Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar Incluye aquellos elementos de una 1. Limitar el alcance a asuntos de alta los objetivos y metas establecidos. La dirección organización (recursos, sistemas, procesos, prioridad planifica, organiza y dirige la realización de las Es un marco de control interno de TI. cultura, estructura y metas) que tomadas en Parte de la premisa de que la TI 2. Emplear grupos de trabajo acciones suficientes para proporcionar una conjunto apoyan al personal en el logro de los interdisciplinarios y con personal seguridad razonable de que se alcanzarán los requiere proporcionar información objetivos de la organización: para lograr los objetivos de la comprometido objetivos y metas. Efectividad y eficiencia de las operaciones. 3. Proporcionar tiempo suficiente organización. Confiabilidad de los reportes internos o Promueve el enfoque y la propiedad para la preparación del taller. externos. de los procesos. 4. Definir los objetivos del Taller de Cumplimiento con las leyes y reglamentos Apoya a la organización al proveer un Autoevaluación del Control (TAC) aplicables, así como con las políticas internas. marco que asegura que: 5. Emitir pronunciamientos y La Tecnología de Información (TI) esté criterios al inicio del proceso alineada con la misión y visión. 6. Mantener visible el apoyo de la LA TI capacite y maximice los alta gerencia beneficios. 7. Vender el concepto CONCEPTO DE CONTROL Los recursos de TI sean usados constantemente responsablemente. 8. Proporcionar retroalimentación a INTERNO Los riesgos de TI sean manejados los participantes sobre los resultados apropiadamente. 9. Implantar la AEC mediante prueba Efectividad y eficiencia de las piloto, lo mismo que las acciones de OBJETIVOS operaciones. mejora ORGANIZACIONALES Confiabilidad de los reportes internos o externos. Proceso llevado a cabo por el Consejo de Cumplimiento con las leyes y Administración, la Gerencia y otro personal de la reglamentos aplicables, así como con Organización, diseñado para proporcionar una las políticas internas. seguridad razonable sobre el logro de los objetivos de la organización clasificados en: 1. efectividad y eficiencia de las operaciones • Efectividad y 2. Servicio eficiencia de las operaciones al cliente 3. • Confiabilidad de la información financiera Salvaguarda y uso eficiente de los recursos • Cumplimiento con las leyes, reglamentos, 4. normas y políticas Obtención de beneficios PLANEACIÓN 5. Cumplimiento de obligaciones sociales
6. Seguridad de que los riesgos son
debidamente identificados y administrados
USUARIOS 1. Seleccionar el (los) objetivo (s) a
analizar en el TAC CARACTERÍSTICAS 2. Seleccionar al facilitador y al CONFIABILIDAD DE LOS relator 3. Definir la estructura del TAC: REPORTES INTERNOS Y horizontal, vertical o mixta. EXTERNOS 4. Seleccionar los participantes del Gerencia: Apoyar decisiones de TAC inversión en TI y control sobre su 5. Elaborar el programa de rendimiento, así como analizar el actividades con responsables y costo-beneficio del control. tiempos Usuarios Finales: Garantizar seguridad 6. Planear reportes de avance y y control de los productos que conclusión • Mantenimiento de registros contables adquieren interna y externamente adecuados. Auditores: Apoyar sus opiniones • Medio para alcanzar un fin, no un fin en sí • Confiabilidad de la información utilizada. sobre los controles de los proyectos de mismo. • Información publicada para terceros TI, su impacto en la organización y el • No es un evento o circunstancia sino una interesados. control mínimo requerido. serie de acciones que permean en las Responsables de TI: Identificar los actividades de la organización. controles que requieren. • Los controles deben construirse “Dentro” de la infraestructura de la organización y no “Sobre ella”. • La alta dirección es responsable de la existencia de un eficiente sistema de control. CICLO DEL ENTENDIMIENTO • Los Directores tienen la obligación de la vigilancia del control además de que BÁSICO PRINCIPIOS proporcionan directrices y aprueban ciertas transacciones y políticas. • Cada individuo dentro de la organización tiene algún rol respecto al control interno. • Propósito • No existe sistema infalible. Ningún sistema • Compromiso hará por siempre lo que se espera que haga. • Aptitud • No importa lo bien diseñado y operado que • Acción sea un sistema de control; lo más que puede Requerimientos de la Información del • Evaluación (Auto) y Aprendizaje Negocio esperarse es que proporcione seguridad razonable. • Efectividad: Información relevante • El efecto acumulado de controles y su y pertinente, proporcionada en forma naturaleza diversa, reducen el riesgo de que no oportuna, correcta, consistente y utilizable puedan alcanzarse los objetivos. CRITERIOS DE CONTROL • Eficiencia: Empleo óptimo de los recursos. • Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada • Los criterios de control son la base para • Integridad: Información exacta y entender el control de una organización. completa, así como válida de acuerdo • Están planteados como metas a cumplir con las expectativas de la permanentemente. organización. • Disponibilidad: accesibilidad a la RELACIÓN DE OBJETIVOS Y información y la salvaguarda de los recursos y sus capacidades. COMPONENTES • Cumplimiento: Leyes, regulaciones y compromisos contractuales. • Confiabilidad: Apropiada para la toma de decisiones adecuadas y el 1. AMBIENTE DE CONTROL 2. cumplimiento normativo. EVALUACIÓN DE RIESGOS 3. ACTIVIDADES DE CONTROL 4. INFORMACIÓN Y COMUNICACIÓN 5. SUPERVISIÓN Y SEGUIMIENTO