2013
FUNDAMENTOS DE CONTROL INTERNO VS
EL MANEJO DEL RIESGO
PLANES, POLITICAS, OBJETIVOS,
ESTRATEGIASPROCESOS,
PROCEDIMIENTOSMANUALES
DE FUNCIONES
TALENTOHUMANO
PRINCIPIOS Y VALORES
NORMAS,
DISPOSICIONES
SISTEMA DE CONTROL INTERNO
SISTEMAS DE INFORMACIÓN
AUDITORIA
INTERNA
ESQUEMA DE ORGANIZACIO
N MECANISMOS DE
VERIFICACION Y
EVALUACION
Quiénes :Todos
Cómo :Indicadores,Normas, Estándares
CONCEPCION MODERNA DEL CONTROL
Cuándo :Permanentemente
Enfoque:Mejoramiento continuo en función del cliente
Objetivo :
CalidadDónde :Procesos
PRINCIPIOS GENERALES PARA
UN CONTROL EFECTIVOSEGREGACION DE
FUNCIONESDELIMITACION DE
RESPONSABILIDADES
AMPARO DE BIENESY VALORES
FORMALIZACION Y DOCUMENTACION DE PROCESOS Y PCDTOS
SEGURIDAD EN INSTALACIONES Y PROTECCION DE LA INFORMACION
SISTEMA DEEVALUACION
DEL DESEMPEÑO MONITOREO
Nuevos retos para el diseñador Nuevos retos para el diseñador de Controlesde Controles
Nuevos retos para el diseñador Nuevos retos para el diseñador de Controlesde Controles
Las empresas necesitan soluciones de control que estén alineadas con las mejores y más modernas prácticas de Administración de Riesgos
Las empresas necesitan soluciones de control que estén alineadas con las mejores y más modernas prácticas de Administración de Riesgos
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
1. Revisar enfoque y metodología utilizados para Administración de Riesgos.
2. Revisar enfoque y metodología empleada para diseño, implantación y actualización de controles internos.
3. Automatizar el proceso de análisis de riesgos y diseño de controles.
1. Revisar enfoque y metodología utilizados para Administración de Riesgos.
2. Revisar enfoque y metodología empleada para diseño, implantación y actualización de controles internos.
3. Automatizar el proceso de análisis de riesgos y diseño de controles.
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
4. Establecer políticas y normas de seguridad corporativas, utilizando las “Best Practices” recomendadas por los últimos estándares internacionales de control interno:
• COSO
• COBIT
4. Establecer políticas y normas de seguridad corporativas, utilizando las “Best Practices” recomendadas por los últimos estándares internacionales de control interno:
• COSO
• COBIT
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
5. Mejorar la cultura de control de las Empresas
•Estimular conciencia de Seguridad. El control es responsabilidad de todos en la organización
•Revisar y mejorar la cultura de Autocontrol. El control es intrínseco a las actividades y operaciones que se realizan.
5. Mejorar la cultura de control de las Empresas
•Estimular conciencia de Seguridad. El control es responsabilidad de todos en la organización
•Revisar y mejorar la cultura de Autocontrol. El control es intrínseco a las actividades y operaciones que se realizan.
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?
6. Monitorear periódicamente la protección
existente y el riesgo residual.
Por operación individual.
Por Grupos de Operaciones Relacionadas.
Por Dependencia.
Por Proceso.
6. Monitorear periódicamente la protección
existente y el riesgo residual.
Por operación individual.
Por Grupos de Operaciones Relacionadas.
Por Dependencia.
Por Proceso.
MODELO COSO
Definición de control interno
El reporte COSO define el Control Interno como:
“Un proceso efectuado por la Junta de Directores, administradores y otro personal, diseñado para proveer una confianza razonable de la consecución de los objetivos en las siguientes categorías:
• Efectividad y eficiencia de las operaciones.• La confiabilidad de los reportes financieros.• El cumplimiento con las leyes y regulaciones aplicables.”
El reporte enfatiza que el sistema de control interno es una herramienta de la administración, pero no un sustituto para esta, y que los controles deberán ser construidos dentro de las actividades de operación y no fuera de ellas.
OBJETIVOS DEL REPORTE COSO
Los dos objetivos principales del reporte COSO:
• Establecer una definición común de control interno que sirviera a diferentes partes interesadas.
