21 - MODELOS INTEGRADOR CONTROL II

Vista previa del material en texto

UNIDAD 
MARCOS INTEGRADOS DE 
CONTROL 
Práctica de Auditoria Interna 
Marcos Integrados de Control – 
Agenda 
 
 Que es un Marco Integrado de Control? 
 Relación con el Sensor 
 El Informe COSO 
 El Informe COBIT y los Riesgos de TI 
 Caso de estudio 
Práctica de Auditoria Interna 
• Noción de control interno ha variado: desde “detectivo o “correctivo” 
hacia “preventivo” 
 
• Diferencias en el entendimiento del control: 
 
 Cultura latina: verificación o examen 
 Cultura sajona: guía, impulso de prevención para corrección 
 
• Principales razones que motivaron nuevas definiciones de control interno: 
 
 Fracaso de los antiguos sistemas de control (no ayudaron a evitar 
fraudes contables y financieros) 
 
 Necesidad de una visión más gerencial e integral del control 
Evolución del concepto de Control Interno 
A mediados 
de los 70s 
Investigación 
del 
“Escándalo 
Watergate” 
1977 
Ley de 
prácticas de 
corrupción 
extranjeras 
(Foreign 
Corrupt 
Practices 
Act- FCPA) 
Inicios -1980s 
Incrementó el 
enfoque en 
Control Interno 
y cumplimiento 
1985 
Comisión 
Nacional de 
Informes 
Financieros 
Fraudulentos 
- (Treadway 
Commission) 
1992 
Publicación del 
Marco 
Integrado de 
Control Interno-
COSO 
1990s – 2000 
Continúa el enfoque 
en Controles 
Internos, Riesgos 
Administrativos y 
responsabilidades 
(Blue Ribbon 
Commission, 
Competency 
Framework for 
Internal Audit, 
Others) 
1980 1970 1990 2000 
2002 
Ley 
Sarbanes-Oxley 
Evolución histórica del concepto de control 
interno 
Informe COSO 
 En 1992, COSO publicó el Sistema 
Integrado de Control Interno, un informe 
que establece una definición común de 
control interno y proporciona un estándar 
mediante el cual las organizaciones 
pueden evaluar y mejorar sus sistemas de 
control. 
Concepto de Control Interno: el 
informe COSO 
 
Práctica de Auditoria Interna 
 El control interno se define como un proceso, 
efectuado por todo el personal de una entidad, 
diseñado con el objeto de proporcionar un grado 
de seguridad razonable en cuanto a la 
consecución de objetivos dentro de las siguientes 
categorías: 
 
• Eficacia y eficiencia de las operaciones 
• Fiabilidad de la información financiera 
• Cumplimiento de las leyes y normas aplicables. 
El objetivo de COSO 
 Mejorar la calidad de la información 
financiera concentrándose en el manejo 
corporativo, las normas éticas y el 
control interno. 
 Unificar criterios ante la existencia de 
una importante variedad de interpreta-
ciones y conceptos sobre el control 
interno. 
Impacto en la Hacienda 
Pública 
 Como Órgano Rector del Sistema de Control Interno 
del Poder Ejecutivo Nacional, normativo, de 
Supervisión y coordinación, corresponde a la 
Sindicatura General de la Nación dictar normas de 
control interno. 
 Así, oportunamente se emitieron las denominadas 
“Pautas de Control Interno”, antecedente de estas 
normas, surgidas de la experiencia y de las opiniones 
que nos llegaran tanto desde el ámbito de la gestión 
como del control que opera sobre la misma, tomando 
en cuenta también documentos de organizaciones 
internacionales especializadas en la materia. 
 Práctica de Auditoria Interna 
 Las presentes “Normas Generales de Control Interno” deberán ser 
aplicadas en todo el ámbito del Poder Ejecutivo Nacional, como base de 
la responsabilidad que la Ley 24.156 impone a la administración superior 
de cada jurisdicción o entidad del Sector Público Nacional, en cuanto a: 
 
• La implantación y mantenimiento de un eficiente y eficaz sistema de control interno 
normativo, financiero, económico y de gestión sobre sus propias operaciones, 
comprendiendo la práctica del control previo y posterior y de la auditoría interna; 
• Los procedimientos adecuados que aseguren la conducción económica y eficiente de las 
actividades institucionales y la evaluación de los resultados de los programas, proyectos y 
operaciones de los que es responsable la Jurisdicción o Entidad. 
 
