1

Control de la Gestión Copyright 2011 por Universidad Católica de Honduras Nuestra Señora Reina de la Paz
2011, Vol. 1, No 1 DOI: xx.xxxx/xxxx-xxxx.xx.x.xxx

Control de la gestión de las Tecnologías de la Información para el

control financiero basado en estándares internacionales

Carlos M. Raudales
Universidad Católica de Honduras “Nuestra Señora Reina de la Paz”
Doctorado en Ciencias con orientación en ciencias administrativas

Resumen

La información y los activos que la contienen se han tornado en un aspecto cada vez más estratégico en
las empresas. Este trabajo tiene por finalidad describir un marco de control de la gestión de las
Tecnologías de la Información para el control financiero, desde la perspectiva de las mejores prácticas
basado en estándares internacionales de control y cumplimiento de regulaciones. Este marco de control se
conoce como Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) que
brinda buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades
en una estructura manejable y lógica.

Abstract

Information and the assets that contain the information have become more strategic within the companies.
This document has the purpose to describing a control framework for the management of information
technology for financial control, based on international standards of control and regulatory compliance of
best practices. This control framework, called Control Objectives for Information and Related
Technology (COBIT ®), provides the best practices through a framework of domains and processes, and
presents the activities in a manageable and logical structure.

Keywords: Control de la gestión, control financiero, COBIT, COSO, SOX, mejores prácticas de TI,
management control, financial control, IT best practices

Introducción para la obtención y utilización de una

serie de recursos que provienen de su
El funcionamiento organizativo entorno (materias primas, personas,
está ligado a factores externos como capital, información, etc.). Con el
internos y está encaminado a la objetivo de asegurar su supervivencia la
consecución de los fines y objetivos de dirección de una empresa trata de
la empresa. Estos objetivos, aunque asegurarse de que las actividades se
sean de la dirección, deberían incluir los realicen de la manera más adecuada y
objetivos del conjunto de las personas de que el costo de los recursos sea
que forman parte de la empresa o de las inferior a los ingresos que obtenga de su
personas e instituciones con las que transformación y comercialización. Para
interactúan directa o indirectamente ello es necesario que existan
(proveedores, clientes, personal, etc.). mecanismos de control que faciliten que
Para la consecución de los las actividades internas sean coherentes
objetivos la empresa realiza actividades
 2

con los fines de la empresa y las cultura de la organización. Lo usan con

exigencias del entorno (Amat, 2000). frecuencia las organizaciones donde son
comunes los equipos y la tecnología
El control cambia con rapidez. Otro sistema de
control identificado es el Ad-hoc que se
El control es el proceso que manifiesta en aquellos casos en los que
consiste en supervisar las actividades hay una elevada descentralización y en
para garantizar que se realicen según lo los que es difícil tanto formalizar las
planeado y corregir cualquier tareas como están previstas, medir y
desviación significativa. Un sistema de evaluar el resultado de la actuación.
control eficaz asegura que las Este sistema de control suele utilizarse
actividades se desempeñen de tal en organizaciones en las que, aunque
manera que conduzcan al logro de los podría utilizarse un sistema de control
objetivos de la organización. El criterio de mercado, se prefieren sistemas de
que determina la eficacia de un sistema control informales basados en la
de control es que tanto facilita el logro supervisión directa y en la confianza
de los objetivos (Robbins & Coulter, interpersonal (Amat, 2000).
2005).
Se han identificado tres sistemas Controles financieros
de control (Robbins & Coulter, 2005)1.
De mercado: usa mecanismos externos Uno de los propósitos
como la competencia de precios y la fundamentales de toda empresa de
participación relativa en el mercado, negocios es obtener una utilidad. Para
para establecer las normas que se lograr estos objetivos los gerentes
utilizan en el sistema. Comúnmente lo necesitan controles financieros. Las
usan las organizaciones cuyos productos medidas financieras tradicionales
o servicios son claramente específicos y incluyen el análisis de razones y el
que enfrentan una enorme competencia análisis de presupuestos. Las razones se
en el mercado. Burocrático: Destaca la utilizan como instrumentos de control
autoridad organizacional. Se basa en interno para vigilar que tan eficiente y
mecanismos administrativos y provechosa usa la organización sus
jerárquicos, como normas, activos, inventarios y cosas por el estilo.
reglamentaciones, procedimientos, Los presupuestos se utilizan tanto como
políticas, estandarización de las herramientas de planeación como
actividades, descripciones de puestos herramientas de control. De planeación
bien definidas y presupuestos, para porque indica que actividades son
asegurar que los empleados exhiben importantes y cuantos recursos se deben
comportamientos apropiados y cumplen asignar a cada actividad. De control
con las normas de desempeño. De clan: porque proporcionan a los gerentes
Regula el comportamiento de los estándares cuantitativos con los que se
empleados por medio de valores puede medir y comparar el uso de
compartidos, normas, tradiciones, recursos. Si las desviaciones son lo
rituales, creencias y otros aspectos de la suficientemente importantes para tomar
medidas, el gerente deseara examinar
1 que ha sucedido y tratará de descubrir
Citando a W.G. Ouchi, “A Conceptual
Framework for the design of Organizational las causas de las desviaciones. Otras
Control Mechanisms”, Management Science, medidas de control financiero son:
Agosto de 1979, pp. 883-838 y W.G. Ouchi, Valor Económico Agregado.
“Markets, Bureaucracies, and Clans”,
Administrative Science Quarterly, marzo de
1980, pp. 129-141
 3

