COSO v COBIT v ITIL

1

Adoptando los modelos de control interno COSO y CoBIT

2

Modelo de Control Interno COSO

Dr. Ing. Jorge Valencia del Toro

3

QuQuéé significa significa COSOCOSO? ?

C ommitteeO fS ponsoringO rganizations

(of the Treadway Commission)

1992

4

Objetivos del Informe COSOObjetivos del Informe COSOEstablecer una definición común

del CONTROL INTERNO “Marco de Referencia”

Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL

y decidir cómo mejorarlos

InformeInformeCOSOCOSO

Ayudar a la dirección de las empresas a mejorar el CONTROL DE LAS

ACTIVIDADES de sus organizaciones

5

Proporcionarun grado deseguridad

razonable encuanto a la

consecuciónde objetivos

CONTROLCONTROLINTERNOINTERNO

Proceso efectuado por la Dirección, la alta gerencia y

el restodel personal

QuQuéé?? Para QuPara Quéé??

Eficacia y Eficiencia en las Operaciones

Confiabilidad de la Información Financiera

Cumplimiento con lasleyes y normas que

sean aplicables

En quEn quéénivelesniveles??

EficaciaEficacia

DefiniciDefinicióón de Control n de Control InternoInterno

6

Eficacia y Eficienciaen las Operaciones


Cumplimiento con las leyes y normas que sean aplicables

LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno

7

• EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.

• EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:

• Rendimiento y rentabilidad• Salvaguarda de los recursos

Eficacia yEficiencia

en las Operaciones

8




LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno

Cumplimiento SOX

9

• Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada.

• Abarca también la información de gestión de uso interno.


Confiabilidadde la

informaciónfinanciera

10




LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno

11

Cumplimientocon las leyes

y normas que sean aplicables

• Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar:

• Efectos perjudiciales para la reputación de la organización.

• Contingencias.

• Otros eventos de pérdidas y demás consecuencias negativas.


12

Los Los 55 Componentes Componentes interrelacionadosinterrelacionados

del del Control InternoControl Interno

13

Eficacia y Eficiencia

en las Operaciones

Confiabilidadde la

Información que se Publica

Cumplimientocon las Leyes

y NormasAplicables

El Control Interno El Control Interno -- COSOCOSOCommittee of Sponsoring Organizations

of the Treadway Commission

Cumplimiento SOX

14

LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno

15

Am

bien

te d

e C

ontr

ol

Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:

1. Integridad y valores éticos

2. Compromiso de competencia profesional

3. Filosofía de dirección y el estilo de gestión

4. Estructura Organizacional

5. Asignación de autoridad y responsabilidad

6. Políticas y Prácticas de Recursos Humanos

7. Consejo de Administración / Comité de Auditoría

16


17

Aná

lisis

de

Rie

sgo

Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:

1. Objetivos Organizacionales Globales

2. Objetivos asignados a cada Actividad

3. Identificación de Riesgos

4. Administración del Riesgo y Cambio

18


19

Act

ivid

ades

de

Con

trol

COSO reconoce los siguientes tipos de Actividades de Control:

1. Análisis efectuados por la dirección

2. Administración directa de funciones por actividades

3. Proceso de información

4. Controles físicos contra los registros

5. Indicadores de rendimiento

6. Segregación de funciones

7. Políticas y procedimientos

20


21

Info

rmac

ión

Evaluación adecuada de los mecanismos de información:

1. La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales

2. Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades

3. Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización)

4. Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)

22

Com

unic

ació

n

Evaluación adecuada de los mecanismos de Comunicación:

1. La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno.

2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.

3. La Alta Dirección es receptiva a sugerencias de los empleados.

4. La comunicación a través de toda la empresa es efectiva.

5. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.

23


24

Mon

itore

o y

Supe

rvis

ión

EVALUACION DE LA SUPERVISIÓN y MONITOREO Supervisión Continua1. En qué medida obtiene el personal -al realizar sus

actividades habituales- evidencia del buen funcionamiento del sistema de control interno?.

2. En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas?

3. Comparaciones periódicas de importes registrados contra los activos físicos.

4. Receptividad ante las recomendaciones de auditores internos y externos.

5. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas).