Las “Normas Generales de Control Interno” constituyen un esquema básico 
para la transparencia de la gestión pública, en el marco de la legalidad, la 
ética y la rendición de cuentas republicana. 
 Buenos Aires, Agosto 1998 
 Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
MARCO O MODELO 
INTEGRADOS DE 
CONTROL 
Marco integrado de Control Interno 
 Primera publicación: 1992 
 Obtuvo aceptación amplia aun luego de fracasos de 
control financiero de principios de la década de 2000 
 El marco más utilizado en Estados Unidos y en 
América Latina 
 
 Sin embargo… 
 Desde 1992, el entorno operativo ha evolucionado 
 Los conceptos del marco son “eternos”, pero el contexto necesita 
actualización 
Modelo Integrado de Control 
 Contexto o entorno relacionado 
 Estructura que le da forma 
 Conjunto de normas y pautas culturales 
 Procedimientos o acciones específicas 
 Objetivos a cumplir 
Práctica de Auditoria Interna 
Modelo Integrado de Control 
 
“Un modelo integrado de control debe 
proporcionar una seguridad razonable de 
que una organización llegue a donde 
quiere ir, evitando sorpresas y sorteando 
peligros en el camino” 
Práctica de Auditoria Interna 
Modelos Integrados de Control 
“Marco Integrado de Control Interno” (1992) 
 Committee Of Sponsoring Organizations of the 
Treadway Commission (COSO) 
 
“Guidance Of Control” (1995) 
 Criteria Of Control Board (COCO) 
 del Canadian Institute of Chartered Accountants 
Práctica de Auditoria Interna 
 El Informe COCO es producto de una profunda revisión del 
Comité de Criterios de Control de Canadá sobre el reporte COSO. 
 
 Su proposito: fue hacer el planteamiento de un informe 
más sencillo y comprensible, ante las dificultades que en 
la aplicación del COSO enfrentaron inicialmente algunas 
organizaciones. El resultado es un informe conciso y 
dinámico encaminado a mejorar el control, el cual 
describe y define al control en forma casi idéntica a como 
lo hace el Informe COSO. 
 
Práctica de Auditoria Interna 
http://www.monografias.com/trabajos12/elproduc/elproduc.shtml
http://www.monografias.com/trabajos6/napro/napro.shtml
Modelos Integrados de Control 
“ Control objectives for Information and Related 
Technology” (COBIT) (1996) 
 Information Systems Audit and Control Association 
(ISACA). 
“Guía para las normas de Control Interno del sector 
público” (2004) 
 Organización Internacional de Instituciones 
Fiscalizadoras Superiores (INTOSAI) 
Práctica de Auditoria Interna 
Modelos Integrados de Control 
QUE TIENEN QUE VER CON 
EL “SENSOR” ???? 
Práctica de Auditoria Interna 
Factores que motivaron un cambio 
 Requisito SOX, Sección 404 – informes públicos sobre eficacia de 
control interno 
 
 Foco de la crisis financiera reciente sobre las ineptitudes de la 
gestión de riesgo – presión sobre los directorios se involucren 
más en la gestión de riesgo 
 
 Inquietudes continuas sobre los informes financieros 
fraudulentos 
http://www.google.com.ar/url?url=http://capitalibre.com/2013/01/credito-moral-banca-indispensable-recuperarlo&rct=j&frm=1&q=&esrc=s&sa=U&ei=niUrVK2tKqjbsAT21YKYAw&ved=0CDgQ9QEwEg&usg=AFQjCNELToVkTLvUtbimgeanqWvG7kUtJg
Un entorno de negocios cambiante… 
 Expectativas de supervisión del 
gobierno 
 Globalización de los mercados y 
las operaciones 
 Cambios en los modelos de 
negocios 
 Demandas y complejidad de 
normas, regulaciones y 
estándares 
 Expectativas de competencias y 
responsabilidades 
 Uso y dependencia de 
tecnología que evoluciona 
 
…impulsa las 
actualizaciones del marco 
O
p
e
ra
c
io
n
e
s
 
In
fo
rm
e
s
 
C
u
m
p
li
m
ie
n
to
 
Entorno de control 
Actividades de control 
Evaluación de riesgos 
Información y comunicacióm 
Actividades de monitoreo 
N
iv
e
l 
d
e
 e
n
ti
d
a
d
 