Características de un sistema de a) Un plan estratégico en el que se

control financiero fijen los grandes objetivos de la
organización.
La existencia de un sistema de b) Un plan operacional en el que se
control formalizado y, en particular, de definan los medios necesarios para
un sistema de control financiero puede la realización de los objetivos.
ser de gran utilidad en el proceso de c) Los presupuestos permiten una
control en la medida en que puede comparación permanente de los
aportar una mayor explicación y resultados reales contra las
objetividad en su realización. Un previsiones establecidas.
sistema de control financiero se d) La contabilidad financiera donde la
fundamenta en: a) La consideración del información que se obtiene suele ser
comportamiento en términos monetarios utilizada para el control financiero y
y el control del mismo a partir del organizacional.
resultado económico y financiero; b) La e) La contabilidad de costos donde se
identificación de indicadores analizan los costes desde diferentes
cuantitativos que miden el resultado del ópticas.
comportamiento en términos f) Los cuadros de mando, donde se
monetarios; c) La definición de recojan indicadores de alerta tanto
objetivos cuantitativos integrados en un financieros como no financieros.
proceso de planificación presupuestaria; También existen nuevas herramientas
d) La medición del resultado en de gestión que sean compatibles con el
términos financieros a partir de un control de gestión renovado, por
sistema de información de carácter ejemplo, el ABC, Benchmarking, Just-
contable; e) La evaluación de la in-time y Target Costing.
actuación individual y de cada centro de
responsabilidad en función de las Estándares internacionales de control
desviaciones económicas y financieras financiero
que se producen respecto a los objetivos
y al presupuesto inicial (Ibídem). La función más importante de un
contralor es crear y mantener el sistema
Herramientas de control financiero de control financiero corporativo.
Hacerlo involucra documentar la
En función de lo analizado, se estructura de control existente, eliminar
plantea la necesidad de poner en marcha controles redundantes y adicionar
en las empresas un sistema de control nuevos controles para cubrir potenciales
adaptado a las especificaciones de los riesgos de nuevas situaciones de
recursos humanos y, además, una negocio. A fin de evaluar
interpretación del mismo con el sistema adecuadamente los riesgos, el contralor
de gestión económico, es decir, la debe tener una firme entendimiento de
elaboración de un control de gestión que los tipos generales de fraude y como
sepa integrar los aspectos sociales y prevenirlos. Este conocimiento debe
económicos de las organizaciones. Para extenderse a requerimientos legales de
ello se establecen diversas herramientas control sobre los activos, tales como los
de gestión, tanto económicas como listados en la regulación de Prácticas
sociales, que pueden ser utilizadas para Corruptas en el Extranjero y la
tal integración. Entre estas se destacan regulación Sarbanes-Oxley (SOX)
las siguientes: (Peña, 1999) (Roehl-Anderson & Bragg, 2005).
Las políticas y procedimientos
han sido establecidos para gestionar los
 4

