MODELOS DE CONTROL INTERNO INTRODUCCIÓN En los últimos años, a consecuencia de los numerosos problemas detectados en la lass en entitida dade dess de co corr rrup upci ción ón y r rau aude des, s, !u !ue e "a "an n in in#o #olu lucr crad ado o "a "ast sta a corporaciones internacionales, se "a ortalecido e implementado el Control Interno en dierentes pa$ses, ya !ue se "an percatado de !ue este no es un tema reser#ado reser#ado solam solamente ente para cont contadore adoress sino !ue es una respo responsab nsabilida ilidad d tambi%n de los miembros de los Conse&os de 'dministración de las dierentes acti#idades económicas de cual!uier or(ani)ación o pa$s* +a present presente e in#esti( in#esti(aci ación ón dat data a de los mod modelo eloss de co contr ntrol ol apl aplica icados dos a la audi au dito tor$ r$a a in ino orm rmt tic ica, a, ya !ue !ue lo loss mode modelo loss de co cont ntro roll so son n in ino orm rmes es !u !ue e permiten se(uir las pautas para la elaboración de los sistemas de control interno, a continuación se describen al(unos al(unos modelos como como son el CO-O, CO-O, el COCO, COC O, el C'D C'D.UR .UR/ /, el CO. CO.IT IT,, el TUR TURN.U N.U++ ++ y el 'EC por men mencio cionar nar al(unos, ya !ue e0isten muc"os muc"os ms modelos* modelos* 1'NOR23IC' DE 3ODE+O- DE CONTRO+ 43arcos de reerencia 5comunidades6 para clasiicar los modelos de control se(ún 1"ilip +* Campbell*
Comunidad de Objetivos de Control -e basan en el concepto de 7ob&eti#o de control89
Control9 +as pol$ticas, procedimientos, prcticas y estructuras or(ani)acionales para proporcionar se(uridad ra)onable de !ue los ob&eti#os or(ani)acionales se alcan)arn y !ue los e#entos no deseados se e#itarn o detectarn y corre(irn*
Objetivo de control9 Una declaración de !ue el resultado o propósito deseado se alcan)ar al implantar mecanismos de control en una acti#idad particular de tecnolo($a de inormación
Comunidad de Principios
-e basan en la noción de principios como rendición de cuentas, concienti)ación, e!uidad y %tica*
Comunidad de Madurez de la Capacidad -e basa en la noción del modelo de madure), cuyo único miembro es el -ystems -ecurity En(ineerin( Capability 3aturity 3odel 5--E4 C336* +a teor$a es !ue una or(ani)ación cuyo ni#el de madure) es mayor !ue otra es probable !ue produ)ca un me&or producto o ser#icio* El eno!ue se centra en el proceso y sólo en orma secundaria en el producto* 'NTECEDENTE3odelo de Control CO-O9 Committee o -ponsorin( Or(ani)ations o t"e Trade:ay Commision, U-', septiembre ;<<=* 3odelo de Control COCO9 Criteria o Control Committee 5Instituto Canadiense de Contadores Certiicados, CIC', No#ember;<<>*
MODELO COSO CONTROL Cual!uier medida !ue tome la dirección, el Conse&o y otros, para me&orar la (estión de ries(os y aumentar la probabilidad de alcan)ar los ob&eti#os y metas establecidos* +a dirección planiica, or(ani)a y diri(e la reali)ación de las acciones suicientes para proporcionar una se(uridad ra)onable de !ue se alcan)arn los ob&eti#os y metas*
CONCEPTO DE CONTROL INTERNO 1roceso lle#ado a cabo por el Conse&o de 'dministración, la ?erencia y otro personal de la Or(ani)ación, diseñado para proporcionar una se(uridad ra)onable sobre el lo(ro de los ob&eti#os de la or(ani)ación clasiicados en9 @ Eecti#idad y eiciencia de las operaciones @ Coniabilidad de la inormación inanciera @ Cumplimiento con las leyes, re(lamentos, normas y pol$ticas
