Post on 12-Oct-2015
Ing. Marlon Frank Acua Benites
AUDITORIA DE SISTEMAS
CONTABLES
Mdulo: I Unidad: I Semana: 1
TTULO DEL TEMA
CONTROL INTERNO Y AUDITORA
INFORMTICA
ORIENTACIONES
Estimados alumnos, se recomienda la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
CONTENIDOS TEMTICOS
COSO Los sistemas de control interno Vulnerabilidades y ataques sobre los
sistemas y equipos.
Modelo de Gobierno TI
Sistema de Control Interno
Modelo de Gobierno TI
Sistema de Control Interno
Gestin de Proyectos
Seguridad de la Informacin
Gestin de Servicios
COSO
COBIT - ISO 38000
Explotacin TI
Tecnologa y Comuni-caciones
Desarrollo Aplicaciones de Negocios
Sistemas de Calidad
Planificacin Estratgica TI
CMMI
ISO 20000 ITIL ITSM
ISO 27000
ISO900x
PMI
ITSGA
Sarbanes Oxley
US Securities & Exchange Commission
Gestin de Continuidad del Negocio ISO 22301
ITSGA: Information Technology Strategic. Generic Actions
Sistema de Control Interno
Mapa de
Procesos y
Recursos
GESTIN DEL RIESGO
Modelo de
Riesgos
Modelo de
Controles
Evaluacin de
Controles
Qu es C.O.S.O?
Committee of Sponsoring Organizatin of the Treadway Commission
C O S O
Qu es COSO? Organizacin voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar orientacin a la gestin ejecutiva a las entidades de gobierno sobre los aspectos fundamentales de organizacin de este, la tica empresarial, control interno, gestin del riesgo empresarial, el fraude, y la presentacin de informes financieros. COSO ha establecido un modelo comn de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
En esta presentacin se expondr exclusivamente lo relativo al Control Interno.
ESTADOS UNIDOS
CASO ENRON
Caso de fraude financiero muy sonado a nivel mundial.
Era una de las empresas mas grandes de Estados Unidos, dispona de un gran futuro
comercial.
El fraude financiero se descubri cuando se presento por quiebra endeudado 30.000
Millones de dlares
Presentar informacin financiera falsa mostrando utilidades de mas o menos 1.000
Millones de dlares
CASO ENRON
Ocultamiento de pasivos abismales
Consultora ANDERSEN (una de las firmas mas importantes del mundo)
Por consecuencia de estos fraudes se vot en el congreso las Leyes Sarbenes Oxley.
SANCIONES:
Seis aos de prisin para ANDREW FASTON acusado de crear una serie de manejos fraudulentos para disimular las perdidas millonarias.
Adems de juicios a los ejecutivos implicados
Informe COSO.
COSO I COSO II
Internal
Control -
Integrated
Framework
Enterprise
Risk
Management
- Integrated
Framework
Informe COSO.
Hace ms de una dcada el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, public el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces sta metodologa se incorpor en las polticas, reglas y regulaciones y ha sido utilizada por muchas compaas para mejorar sus actividades de control hacia el logro de sus objetivos.
Informe COSO.
Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e irregularidades que provocaron prdidas importante a inversionistas, empleados y otros grupos de inters, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, public el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones tcnicas asociadas, el cual ampla el concepto de control interno, proporcionando un foco ms robusto y extenso sobre la identificacin, evaluacin y gestin integral de riesgo.
Informe COSO.
Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte
de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse
hacia un proceso ms completo de gestin de
riesgo.
Informe COSO. A nivel organizacional, este
documento destaca la necesidad de que la alta direccin y el resto de la organizacin comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestin, el papel estratgico a conceder a la auditora y esencialmente la consideracin del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocrticos.
A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier discusin o problema de control interno, tanto a nivel prctico de las empresas, como a nivel de auditora interna o externa, o en los mbitos acadmicos o legislativos, los interlocutores tengan una referencia conceptual comn, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
Informe COSO.
Establecer una definicin comn de control interno que responda a las necesidades de las distintas partes.
Objetivos
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamao y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
Proceso realizado por el consejo de directores, administradores y otro personal de una entidad, diseado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos en las suiguientes categoras:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la informacin financiera.
Cumplimiento de las leyes y regualciones aplicables.
Control Interno
El Control Interno puede juzgarse efectivo en cada una de las categorias anteriores respectivamente, si quienes lo llevan a cabo tienen seguridad razonable sobre que:
Comprenden la extension en la cual se estn obteniendo los
objetivos de las operaciones de la entidad.
Los EEFF publicados se estan preparando confiablemente. Se est cumpliendo con las leyes y regulaciones aplicables.
Ya que el Control Interno es un proceso, su efectivida es un estado o condicin del mismo en uno o ms puntos a travs del tiempo
ESTRUCTURA DE COSO I
COSO I
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION COMUNICACIONAL
MONITOREO
Componentes del Control Interno.
