Normas y Estandares2 0713

MAESTR A EN SEGURI DAD
DE TECNOLOG AS DE
I NFORMACI N I NFORMACI N
PRESTIGIO, DISCIPLINA Y MEJORES OPORTUNIDADES
NORMAS Y
ESTNDARES ESTNDARES
DE CONTROL DE CONTROL
Docente:
MSc. Ing. Martha Fernndez Montao MSc. Ing. Martha Fernndez Montao
CISA, CIA, CGAP, CGEIT, CISM
OBJ ETI VOS OBJ ETI VOS
Comprender la importancia del ejercicio Comprender la importancia del ejercicio
del control en la aplicacin de TI
C l t d i i Conocer los estndares en vigencia
para aplicarlos cuando sean apropiados
l l ifi i d i i en la planificacin, adquisin,
desarrollo, operacin, aplicacin,
mantenimiento o monitoreo de TI mantenimiento o monitoreo de TI
OBJ ETI VOS
Conocer los modelos de control para
poder implementar control o utilizarlos
para realizar monitoreo o revisin
Conocer las normas tanto del mbito
pblico como privado para aplicarlos en pblico como privado para aplicarlos en
la ejecucin de trabajos de auditora o
en la implementacin del sistema de en la implementacin del sistema de
control interno
OBJ ETI VOS OBJ ETI VOS
Conocer algunas de las organizaciones Conocer algunas de las organizaciones
que norman el rea de TI y sus
contribuciones contribuciones
TEMARI O TEMARI O
I. Introduccin
II Modelos de Control II. Modelos de Control
III. Normas de Auditora y Control
L R l i d C t l IV. Leyes y Regulaciones de Control
BI BLI OGRAFI A
Auditoria de Sistemas: Un Enfoque
Prctico Mario G. Piattini y Emilio del
Peso, Ra-ma 2002
Information Technology Control and Audit
(2
nd
Edition) Frederick Gallegos, Sandra ( ) g
Senft, Daniel P. Manson y Carol Gonzales,
CRC Press 2004
An Introduction to Information Control
Models Philip L. Campbell Models Philip L. Campbell
I . I NTRODUCCI N I . I NTRODUCCI N
I I NTRODUCCI ON I . I NTRODUCCI ON
Evolucin de la tecnologa
Importancia del Control de TI Importancia del Control de TI
La tecnologa ha permitido avanzar
Evol uc i n de l a Tec nol oga
La tecnologa ha permitido avanzar
desde el baco hasta la integracin de
las comunicaciones con el proceso las comunicaciones con el proceso
electrnico de la informacin
Las empresas se han hecho altamente
dependientes de la tecnologa de dependientes de la tecnologa de
informacin
Las empresas virtuales dependen de
las comunicaciones seguras y veloces las comunicaciones seguras y veloces
En el mundo entero se utiliza la
En el mundo entero se utiliza la
tecnologa de informacin para prestar
toda clase de servicios Vivimos en la toda clase de servicios. Vivimos en la
Era del conocimiento
Si t b j t l d
I mpor t anc i a del Cont r ol de TI
Si no est bajo control, puede causar
problemas
P b t d d bt l
Pero sobretodo pueden no obtenerse los
objetivos de negocio deseados
El control permite alinear la tecnologa con
los objetivos de la empresa
Madurez de TI
Socio
Gobierno de TI
P d
Estratgico
ITSM
Proveedor
de servicios
ITIM
Tiempo
Proveedor de
tecnologa
ITIM
Tiempo
La contribucin controlada de TI cambia
La contribucin controlada de TI cambia
Proveedor de Servicio Socio Estratgico g
TI es para eficiencia TI es para el crecimiento del
negocio
Presupuestos dependen de
ofertas externas
Presupuestos dependen de la
estrategia del negocio
TI i bl d l i
TI es separable del negocio
TI genera gastos para control
TI es inseparable del negocio
TI es una inversin de
administracin
Gerentes de TI son expertos
tcnicos
administracin
Gerentes de TI son
solucionadores de problemas
d l i del negocio
Por lo tanto:
Se debe ejercer Se debe ejercer
control efectivo
sobre la TI
EJERCICIO
Importancia del Control de TI
Control es:
Control es:
Comprobacin o inspeccin de una cosa
Dominio o autoridad sobre alguna cosa Dominio o autoridad sobre alguna cosa
El objetivo del control es: El objetivo del control es:
Identificar desviaciones de lo planificado
Corregir desviaciones Corregir desviaciones
A
C
I
N
p
LOGRO EXITOSO LOGRO EXITOSO
DE OBJ ETIVOS DE OBJ ETIVOS
A
D
E
C
U
A
DE OBJ ETIVOS DE OBJ ETIVOS
I
N
I
N
PLANEACIN PLANEACIN
D
E
S
V
I
A
C
I
D
E
S
V
I
A
C
I
PREVENCIN PREVENCIN CORRECCIN CORRECCIN
El control es la regulacin de las
actividades
de conformidad con un plan creado
para alcanzar los objetivos
DETECCINDE DETECCINDE
PLANEACIN PLANEACIN PLANEACIN PLANEACIN
DETECCIN DE DETECCIN DE
DESVIACIONES DESVIACIONES
EJ ECUCIN EJ ECUCIN EJ ECUCIN EJ ECUCIN
MEDIDAS MEDIDAS
CORRECTIVAS CORRECTIVAS CORRECTIVAS CORRECTIVAS