CRCTER!STICS @ 3edio para alcan)ar un in, no un in en s$ mismo*
@ No es un e#ento o circunstancia sino una serie de acciones !ue permean en las acti#idades de la or(ani)ación* @ Aorma parte de los procesos bsicos de la administración4planeación e&ecución y monitoreo y se encuentra inte(rado en ellos* @ +os controles deben construirse 7Dentro8 de la inraestructura de la or(ani)ación y no 7-obre ella8* @ Es eectuado por personas* No es solamente un con&unto de manuales de pol$ticas y procedimientos, sino son personas en cada ni#el de la or(ani)ación* @ Es e&ecutado por la (ente de una or(ani)ación a tra#%s de lo !ue "ace y dice* +a (ente diseña los ob&eti#os de la Entidad y establece los mecanismos de control* @ 'ecta las acciones del personal, señalndole sus responsabilidades y l$mites de autoridad, as$ como la #inculación entre sus deberes y la orma en !ue los desempeñan* @ +a alta dirección es responsable de la e0istencia de un eiciente sistema de control* @ +os Directores tienen la obli(ación de la #i(ilancia del control adems de !ue proporcionan directrices y aprueban ciertas transacciones y pol$ticas* @ Cada indi#iduo dentro de la or(ani)ación tiene al(ún rol respecto al control interno* @ No e0iste sistema inalible* Nin(ún sistema "ar por siempre lo !ue se espera !ue "a(a* @ No importa lo bien diseñado y operado !ue sea un sistema de controlB lo ms !ue puede esperarse es !ue proporcione se(uridad ra)onable* @ El eecto acumulado de controles y su naturale)a di#ersa, reducen el ries(o de !ue no puedan alcan)arse los ob&eti#os*
Limitaciones del control" ➢ Errores
por alta de capacidad para e&ecutar las instrucciones
➢ Errores
de &uicio en la toma de decisiones*
➢ Errores
por mala interpretación, ne(li(encia, distracción o ati(a*
➢ Inobser#ancia
(erencial a las pol$ticas o procedimientos prescritos*
➢ Colusión* ➢ Costo
4 beneicio*
Caracter#sticas de los objetivos de una or$anizaci%n" ➢
Operacionales9 Relacionados con el uso eiciente y eica) de los
recursos* ➢ Inormación
inanciera9 Relacionados con la preparación de reportes
inancieros coniables* ➢
Cumplimiento9 Relacionados con el cumplimiento con leyes y
re(lamentos aplicables*
MRCO INTE&RDO DE CONTROL RELCI'N DE O()ETI*OS + COMPONENTES ❖ E0iste
una relación directa entre ob&eti#os !ue la or(ani)ación busca y los
componentes !ue representan lo necesario para alcan)ar los ob&eti#os !ue la or(ani)ación busca y los componentes !ue representan lo necesario para alcan)ar los ob&eti#os*
M(IENTE DE CONTROL ❖ Inte(ridad ❖ Comit%
y alores ticos
de 'uditor$a
❖ Ailoso$a
'dministrati#a y Estilo de Dirección
❖ Estructura
Or(ani)acional
❖ 'si(nación ❖ 1ol$tica
de 'utoridad y Responsabilidad
de Recursos umanos
❖ Competencia
E*L,CI'N DE RIES&OS ❖ Ob&eti#os
Institucionales
❖ Ob&eti#os
Espec$icos
➢ Operati#os ➢ Inormación
Ainanciera
➢ Cumplimiento ❖ 'nlisis
de Ries(os
➢ Or(ani)ación
5E0ternos F Internos6
➢ 'cti#idad ➢ 'nlisis ❖ 3ane&o
5Trascendencia F 1robabilidad F Control6
de Cambios
CTI*IDDES DE CONTROL ❖ 'cti#idades ➢ +as ➢ +a ➢ El ❖ Tipos
de control sobre9
operaciones
inormación inanciera acatamiento de Control9
➢ 1re#enti#os ➢ 3anuales
F Correcti#os
F 'utomati)ados
➢ ?erenciales
IN-ORMCI'N + COM,NICCI'N ❖ -istemas ➢ 'poyo
de Inormación9 'cti#idades Estrat%(icas