Ambiente de Control. Es el fundamento de todos los dems
componentes del control interno, proporcionando disciplina y estructura.
Valoracin de Riesgos. Identificacin y anlisis de los riesgos
relevantes para la consecucin de los objetivos, constituyendo una base para determinar cmo se deben administrar los riesgos.
Actividades de Control. Polticas y procedimientos que ayudan a segurar
que las directivas administrativas se lleven a cabo.
Componentes del Control Interno.
Informacin y Comunicacin. Identificacin, obtencin y comunicacin de informacin
pertinente en una forma y en un tiempo que le permita a
los empleados cumplir con sus responsabilidades.
Monitoreo. Proceso que valora el desempeo de sistema en el
tiempo.
Definicin de Riesgo
Es la probabilidad que ocurra un determinado evento que puede tener
efectos negativos para la institucin.
Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.
Gestin de Riesgo.
Todas las organizaciones independientemente de su tamao,
naturaleza o estructura, enfrentan riesgos
LOS OBJETIVOS DE LA GESTION DE RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
COSO II
Administracin de riesgo de la
empresa ERM
Estructura del COSO II. Los 8 componentes del
coso II estn
interrelacionados entre si.
Estos procesos debe ser
efectuados por el
director, la gerencia y los
dems miembros del
personal de la empresa a
lo largo de su
organizacin
Los 8 componentes estn alineados con los 4
objetivos.
Donde se consideran las actividades en todos los
niveles de la organizacin
La administracin de riesgos de la empresa (ERM)
COSO describe en su marco basado en principios tales
como:
La definicin de administracin de riesgos de la empresa
Los principios crticos y componentes de un proceso de administracin de riesgo
corporativo efectivo.
Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos.
Criterios para determinar si la administracin de riesgo de la empresa es
efectiva
Conceptos claves de el COSO II
Administracin del riesgo en la determinacin de la estrategia
Eventos y riesgo
Apetito o tolerancia al riesgo
Visin de portafolio de riesgo
Descripcin de Componente del
COSO II.
Ambiente interno
Sirve como la base fundamental para los otros componentes del ERM, dndole disciplina y
estructura.
Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que
se pueden presentar en la empresa
Establecimientos de objetivos.
Es importante para que la empresa prevenga los riesgo, tenga una identificacin de los
eventos, una evaluacin del riesgo y una
clara respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que se alineen y sustenten con su visin y
misin, pero siempre teniendo en cuenta
que cada decisin con lleva un riesgo que
debe ser previsto por la empresa
Identificacin de eventos
Se debe identificar los eventos que afectan los objetivos de la organizacin aunque
estos sean positivos, negativos o ambos,
para que la empresa los pueda enfrentar y
proveer de la mejor forma posible.
La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o
riesgos. Para que pueda hacer frente a los
riesgos y aprovechar las oportunidades.
Actividades de control
Son las polticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada
y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales, computarizadas o controles gerenciales
Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y evala posibles repuestas al riesgo en relacin al las
necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinan las actividades que generan riesgo.
Reducirlo (mitigar): se reduce el impacto o la probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porcin del
riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Informacin y comunicacin
La informacin es necesaria en todos los niveles de la organizacin para hacer frente a
los riesgos identificando, evaluando y dando
respuesta a los riesgos.
La comunicacin se debe realizar en sentido amplio y fluir por toda la organizacin en
todo los sentidos.
Debe existir una buena comunicacin con los clientes, proveedores, reguladores y
accionistas.
Monitoreo.
Sirve para monitorear que el proceso de administracin de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a travs de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinacin de ambas formas
COSO y Auditoria Interna.
La auditoria interna se considerar entonces como una parte del sistema de control.
Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado.
Procesos de Negocio:
Relacionados con el cliente externo.
Ejm.: Ventas, Produccin, Investigacin y
Desarrollo, Post Venta, etc.
Procesos de Soporte:
Aseguramiento de recursos.
Cumplimiento de obligaciones legales y normas internas.
SCI: Procesos
Ejm: Finanzas, Contabilidad, Sistemas, RRHH, Legales, Gestin de Riesgos, inmuebles, etc.
Procesos de Gestin:
Relacionados con la direccin, planificacin.
Polticas: Que se permite hacer (Reglas)
Normas : Quien realiza qu , en la organizacin (Incl. Requisitos)
Proceso : Cmo se realizan las actividades (Incl. Recursos)
Ciclo de vida de los productos.
Conjunto de actividades:
- Secuenciales en el tiempo con un inicio y un fin (Output de la ltima actividad).
