Modelo Coso - Cobit

MODULO: AUDITORIA

DOCENTE : Mg. CPCC. CEDILLO PEÑA LUIS .E.

INTEGRANTES: . MUÑOZ BALLADARES, HELEN . MANRIQUE VIERA, YHAN . TORRES FIESTAS, CHARLY

“AÑO DE LA INVERSION PARA EL DESARROLLO RURAL Y LA SEGURIDAD ALIMENTARIA”

UNIVERSIDAD NACIONAL DE TUMBES

CONTROL INTERNO INFORME COSO - COBIT

CONTROL INTERNO

Es el conjunto de acciones, actividades, planes, políticas, normas, registros, procedimientos y métodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una entidad.

MODELO COSO

A nivel organizacional, Este documento destaca la necesidad de que la alta dirección y el resto de la organización comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la consideración del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocráticos.

A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una referencia conceptual común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.

MODELO COSO

MODELO COSO - FINALIDAD

Establecer una definición común de control interno que responda a las necesidades de las distintas partes.

Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema de control interno.

COMPONENTES DE CONTROL INTERNO

El control interno consta de cinco componentes relacionados entre sí. Derivan del estilo gerencial y están integrados en el proceso de dirección. Estos componentes, que se presentan con independencia del tamaño o naturaleza de la organización, son:

Entorno de control. Evaluación de riesgos. Actividades de control. Información y comunicación. Supervisión.

I. ENTORNO DE CONTROL

Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por carácter reflejo el resto de los empleados, con relación a la importancia del Control Interno y su incidencia sobre las actividades y resultados.

I.1. Factores que lo constituyen

Integridad y valores éticos.Competencia profesional.Atmósfera de confianza mutua.Filosofía y estilo de dirección.Estructura, plan organizacional, reglamentos y

manuales de procedimiento.Delegación de autoridad y asignación de

responsabilidades. Políticas y prácticas en materia de Recursos

Humanos.Consejo de Administración, comité de auditoría,

etc.

I.2. Valores éticos

Los valores éticos fomentan la buena reputación de una entidad. Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad y compromiso personal hacia la organización.

I.3.Compromiso de competencia

profesional.

En una organización, es necesaria la existencia de procesos de definición de puestos y actividades de selección de personal, de formación, de evaluación y promoción para poder cubrir cada puesto de trabajo por personas capaces de realizar sus labores en forma competente.

I.4. Estructura y Plan Organización

La estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y controladas.

Lo importante es que su diseño se ajuste a sus necesidades, es decir que proporcione el marco organizacional adecuado para llevar a cabo la estrategia diseñada para alcanzar los objetivos fijados.

II. EVALUACION DE RIESGOS

¿Qué son los riesgos?Los riesgos son hechos o acontecimientos

cuya probabilidad de ocurrencia es incierta. La trascendencia del riesgo en el ámbito de estudio de control interno, se basa en que su probable manifestación y el impacto que puede causar en la organización, pone en peligro la consecución de los objetivos de la misma.

II.1. Identificación y análisis de riesgos

Es imprescindible identificar los riesgos relevantes que enfrenta un organismo en la búsqueda de sus objetivos, ya sean de origen interno como externo.

La dirección tendrá la responsabilidad de identificar riegos, pero es verdaderamente importante que se analicen con la misma profundidad los factores que pueden contribuir a aumentar los mismos.

II.2. Fuentes de Riesgo:

A. Externas:Desarrollos tecnológicos que en caso de no

adoptarse, provocarían obsolescencia organizacional,

Cambios en las necesidades y expectativas de la demanda,

Modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos en la estrategia y procedimientos,

Alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus fuentes de financiamiento y su posibilidad de expansión.

B. Internas:La estructura organizacional adoptada,

teniendo en cuenta la existencia de riesgos inherentes típicos tanto en un modelo centralizado como en uno descentralizado,

La calidad del personal incorporado, así como los métodos para su instrucción y motivación,

La propia naturaleza de las actividades del organismo,

El impacto relativo de los sistemas informáticos en el sistema de información de la entidad.

II.2. Fuentes de Riesgo:

II.3. Estimación del Riesgo.

Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como también se debe cuantificar la probable pérdida que ellos pueden ocasionar. El método para determinar la importancia relativa, como mínimo incluir:

Estimación de su importancia/trascendencia,Evaluación de su probabilidad de ocurrencia/

frecuencia,Valoración de la pérdida que podría resultar,Definir la forma en que habrán de

manejarse/gestionar el riesgo.

