Descripción: differences between various IT frameworks...
Adoptando los modelos de control interno COSO y CoBIT
1
Modelo de Control Interno COSO Dr. Ing. Jorge Valencia del Toro
2
Qué significa COSO?
C ommittee Of S ponsoring O rganizations
2 9 19
(of the Treadway Commission) 3
Objetivos del Informe COSO Establecer una definición común del CONTROL INTERNO “Marco de Referencia”
Informe COSO
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL y decidir cómo mejorarlos
Ayudar a la dirección de las empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones 4
Qué?
CONTROL INTERNO Proceso efectuado por la Dirección, la alta gerencia y el resto del personal
Definición de Control Interno En qué Para Qué?
Proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
a i c a c i f E
niveles? Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera Cumplimiento con las leyes y normas que sean aplicables 5
Los 3 Objetivos del Control Interno Eficacia y Eficiencia en las Operaciones Confiabilidad de la Información Financiera Cumplimiento con las leyes y normas que sean aplicables 6
• EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
Eficacia y Eficiencia en las Operaciones
• EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales: • Rendimiento y rentabilidad • Salvaguarda de los recursos
7
Los 3 Objetivos del Control Interno Eficacia y Eficiencia en las Operaciones Confiabilidad de la Información Financiera
Cumplimiento SOX
Cumplimiento con las leyes y normas que sean aplicables
8
Los 3 Objetivos del Control Interno
Confiabilidad de la información financiera
• Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada. • Abarca también la información de gestión de uso interno.
9
Los 3 Objetivos del Control Interno Eficacia y Eficiencia en las Operaciones Confiabilidad de la Información Financiera Cumplimiento con las leyes y normas que sean aplicables 10
Los 3 Objetivos del Control Interno • Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar: Cumplimiento con las leyes y normas que sean aplicables
•
Efectos perjudiciales para la reputación de la organización.
•
Contingencias.
•
Otros eventos de pérdidas y demás consecuencias negativas. 11
Los 5 Componentes interrelacionados del Control Interno 12
El Control Interno - COSO Committee of Sponsoring Organizations of the Treadway Commission Eficacia y Eficiencia en las Operaciones
Cumplimiento con las Leyes y Normas Aplicables
Cumplimiento SOX Confiabilidad de la Información que se Publica
13
Los 5 Componentes del Control Interno
14
Ambiente de Control
Un adecuado Ambiente de Control se verifica por medio de 7 aspectos: 1. Integridad y valores éticos 2. Compromiso de competencia profesional 3. Filosofía de dirección y el estilo de gestión 4. Estructura Organizacional 5. Asignación de autoridad y responsabilidad 6. Políticas y Prácticas de Recursos Humanos 7. Consejo de Administración / Comité de Auditoría 15
Los 5 Componentes del Control Interno
16
Análisis de Riesgo
Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:
1. Objetivos Organizacionales Globales
2. Objetivos asignados a cada Actividad 3. Identificación de Riesgos 4. Administración del Riesgo y Cambio 17
Los 5 Componentes del Control Interno
18
Actividades de Control
COSO reconoce los siguientes tipos de Actividades de Control: 1. Análisis efectuados por la dirección 2.
Administración directa de funciones por actividades
3.
Proceso de información
4.
Controles físicos contra los registros
5.
Indicadores de rendimiento
6.
Segregación de funciones
7.
Políticas y procedimientos
19
Los 5 Componentes del Control Interno
20
Información
Evaluación adecuada de los mecanismos de información: 1. La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales 2. Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades 3. Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización) 4. Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros) 21
Comunicación
Evaluación adecuada de los mecanismos de Comunicación: 1. La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno. 2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos. 3. La Alta Dirección es receptiva a sugerencias de los empleados. 4. La comunicación a través de toda la empresa es efectiva. 5. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros. 22
Los 5 Componentes del Control Interno
23
Monitoreo y Supervisión
EVALUACION DE LA SUPERVISIÓN y MONITOREO Supervisión Continua 1. En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno?. 2. En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas? 3. Comparaciones periódicas de importes registrados contra los activos físicos. 4. Receptividad ante las recomendaciones de auditores internos y externos. 5. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas). 6. Eficacia de las actividades de Auditoría Interna.
24
Monitoreo y Supervisión
Evaluación periódica puntual 1. Alcance y frecuencia 2. El proceso de evaluación es el ideal? (si se hace bien) 3. La metodología para evaluar el sistema de controles internos es lógica y adecuada? 4. Adecuación de las muestras, son significativas y como está la calidad de la documentación examinada.