➢ Inte(ración
con las Operaciones
➢ Calidad ❖ Comunicación9 ➢ Interna
F E0terna
➢ 3edios
S,PER*ISI'N + SE&,IMIENTO ❖ -uper#isión
Concurrente
❖ E#aluaciones
Independientes
➢ 'lcance
y recuencia
➢ Gui%nes
e#alúan
➢ 1roceso
de e#aluación
➢ 3etodolo($a ➢ 1lan
F documentación
de acción
❖ Reportes
de Deiciencias
MODELO DE CONTROL .ONTR& 5+ey de Control y Transparencia en los Ne(ocios H 'lemania6
Objetivo*4 3e&orar a la or(ani)ación con el in de e#itar crisis corporati#as Principales elementos" •
Obli(ación de establecer una estructura (erencial de ries(o 5encar(ada del control y administración6
•
•
'nlisis y e#aluación sistemtico del ries(o Comunicación oportuna del reconocimiento de ries(os
RESPONS(ILIDDES SO(RE EL CONTROL ✓ Conse&o
de 'dministración*4 Es la instancia responsable de establecer
(u$a, super#isión (eneral y (obernabilidad a la or(ani)ación ✓ ?erencia*4
El Director ?eneral es el último responsable y asume la
propiedad del sistema de control ✓ 'uditores
Internos*4 E#alúa la eecti#idad del sistema de control
✓ 1ersonal*4
es responsable todo el personal dependiendo de su ni#el y
ubicación uncional
TIPOS DE CONTROL Preventivos @ De acti#idades 5repetiti#as6 @ De recursos @ De insumos @ De acceso @ De in#esti(ación y desarrollo @ De proyectos
Detectivos @ Concurrentes 5sobre la marc"a6 @ 1osteriores @ De resultados 5acti#idades creati#as6 @ De operaciones @ De procesos 4 De salidas @ De se(uridad 5res(uardo6
MODELO CD(,R+
Desarrollado por el llamado Comit% Cadbury 5U Cadbury Committee6* 'dopta una interpretación amplia del control* 3ayores especiicaciones en la deinición de su eno!ue sobre el sistema de control en su con&unto4inanciero y de cual!uier tipo*
Objetivos orientados a proporcionar una ra)onable se(uridad de9 a6 Eecti#idad y eiciencia de las operaciones* b6 Coniabilidad de la inormación y reportes inancieros* c6 Cumplimiento con leyes y re(lamentos +os elementos cla#e de este modelo son en esencia similares al modelo CO-O, sal#o la consideración de los sistemas de inormación inte(rados en los otros componentes y un mayor %nasis respecto a ries(os* +imitación en la responsabilidad de los reportes de control a la coniabilidad de los inancieros
MODELO COCO CONCEPTO DE CONTROL INTERNO Incluye a!uellos elementos de una or(ani)ación 5recursos, sistemas, procesos, cultura, estructura y metas6 !ue tomadas en con&unto apoyan al personal en el lo(ro de los ob&eti#os de la or(ani)ación9 Eecti#idad y eiciencia de las operaciones* Coniabilidad de los reportes internos o e0ternos* Cumplimiento con las leyes y re(lamentos aplicables, as$ como con las pol$ticas internas*
O()ETI*OS
OR&NI/CIONLES 5eecti#idad
y
eiciencia
de
las
operaciones6 @ -er#icio al cliente @ -al#a(uarda y uso eiciente de los recursos @ Obtención de beneicios @ Cumplimiento de obli(aciones sociales @ -e(uridad de !ue los ries(os son debidamente identiicados y administrados
Con0iabilidad de los reportes internos 1 e2ternos
@ 3antenimiento de re(istros contables adecuados* @ Coniabilidad de la inormación utili)ada* @ Inormación publicada para terceros interesados*