6. Eficacia de las actividades de Auditoría Interna.

25

Mon

itore

o y

Supe

rvis

ión

Evaluación periódica puntual1. Alcance y frecuencia

2. El proceso de evaluación es el ideal? (si se hace bien)

3. La metodología para evaluar el sistema de controles internos es lógica y adecuada?

4. Adecuación de las muestras, son significativas y como estála calidad de la documentación examinada.

La Comunicación de las Deficiencias1. Mecanismos para recoger y comunicar cualquier deficiencia

detectada en el control interno.

2. Los procedimientos de comunicación son los ideales.

3. Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.

26

Preguntas y Respuestas

BDO MéxicoAv. Ejercito Nacional No. 904 Piso 12Polanco los Morales CP 11510México, D.F.Telefono: (55) 5901 3953E-mail: [email protected]

27

Modelo de Control Interno CoBIT

Juan Antonio Segura González, CISA, CISM

28

“CoBIT (Objetivos de Control para Tecnología de Informacion), es un modelo estructurado,

lógico de mejores practicas de Tecnología de Información, definidas por

un consenso de expertos en todo el mundo en aspectos técnicos, seguridad,

riesgos, calidad y control”

¿Qué es CoBIT?

29

Com

pone

ntes

CoB

ITC

ompo

nent

es C

oBIT

30

Componentes CoBIT

(PO)Planear y Organizar

(AI)Adquirir e

Implementar

(DS)Entrega y Soporte

(M)Monitoreo

Dominios CoBIT

Siendo habilitados por

y considera

El control de

Que satisfacen

Procesos de TI

Requerimientosde la Institución

Esquemasde Control

Prácticasde Control

31

Com

pone

ntes

CO

SO

Objetivos de Control CoBIT

Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.

Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.

La relación entre COSO y CoBIT

32

Marco de referencia …

33

Marco de referencia

34

Servicios de Infraestructura de TI (Bases de datos, Sistemas Operativos, Telecomunicaciones,

Red, Etc.)

Procesos de

Negocio

(Finanzas)

Procesos de

Negocio

(Manufactura)

Procesos de

Negocio

(Logística)

Procesos de

Negocio

(Etc.)

Administración Corporativa

• Estructura• Políticas

Corporativas• Procedimientos

• Estructura• Políticas

Corporativas• Procedimientos

Controles a Nivel Gobierno de TI

Controles a Nivel Gobierno de TI

Controles Generales de TI

Controles Generales de TI

• Desarrollo y cambios a programas

• Desarrollo e Implementación

• Operación de cómputo

• Acceso a Programas y Datos

• Desarrollo y cambios a programas

• Desarrollo e Implementación

• Operación de cómputo

• Acceso a Programas y Datos

Controles de Aplicación

Controles de Aplicación

• Totalidad• Exactitud• Validación• Autorización• Separación de

funciones

• Totalidad• Exactitud• Validación• Autorización• Separación de

funciones

Enfoque de Control

Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).

Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).

35

Ejecución

1

23

4

5

6

8

7

9

36

Ejemplo …

1 ACTIVIDAD B ACTIVIDAD C Error? ACTIVIDAD DNo 2

2 ACTIVIDAD FError?ACTIVIDAD E 3

3 ACTIVIDAD G ACTIVIDAD H Error? ACTIVIDAD I

ACTIVIDAD L

4

4 End

31

yes

1

ACTIVIDAD J

ACTIVIDAD A

ACTIVIDAD K

Yes

Yes (goes back to analyst who corrects any error and submits for approval)

No

2

89

2

6

109

No

11

4

4

2

3 12

13

5

7

8

SAP transaction: GS02

1

2Riesgo

C1ontrol

Interfases

NOMENCLATURANOMENCLATURA

37

Ejemplo …

38

Ejemplo …

39

Con

trol

es G

ener

ales

de

TI

40

Preguntas y Respuestas

ISACA Capítulo Ciudad de MéxicoVicepresidenteE-mail [email protected]. 1089-4004

41

Muchas Gracias

Juan Antonio Segura González, CISA, CISMDr. Ing. Jorge Valencia del Toro

COSO v COBIT v ITIL

Documents

Transcript of COSO v COBIT v ITIL