• Proporcionar un Estándar contra el cual las organizaciones pudieran evaluar sus sistemas de control y determinar como mejorarlos.
MONITORING
CONTROL ACTIVITIES
RISK ASSESSMENT
CONTROL ENVIRONMENT
INFORMATIONCOMMUNICATION
INTERNAL CONTROL COMPONENTES
C.O.S.O.
AMBIENTE DE CONTROL
VALORACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
MONITOREO
INFORMACIÓNCOMUNICACIÓN
Responsabilidades de los Auditados
* Definir
* Diseñar
* Implantar
* Ejecutar
* Supervisar (Monitorear)
* Dar Mantenimiento - Actualizar.
El Control Interno
Una responsabilidad de todos en la Empresa
El Control Interno
Una responsabilidad de todos en la Empresa
Responsabilidades de la Auditoría
* Evaluar (Monitorear)
* Verificar (Monitorear)
* Retroalimentar a los auditados
* Asesorar a los Auditados.
Modelo de COBITISACA, 2000
Marco de Referencia
¿¿Qué Significa Qué Significa COBIT?COBIT?
C ControlOB ObjectivesI for InformationT and Related Technology
Objetivos de Control para Informacióny Tecnología Relacionada
Control Objectives for Information and Related TechnologyCOBIT
OBJETIVOS DE COBIT
Servir como un Estándar generalmente aplicable y aceptado por las buenas prácticas de control de tecnología de información (IT).
La expresión “Generalmente aplicables y aceptadas” se utiliza con el mismo sentido que Principios de Contabilidad Generalmente Aceptados.
La expresión “Buenas Prácticas” significa consenso de expertos.
DEFINICION DE CONTROL INTERNO
COBIT adaptó de COSO su definición de control, así:“Las políticas, procedimientos, prácticas y estructuras organizacionales que son diseñadas para proveer razonable confianza de que los objetivos de negocios serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos”.
COBIT adaptó la definición de OBJETIVOS DE CONTROL del modelo SAC, así:“Una declaración del resultado o propósito que será alcanzado mediante la implementación de procedimientos de control en una actividad particular de IT.
COBIT enfatiza el rol y el impacto del control de IT en relación con los procesos de negocios.
RECURSOS TI
INFORMACIÓN
PROCESOS DEL NEGOCIO
Criterios:* Efectividad* Eficiencia* Confidencialidad* Integridad* Disponibilidad* Cumplimiento* Confiabilidad
* Datos* Aplicaciones* Tecnología* Instalaciones* Gente
? Concuerdan
Lo que usted obtiene Lo que usted
necesita
Control Objectives for Information and Related TechnologyCOBIT
Definición de los DominiosPlaneación y Organización
Adquisición eImplementación
Prestación del Servicio y Soporte
Monitoreo
1
2
3
4
Control Objectives for Information and Related TechnologyCOBIT
Control Objectives for Information and Related Technology
Dominio: Planeación y Organización
* PO1: Definir un Plan Estratégico de TI* PO2: Determinar la Arquitectura de la Información* PO3: Definir la Dirección Tecnológica* PO4: Definir la Organización y las Relaciones de TI* PO5: Administrar la Inversión* PO6: Comunicar los Propósitos de la Administración y la
Dirección de TI* PO7: Administrar los Recursos Humanos* PO8: Asegurar el Cumplimiento de Requisitos Externos* PO9: Evaluar Riesgos* PO10: Administrar Proyectos* PO11: Administrar la Calidad
COBIT
Control Objectives for Information and Related Technology
Dominio: Adquisición e Implementación
* AI1 : Identificar las Soluciones Automatizadas* AI2 : Adquirir y Mantener Software de Aplicación* AI3 : Adquirir y Mantener Infraestructura de Tecnología* AI4: Desarrollar y Mantener Procedimientos* AI5: Instalar y Acreditar los Sistemas* AI6: Administración de Cambios
COBIT
Control Objectives for Information and Related Technology
Dominio:Prestación del Servicio y Soporte* DS1: Definir Niveles de Servicio* DS2: Administrar los Servicios de Terceras Partes* DS3: Administrar el Desempeño y la Capacidad* DS4: Asegurar un Servicio Continuo* DS5: Garantizar la Seguridad de los Sistemas* DS6: Identificar y Asignar Costos* DS7: Educar y Entrenar a los Usuarios* DS8: Asistir y Aconsejar a los Clientes * DS9: Administrar la Configuración* DS10: Administrar los Problemas e Incidentes* DS11: Administrar los Datos* DS12: Administrar las Instalaciones* DS13: Administrar las Operaciones
COBIT
Control Objectives for Information and Related Technology
Dominio: Monitoreo
* M1: Monitorear los Procesos
* M2: Evaluar lo adecuado que es el Control Interno
* M3: Obtener Aseguramiento Independiente
* M4: Proveer Auditoría Independiente
COBIT
METODOLOGIA PARA EVALUACIÓN DE RIESGOS
(Risk Assessment)
Administración de Riesgos de Administración de Riesgos de Seguridad de la InformaciónSeguridad de la Información
La administración de riesgos de seguridad de La administración de riesgos de seguridad de la informaciónla información es el proceso de mantener la es el proceso de mantener la seguridad de la tecnología de información seguridad de la tecnología de información dentro de una organización.dentro de una organización.