objetivos específicos de una sido utilizados por los países como

organización. Este conjunto de parámetro para evaluar la calidad de los
procedimientos se le conoce como sistemas de supervisión e identificar el
estructura de control interno. trabajo futuro por realizar para alcanzar
Mundialmente se identifican varios un nivel básico de prácticas de
marcos de control regulatorio que tanto supervisión sólidas. La experiencia ha
gobiernos como asociaciones demostrado que las autoevaluaciones
internacionales han creado y adoptado del cumplimiento de los Principios
para distintos tipos de organizaciones. Básicos han sido de gran utilidad para
Entre los más comúnmente las autoridades, en especial para
utilizados se encuentran el estándar de identificar deficiencias de
Basilea. Basilea II es un documento que reglamentación o supervisión y
publicó en Junio del 2004 el Comité de establecer prioridades para abordarlas.
Supervisión Bancaria de Basilea La revisión de los Principios
comenzando a regir en diciembre del Básicos de Basilea constituye una razón
2006 para los países del G-102, lo que lo adicional para que los países lleven a
convierte en un estándar a nivel cabo esas autoevaluaciones. Los
internacional para la medición y gestión Principios Básicos también han sido
de riesgos, por esta razón ya ha sido empleados por el FMI y el Banco
reconocido por más de 130 países, el Mundial en el marco del Programa de
Fondo Monetario Internacional y el Evaluación del Sector Financiero
Banco Mundial como una buena (FSAP) para evaluar los sistemas y
práctica internacional. prácticas de supervisión bancaria de los
países. Sin embargo, desde 1997 se
Los principios básicos de Basilea produjeron cambios en la regulación
bancaria, se obtuvo gran experiencia
Los Principios Básicos para una con la aplicación de los Principios
Supervisión Bancaria Efectiva fueron Básicos en distintos países y salieron a
publicados originalmente por el Comité la luz nuevos descubrimientos y vacíos
de Basilea de Supervisión Bancaria (el regulatorios, que en muchos casos
Comité)3 en septiembre de 1997. Junto fueron objeto de nuevas publicaciones
con la Metodología de los Principios del Comité. Estos avances hicieron
Básicos4, los Principios Básicos han necesaria la actualización de los
Principios Básicos y la Metodología de
2
evaluación asociada.
El G10 está integrado por Bélgica, Canadá, Para llevar a cabo la revisión, el
Francia, Italia, Japón, Países Bajos, Reino Unido,
Comité trabajó en colaboración con el
Estados Unidos, Alemania y Suecia.
3
El Comité de Supervisión Bancaria de Basilea,
Grupo de Enlace sobre los Principios
creado en 1975 por los Gobernadores de los Básicos (CPLG), grupo de trabajo que
bancos centrales del Grupo de los Diez, está regularmente reúne a altos
compuesto por altos representantes de representantes de los países miembros
organismos de supervisión bancaria y de del Comité, las autoridades encargadas
bancos centrales de Alemania, Bélgica, Canadá, de la supervisión no pertenecientes al
España, Estados Unidos, Francia, Italia, Japón, G10, el FMI y el Banco Mundial. El
Luxemburgo, Suecia, Suiza, Países Bajos y Reino
Comité consultó a otros organismos
Unido. Sus reuniones suelen celebrarse en la
sede del Banco de Pagos Internacionales (BPI) internacionales responsables del
en Basilea (Suiza), donde está ubicada su establecimiento de normas —a saber,
Secretaría.
4
Además de los Principios, el Comité elaboró el documento de la Metodología de los
una guía más detallada para evaluar el Principios Básicos, publicado por primera vez
cumplimiento de los principios individuales, en en 1999.
 5