II.4. Valoración de riesgos.La valoración es la identificación y análisis de los riesgos asociados al logro de los objetivos, definidos en planes estratégicos y anuales. La valoración del riesgo se realiza usando el juicio profesional y la experiencia del auditor y del gestor, en función de los siguientes criterios:

El impacto del área auditable cuando no logra los OBJETIVOS de la organización.

2. La competencia, integridad y suficiencia del PERSONAL.3. La cuantía de los activos, liquidez o volumen de TRANSACCIONES.4. La COMPLEJIDAD o VOLATILIDAD de las actividades.5. La suficiencia de los CONTROLES INTERNOS en la propia área.6. El grado en que el área depende de los SISTEMAS INFORMÁTICOS.

II.4. Valoración de riesgos.Cada uno de los anteriores criterios se cuantifica según una

escala, de 1 a 3, que asigna un valor descriptivo a cada uno de los factores de riesgo más importantes:

1 = Riesgo bajo. 2 = Riesgo medio. 3 = Riesgo alto.

Suma

De acuerdo con los anteriores coeficientes, la suma del riesgo más bajo alcanzable por un área es 6 y el más alto, 18. La suma se multiplica por (P + I) siendo:

ü P = la probabilidad de ocurrencia de un riesgo importante (1 = bajo, 2 = el

medio, 3 = alto) ü I = impacto en la Organización (1 = impacto bajo, 2 = impacto moderado, 3

= impacto crítico)

Ordenación

Ranking = cada una de las N áreas auditables se ordena de 1 a N.

ACTIVIDADES DE CONTROL

4. ACTIVIDADES DE CONTROL

Son políticas y procedimientos que tienden asegurar que se cumplan las instrucciones emanadas de la dirección superior. Apuntan a minimizar riesgos:

Prevenir su ocurrenciaMinimizar el impacto de sus consecuenciasProcurar el restablecimiento del sistema en el menor tiempo posible

CATEGORIAS

LAS OPERACIONES

LA CONFIABILIDAD DE LA INFORMACIÓN FINANCIERA

EL CUMPLIMIENTO DE LEYES Y REGLAMENTOS

MECANISMOS DE CONTROL

Las responsabilidades de autorizar, ejecutar, registrar y comprobar una transacción, deben quedar, en la medida de lo posible, claramente segregadas y diferenciadas.

SEGREGACIÓN O SEPARACIÓN DE

FUNCIONES

La comparación de datos actuales con datos históricos referidos a los mismos períodos.

ANÁLISIS REALIZADOS POR LA DIRECCIÓN

La documentación sobre transacciones y hechos significativos debe ser completa y exacta,

Documentación

La autorización es la forma idónea de asegurar que sólo se llevan adelante actos y transacciones que cuentan con la conformidad de la dirección.

Niveles definidos de autorización

Las transacciones y los hechos que afectan a un organismo deben registrarse inmediatamente y ser

debidamente clasificados.

Registro oportuno

El acceso a los recursos, activos, registros y comprobantes, debe estar protegido por mecanismos de

seguridad y limitado a personas autorizadas

Acceso restringido a los recursos


Ningún empleado debe tener a su cargo, durante un tiempo prolongado, las tareas que presenten una mayor probabilidad de comisión de irregularidades.

Rotación del personal

El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar la confiabilidad del procesamiento de transacciones.

Control del sistema de información

Estos controles, muy efectivos, comparan los resultados del recuento o arqueo.

Controles físicos

Todo organismo debe contar con métodos de medición de desempeño que permitan la preparación de indicadores

para su supervisión y evaluación.

Indicadores de desempeño


INFORMACIÓN Y COMUNICACIÓN

INFORMACION

SISTEMAS DE INFORMACION FORMALES

SISTEMAS DE INFORMACION INFORMALES

ESTRATEGIAS Y SISTEMAS INTEGRADOS

APOYO DE LOS SISTEMAS A LAS INICIATIVAS ESTRATÉGICAS

INTEGRACIÓN CON LAS OPERACIONES

COEXISTENCIA DE TECNOLOGÍAS

LA CALIDAD DE LA INFORMACIÓN

INFORMACIÓN Y COMUNICACIÓN

COMUNICACION

COMUNICACIÓN INTERNA

COMUNICACIÓN EXTERNA

SUPERVICION

Resulta necesario realizar una supervisión de los sistemas

de Control Interno, evaluando la calidad de su comportamiento

CONTROLES PERMANENT

ES

LA FRECUENCIA DE LAS

REVISIONES

COMUNICACIÓN DE LAS DEFICIENCIAS DE

CONTROL INTERNO

CONTROLES PERMANENTES:

Los Controles permanentes comprenden la evaluación de

ciertos aspectos según la manera en que se han diseñado los procesos y procedimientos

PROCEDIMIENTOS

Supervisión continuada

Por evaluaciones puntuales

LA FRECUENCIA DE LAS REVISIONES O AUDITORÍAS

La naturaleza e importancia de los cambios

De la competencia y experiencia de las personas que aplican los controles

De los resultados observados en los controles permanentes

Sus resultados depende de:

COMUNICACIÓN DE LAS DEFICIENCIAS DE CONTROL INTERNO

LA COMUNICACIÓN DE LAS DEFICIENCIAS

1. Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada de control interno.

2. Idoneidad de los procedimientos de comunicación.

3. Idoneidad de las acciones de seguimiento.

INFORME COBIT

INTRODUCCIÓN

Para muchas organizaciones, la información y la tecnología que la respalda, representan los activos más valiosos de la empresa, por lo que la gestión de los riesgos asociados de la Tecnología de Información, o Gobernabilidad de TI, ha ganado notoriedad en tiempos recientes como un aspecto clave de la gobernabilidad corporativa, dada su capacidad de proporcionar valor agregado al negocio, balanceando la relación entre el riesgo y el retorno de la inversión sobre TI y sus procesos.

MODELO COBITCOBIT, lanzado en 1996, es una

herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.Es un modelo de referencia que permite a la Audiencia (Administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos de negocio, las necesidades de control y aspectos tecnológicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos tecnologías de la información (COSO Y COBIT).En efecto COBIT apoya la gobernabilidad de los recursos de TI mediante la comprensión y la administración de los riesgos asociados a las tecnologías de la información a través de un Marco Referencial de dominios, procesos y tareas estructuradas en forma simple y lógica.

¿QUÉ ES?

DEFINICIÓN DE COBIT

MODELO COBIT La Misión de COBIT:

Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.

LA GERENCIA

• Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

LOS USUARIOS FINALES

• Quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

LOS AUDITORES

• Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

Usuarios:

DISEÑO

DESARROLLO

FOMENTO

MANTENIMIENTO ADMINISTRACI

ÓN

DE

INFORMACIÓN

Por medio de

SISTEMAS INFORMÁTIC

OS

Se encargan de

MODELO COBIT

ORIENTADO AL

NEGOCIO

ALINEADO CON

ESTÁNDARES Y

REGULACIONES "DE

FACTO"

BASADO EN UNA

REVISIÓN CRÍTICA

Y ANALÍTICA DE LAS TAREAS Y ACTIVIDADES EN

TI

ALINEADO CON

ESTÁNDARES DE

CONTROL Y

AUDITORIA

(COSO, IFAC, IIA, ISACA, AICPA)

Características:

MODELO COBIT

Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Calidad, Costo y Entrega.

REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

Confidencialidad, Integridad y Disponibilidad

REQUERIMIENTOS DE CALIDAD

REQUERIMIENTOS FINANCIEROS

REQUERIMIENTOS DE SEGURIDAD

MODELO COBIT En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

DATOS: Todos los objetos de información. Considera

información interna y externa,

estructurada o no, gráficas, sonidos, etc.

APLICACIONES: Entendido

como los sistemas de información, que integran

procedimientos manuales y

sistematizados.

TECNOLOGÍA: incluye

hardware y software básico,

sistemas operativos, sistemas de

administración de bases de

datos, de redes,

telecomunicaciones,

multimedia, etc.

INSTALACIONES: Incluye los

recursos necesarios para

alojar y dar soporte a los sistemas de información.

RECURSO HUMANO: Por

la habilidad, conciencia y

productividad del personal para planear,

adquirir, prestar

servicios, dar soporte y

monitorear los sistemas de Información.

ESTRUCTURA DE MODELO COBIT

DOMINIOS Agrupación natural de procesos,

normalmente

corresponden a un

dominio o una

responsabilidad

organizacional.

PROCESOSConjuntos o

series de actividades unidas con

delimitación o cortes de

control.

ACTIVIDADES

Acciones requeridas para lograr

un resultado medible.

Se divide en tres niveles::

se define a partir de que "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos".

ESTRUCTURA DE COBIT

DOMINIOS

Planificación y organizaciónEste

dominio cubre la estrateg

ia , tácticas

y se refiere a

la identificación de la forma en que

la tecnolog

ía de informa

ción puede

contribuir de la mejor

manera al logro de los

objetivos de

negocio.