Cumplimiento con la normatividad 1 pol#ticas internas aplicables se$uramiento de 3ue las actividades de la or$anizaci%n se conducen en total concordancia con el marco le$al 1 con las pol#ticas internas4 Naturaleza del control @ El control debe ser reali)ado por el personal de toda la or(ani)ación, !uien ser responsable del diseño, establecimiento, super#isión y mantenimiento del control* @ El personal responsable de lo(rar determinados ob&eti#os tambi%n deber e#aluar la eecti#idad del control dentro de su esera de competencia y de reportar tal e#aluación ante !uien %l es responsable* @ El costo del control deber ser proporcional a los beneicios esperados* @ El control re!uiere de un e!uilibrio entre autonom$a e inte(ración y entre consistencia y adaptación al cambio*
Ciclo del entendimiento b5sico @ 1ropósito @ Compromiso @ 'ptitud @ 'cción @ E#aluación 5'uto6 y 'prendi)a&e
Criterios de control @ +os criterios de control son la base para entender el control de una or(ani)ación* @ Estn planteados como metas a cumplir permanentemente*
MODELO CO(IT 67u8 es9 Es un marco de control interno de TI* 1arte de la premisa de !ue la TI re!uiere proporcionar inormación para lo(rar los ob&eti#os de la or(ani)ación*
1romue#e el eno!ue y la propiedad de los procesos* 'poya a la or(ani)ación al pro#eer un marco !ue ase(ura !ue9 +a Tecnolo($a de Inormación 5TI6 est% alineada con la misión y #isión* +' TI capacite y ma0imice los beneicios* +os recursos de TI sean usados responsablemente* +os ries(os de TI sean mane&ados apropiadamente*
,suarios ?erencia9 'poyar decisiones de in#ersión en TI y control sobre su rendimiento, as$ como anali)ar el costo4beneicio del control* Usuarios Ainales9 ?aranti)ar se(uridad y control de los productos !ue ad!uieren interna y e0ternamente 'uditores9 'poyar sus opiniones sobre los controles de los proyectos de TI, su impacto en la or(ani)ación y el control m$nimo re!uerido* Responsables de TI9 Identiicar los controles !ue re!uieren*
Principios Re!uerimientos de la Inormación del Ne(ocio @ Eecti#idad9 Inormación rele#ante y pertinente, proporcionada en orma oportuna, correcta, consistente y utili)able @ Eiciencia9 Empleo óptimo de los recursos* @ Conidencialidad9 1rotección de la inormación sensiti#a contra di#ul(ación no autori)ada @ Inte(ridad9 Inormación e0acta y completa, as$ como #lida de acuerdo con las e0pectati#as de la or(ani)ación* @ Disponibilidad9 accesibilidad a la inormación y la sal#a(uarda de los recursos y sus capacidades* @ Cumplimiento9 +eyes, re(ulaciones y compromisos contractuales* @ Coniabilidad9 'propiada para la toma de decisiones adecuadas y el cumplimiento normati#o*
Recursos de TI @ Datos9 Todos los ob&etos de inormación interna y e0terna, estructurada o no, (ricas, sonidos, etc*
@ 'plicaciones9 -istemas de inormación, !ue inte(ran procedimientos manuales y sistemati)ados* @ Tecnolo($a9 ard:are y sot:are bsico, sistemas operati#os, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc* @ Instalaciones9 Recursos necesarios para alo&ar y dar soporte a los sistemas* @ Recurso umano9 abilidad, actitud y producti#idad del personal*
DOMINIOS : PROCESOS 1laneación y Or(ani)ación Deinición de un plan estrat%(ico Deinición de la ar!uitectura de inormación Determinación de la dirección tecnoló(ica Deinición de or(ani)ación y relaciones 'dministración de la in#ersión Comunicación de las pol$ticas 'dministración de los recursos "umanos 'se(urar el cumplimiento con los re!uerimientos E0ternos E#aluación de ries(os 'dministración de proyectos 'dministración de la calidad 'd!uisición e Implantación Identiicación de soluciones automati)adas 'd!uisición y mantenimiento del sot:are aplicati#o 'd!uisición y mantenimiento de la inraestructura tecnoló(ica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas 'dministración de los cambios -er#icios y -oporte Deinición de los ni#eles de ser#icios