IAIS, IOSCO, FATF y CPSS— durante países de los Principios Básicos será un
la elaboración de los borradores. Se paso hacia delante para mejorar la
invitó a los grupos regionales de estabilidad financiera nacional e
supervisores a efectuar observaciones.5 internacional y proporcionará un
Antes de terminar la versión fundamento sólido para desarrollos
final del texto, el Comité llevó a cabo adicionales de los sistemas de
una consulta amplia abierta a supervisión efectiva.
autoridades de supervisión nacionales, Los Principios Básicos de
bancos centrales, asociaciones Basilea comprenden 25 principios que
internacionales de comercio, el mundo son necesarios para que un sistema de
académico y otras partes interesadas. supervisión sea efectivo. Estos
Los Principios Básicos principios son categorizados en forma
constituyen un marco de normas general en siete grupos: Objetivos,
mínimas para las prácticas de independencia, poderes, transparencia y
supervisión sólidas y consideradas de cooperación (principio 1);
aplicación universal.6 El Comité elaboró Otorgamiento de licencia y estructura
los Principios Básicos y la Metodología (principios 2 a 5), Regulación
para contribuir al fortalecimiento del prudencial y requerimientos (principios
sistema financiero mundial. Las 6 a 18); Métodos de supervisión
debilidades en el sistema bancario de un continua (principios 19 a 21);
país, sea éste desarrollado o en Contabilidad y divulgación de
desarrollo, pueden amenazar la información (principio 22) Poderes
estabilidad financiera en ese país y en el correctivos y poder de los supervisores
exterior. El Comité cree que la (principio 23); Supervisión Consolidada
implementación por parte de todos los y supervisión bancaria transfronteriza
(principios 24 y 25) (Comité de Basilea
5
de Supervisión Bancaria, 2006).
Comité de Supervisores Bancarios de los
países Árabes, Asociación de Organismos
El Comité de patrocinio de
Supervisores Bancarios de las Américas (ASBA),
Grupo de Supervisores Bancarios del Caribe,
organizaciones (COSO)
Comité de Supervisores Bancarios Europeos
(CBES), Grupo de Trabajo sobre Supervisión El Committee of Sponsoring
Bancaria del EMEAP, Grupo de Supervisores Organizations of the Treadway
Bancarios de Europa central y oriental, Grupo Commission (COSO) se reconoce en
de Supervisores Bancarios Francófonos, Comité todo el mundo por ofrecer orientación
de Supervisores Bancarios del Consejo de sobre aspectos críticos de la gestión
Cooperación del Golfo, Junta de Servicios
pública de la organización, ética
Financieros Islámicos, Grupo Extraterritorial de
Supervisores Bancarios, Grupo regional de
empresarial, control interno, gestión del
Supervisores de Asia central y Transcaucasia, riesgo institucional, fraude y
Subcomité de Supervisores Bancarios de la presentación de informes financieros.
SADC, Foro SEANZA de Supervisores Bancarios, (Committee of Sponsoring
Comité de Supervisores Bancarios de África Organizations of the Treadway
central y occidental y Asociación de Commission (COSO), 2010).7 COSO,
Supervisores Financieros de los países del
Pacífico.
6 7
Los Principios Básicos constituyen un marco El Comité de patrocinio de organizaciones
voluntario de normas mínimas para las (COSO) es una organización voluntaria del
prácticas de supervisión sólidas; las autoridades sector privado. COSO está dedicada a los
nacionales tienen la libertad de adoptar las rectores de entidades de gestión y
medidas complementarias que crean administración ejecutivas hacia el
necesarias para alcanzar la supervisión efectiva establecimiento de las operaciones de negocio
en sus jurisdicciones. más eficaz, eficiente y ética de forma global.
 6