- Eventos Mltiples (Output es la suma de los outputs de las actividades)
SCI: Procesos
.. Involucra recursos como
Instalaciones y Activos
Infraestructura Tecnolgica
Explotacin Tecnolgica
Recursos Humanos
Pueden ser .
Intangibles:
Tangibles: Computadoras, Redes, Servidores, Salas de Computo, Equipos, manuales, libros, discos, etc.
Informacin, Seguridad y salud del personal, privacidad de usuarios, contraseas, imagen pblica, etc.
SCI: Recursos
Vulnerabilidades
Debilidades o deficiencias en los
procesos, sistemas o recursos.
Fallas en el diseo de sistemas o procesos
Controles inadecuados o insuficientes
Control de acceso (lgicos y fsicos)
Falta de Mantenimiento
Personal sin conocimiento
Desactualizacin de sistemas crticos
Amenazas / Ataques
Hechos que pueden producir daos
sean en forma fortuita o intencionada
Desastres Naturales
Errores Humanos y Procedimentales
Errores Tecnolgicos: Hardware y Software
Actos Malintencionados
Entorno de la Empresa: Competidores
Amenazas Provocados por la naturaleza
Lluvias, inundaciones, terremotos, rayos, etc.
Ataques Provocados por el hombre
Hackers, crackers, piratas.
Virus.
Escucha electrnica
Ataques fsicos
Proporciones
20%
80%
Externos Internos
Procedencia de los ataques
Externa.
Interna. Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
Competidores.
Usuarios.
Delincuentes.
Posibles acciones de los competidores
sabotaje
espionaje
robo de programas
soborno
Posibles acciones de los usuarios
Obtencin de informacin.
Entrega de informacin a competidores.
Infeccin viral
Archivo
Infectado Transmisin Reproduccin INFECCIN
Tendencias de los ataques
Tendencias de los ataques
Posibles acciones de los administrativos
Falsificar informacin.
Entrega de informacin a externos.
Posibles acciones de los ingenieros
Activar defectos.
Acceder a los sistemas de seguridad.
Posibles acciones de los operadores
Destruir archivos.
Copiar archivos.
Posibles acciones de los programadores
Introducir fallas.
1 1 3
Robar programas o
datos.
Posibles acciones de los auxiliares
Vender reportes o duplicados.
Buscar informaciones
Posibilidad que ocurra un evento que pueda afectar el logro de los objetivos de la organizacin.
Se mide en trminos de impacto y probabilidad.
SCI: Riesgo
SCI: Riesgos Riesgo del Negocio: Pueden afectar la viabilidad del negocio o empresa a largo plazo.
Riesgo Inherente: Riesgo antes de considerar la efectividad de los sistemas de control (Riesgo Total).
Riesgo de Control: Posibilidad de que los controles vigentes, no puedan detectar o evitar errores o irregularidades significativas en forma oportuna.
Riesgo Residual: Riesgo no considerado dentro de los sistemas de control implantados.
Pueden ser
Riesgos internos: Operacional, Crditos, etc.
Riesgos externos: Normativos, Mercado, Naturales, etc.
Modelo de Riesgos. Se debe implantar mecanismos para identificar, analizar y gerenciar los riesgos.
Recursos o Procesos (Aplicativos)
Factores que inciden como probabilidad o impacto en el riesgo
Importancia
en el negocio
Volumen de
operaciones
Antigedad de
Aplicativo
Nivel de
Mantenimiento
Complejidad
de Aplicacin
Nmero de
Incidencias
Conocimiento
de Usuarios
Nivel de
Reclamos
Afiliacin de
Clientes
Ventas
Compras y
Proveedores
Almacenes
RRHH
Contabilidad
Produccin
Cuadro de valoracin de factores de riesgos
SCI: Riesgos
Crtico Alto A A NA
No
aceptable
Alto M M A A NA
Medio B B M M A
Bajo T Bajo B B M
Mnimo Tolerante T B B M
Remota Improbable Ocasional Probable Frecuente
RIESGO
Matriz de Riesgos Valoracin
Probabilidad
Imp
acto
SCI: Riesgos
Riesgos de Informacin (Bsicos)
Prdida de confidencialidad
Prdida de integridad
Prdida de disponibilidad
Prdida de Activos
SCI: Riesgos
COSO Actividades de Control
Es el conjunto integrado de estructuras, polticas, procedimientos, mtodos, procesos y
recursos, que permiten mitigar los riesgos a
los que est expuesto una organizacin, en
funcin a sus objetivos y metas.
SCI: Controles
Pueden ser:
Manuales o Automticas
Por operacin, diaria, semanal, mensual, eventual, etc.
Controles Preventivos. Para evitar hechos no deseados, antes de empezar un proceso, se implementan para incrementar la calidad de los procesos y para eliminar los problemas en origen
Controles Correctivos
Para corregir hechos no deseados que han ocurrido, y que son difciles de identificar previamente.