La Comunicación de las Deficiencias 1. Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno. 2. Los procedimientos de comunicación son los ideales. 3. Las acciones de seguimiento y mejora continua del sistema 25 de Controles Internos son las correctas.
Preguntas y Respuestas BDO México Av. Ejercito Nacional No. 904 Piso 12 Polanco los Morales CP 11510 México, D.F. Telefono: (55) 5901 3953 E-mail:
[email protected] 26
Modelo de Control Interno CoBIT Juan Antonio Segura González, CISA, CISM
27
¿Qué es CoBIT? “CoBIT (Objetivos de Control para Tecnología de Informacion), es un modelo estructurado, lógico de mejores practicas de Tecnología de Información, definidas por un consenso de expertos en todo el mundo en aspectos técnicos, seguridad, riesgos, calidad y control” 28
29
ComponentesCoBIT CoBIT Componentes
Componentes CoBIT Dominios CoBIT
(PO) Planear y Organizar
(AI) Adquirir e Implementar
(DS) Entrega y Soporte
(M) Monitoreo
El control de
Procesos de TI Que satisfacen
Requerimientos de la Institución
Siendo habilitados por
Esquemas de Control y considera
Prácticas de Control 30
La relación entre COSO y CoBIT
Si Sibien bienCOSO COSOidentifica identifica cinco cincocomponentes componentesde decontrol control interno, interno,que quedeberán deberánestar estar integrados integradospara paraalcanzar alcanzarlos los objetivos objetivosde dereporte reporte financiero financieroyysu sudivulgación, divulgación, CoBIT CoBITproporciona proporcionauna unaguía guía detallada detalladasimilar similarpara paraTI. TI.
Componentes COSO
Objetivos de Control CoBIT
31
Marco de referencia …
32
Marco de referencia
33
Enfoque de Control Administración Corporativa Controles Controles aa Nivel Nivel Gobierno de Gobierno de TI TI •• Estructura Estructura •• Políticas Políticas Corporativas Corporativas •• Procedimientos Procedimientos
Procesos de Negocio
Procesos de Negocio
Procesos de Negocio
Procesos de Negocio
(Finanzas)
(Manufactura)
(Logística)
(Etc.)
Controles Controles Generales Generales de de TI TI •• Desarrollo Desarrollo yy cambios cambiosaa programas programas •• Desarrollo Desarrollo ee Implementación Implementación •• Operación Operación de de cómputo cómputo •• Acceso Accesoaa Programas ProgramasyyDatos Datos
Controles Controles de de Aplicación Aplicación •• •• •• •• ••
Totalidad Totalidad Exactitud Exactitud Validación Validación Autorización Autorización Separación Separación de de funciones funciones
Servicios de Infraestructura de TI (Bases de datos, Sistemas Operativos, Telecomunicaciones, Red, Etc.)
SiSibien bienCoBIT CoBITproporciona proporcionacontroles controlesque queseserefieren refierenaalos losobjetivos objetivosoperativos operativosyyde de ejecución, relacionados directamente con el reporte financiero, también se pueden ejecución, relacionados directamente con el reporte financiero, también se pueden considerar considerar otros otros lineamientos lineamientos de de control control de de TI, TI, incluyendo incluyendo ISO ISO 17799 17799 yy elel “Information “InformationTechnology TechnologyInfrastructure InfrastructureLibrary” Library”( (ITIL). ITIL). 34
Ejecución 9
7
8
5 6
3 4
2
1
35
Ejemplo … 2 1 1
1
Yes
3
3
4
2 1
ACTIVIDAD A
ACTIVIDAD B
ACTIVIDAD C
No
ACTIVIDAD D
2
Yes (goes back to analyst who corrects any error and submits for approval)
5
SAP transaction: GS02
Error?
4 6 2
ACTIVIDAD E
Error?
NOMENCLATURA NOMENCLATURA
No
ACTIVIDAD F
3
yes
9 7
10
8
Riesgo
11
2 3
ACTIVIDAD H
ACTIVIDAD G
C1ontrol Interfases
9
8
2
Error?
No
ACTIVIDAD I
ACTIVIDAD J
ACTIVIDAD K
1
4
ACTIVIDAD L
End 3
12
36
4
Ejemplo …
37
Ejemplo …
38
39
Controles Generales de TI
Preguntas y Respuestas ISACA Capítulo Ciudad de México Vicepresidente E-mail
[email protected] Nextel. 1089-4004
40
Muchas Gracias Juan Antonio Segura González, CISA, CISM Dr. Ing. Jorge Valencia del Toro
41