tiene como objetivo mejorar la calidad de ingresos. La tercera trata de cumplir

de la información financiera focalizada con las leyes y reglamentos que ocupa
hacia la gobernabilidad corporativa, la entidad. Estas categorías son
prácticas éticas, y control interno. diferentes pero superpuestas a atender
(Rojas, 2004) necesidades diferentes y permiten un
enfoque dirigido a satisfacer las
El Control Interno distintas necesidades. Los sistemas de
control interno operan en diferentes
Control interno significa cosas niveles de eficacia. El control interno
diferentes para diferentes personas. Esto puede juzgarse eficaz en cada una de las
causa confusión entre empresarios, tres categorías, respectivamente, si el
legisladores, reguladores y otros. Se Consejo de Administración y gestión
define y describe el control interno para: tiene una garantía razonable de que
1. Establecer una definición común al ellos entienden la medida en la que se
servicio de las necesidades de las están logrando los objetivos de las
distintas partes. operaciones de la entidad. (American
2. Proporcionar un estándar contra el Institute of Certified Public
cual las entidades empresariales y otros Accountants, 2010)
—grande o pequeña, en el sector Para un control financiero
público o privado, con fines de lucro o responsable deben gestionarse los
no— pueden evaluar sus sistemas de riesgos. COSO define la administración
control y determinar cómo mejorarlos. del riesgo corporativo —ERM8 por sus
El control interno en general se siglas en inglés— como “…un proceso,
define como un proceso, efectuado por afectado por la junta directiva de una
la Junta de Directores de una entidad, entidad, administradores y otro
administradores y otro personal, personal, aplicada a la estrategia
diseñado para proporcionar una establecida a través de toda la
seguridad razonable con respecto a la corporación, diseñada para identificar
consecución de objetivos en las potenciales eventos que pueden afectar
siguientes categorías: la entidad, gestionando el riesgo para
1. La efectividad y eficiencia de las estar dentro de los parámetros de su
operaciones. apetito de riesgo, proveyendo una
2. La confiabilidad de la información razonable seguridad de lograr los
financiera. objetivos de la organización.” (Fraser &
3. El cumplimiento con leyes y Simkins, 2010). Es un proceso
regulaciones aplicables. sistemático de identificación y
La primera categoría responde a administración de los riesgos
objetivos de negocio básico de una empresariales o de emprendimientos.
entidad, incluyendo rendimiento y los Sobre todo, las grandes
objetivos de rentabilidad y la empresas están llevando a cabo, dentro
salvaguardia de los recursos. La de su planeamiento estratégico, una
segunda se refiere a la preparación de identificación y ponderación de los
los Estados financieros publicados impactos de los riesgos y de los cursos
fiables, incluyendo Estados financieros de acción adecuados para reducir sus
provisionales y condensados y datos efectos. (Casal & Laski, 2010)
financieros seleccionados derivados de La primera noción de control
esas declaraciones, tales como versiones interno fue establecida por el Instituto
Americano de Contadores Públicos
Patrocina y difunde los marcos y orientación
basada en investigaciones a fondo, análisis y las
8
mejores prácticas. ERM: Enterprise Risk Management
 7

Certificados (AICPA) en 1949 y a diferentes tareas y quiénes son los

través de las modificaciones incluidas responsables
en la Declaración sobre Normas de b) Aprobaciones y autorizaciones:
Auditoria (SAS) Numero 55 en 1978 Corresponde a los diferentes niveles de
(Ibíd.). El control interno, de acuerdo a autoridad definidos por la empresa ya se
esta concepción tradicional, constituía estos para realizar funciones o compras
una herramienta cuya función básica era de artículos
detectar si las organizaciones c) Conciliaciones y verificaciones:
funcionaban del modo en que lo Consiste en verificar los saldos de las
deseaban sus directivos o accionistas. cuentas del libro auxiliar al mayor
La noción de “control” ha general para asegurar que las cifras
variado significativamente a lo largo de están correctamente presentadas.
las últimas décadas, pasándose de una d) Segregación de funciones: Dividir la
visión tradicional basada en realización de un proceso entre dos o
verificaciones detectivas o correctivas, más personas. Por ejemplo una persona
hacia una orientación más amplia que que digita facturas, no puede recibir
prioriza la necesidad de establecer efectivo.
sistemas preventivos de control. La administración, para verificar
Desde siempre, ha existido una que los controles están funcionando y
sustancial diferencia en cuanto al que son aplicados correctamente por las
entendimiento del concepto de control personas, realiza revisiones mediante
entre la cultura latina y la cultura las auditorías internas y externas
anglosajona. Según la primera de ellas responsables de verificar y evaluar que
(originada principalmente en los países los mismos funcionan y se realizan de
latinos de Europa y luego difundida manera adecuada.
hacia el continente americano), control
se asocia con “verificación o examen”, Leyes y regulaciones internacionales
contribuyendo a constatar desviaciones
entre lo previsto y lo realizado. En Antes el auditor externo se
cambio, considerando los principios de limitada únicamente a dar un opinión de
la cultura anglosajona, control significa que los controles internos estaban
“guía, impulso correctivo”, donde funcionado razonablemente, sin
subyace la idea de acción correctiva embargo ahora con la Ley SOX, el
inmediata. Como puede verse, esta auditor externo tiene la responsabilidad
última posee una inclinación más de dar fe que los controles están
positiva, puesto que involucra la noción funcionando adecuadamente, adicional
de pro actividad en un contexto que detectar posibles casos de fraude.
promueva la prevención, más que de Del latín Lex, una ley es una
juzgar hechos pasados. (Laski, 2011). regla o norma. Se trata de un factor
Producto de todo esto las constante e invariable de las cosas que
diferentes compañías, en el desarrollo nace de una causa primera. Las leyes
de sus operaciones financieras y son por otra parte, las relaciones
operativas, diseñan diversos controles existentes entre los elementos que
orientados a disminuir el riesgo de intervienen en un fenómeno. (Real
pérdidas financieras, que puedan afectar Academia Española (RAE), 2010)
los objetivos de las mismas. Entre estos La Ley Sarbanes-Oxley, cuyo
controles podemos mencionar los título oficial en Inglés es Sarbanes-
siguientes: Oxley Act f 2002, Pub. L. No. 107-204,
a) Políticas y procedimientos: Dictan las 116 Stat. 745 (30 de Julio del 2002) es
pautas como debe realizarse las una ley de los Estados Unidos también
 8