El análisis de riesgosEl análisis de riesgos es el medio por el cual es el medio por el cual los riesgos a los sistemas son identificados y los riesgos a los sistemas son identificados y evaluados para justificar las medidas de evaluados para justificar las medidas de protección.protección.
RiesgoRiesgo es la probabilidad de que un agente de es la probabilidad de que un agente de amenaza explote una debilidad del sistema y amenaza explote una debilidad del sistema y como consecuencia cree un efecto como consecuencia cree un efecto detrimental en el sistema.detrimental en el sistema.
Administración de Riesgos de Administración de Riesgos de Seguridad de la InformaciónSeguridad de la Información
Objetivo del Análisis de Riesgos.Objetivo del Análisis de Riesgos. Asegurar que la seguridad de los sistemas de Asegurar que la seguridad de los sistemas de
computador satisface la relación costo - computador satisface la relación costo - beneficio, está actualizada y responde a las beneficio, está actualizada y responde a las amenazas o causas de riesgo.amenazas o causas de riesgo.
Importancia del Análisis de Riesgos.Importancia del Análisis de Riesgos. Se ha convertido en un problema social Se ha convertido en un problema social
importante, debido al rol central y crítico del importante, debido al rol central y crítico del procesamiento de la información en la procesamiento de la información en la sociedad moderna y a que el costo de las sociedad moderna y a que el costo de las medidas de protección puede ser demasiado medidas de protección puede ser demasiado costoso y algunas veces contraproducente.costoso y algunas veces contraproducente.
Conceptos sobre RiesgosConceptos sobre Riesgos
Webster’s define el riesgo como Webster’s define el riesgo como “la “la posibilidad de daño ó pérdida”posibilidad de daño ó pérdida”. .
En el contexto de los negocios, el riesgo se En el contexto de los negocios, el riesgo se define como define como ““los factores, eventos o los factores, eventos o exposiciones, internos y externos, que exposiciones, internos y externos, que amenazan el logro de los objetivosamenazan el logro de los objetivos”.”.
El riesgoEl riesgo es el costo o valor de las pérdidas es el costo o valor de las pérdidas que puede sufrir una organización, como que puede sufrir una organización, como consecuencia de eventos no deseables consecuencia de eventos no deseables denominados denominados Amenazas ó Causas del Amenazas ó Causas del RiesgoRiesgo..
Diseño de Controles Diseño de Controles Orientado al RiesgoOrientado al Riesgo
Riesgo Potencial (Inherente): Riesgo Potencial (Inherente): Riesgo asociado Riesgo asociado con el ambiente (social, jurídico y tecnológico), y la con el ambiente (social, jurídico y tecnológico), y la forma como se desarrollan los procesos. Punto de forma como se desarrollan los procesos. Punto de partida del diseño de controles y la administración del partida del diseño de controles y la administración del riesgo. No tiene en cuenta los controles establecidos.riesgo. No tiene en cuenta los controles establecidos.