MEDICIN MEDICIN
I mpor t anc i a del Cont r ol de TI I mpor t anc i a del Cont r ol de TI
El control es un instrumento eficaz para
lograr la eficiencia y eficacia en el trabajo lograr la eficiencia y eficacia en el trabajo
de las entidades
El efecto de CONTROL pretende llevar lo El efecto de CONTROL pretende llevar lo
planeado al logro exitoso de sus objetivos
L di i l t l
Las condiciones para el control son:
Equilibrio de responsabilidades
Oportunidad de actuacin
Previsin de desviaciones
Orientacin al logro de objetivos
Aplicacin dirigida hacia necesidades
reales
I I . MODELOS DE
CONTROL CONTROL
I I MODELOS DE CONTROL
Modelos de Control
I I . MODELOS DE CONTROL
Modelos de Control
COSO
CADBURY CADBURY
CoCo
COBIT COBIT
Val IT
Risk IT Risk IT
TURNBULL
Otros modelos Otros modelos
Model os de c ont r ol
La implementacin de seguridad de la
informacin puede mejorar
significativamente mediante la aplicacin
rigurosa de un modelo o marco de control
Modelos de control
DIAGRAMA DE INFLUENCIA
FUENTE: An Introduction to Information Control Models,
Philip L. Campbell
Modelos de control
DIAGRAMA DE INFLUENCIA
ISO 9000
ITIL
PMBOK
ISO 38500
ISO31000 TOGAF
ITAF ISO 20000
ISO 31000 TOGAF
FUENTE: An Introduction to Information Control Models,
Philip L. Campbell
Model os de c ont r ol Model os de c ont r ol
Los modelos de control se pueden
agrupar en: agrupar en:
Comunidad de Objetivos de Control
Comunidad de Principios Comunidad de Principios
Comunidad de Madurez de la Capacidad
Se basan en el concepto de objetivo
de control
Control es:
Conjunto de polticas, procedimientos,
prcticas y estructuras organizacionales prcticas y estructuras organizacionales
para proporcionar seguridad razonable
de que los objetivos organizacionales se
alcanzarn y que los eventos no alcanzarn y que los eventos no
deseados se evitarn o detectarn y
corregirn
Model os de c ont r ol Model os de c ont r ol
Objetivo de control es:
D l i d l lt d Declaracin de que el resultado o
propsito deseado se alcanzar al
implantar mecanismos de control en
i id d i l una actividad particular
Miembros:
BS 7799 (ISO 27000)
COSO (?)
C C CoCo
CobiT (?)
ITCG
FISCAM
SysTrust
Comunidad de Principios
p
Se basan en la nocin de principios como:
Rendicin de cuentas Rendicin de cuentas
Concientizacin
tica
Miembros
GAPP
GASSP
SSAG
UK Combined Corporate Code UK Combined Corporate Code
Comunidad de Madurez de la Capacidad
Se basa en la nocin del modelo de madurez:
El enfoque se centra en el proceso
Basado en la hiptesis de que si el proceso mejora,
entonces el producto tambin mejora
Una organizacin cuyo nivel de madurez es mayor
que otra, probablemente produce un mejor producto
o servicio
Miembros Miembros
SSE- CMM
CMMI
Otras variantes
COMUNIDADES DE MODELOS
FUENTE: An Introduction to Information Control Models, Philip
L. Campbell
EJERCICIO
Modelos de Control:
SI GNI FI CADO DE SI GLAS UTI LI ZADAS
OECD Organization for Economic Cooperation
and Development and Development
GAPP Generally Accepted Principles and
Practices National Institute of Practices. National Institute of
Standards and Technology (NIST)
BS 7799 British Standard BS Institute BS 7799 British Standard. BS Institute
SAC Security Auditability and Control. The
Instit te of Internal A ditors (IIA) Institute of Internal Auditors (IIA)
COSO Internal Control Integrated Framework.
C itt f S i O i ti Committee of Sponsoring Organizations
S G C O S G S U S
SSE CMM Systems Security Engineering
C bilit M t it M d l Capability Maturity Model.
National Security Agency (NSA)
Defense Canada Defense- Canada
CoCo Criteria of Control. Board of The
C di I tit t f Ch t d Canadian Institute of Chartered
Accountants
ITCG I f ti T h l C t l ITCG Information Technology Control
Guidelines. Canadian Institute of
Ch t d A t t (CICA) Chartered Accountants (CICA)
GASSP Generally Accepted SystemSecurity GASSP Generally Accepted System Security
Principles. International Information
Security Foundation (IISF) Security Foundation (IISF)
CobiT Control Objectives for Information and
Related Technologies ISACA Related Technologies. ISACA
FISCAM Federal Information Systems Controls
A dit M l U S G t Audit Manual. U.S. Government
Accountability Office (GAO)
SysTrust SysTrust Principles and Criteria SysTrust SysTrust Principles and Criteria
for System Reliability.