conocida como el Acta de Reforma de regular, inspeccionar y disciplinar a las

la Contabilidad Pública de Empresas y auditoras, también se refiere a la
de protección al inversionista. También independencia de las auditorias, el
es llamada SOX o SarbOX; toma el gobierno corporativo y la transparencia
nombre del senador Paúl Sarbanes financiera. (Moller, 2004).
(Demócrata) y Michael Oxley
(Congresista) del partido republicano”. El control Interno sobre reportes
(Ruiz, 2005, p. 2). financieros
Esta Ley nace en Estados
Unidos, con el fin de monitorear a las El término fiabilidad, como es
empresas que cotizan en bolsa, evitando usado en los reportes financieros,
que las acciones de las mismas sean involucra la preparación de estados
alteradas de manera dudosa, mientras financieros que son presentados en
que su valor es menor. La conformidad a algún marco de control
finalidad es evitar fraudes y riesgos de usado por la administración. Sin
bancarrota, protegiendo al inversor. Esta embargo, un sistema de control interno
Ley afecta a todas las empresas que sobre estados financieros incluye el
cotizan en Bolsa de Valores de New diseño y la implementación de aquellas
York (NYSE), así como sus filiales. políticas y procedimientos necesarios
Estas filiales pueden estar ubicadas en para proveer una seguridad razonable
diferentes países, por lo que deben que los estados financieros de la entidad
cumplir con esta ley igualmente. Por ser son presentados de acuerdo a la base
federal de los Estados Unidos, ha tenido contable seleccionada por la
mucha controversia, ya que la misma es administración.
una respuesta a los escándalos El control interno tiene cinco
financieros de algunas grandes componentes: (AICPA, 2009)
corporaciones, entre las que se pueden 1. Ambiente de Control
mencionar los casos que afectaron a 2. Evaluación del riesgo
Enron, Tico International, WorldCom y 3. Actividades de control
Peregrine Systems. Estos escándalos 4. Información y comunicación
hicieron caer la confianza de la opinión 5. Monitoreo.
pública en los sistemas de contabilidad
y auditoría.
La ley SOX abarca y establece
nuevos estándares para los consejos de
administración, dirección, mecanismos
contables de todas las empresas que
cotizan en la bolsa de los Estados
Unidos, adicional introduce
responsabilidades penales para el
consejo de administración y establece
requerimientos por parte de la Comisión
Reguladora del Mercado de Valores de
los Estados Unidos (SEC).
La primera y más importante Figura 1. Componentes del control interno.
parte de esta Ley establece una nueva Fuente: COSO
agencia cuasi pública, “The Public
Company Accounting Oversight
Board”(PCAOB), una compañía
reguladora encargada de revisar,
 9