D
iv
is
ió
n
 
U
n
id
a
d
 o
p
e
ra
ti
v
a
 
F
u
n
c
ió
n
 
Oficina Normativa de Contratación y Adquisiciones (ONCAE) 
Primergran cambio: COSO ERM 
 Enfasis en la gestión de los riesgos 
 Conceptualización de la administración de riesgos asociada al 
control interno 
 Apertura del componente 2 del Modelo COSO 1 
 Trabajar con matrices de riesgo – probabilidad e impacto 
Gestión del Riesgo empresarial 
(ERM) 
 “El control interno es una parte integral de la 
Administración del riesgo empresarial y está 
abarcado dentro de éste.” 
 “La Administración del riesgo empresarial es 
más amplia que el control interno, expandiendo 
y elaborando sobre el control interno para 
formar una concepción más robusta que se 
enfoca más sobre el riesgo.” 
 “El Marco Integrado Control Interno sigue 
siendo totalmente válido para las entidades y 
otros que ponen énfasis en el control interno.” 
Actualización de COSO 
Qué no cambia... 
• Definición de control interno 
• Cinco componentes de control 
interno 
• Criterios utilizados para evaluar 
la eficacia de los sistemas de 
control interno 
• Uso de juicio en la evaluación 
de la eficacia de sistemas de 
control interno 
Qué cambia... 
• Codificación de principios con 
aplicación universal para el uso 
en el desarrollo y evaluación de 
la eficacia del sistema de 
control interno 
• Objetivo de informes 
financieros ampliado para 
abordar los objetivos de 
informes externos, financieros 
y no financieros 
• Mayor concentración en 
operaciones, cumplimiento y 
objetivos de informe no 
financieros basados en aportes 
de usuarios 
Práctica de Auditoria Interna 
 
 El denominado “INFORME COSO” sobre control interno, 
publicado en EE.UU en 1992, surgió como una respuesta a las 
inquietudes que planteaban la diversidad de conceptos, definiciones 
e interpretaciones existentes en torno a la temática referida. 
 
 Plasma los resultados de la tarea realizada durante más de 
cinco años por el grupo de trabajo que la TREADWAY COMMISSION, 
NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING 
creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF 
SPONSORING ORGANIZATIONS). 
 
 
Práctica de Auditoria Interna 
El grupo estaba constituido por representantes de las 
siguientes organizaciones: 
 
• American Accounting Association (AAA) 
• American Institute of Certified Public Accountants 
(AICPA) 
• Financial Executive Institute (FEI) 
• Institute of Internal Auditors (IIA) 
• Institute of Management Accountants (IMA) 
 
Práctica de Auditoria Interna 
Proceso ejecutado por la dirección y todo 
 el personal de la organización, diseñado 
 con el objeto de proporcionar garantía 
 razonable para el logro de los OBJETIVOS 
 incluidos en las siguientes categorías: 
 
 
 
 Eficacia y eficiencia de las operaciones. 
 Confiabilidad de la información. 
 Cumplimiento de leyes, reglamentos y políticas. 
Práctica de Auditoria Interna 
Ambiente de control 
Evaluación de riesgos 
Actividades de control 
Información y comunicación 
Monitoreo 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
Es la Base. Actitud, Estilo y 
Disciplina Organizacional 
Supervisión 
Información y 
comunicación 
Actividades de 
Control 
Evaluación del 
riesgo 
Ambiente de control 
 Filosofía y Estilo de Dirección y Gerencia. 
 Valores Eticos. 
 Competencia Profesional. 
 Recursos Humanos. 
 Plan Organizacional. 
 Estructura. 
 Manuales de Precedimiento. 
 Grado de Documentación. 
 Gobierno Corporativo. 
NORMAS DE AMBIENTE DE CONTROL 
 
 Integridad y valores éticos 
 Competencia profesional 
 Atmósfera de confianza mutua Filosofía y estilo de la dirección 
 Misión, objetivos y políticas 
 Organigrama Asignación de autoridad y responsabilidad 
 Políticas y prácticas en personal 
 Comité de Control 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
¿Cuáles son las vulnerabilidades que 
podrán afectar el cumplimiento de los 
objetivos organizacionales? 
Supervisión 
Información y 
comunicación 
Actividades de 
Control 
Evaluación de 
riesgos 
Ambiente de control 
• Estimación de su 
Importancia/ Trascendencia. 
• Evaluación de la Probabilidad/ 
Frecuencia. 
• Definición del modo en que 
habrán de Manejarse/Controlarse 
NORMAS DE EVALUACION DE RIESGO 
 
