COSO v COBIT v ITIL
-
Upload
david-carter -
Category
Documents
-
view
29.969 -
download
5
description
Transcript of COSO v COBIT v ITIL
1
Adoptando los modelos de control interno COSO y CoBIT
2
Modelo de Control Interno COSO
Dr. Ing. Jorge Valencia del Toro
3
QuQuéé significa significa COSOCOSO? ?
C ommitteeO fS ponsoringO rganizations
(of the Treadway Commission)
1992
4
Objetivos del Informe COSOObjetivos del Informe COSOEstablecer una definición común
del CONTROL INTERNO “Marco de Referencia”
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL
y decidir cómo mejorarlos
InformeInformeCOSOCOSO
Ayudar a la dirección de las empresas a mejorar el CONTROL DE LAS
ACTIVIDADES de sus organizaciones
5
Proporcionarun grado deseguridad
razonable encuanto a la
consecuciónde objetivos
CONTROLCONTROLINTERNOINTERNO
Proceso efectuado por la Dirección, la alta gerencia y
el restodel personal
QuQuéé?? Para QuPara Quéé??
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con lasleyes y normas que
sean aplicables
En quEn quéénivelesniveles??
EficaciaEficacia
DefiniciDefinicióón de Control n de Control InternoInterno
6
Eficacia y Eficienciaen las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
7
• EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
• EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:
• Rendimiento y rentabilidad• Salvaguarda de los recursos
Eficacia yEficiencia
en las Operaciones
8
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno
Cumplimiento SOX
9
• Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada.
• Abarca también la información de gestión de uso interno.
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
Confiabilidadde la
informaciónfinanciera
10
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
Eficacia y Eficiencia en las Operaciones
LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno
11
Cumplimientocon las leyes
y normas que sean aplicables
• Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar:
• Efectos perjudiciales para la reputación de la organización.
• Contingencias.
• Otros eventos de pérdidas y demás consecuencias negativas.
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
12
Los Los 55 Componentes Componentes interrelacionadosinterrelacionados
del del Control InternoControl Interno
13
Eficacia y Eficiencia
en las Operaciones
Confiabilidadde la
Información que se Publica
Cumplimientocon las Leyes
y NormasAplicables
El Control Interno El Control Interno -- COSOCOSOCommittee of Sponsoring Organizations
of the Treadway Commission
Cumplimiento SOX
14
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
15
Am
bien
te d
e C
ontr
ol
Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:
1. Integridad y valores éticos
2. Compromiso de competencia profesional
3. Filosofía de dirección y el estilo de gestión
4. Estructura Organizacional
5. Asignación de autoridad y responsabilidad
6. Políticas y Prácticas de Recursos Humanos
7. Consejo de Administración / Comité de Auditoría
16
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
17
Aná
lisis
de
Rie
sgo
Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:
1. Objetivos Organizacionales Globales
2. Objetivos asignados a cada Actividad
3. Identificación de Riesgos
4. Administración del Riesgo y Cambio
18
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
19
Act
ivid
ades
de
Con
trol
COSO reconoce los siguientes tipos de Actividades de Control:
1. Análisis efectuados por la dirección
2. Administración directa de funciones por actividades
3. Proceso de información
4. Controles físicos contra los registros
5. Indicadores de rendimiento
6. Segregación de funciones
7. Políticas y procedimientos
20
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
21
Info
rmac
ión
Evaluación adecuada de los mecanismos de información:
1. La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales
2. Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades
3. Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización)
4. Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)
22
Com
unic
ació
n
Evaluación adecuada de los mecanismos de Comunicación:
1. La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno.
2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.
3. La Alta Dirección es receptiva a sugerencias de los empleados.
4. La comunicación a través de toda la empresa es efectiva.
5. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.
23
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
24
Mon
itore
o y
Supe
rvis
ión
EVALUACION DE LA SUPERVISIÓN y MONITOREO Supervisión Continua1. En qué medida obtiene el personal -al realizar sus
actividades habituales- evidencia del buen funcionamiento del sistema de control interno?.