Necesidad del Control de la gestión de un marco de referencia para controlar la

las Tecnologías de la Información TI, que se ajuste y sirva como soporte a
Basilea, COSO y a la Ley SOX
Para muchas empresas, la Las organizaciones deben
información y la tecnología que las satisfacer la calidad, los requerimientos
soportan representan sus más valiosos fiduciarios y de seguridad de su
activos, aunque con frecuencia son poco información, así como de todos sus
entendidos. Las empresas exitosas activos. La dirección también debe
reconocen los beneficios de la optimizar el uso de los recursos
tecnología de información y la utilizan disponibles de TI, incluyendo
para impulsar el valor de sus interesados aplicaciones, información,
(stakeholders). Estas empresas también infraestructura y personas. Para
entienden y administran los riesgos descargar estas responsabilidades, así
asociados, tales como el aumento en como para lograr sus objetivos, la
requerimientos regulatorios, así como la dirección debe entender el estatus de su
dependencia crítica de muchos procesos arquitectura empresarial para TI y
de negocio en TI. decidir qué tipo de gobierno y de
La necesidad del aseguramiento control debe aplicar.
del valor de TI, la administración de los Un marco de control para el
riesgos asociados a TI, así como el Gobierno TI define las razones de por
incremento de requerimientos para qué se necesita el Gobierno de TI, los
controlar la información, se entienden interesados y que se necesita cumplir en
ahora como elementos clave del el gobierno de TI.
Gobierno Corporativo. El valor, el Cada vez más, la alta dirección
riesgo y el control constituyen la se está dando cuenta del impacto
esencia del gobierno de TI. significativo que la información puede
El gobierno de TI es tener en el éxito de una empresa. La
responsabilidad de los ejecutivos, del dirección espera un alto entendimiento
consejo de directores y consta de de la manera en que la TI es operada y
liderazgo, estructuras y procesos de la posibilidad de que sea
organizacionales que garantizan que TI aprovechada con éxito para tener una
en la empresa sostiene y extiende las ventaja competitiva. Las empresas
estrategias y objetivos organizacionales. exitosas entienden los riesgos y
(IT Governance Institute, 2007).9 aprovechan los beneficios de TI. Las
Más aún, el gobierno de TI empresas no pueden responder de forma
integra e institucionaliza las buenas efectiva a estos requerimientos de
prácticas para garantizar que TI en la negocio y de gobierno sin adoptar e
empresa soporta los objetivos del implementar un marco de referencia de
negocio. De esta manera, el gobierno de gobierno y de control para TI. Además,
TI facilita que la empresa aproveche al el gobierno y los marcos de trabajo de
máximo su información, maximizando control están siendo parte de las mejores
así los beneficios, capitalizando las prácticas de la administración de TI y
oportunidades y ganando ventajas sirven como facilitadores para
competitivas. Estos resultados requieren establecer el gobierno de TI y cumplir
con el constante incremento de
9
El IT Governance Institute (ITGITM, por sus requerimientos regulatorios.
siglas en Inglés) (www.itgi.org) se estableció en Como respuesta a las
1998 para evolucionar el pensamiento y los necesidades descritas en la sección
estándares internacionales respecto a la anterior, el marco de trabajo Objetivos
dirección y control de la tecnología de de Control para la Información y la
información de una empresa.
 10

Tecnología relacionada (COBIT®)10 se 2. TI habilita al negocio y maximiza

creó con las características principales los beneficios.
de ser orientado a negocios, orientado a 3. Los recursos de TI se usan de
procesos, basado en controles e manera responsable.
impulsado por mediciones. 4. Los riesgos de TI se administran
apropiadamente.
Objetivos de Control para la
Información y la Tecnología
relacionada

COBIT brinda buenas prácticas

a través de un marco de trabajo de
dominios y procesos, y presenta las
actividades en una estructura manejable
y lógica. Las buenas prácticas de
COBIT representan el consenso de los Figura 2. Principio básico de CobiT
expertos. Están enfocadas fuertemente Fuente: CobiT 4.1
en el control y menos en la ejecución.
Estas prácticas ayudarán a optimizar las
inversiones habilitadas por TI, Para lograr un gobierno efectivo,
asegurarán la entrega del servicio y los ejecutivos esperan que los controles
brindarán una medida contra la cual a ser implementados por los gerentes
juzgar cuando las cosas no vayan bien. operativos se encuentren dentro de un
La orientación al negocio que marco de control definido para todo los
enfoca COBIT consiste en alinear las procesos de TI. Los objetivos de control
metas de negocio con las metas de TI, de TI de COBIT están organizados por
brindando métricas y modelos de proceso de TI; por lo tanto, el marco de
madurez para medir sus logros, e trabajo brinda una alineación clara entre
identificando las responsabilidades los requerimientos de gobierno de TI,
asociadas de los dueños de los procesos los procesos de TI y los controles de TI.
de negocio y de TI. COBIT se enfoca en qué se
El enfoque hacia procesos de requiere para lograr una administración
COBIT se ilustra con un modelo de y un control adecuado de TI, y se
procesos, el cual subdivide TI en 34 posiciona en un nivel alto. COBIT ha
procesos de acuerdo a las áreas de sido alineado y armonizado con otros
responsabilidad de planear, construir, estándares y mejores prácticas más
ejecutar y monitorear, ofreciendo una detallados de TI (Ibíd.).
visión de punta a punta de la TI. Los Para resumir, los recursos de TI
conceptos de arquitectura empresarial son manejados por procesos de TI para
ayudan a identificar aquellos recursos lograr metas de TI que respondan a los
esenciales para el éxito de los procesos, requerimientos del negocio. Este es el
es decir, aplicaciones, información, principio básico del marco de trabajo
infraestructura y personas. COBIT, como se ilustra en el cubo
COBIT da soporte al gobierno COBIT (figura 3).
de TI al brindar un marco de trabajo que
garantiza que:
1. TI está alineada con el negocio.