'dministración de los ser#icios de terceros 'dministración de la capacidad y rendimientos 'se(uramiento del ser#icio continuo 'se(uramiento de la se(uridad de los sistemas Entrenamiento a los usuarios Identiicación y asi(nación de los costos 'sistencia y soporte a los clientes 'dministración de la coni(uración 'dministración de los problemas 'dministración de los datos 'dministración de las instalaciones 'dministración de la operación
SE&,IMIENTO -e(uimiento de los procesos E#aluación del control Interno Contratación de un ase(uramiento independiente
MODELO &,! T,RN(,LL JGU E- +' ?UK' TURN.U++L Es la adopción de un eno!ue basado en ries(os para establecer un sistema de control interno y re#isar su eecti#idad*
CONTRI(,CIONES L ,DITOR! INTERN .ENEAICIO- 1OTENCI'+E@ 3ayor probabilidad de lo(rar ob&eti#os @ 3ayor cobertura a lar(o pla)o @ 3ayor probabilidad de lo(rar cambios @ enta&as competiti#as @ Eno!ue interno en "acer bien las cosas @ 3enores costos de capital @ 3e&ores bases para establecer estrate(ias @ Reducción de tiempo para emer(encias @ Disminución de sorpresas desa(radables
@ Despla)amiento oportuno a otras reas de ne(ocios
PELI&ROS POTENCILES @ Eno!ue Insuiciente en 'dministración de Ries(o @ Inapropiada Orientación de ries(os @ Incapacidad para obtener aceptación del (erente @ -obrecar(a del comit% de 'uditor$a @ Aalta de 3ecanismos de 'd#ertencia @ I(norar Controles Ainancieros bsicos @ Incremento de .urocracia @ 'bandonarlo Demasiado tarde @ Demasiados Ries(os identiicados
MODELO ,TOE*L,CION DE CONTROLES ;EC< 1roceso documentado en el !ue9 ❖ +a
administración o el e!uipo de traba&o se in#olucra directamente
en una unción* ❖ -e
&u)(a la eecti#idad del proceso de control #i(ente*
❖ -e
deine si se ase(ura ra)onablemente el lo(rar al(uno o todos los
ob&eti#os* El ob&eti#o es proporcionar se(uridad ra)onable de !ue se alcan)arn los ob&eti#os de la or(ani)ación*
OTROS NOM(RES @ 'utoe#aluación de ries(o4control* @ E#aluación dinmica del control* @ Co4e#aluación del control* @ 'utoe#aluación or(ani)acional* @ 'utoe#aluación de proceso* @ 'utoe#aluación de ries(os* @ 'utoe#aluación de ries(os de la or(ani)ación*
ENTRENMIENTO @ 1ara desarrollar la 'EC se re!uiere capacitación9
@ En metodolo($a* @ En modelos de control @ En e#aluación de ries(os @ En talleres de autoe#aluación de control @ En redacción* @ En tecnolo($a*
(ENE-ICIOS PR L DMINISTRCI'N 4 3e&ora de la moral del personal* 4 Eliminación de atmóseras de desconian)a* 4 ?eneración de ideas y planes de acción implantados ms all del alcance ori(inal* 4 Aacilidad de implantación de acciones de me&ora* 4 1romoción de la unidad or(ani)acional mediante la identiicación y solución de problemas* 4 Reali)a el papel de auditor$a interna*
IN*OL,CRMIENTO DE L LT &ERENCI 'dopción de la 'EC @ Conocimiento de la 'EC en los ni#eles adecuados @ Entendimiento de la comple&idad, costos, beneicios y limitaciones de la 'EC @ 'ceptación, in#olucramiento y patrocinio de la alta (erencia en la 'EC