Riesgo Residual:Riesgo Residual: Riesgo no cubierto por los Riesgo no cubierto por los controles establecidos. Punto de llegada del diseño de controles establecidos. Punto de llegada del diseño de los controles y la administración del riesgo.los controles y la administración del riesgo.
Conceptos sobre Conceptos sobre RiesgosRiesgos
Gran parte del Riesgo es inherente a la Gran parte del Riesgo es inherente a la naturaleza de los negocios o servicios de las naturaleza de los negocios o servicios de las empresas. Esta parte no puede ser eliminada, empresas. Esta parte no puede ser eliminada, solamente puede reducirse mediante controles solamente puede reducirse mediante controles o medidas de seguridad, y por consiguiente su o medidas de seguridad, y por consiguiente su manejo es una parte natural del éxito de los manejo es una parte natural del éxito de los negocios.negocios.
Componentes del RiesgoComponentes del Riesgo
El riesgo tiene dos componentes:El riesgo tiene dos componentes:
La La probabilidadprobabilidad de ocurrencia de ocurrencia (P) (P) de la de la causa de riesgo o Amenazacausa de riesgo o Amenaza..
El impacto o Costo El impacto o Costo (C) (C) que la que la ocurrencia de la ocurrencia de la causacausa de riesgo o de riesgo o amenazaamenaza podría generar, expresado en podría generar, expresado en términos monetarios.términos monetarios.
Riesgo = P * CRiesgo = P * C
Modelo de Riesgos TípicosModelo de Riesgos Típicos
El modelo El modelo Audirisk,Audirisk, considera 8 riesgos considera 8 riesgos típicos:típicos:
Pérdidas por Sanciones Legales.Pérdidas por Sanciones Legales. Pérdidas por Errores en el Cálculo de Ingresos.Pérdidas por Errores en el Cálculo de Ingresos. Pérdidas por Errores en el cálculo de Egresos.Pérdidas por Errores en el cálculo de Egresos. Pérdidas Bajas Reputación y Credibilidad Pérdidas Bajas Reputación y Credibilidad
Pública.Pública. Pérdida de Ventaja Competitiva.Pérdida de Ventaja Competitiva. Pérdidas por Daño o Destrucción de Activos.Pérdidas por Daño o Destrucción de Activos. Pérdidas por Fraude ó Hurto.Pérdidas por Fraude ó Hurto. Pérdidas por Decisiones Erróneas.Pérdidas por Decisiones Erróneas.
Identificación de RiesgosIdentificación de Riesgos Potenciales Críticos Potenciales Críticos
ObjetivoObjetivo
Identificar y clasificar en orden de importancia los Identificar y clasificar en orden de importancia los riesgos potenciales riesgos potenciales (inherentes) asociados con la (inherentes) asociados con la forma como se llevan a cabo las actividades del forma como se llevan a cabo las actividades del negocio (las operaciones) soportadas en la negocio (las operaciones) soportadas en la tecnología de información.tecnología de información. Método del Grupo Delphy.Método del Grupo Delphy. Método de Cuestionarios de Riesgo.Método de Cuestionarios de Riesgo.
Identificación de Riesgos Identificación de Riesgos Potenciales CríticosPotenciales Críticos
Productos a Obtener.Productos a Obtener. Cuestionarios de riesgos diligenciados para Cuestionarios de riesgos diligenciados para
cada riesgo potencial evaluado, ócada riesgo potencial evaluado, ó Matriz Delphy con los puntajes asignados por Matriz Delphy con los puntajes asignados por
expertos en el negocio y técnicos de expertos en el negocio y técnicos de sistemas.sistemas.
Calificación de la Calificación de la Vulnerabilidad Vulnerabilidad del negocio del negocio o servicio a los Riesgos Potenciales típicos o servicio a los Riesgos Potenciales típicos evaluados. evaluados.