Adquisición e

implementació

nPara

llevar a cabo la estrategia de TI,

las soluciones de Ti deben

ser identific

adas, desarrolladas o

adquiridas, así como

implementadas

e integrad

as dentro

del proceso

del negocio.

Este dominio cubre

los cambios

y el mantenimiento realizad

os a sistema

s existent

es.

Prestación y

soporteEn este dominio se hace referencia a la

entrega de los

servicios

requeridos, que abarca desde

las operacio

nes tradicionales

hasta el entrenamiento, pasando

por segurid

ad y aspecto

s de continui

dad.

Monitoreo

Todos los procesos de una

organización

necesitan ser

evaluados

regularmente a través

del tiempo para

verificar su

calidad y suficienci

a en cuanto a

los requerimientos de control,

integridad y

confidencialidad. Este es,

precisamente, el ámbito de este dominio.

ESTRUCTURA DE COBIT

DOMINIOS

Planificación y organización

PO1 Definición de un plan EstratégicoLograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.

PO2 Definición de la Arquitectura de Información

Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio

PO3 Determinación de la dirección tecnológica

Aprovechar al máximo la tecnología disponible o emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.PO4 Definición de la organización y de las relaciones de TIPrestación de servicios de TI. Esto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas.

PROCESOS

ESTRUCTURA DE COBIT

DOMINIOS


PO5 Manejo de la inversiónTiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia

Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios.PO7 Administración de recursos humanos

Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.

PO8 Asegurar el cumplimiento con los requerimientos Externos

Cumplir con obligaciones legales, regulatorias y contractuales.

PROCESOS

ESTRUCTURA DE COBIT

DOMINIOS


PO9 Evaluación de riesgosAsegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI.

PO10 Administración de proyectosEstablecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión.

PO11 Administración de calidadSatisfacer los requerimientos del cliente. Para ello se realiza una planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización.

PROCESOS

ESTRUCTURA DE COBIT

DOMINIOS

Adquisición e implementació

n

AI1 Identificación de Soluciones Automatizadas: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario. AI2 Adquisición y mantenimiento del software aplicativo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios.AI4 Desarrollo y mantenimiento de procedimientos: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.

PROCESOS

AI5 Instalación y aceptación de los sistemas: Verificar y confirmar que la solución sea adecuada para el propósito deseado.

AI6 Administración de los cambios: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

ESTRUCTURA DE COBIT

DOMINIOS

Prestación y soporte

Ds1 Definición de niveles de servicioEstablecer una comprensión común del nivel de servicio requerido. Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio.

Ds2 Administración de servicios prestados por terceros

Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos.

Ds3 Administración de desempeño y capacidad

Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.

Ds4 Asegurar el Servicio ContinuoMantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.

PROCESOS

ESTRUCTURA DE COBIT

DOMINIOS


Ds5 Garantizar la seguridad de sistemassalvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.

Ds6 Educación y entrenamiento de usuarios

Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.

Ds7 Identificación y asignación de costosAsegurar un conocimiento correcto de los costos atribuibles a los servicios de TI.

Ds8 Apoyo y asistencia a los clientes de TIAsegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente.

PROCESOS

Ds9 Administración de la configuraciónDar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios.

ESTRUCTURA DE COBIT

DOMINIOS


Ds10 Administración de ProblemasAsegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

Ds11 Administración de DatosAsegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.Ds12 Administración de las instalaciones

Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados

Ds13 Administración de la operaciónAsegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada.

PROCESOS

ESTRUCTURA DE COBIT

DOMINIOS

Monitoreo

M1 Monitoreo del ProcesoAsegurar el logro de los objetivos establecidos para los procesos de TI.

M2 Evaluar lo adecuado del Control Interno

Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.

M3 Obtención de Aseguramiento Independiente

Incrementar los niveles de confianza entre la organización, clientes y proveedores externos.

M4 Proveer Auditoria IndependienteIncrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.

PROCESOS

CONCLUSIÓN En el modelo de control interno, las diferencias

que son significativas, sobre todo entre COSO y COBIT, que son los dos modelos más difundidos en la actualidad.

1. La primera gran diferencia es que COSO está enfocado a toda la organización, mientras que COBIT se centra en el entorno IT.

2. La segunda es que COBIT contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace.

3. Y la tercera, que el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito, que el de COSO, ya que contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno

GRACIAS

Modelo Coso - Cobit

Documents

Transcript of Modelo Coso - Cobit