Re3uisitos de la Or$anizaci%n 4 Cultura !ue apoye la 'EC 4 'ctitud (erencial orientada al acultamiento y al control* 4 Entorno libre de ries(os 5no represalias6 4 Reconocimiento de la comple&idad de la implantación de la 'EC*
Re3uisitos del -acilitador 4 -er inno#ador y desear tomar ries(os 4 -aber escuc"ar, comunicarse y aprender de la (ente 4 -aber !u% alcan)ar y !u% "erramientas se necesitan
4 Conocer la or(ani)ación, su entorno y normati#idad 4 Entender la cultura or(ani)acional 4 'se(urarse !ue la administración sabe !ue es responsable de los controles 4 E0plicar el proceso de 'EC 4 1roporcionar inormación y conocimiento al taller 4 Utili)ar eno!ues y "erramientas espec$icas 4 Desarrollar la dinmica del e!uipo 4 'se(urar la lo($stica del taller* 4 Obtener acciones de me&ora del taller* 1reparación del taller9 @ Entre#istar a la ?erencia y al personal operati#o @ E#aluar la estructura or(ani)acional @ 'prender sobre la or(ani)ación @ -eleccionar los ob&eti#os de la or(ani)ación @ -eleccionar los participantes al T'C @ 1reparar la lo($stica de la reunión @ En#iar inormación pre#ia a la reunión* @ Aacilitar la identiicación del proceso y obstculos @ i(ilar la lo($stica @ Obtener acciones de me&ora del T'C @ '(re(ar #alor a la or(ani)ación
Estrate$ias ;* +imitar el alcance a asuntos de alta prioridad =* Emplear (rupos de traba&o interdisciplinarios y con personal comprometido M* 1roporcionar tiempo suiciente para la preparación del taller* * Deinir los ob&eti#os del Taller de 'utoe#aluación del Control 5T'C6 >* Emitir pronunciamientos y criterios al inicio del proceso * 3antener #isible el apoyo de la alta (erencia P* ender el concepto constantemente
Q* 1roporcionar retroalimentación a los participantes sobre los resultados <* Implantar la 'EC mediante prueba piloto, lo mismo !ue las acciones de me&ora
PLNECI'N ;* -eleccionar el 5los6 ob&eti#o 5s6 a anali)ar en el T'C =* -eleccionar al acilitador y al relator M* Deinir la estructura del T'C9 "ori)ontal, #ertical o mi0ta* * -eleccionar los participantes del T'C >* Elaborar el pro(rama de acti#idades con responsables y tiempos * 1lanear reportes de a#ance y conclusión
Capacitar en Control 1 utocontrol" @ 3odelos de Control 5CO-O, COCO***6 @ E#aluación de ries(os @ 'utoe#aluación en control y su metodolo($a @ erramientas y tecnolo($a especiali)ada para su uso en el taller
COND,CCI'N DE RE,NIONES ;* 1reparar la lo($stica de las reuniones =* En#iar inormación pre#ia a las reuniones M* 1resentar los ob&eti#os del T'C @ Deinición del producto inal @ 3etodolo($a del taller @ erramientas a utili)ar @ 3%todo de re(istro y #otación @ .eneicios tan(ibles * E0plicar el papel de los participantes y aclarar e0pectati#as* >* 1resentar la a(enda de la reunión * Conducir la reunión P* Estructurar e in#entariar el resultado de las e#aluaciones Q* +e#antar minuta de los acuerdos
DESRROLLO DE PLNES DE CCI'N 4 Deinición y e#aluación de ob&eti#os, ries(os y controles*
4 Determinación de acciones de me&ora* 4 Deinición y reali)ación de las acciones, tiempos, responsables y recursos para la implantación de las me&oras* 4 Establecimiento de puntos de control para la e#aluación de los a#ances y la comunicación de las des#iaciones
