Integración con las Decisiones sobre Riesgos

Fundamentos Puntos a evaluar

Después de haber seleccionado las Para la autoevaluación por parte de la

respuestas al riesgo, la dirección administración o la evaluación
establece actividades de control independiente de la calidad de los
necesarias para disminuir los riesgos y elementos de este componente, se deben
alcanzar los objetivos en sus diferentes considerar como mínimo los siguientes
categorías. puntos:

• Grado en que las actividades de control

guardan relación con los objetivos y las
decisiones adoptadas por la dirección
sobre los riesgos.
• Calidad de la información y comunicación
sobre las decisiones adoptadas por la
dirección sobre el estudio de los riesgos.
 Principales Actividades de Control

a. Fundamentos b. Puntos a evaluar

Se han propuesto muchas

descripciones diferentes de los • Apoyo de la alta dirección para el diseño y aplicación de
tipos de actividades de control, los controles en función de los riesgos.
incluyendo los controles de • Forma en que los controles se incorporan a los procesos.
prevención, detección, manuales, • Relación de las actividades de control seleccionadas, con
informáticos y de dirección. Estas los objetivos y con los riesgos.
actividades de control deben • Existencia de mecanismos para analizar las alternativas de
enmarcarse en políticas y controles a seleccionar.
procedimientos emitidos por la • Grado de comprensión de los funcionarios involucrados en
dirección y otros niveles de la el diseño de los procesos para incorporar controles
organización encargados de apropiados que guarden una relación adecuada de costos
ejecutarlos. con beneficios.
• Calidad de los sistemas de información y comunicación.

⇒ Revisiones y supervisiones
⇒ Gestión directa de funciones o actividades
⇒ Procesamiento de la información
⇒ Repetición
⇒ Validación
⇒ Aseguramiento
⇒ Especialización funcional
⇒ Controles físicos
⇒ Indicadores de rendimiento
⇒ Segregación de funciones
 Controles sobre los Sistemas de Información
Fundamentos
El primero lo forman los controles
generales, que se aplican a muchos de
esos sistemas, sino a todos, y ayudan a
asegurar que siguen funcionando
continua y adecuadamente.
Controles Generales
⇒ Gestión de la tecnología de información
⇒ Infraestructura de la tecnología de
información
⇒ Gestión de la seguridad
⇒ Adquisición, desarrollo y mantenimiento del
software
Controles de Aplicación
Los controles de aplicación se centran directamente en la
integridad, exactitud, autorización y validez de la captación y
procesamiento de datos. Ayudan a asegurar que los datos se
captan o generan en el momento de necesitarlos
Puntos a evaluar
 Existencia de un plan estratégico de tecnologías de
información que guarde relación
 con los objetivos institucionales y la gestión de los
riesgos.
 Existencia y apoyo para el desarrollo de tecnología de
información relacionada
 con los controles y la gestión de los riesgos.
 Apoyo de la dirección a la implantación de los planes
estratégicos de tecnología de información.
INFORMACIÓN Y COMUNICACIÓN

El componente dinámico del CORRE es la “información y comunicación”, que por su

ubicación en la pirámide comunica el ambiente de control interno (base) con la
supervisión (cima), con la evaluación del riesgo y las actividades de control

 1. Cultura de Información en todos los Niveles

 2. Herramienta para la Supervisión
 3. Sistemas Estratégicos e Integrados
 4. Confiabilidad de la Información
 5. Comunicación Interna
 6. Comunicación Externa