tradicionales
hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con
el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicación, frecuentemente clasificados como controles de aplicación.
 MONITOREO: Todos los procesos necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de información, como de la tecnología que la respalda. Estos dominios y
objetivos de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.

USUARIOS
 La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y
el control de los productos que adquieren interna y externamente.
 Los Auditores: Para soportar sus opiniones sobre los controles de
los proyectos de TI, su impacto en la organización y determinar el control
mínimo requerido.
 Los Responsables de TI: Para identificar los controles que requieren en sus
áreas.
También puede ser utilizado dentro de las empresas por el responsable de un
proceso de negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos aquellos con responsabilidades en el campo
de la TI en las empresas.