MONITOREO + REPORTE DE RES,LTDOS 4 Establecer sistema de se(uimiento y e#aluación de los planes de acción 4 Implantar acciones correcti#as y ormular nue#os planes 4 Establecer y ormular reportes de a#ance de los traba&os del taller 4 E#aluar los costos y beneicios de las me&oras implantadas 4 Impulsar la me&ora continua
PRO(LEM=TIC 4 'rran!ue costoso 4 Cur#a de aprendi)a&e pronunciada 4 abilidades poco apro#ec"adas 4 1oco o mal entendimiento de los talleres 4 Resultados iniciales poco impactantes 4 Costos de "onorarios de proesionales, entrenamiento, e!uipo y sot:are 4 In#ersión uerte en capacitación 4 Esuer)o serio de #enta interna
MODELO DE CONTROL DE CCESO (SDO EN L SEM=NTIC ;SC< Aundamentos de -'C El diseño de -'C se basa en un modelo de metadatos !ue permite la inte(ración semntica de una de control de acceso y una inraestructura de acreditación e0terna* -'C representa una solución al problema del control de acceso para entornos altamente distribuidos, dinmicos y "etero(%neos* El diseño de este modelo se basa en la inormación semntica para lo(rar !ue se ten(an en consideración las propiedades particulares de los recursos accedidos 5lo !ue se conoce como 7introspección de contenido86*
El modelo -'C contempla la e0istencia de una serie de sistemas de control de acceso y un con&unto de entidades de acreditación coniables !ue actúan de manera independiente y dan ser#icio a los dierentes sistemas de control de acceso* El control de los recursos es independiente de su locali)ación* De esta orma, los recursos controlados por un administrador no "an de residir obli(atoriamente en su propio sistema de inormación* I(ualmente, al(unos de los recursos almacenados por un sistema de control de acceso pueden no estar ba&o el control de dic"o sistema* En nuestro modelo -'C, la identiicación del usuario o cliente no es obli(atoria* Esto es debido a !ue los clientes poseen una serie de atributos, y el acceso a los recursos se basa i(ualmente en la especiicación de un con&unto de atributos !ue debe reunir el cliente para poder acceder a ellos* Estos atributos deben #enir irmados di(italmente por una entidad de certiicación coniable, e0terna al sistema (estor de control de acceso, constituyendo lo !ue se conoce por un certiicado de atributo* De esta orma, se (aranti)a la interoperabilidad de los atributos !ue pueden ser comunicados de orma se(ura e#itando la necesidad de ser emitidos localmente por el administrador del sistema* Dado !ue las entidades de certiicación son e0ternas al sistema de control de acceso, es necesario un mecanismo para establecer la conian)a entre dic"as entidades e0ternas y el sistema de control de acceso* 1ara ello, se "a desarrollado un modelo semntico para describir la semntica de las distintas autoridades de certiicación !ue componen la inraestructura de autori)ación e0terna o 13I* Este eno!ue permite !ue el proceso de re(istro del cliente no sea necesario, y e#ita !ue un mismo atributo de un cliente deba ser emitido en cada sistema* 'dicionalmente, el modelo contempla la reali)ación de acciones condicionales, !ue deben reali)arse para poder acceder al recurso* CONC+U-IÓN Como puede obser#arse "an sido muc"os los esuer)os de #arios pa$ses por elaborar un marco conceptual !ue deina la elaboración de modelos o inormes
aplicados a los -istemas de Control Interno, a&ustado a las caracter$sticas de cada uno de ellos !ue ayude a orecer una se(uridad ra)onable al lo(ro de los ob&eti#os de las entidades*