Relación entre Riesgos y Causas de Relación entre Riesgos y Causas de RiesgosRiesgos
Costo ó Valor de las Pérdidas
Originadas por Eventos no deseables denominados Causas
de Riesgo ó Amenazas
• Sanciones Legales• Pérdida de Ingresos• Exceso de Egresos• Pérdida de Negocios - Credibilidad Pública• Desventaja ante la Competencia• Daño - Destrucción de Activos• Decisiones Erróneas• Fraude - Robo
• Errores u Omisiones Humanas
• Interrupciones por daño de Equipos,
Energía, Aire Acondicionado
• Actos mal intencionados
• Desastres Naturales
RIESGOS
CATEGORIAS DE RIESGOS
CAUSAS DEL RIESGO
(AMENAZAS)
ESTIMACIÓN
IMPACTO
(EFECTO)
* FRECUENCIA DE
OCURRENCIA
(PROBABILIDAD)
* VALOR PÉRDIDA ESTIMADA
Relación entre Riesgos y Relación entre Riesgos y Causas del RiesgoCausas del Riesgo
Causas del Riesgo (Amenazas)Causas del Riesgo (Amenazas)..
Se refieren a los medios, circunstancias y Se refieren a los medios, circunstancias y agentes que generan riesgos.agentes que generan riesgos.
Una causa puede generar más de un tipo de Una causa puede generar más de un tipo de riesgo.riesgo.
Ejemplo.Ejemplo.
La causa La causa Incendio en el Centro de Incendio en el Centro de Cómputo,Cómputo, podría generar varios de los podría generar varios de los riesgos considerados por el modelo riesgos considerados por el modelo Audirisk.Audirisk.
OBJETIVO DE LOS CONTROLESOBJETIVO DE LOS CONTROLES
Deficiencias de control
Causas del
Riesgo
Control 1
Control 2
Control 3
Control 4
Riesgos
Pérdida de ActivosFraudeSanciones Legales
Prevenir
DetectarCorregir
InsuficientesInefectivosNo cumplen
Errores HumanosActos malintencionados
Relación entre Causas del Relación entre Causas del Riesgo y ControlesRiesgo y Controles
Objetivo de los controlesObjetivo de los controlesLos controles actúan sobre las causas del Los controles actúan sobre las causas del
riesgo de tresriesgo de tresmaneras, mutuamente excluyentes:maneras, mutuamente excluyentes:a)a) Como control Preventivo. Como control Preventivo. Para evitar Para evitar
la ocurrencia de la causa del riesgo, óla ocurrencia de la causa del riesgo, ób)b) Como control Detectivo.Como control Detectivo. Para Para
detectar, registrar e informar la detectar, registrar e informar la ocurrencia de la causa (actuar como ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la alarma que se dispara cuando detecta la causa), ó causa), ó
Relación entre Causas del Relación entre Causas del Riesgo y ControlesRiesgo y Controles
Objetivo de los controlesObjetivo de los controlesLos controles actúan sobre las causas del Los controles actúan sobre las causas del
riesgo de tresriesgo de tresmaneras, mutuamente excluyentes:maneras, mutuamente excluyentes:
c)c) Como control Correctivo Como control Correctivo. Obligan a . Obligan a tomar acción correctiva para resolver el tomar acción correctiva para resolver el problema detectado por los controles problema detectado por los controles detectivos. detectivos.
Relación entre Causas del Relación entre Causas del Riesgo y ControlesRiesgo y Controles
No existe una relación “uno a uno” entre causas de No existe una relación “uno a uno” entre causas de riesgo y controles.riesgo y controles.
Varias técnicas de control pueden actuar sobre una Varias técnicas de control pueden actuar sobre una causa de riesgo particular.Una técnica de control puede causa de riesgo particular.Una técnica de control puede servir para diferentes causas del riesgo.servir para diferentes causas del riesgo.Ejemplos.Ejemplos.Cifras de control.Cifras de control.
Actúa sobre las siguientes causas de riesgo:Actúa sobre las siguientes causas de riesgo:a) Errores de digitación de documentos grabados.a) Errores de digitación de documentos grabados.b) Manipulación de cifras sensiblesb) Manipulación de cifras sensibles
ENFOQUE PREVENTIVO DE LAS ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROLTRES BARRERAS DE CONTROL
CAUSAS
DE
RIESGO
BARRERA
DETECTIVA
C1
C2
C3
BARRERA
PREVENTIVA
BARRERA
CORRECTIVA
ORGANIZACIÓN
INSTALACIONES
C2
C3
C3
PERSONAS
HW - SW
FINANCIEROS
DATOS
FEEDBACK
Gracias por su Gracias por su atenciónatención
Hasta Pronto Hasta Pronto !!
Top Related