10
Siglas en Inglés de Control Objectives for
Information and related Technology.
 11

control interno para las empresas.

COBIT es el marco de trabajo de
control interno generalmente aceptado
para TI.

Referencias

AICPA. (2009). Understanding Internal

Control and Internal Control
Services. New York, USA.

Amat, J. M. (2000). Control de Gestión, una

perspectiva de dirección.
Barcelona: Ediciones Gestión 2000.
Figura 3. Cubo CobiT
Fuente: CobiT 4.1 American Institute of Certified Public
Accountants. (2010). Internal
Discusión Control - Integrated Framework.
Retrieved Febrero 1, 2011, from
El control es una herramienta www.coso.org:
indispensable para una exitosa http://www.coso.org/IC-
administración. Los controles
IntegratedFramework-
financieros son posibilitados en la
medida con que se cuente con controles summary.htm
internos diseñados adecuadamente para
Casal, A. M., & Laski, J. (2010, 09 28).
gestionar los riesgos y que estén
operando eficiente y consistentemente. Interpretación del modelo COSO –
Para ello existen marcos de control ERM.
generalmente aceptados a nivel mundial
Comité de Basilea de Supervisión Bancaria.
como por ejemplo COSO. Cada vez la
información y los activos que la (2006, Octubre). Principios Básicos
contienen, son más estratégicos para de Basilea. Retrieved Febrero 1,
una sana y correcta gobernabilidad 2011, from Basilea:
empresarial por lo que es crítico contar http://www.asbaweb.org/Docume
con herramientas de control de la ntos/publicaciones/PrincipiosBasic
gestión de las TI. El marco de control osdeBasilea-Octubre2006.pdf
generalmente aceptado a nivel mundial
para hacerle frente a estos desafíos es Committee of Sponsoring Organizations of
COBIT, administrando los recursos de the Treadway Commission (COSO).
TI para proporcionar información de (2010). Home. Retrieved Febrero 1,
acuerdo con los requerimientos del
2011, from www.coso.org:
negocio y de gobierno.
COBIT actúa como un http://www.coso.org/
integrador resumiendo los objetivos
Fraser, J., & Simkins, B. J. (2010). Enterprise
clave bajo un mismo marco de trabajo
Risk Management. Today´s Leading
integral que también se alinea con los
requerimientos de gobierno y de Research and Best Practices for
negocios. COSO (y marcos de trabajo Tomorrow Executives. New Jersey:
compatibles similares) es generalmente John Wiley & Sons, Inc.
aceptado como el marco de trabajo de
 12

IT Governance Institute. (2007). CobiT 4.1.

Rolling Meadows, Illinois, United
States of America.

Laski, J. (2011). Evaluación de la Estructura

de Control Interno. Argentina:
Julian Laki.

Moller, R. R. (2004). Sarbanex-Oxley and

the New Internal Auditing Rules.
New Jersey: John Wiley & Sons,
Inc.

Peña, D. N. (1999). El Control de Gestión

Renovado. Madrid: Ortega
ediciones gráficas.

Real Academia Española (RAE). (2010).

Busqueda por aproximación.
Retrieved Febrero 1, 2011, from
Diccionario de la Lengua Española -
Vigésima segunda edición:
http://buscon.rae.es/draeI/SrvltCo
nsulta?TIPO_BUS=3&LEMA=ley

Robbins, S. P., & Coulter, M. (2005).

Administraciòn, 8a. Ed. Mexico:
Pearson Educacion.

Roehl-Anderson, J. M., & Bragg, S. M.

(2005). The Controller´s Function.
The work of the managerial
accountant. New Yersey: John
Wiley & Sons, Inc.

Rojas, X. D. (2004). Evaluacion del control

interno con base al informe COSO.
Tegucigalpa: Grupo Celac.

Ruiz, G. (2005). Wall Street se pone dura.

Wall Street Journal, 1-2.