Controles Detectivos
Identifica desviaciones antes de concluir un proceso, detectando errores difciles de definir y predecir y cuyas consecuencias no suelen ser muy relevantes
Controles Directivos
Para provocar o promover que sucedan hechos deseados, esta orientado al seguimiento de indicadores de resultados internos.
Tipos:
SCI: Controles
1. Seguimiento, supervisin de los controles generales o especficos, como:
Auditora Interna
Comits de control
2. Generales, afectan de forma generalizada a un grupo de procesos, como:
Segregacin de Funciones
Polticas y procedimientos
Control de Accesos y Control de Cambios
Seleccin y formacin de personal
Controles fsicos sobre activos y registros.
Niveles
SCI: Controles
3. Especficos, mecanismos que permiten prevenir, detectar y corregir los riesgos, como:
Autorizaciones.
Verificaciones y reclculos
Documentos y registros adecuados.
Conciliaciones
Chequeos independientes.
Comparacin de registros con activos
Todo control debe generar evidencia y se valora su efectividad para mitigar el riesgo (deben existir los mnimos necesarios)
Niveles
SCI: Controles
COSO Ambiente de Control Se refiere a la actitud y las acciones del Directorio y la Gerencia con
respecto a la importancia del control dentro de la organizacin.
El entorno de control proporciona la disciplina y la estructura para
lograr los objetivos principales del sistema de control interno.
Incluye los siguientes elementos :
Integridad y valores ticos.
Estilo de operacin y filosofa de la gerencia.
Estructura organizacional
Asignacin de autoridad y responsabilidades
Polticas y prcticas de recursos humanos
Compromiso de competencias del personal.
Comit de Auditoria
SCI: Controles
COSO Informacin y Comunicacin
Informacin estructurada y oportuna para que los gerentes evalen los resultados de
gestin versus los objetivos (desempeo).
Seguridad: Confidencialidad, Disponibilidad e Integridad
Clasificacin: Definir estndares para adoptar proteccin adecuada, puede ser
Pblica, Privada, Confidencial y secreta
SCI: Controles
COSO Monitoreo
Todo el proceso debe ser supervisado y actualizado segn necesidades, a fin de que el sistema reaccione
dinmicamente.
Se deben realizar evaluaciones peridicas o
puntuales del funcionamiento de los controles, por:
Los propios responsables
Control Interno
Auditoria interna
Auditoria externa.
SCI: Evaluacin de Controles
SCI: Evaluacin de Controles
La evaluacin debe considerar
Que se realicen como se disearon
Validar la efectividad: Disminuya el riesgo
Que est actualizado
Que aporten valor agregado
Sistema de Control Interno - Coso
Filosofa y Estilo de la Direccin. Estructura Organizacional Consejo de Administracin y
Comits. Asignacin de Autoridad y
Responsabilidad Administracin de los Recursos
Humanos. Integridad y Valores ticos.
Definicin de Objetivos Revisin de procesos
asociados Anlisis de Riesgos Valoracin de Riesgos Cumplimiento de Objetivos
Polticas y Procedimientos Anlisis efectuados por la
Direccin Procesamiento de
informacin Controles fsicos y lgicos Indicadores de rendimiento Segregacin de funciones
Comunicacin interna y externa, a todos los niveles.
Informacin gerencial y financiera.
Informacin operativa, de control y supervisin
Calidad de la informacin. Medios de comunicacin.
Monitoreo continuo por la administracin Evaluaciones internas (Propias y
Auditora) Evaluaciones Externas
COMPONENTES
Sistema de Control Interno
Procesos y
Recursos
GESTIN DEL RIESGO
Valoracin y
Matriz de
Riesgos
Implantar
Controles
Seguridad
Evaluacin
de Controles
Amenazas
Vulnerabilidades
Preventivos . Detectivos .
Correctivos . Directivos .
No existe . Deficientes .
Inadecuados .
Inhere
nte
R de Control
R Residual
Pto. Mitigacin
Valoracin Riesgos Rec. o Procesos
Factores probabilidad o impacto riesgo
Import
ancia
Volu
men
Antiged
ad
Conoci
mien
Recl
amo
s
Afiliacin
de Clientes
Alto Medi
o
Alto Bajo Med
io
RRHH Alto Medi
o
Alto Bajo Med
io
Contabilid
ad
Alto Medi
o
Alto Bajo Med
io
Produccin Alto Medi
o
Alto Bajo Med
io
Probabilidad
Impacto
A
M
B
Conclusiones
No existe ninguna organizacin a salvo
de ataques a sus sistemas informticos.
No existe sistema informtico, ni
organizacin absolutamente seguros.
Tiene componente subjetivo
Existe un juicio personal sobre el nivel
de riesgo aceptable y lo que
constituye una amenaza
Sistema de Control Interno
GRACIAS