2. En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas?
3. Comparaciones periódicas de importes registrados contra los activos físicos.
4. Receptividad ante las recomendaciones de auditores internos y externos.
5. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas).
6. Eficacia de las actividades de Auditoría Interna.
25
Mon
itore
o y
Supe
rvis
ión
Evaluación periódica puntual1. Alcance y frecuencia
2. El proceso de evaluación es el ideal? (si se hace bien)
3. La metodología para evaluar el sistema de controles internos es lógica y adecuada?
4. Adecuación de las muestras, son significativas y como estála calidad de la documentación examinada.
La Comunicación de las Deficiencias1. Mecanismos para recoger y comunicar cualquier deficiencia
detectada en el control interno.
2. Los procedimientos de comunicación son los ideales.
3. Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.
26
Preguntas y Respuestas
BDO MéxicoAv. Ejercito Nacional No. 904 Piso 12Polanco los Morales CP 11510México, D.F.Telefono: (55) 5901 3953E-mail: [email protected]
27
Modelo de Control Interno CoBIT
Juan Antonio Segura González, CISA, CISM
28
“CoBIT (Objetivos de Control para Tecnología de Informacion), es un modelo estructurado,
lógico de mejores practicas de Tecnología de Información, definidas por
un consenso de expertos en todo el mundo en aspectos técnicos, seguridad,
riesgos, calidad y control”
¿Qué es CoBIT?
29
Com
pone
ntes
CoB
ITC
ompo
nent
es C
oBIT
30
Componentes CoBIT
(PO)Planear y Organizar
(AI)Adquirir e
Implementar
(DS)Entrega y Soporte
(M)Monitoreo
Dominios CoBIT
Siendo habilitados por
y considera
El control de
Que satisfacen
Procesos de TI
Requerimientosde la Institución
Esquemasde Control
Prácticasde Control
31
Com
pone
ntes
CO
SO
Objetivos de Control CoBIT
Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.
Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.
La relación entre COSO y CoBIT
32
Marco de referencia …
33
Marco de referencia
34
Servicios de Infraestructura de TI (Bases de datos, Sistemas Operativos, Telecomunicaciones,
Red, Etc.)
Procesos de
Negocio
(Finanzas)
Procesos de
Negocio
(Manufactura)
Procesos de
Negocio
(Logística)
Procesos de
Negocio
(Etc.)
Administración Corporativa
• Estructura• Políticas
Corporativas• Procedimientos
• Estructura• Políticas
Corporativas• Procedimientos
Controles a Nivel Gobierno de TI
Controles a Nivel Gobierno de TI
Controles Generales de TI
Controles Generales de TI
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
Controles de Aplicación
Controles de Aplicación
• Totalidad• Exactitud• Validación• Autorización• Separación de
funciones
• Totalidad• Exactitud• Validación• Autorización• Separación de
funciones
Enfoque de Control
Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).
Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).
35
Ejecución
1
23
4
5
6
8
7
9
36
Ejemplo …
1 ACTIVIDAD B ACTIVIDAD C Error? ACTIVIDAD DNo 2
2 ACTIVIDAD FError?ACTIVIDAD E 3
3 ACTIVIDAD G ACTIVIDAD H Error? ACTIVIDAD I
ACTIVIDAD L
4
4 End
31
yes
1
ACTIVIDAD J
ACTIVIDAD A
ACTIVIDAD K
Yes
Yes (goes back to analyst who corrects any error and submits for approval)
No
2
89
2
6
109
No
11
4
4
2
3 12
13
5
7
8
SAP transaction: GS02
1
2Riesgo
C1ontrol
Interfases
NOMENCLATURANOMENCLATURA
37
Ejemplo …
38
Ejemplo …
39
Con
trol
es G
ener
ales
de
TI
40
Preguntas y Respuestas
ISACA Capítulo Ciudad de MéxicoVicepresidenteE-mail [email protected]. 1089-4004
41
Muchas Gracias
Juan Antonio Segura González, CISA, CISMDr. Ing. Jorge Valencia del Toro