 Identificación del riesgo 
 Estimación del riesgo 
 Determinación de los objetivos de control 
 Detección del cambio 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
Las actividades de control son aquellas 
políticas, técnicas y procedimientos 
diseñados para mitigar el riesgo. 
Supervisión 
Información y 
comunicación 
Actividades de 
Control 
Evaluación de 
riesgo 
Ambiente de control 
Se definen para mitigar riesgos 
relacionados con los tres objetivos 
de la entidad. 
Actividades 
• Análisis de la Dirección/ Gerencia. 
• Comprobación de Exactitud, 
 Autorización e Integridad. 
• Control Físico Patrimonial. 
• Acceso Restrictivo. 
• Segregación de Funciones. 
• Seguridad Informática. 
NORMAS DE ACTIVIDADES DE CONTROL 
 Separación de tareas y responsabilidades 
 Coordinación entre áreas 
 Documentación 
 Niveles definidos de autorización 
 Registro oportuno y adecuado de las transacciones y hechos 
 Acceso restringido a los recursos, activos y registros 
 Rotación del personal en las tareas claves 
 Control de la tecnología de información 
 Indicadores de desempeño 
 Función de Auditoría Interna independiente 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
Identificar, Recopilar y Comunicar 
información pertinente en tiempo y 
forma a la organización 
Supervisión 
Información y 
comunicación 
Actividades de 
Control 
Evaluación de 
riesgos 
Ambiente de control 
Exactitud y Oportunidad de la 
Información Financiera y 
Operativa. 
Acceso a la información 
Según Niveles de 
Autorización. 
Comunicación Formal e 
Informal dentro de la 
Organización. 
 NORMAS DE INFORMACION Y 
COMUNICACION 
 Información y responsabilidad 
 Contenido y flujo de la información 
 Calidad de la información 
 El sistema de información 
 Flexibilidad al cambio 
 Compromiso de la autoridad superior 
 Comunicación, valores organizacionales y estrategias 
 Canales de comunicación 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
Supervisión 
Información y 
comunicación 
Actividades de 
Control 
Evaluación del 
riesgo 
Ambiente de control 
La supervisión es un proceso que 
comprueba al adecuado 
funcionamiento a lo largo del tiempo. 
Actividades Continuas y/o 
Evaluaciones puntuales. 
Continuas = Arraigadas a 
la Gestión. 
Puntuales 
• En Función al riesgo 
• Planificadas. 
• Autoevaluación y/o Evaluación 
de 3°. 
• Metodología. 
• Seguimiento/ Corrección. 
NORMAS DE SUPERVISION 
 
 Evaluación del Sistema de Control 
 Interno Eficacia del Sistema de Control Interno 
 Auditorías del Sistema de Control Interno 
 Validación de los supuestos asumidos Tratamiento de 
las deficiencias detectadas 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
 
INFORME COSO 
 
INFORME COSO 
 
 Efectividad de los controles internos 
 Limitaciones de la efectividad del control interno 
 
 
 
 Roles y Responsabilidades 
 
 
Práctica de Auditoria Interna 
“El Control interno no puede por si mismo asegurar el logro de los 
objetivos definidos por la organización”. 
“Todos en una organización tienen responsabilidad por el control interno”. 
INFORME COSO 
 
 
DEBEN SATISFACER TRES CRITERIOS ESCENCIALES: 
 
SER APROPIADOS 
 
 
FUNCIONAR ACORDE A LO PREVISTO 
 DURANTE TODO EL PERIODO 
 
 
SER RENTABLES 
Práctica de Auditoria Interna 
El control es el más indicado al 
caso y proporcional al riesgo 
Aún en ausencia de los 
superiores o en períodos 
de “Stress” 
El costo de su aplicación no debe 
exceder su beneficio. 
 
INFORME COSO 
 
 No puede cambiar una Gerenciainherentemente mala por una 
buena. 
 Los cambios en las políticas o programas de gobierno están fuera de 
su control. 
 Depende del “factor humano”, interpretación, descuido, fatiga, 
distracción, colusión o excesos. 
 El costo de ciertos controles y los recursos existentes. 
 Los cambios organizacionales y la actitud de la Gerencia. 
Práctica de Auditoria Interna 
INFORME COSO 
 
 
 Agentes Internos 
 
 
 
 Agentes Externos 
Práctica de Auditoria Interna 
Ejecutivos y Gerentes 
 
Miembros del Personal 
 
Auditores Internos 
 Auditores Externos 
 
 Entidades Fiscalizadoras 
 
 Superiores. 
 
Legisladores y Reguladores 
 
Otros 
 
OObjetivos de Controlbjetivos de Control
 para Información para Información yy
TTecnologías Relacionadasecnologías Relacionadas
Práctica de Auditoria Interna 
EL INFORME COBIT 
Y LOS RIESGOS DE 
TECNOLOGIA DE 
INFORMACION 
¿Qué significa COBIT? 
 COBIT es un acrónimo 
formado por las siglas 
derivadas de 
 Control 
 OBjectives 
 for Information 
 and related 
Technology 
Práctica de Auditoria Interna 
COBIT (Objetivos de control de información y tecnologías relacionadas), 
publicado por ITGI, es un modelo aceptado de buen control de la 
información, las IT y los riesgos que conllevan. 
COBIT se utiliza para implementar el gobierno sobre TI y mejorar sus 
controles. 
Contiene objetivos de control, directivas de auditoría, medidas de 
rendimiento y resultados, factores críticos de éxito y modelos de 
madurez. 
 
Los productos de COBIT 
 Sumario Ejecutivo: “Es un método...” 
 Marco de referencia: “El método es...” 
 Objetivos de Control: “Los controles mínimos 
 son...” 
 Pautas de Gestión: “Cómo usted puede medir el 
 desempeño...” 
 Pautas de Auditoría: “Cómo usted puede 
 auditar...” 
 Implementación: “Cómo usted puede implementar. . .” 
Práctica de Auditoria Interna 
Práctica de Auditoria Interna 
 
 
OBJETIVOS DE 
NEGOCIO 
Planificación y organización 
 
Práctica de Auditoria Interna 
PO1 Definir un Plan Estratégico de Tecnología de Información 
PO2 Definir la Arquitectura de Información 
PO3 Determinar la Dirección Tecnología 
PO4 Definir la Organización y de las relaciones de TI 
PO5 Manejar la Inversión en Tecnología de Información 
PO6 Comunicar la dirección y aspiraciones de la Gerencia 
PO7 Administrar Recursos Humanos 
PO8 Asegurar el Cumplimiento de Requerimientos Externos 
PO9 Evaluar Riesgos 
PO10 Administrar Proyectos 
PO11 Administrar Calidad 
 
Adquisición e implementación 
Práctica de Auditoria Interna 
A11 Identificar Soluciones 
A12 Adquirir y Mantener Software de Aplicación 
A13 Adquirir y Mantener Arquitectura de Tecnología 
A14 Desarrollar y Mantener Procedimientos relacionados con TI 
A15 Instalar y Acreditar Sistemas 
A16 Administrar Cambios 
Entrega y soporte 
Práctica de Auditoria Interna 
DS1 Definir Niveles de Servicios 
DS2 Administrar Servicios prestados por Terceros 
DS3 Administrar Desempeño y Capacidad 
DS4 Asegurar Servicio Continuo 
DS5 Garantizar la Seguridad de Sistemas 
DS6 Identificar y Asignar Costos 
DS7 Educar y Entrenar a los Usuarios 
DS10 Administrar Problemas e Incidentes 
DS11 Administrar Datos 
DS12 Administrar Instalaciones 
DS13 Administrar Operaciones 
Monitoreo 
Práctica de Auditoria Interna 
M1 Monitorear los Procesos 
M2 Evaluar lo adecuado del control Interno 
M3 Obtener aseguramiento Independiente 
M4 Proporcionar auditoria Independiente 
Práctica de Auditoria Interna 
RIESGOS EN TECNOLOGIA DE LA 
INFORMACION 
Riesgos de TI 
Práctica de Auditoria Interna 
VULNERABILIDADES 
Actos de la naturaleza 
Fallas de Hard, Soft 
o instalación 
Errores y omisiones 
Fraudes 
Daño intencional 
Invasión a la privacidad 
CONSECUENCIAS 
RIESGO 
PERDIDA ESPERADA 
RIESGOS O AMENAZAS 
Riesgos de TI - Tipo de Riesgos 
 
 Operacionales 
 Infraestructura 
Tecnológica 
 Seguridad 
 Integridad de los 
datos 
 Disponibilidad 
 Controles 
 Auditorias 
 Outsourcing 
 
 
 
 Estrategicos 
 Reputación 
 Legales 
Práctica de Auditoria Interna 
Riesgos de TI - Seguridad 
 
Práctica de Auditoria Interna 
• Seguridad Física. 
• Seguridad Lógica. 
• Seguridad Administrativa. 
Riesgos de TI 
Protección de la Información 
 
Práctica de Auditoria Interna 
CONFIDENCIAL 
INTERNA 
PUBLICA 
INFORMACIÓN 
QUÉ? 
USUARIOS 
QUIÉN? CÓMO? 
SUFICIENTE 
ESTRICTO 
MÍNIMO 
DIRECTORES 
EMPLEADOS 
COMUNIDAD 
CONTROLES PROTECCIÓN 
PROPIETARIOS DE DATOS TÉCNICO EN SEGURIDAD 
Disminución del Riesgo de 
TI 
 
Práctica de Auditoria Interna 
• Preventivas. 
• De detección. 
• De recuperación y corrección. 
MEDIDAS 
Disminucion del Riesgo de TI 
Algunas medidas y políticas 
 Equipamientos y programas de seguridad instalados 
 Darle el correcto uso a los mismos 
 Revisar en forma permanente los archivos de eventos y alarmas 
 Mantenerse al día con respecto a los problemas de seguridad que se 
vayan descubriendo, y responder de acuerdo 
 Plataforma de gestión para mantener una política de seguridad 
consistente entre los elementos de red 
 Permanente actualizaciones a los sistemas operativos y bases de datos 
para disminuir la probabilidad de ser vulnerados 
Práctica de Auditoria Interna 
Disminución del Riesgo de 
TI 
 
Práctica de Auditoria Interna 
oObjetivos de Seguridad Física 
•Protección contra vulnerabilidades 
•Asegurar sobrevivir a las emergencias 
•Controlar la propiedad de la información 
•Restringir el acceso al equipamiento y a la 
 información 
•Asegurar resguardo del personal 
Práctica de Auditoria Interna 
ISO 17799 
Mejores Prácticas en Seguridad Informática 
Mejores Practicas en SI 
 
Práctica de Auditoria Interna 
 Norma internacional que ofrece recomendaciones 
para la gestión de la seguridad de la información. 
 
 Dirigida a los responsables de iniciar, implantar o 
mantener la seguridad de una organización 
 
 Objetivo: proporcionar una base común para 
desarrollar normas de seguridad dentro de las 
organizaciones y ser una práctica eficaz de la 
gestión de la seguridad. 
 
¿Qué es ? 
Mejores Practicas en SI 
 
Práctica de Auditoria Interna 
 Asegura la continuidad del negocio 
 Minimiza los daños a la organización 
 Permite un posicionamiento estratégico 
 Asegura el cumplimiento de normas legales 
 Habilita un proceso de planeamiento y mejora 
continua 
 Maximiza el retorno de las inversiones y las 
oportunidades de negocio. 
¿Para qué sirve ? 
Mejores Practicas en SI 
 
Práctica de Auditoria Interna 
 
1. Política de seguridad. 
2. Aspectos organizativos para la seguridad. 
3. Clasificación y control de activos. 
4. Seguridad ligada al personal. 
5. Seguridad física y del entorno. 
6. Gestión de comunicaciones y operaciones. 
7. Control de accesos. 
8. Desarrollo y mantenimiento de sistemas. 
9. Gestión de continuidad del negocio. 
10. Conformidad con la legislación. 
 
Estructura: 
Dominios de Control 
Mejores Practicas en SI 
 
Práctica de Auditoria Interna 
Se derivan 36 objetivos de control (resultados 
que se esperan alcanzar mediante la 
implementación de controles) 
y 127 controles (prácticas, procedimientos o 
mecanismos que reducen el nivel de riesgo). 
Estructura: 
Dominios de Control 
Mejores Practicas en SI 
 
Práctica de Auditoria Interna 
Estructura: 
Dominios de Control