AICPA/CICA AICPA/CICA
SSAG System Self-Assessment Guide
for Information Technology for Information Technology
Systems. National Institute of
Standards and Technology Standards and Technology
(NIST)
Antecedentes
Coso
Watergate Watergate -- 1973 1973--76 76
Antecedentes
Comisin Cohen Comisin Cohen --1974 1974
Bank of Bank of Credit Credit and Commerce and Commerce
International International
Ley Ley de Prcticas Corruptas 1977 de Prcticas Corruptas 1977 Ley Ley de Prcticas Corruptas 1977 de Prcticas Corruptas 1977
Comisin Comisin Treadway Treadway --1985 1985
Informe Informe:: COSO COSO Committe Committe of of Sponsoring Sponsoring Informe Informe: : COSO COSO -- Committe Committe of of Sponsoring Sponsoring
Organizations Organizations, emitido en 1992 , emitido en 1992
I f I f C db C db Vi t Vi t C C C C Ki Ki Informes Informes Cadbury Cadbury, , Vienot Vienot , , CoCo CoCo y King y King
Coso
Committee of Sponsoring Organizations Committee of Sponsoring Organizations
of the Treadway Commission (COSO)
Iniciativa del sector privado de los E E U U Iniciativa del sector privado de los E.E.U.U.
creada en 1985.
S bj ti id tifi l f t Su objetivo mayor es identificar los factores
que causan la divulgacin financiera
fraudulenta y hacer recomendaciones para fraudulenta y hacer recomendaciones para
reducir su incidencia
Origen: www.coso.org g g
Coso
COSO es patrocinada por 5 principales
organizaciones profesionales de
contabilidad en los E.E.U.U.:
Asociacin Americana de Contadores
Instituto Americano de Contadores
PblicosAutorizados Pblicos Autorizados
Instituto de Ejecutivos
Fi i
Instituto de Auditores
I t
Instituto de Contadores
Gerenciales
Financieros Internos
Coso
La tarea de esta comisin era:
A d d fi i i d C t l I t Acordar una definicin de Control Interno que
sea aceptada como un marco comn que
satisfaga las necesidades de todos los satisfaga las necesidades de todos los
sectores
Aportar una estructura de Control Interno que Aportar una estructura de Control Interno que
facilite la evaluacin de cualquier sistema en
cualquier organizacin
El informe COSO fue emitido en 1992
Fue revisado en Mayo 2013 Fue revisado en Mayo 2013
Coso
Cont r ol I nt er no
El control interno es un proceso
Es un medio para lograr un fin, no un fin
en s mismo
Es llevado a cabo por personas
No se trata de manuales, normas y
polticas, sino de personas que lo
ejecutan en cada nivel de la organizacin
Slo aporta un grado de seguridad
razonable, no total, a la direccin y al
consejo de administracin
Coso
Cont r ol I nt er no
Diseado para facilitar la consecusin de
los objetivos y metas institucionales, no
para obstaculizarlos (menos y mejores
controles)
El Control Interno es el medio que las
instituciones aplican para asegurar de
manera razonable que se cumplan las
Metas y Objetivos
Es un frente en el combate a la corrupcin
Coso
Aporta una estructura adecuada para la
rendicin de cuentas y fomenta la rendicin de cuentas y fomenta la
transparencia
Es responsabilidad de la administracin a Es responsabilidad de la administracin, a
todos los niveles y en todos los mbitos
Previene riesgos que pueden impedir el Previene riesgos que pueden impedir el
logro de las Metas y Objetivos
Promueve la eficiencia eficacia y Promueve la eficiencia, eficacia y
economa en el manejo y aplicacin de
recursos recursos
Coso
Def i ni c i n de Cont r ol I nt er no Def i ni c i n de Cont r ol I nt er no
Es un proceso que involucra a todos los Es un proceso que involucra a todos los
integrantes de la organizacin sin
excepcin diseado para dar un grado excepcin, diseado para dar un grado
razonable de seguridad en cuanto a la
obtencin de los objetivos relacionados obtencin de los objetivos relacionados
con operaciones, reportes y
cumplimiento cumplimiento
Coso
Val or agr egado del Cont r ol I nt er no
Entre otros aspectos el control interno
Ayudar a que la institucin alcance sus objetivos
Entre otros aspectos, el control interno
agrega valor al:
Ayudar a que la institucin alcance sus objetivos
de rentabilidad y rendimiento, previniendo la
prdida de recursos prdida de recursos
Apoyar en la obtencin de informacin financiera
confiable y oportuna confiable y oportuna
Reforzar la confianza en el cumplimiento de la
normatividad aplicable normatividad aplicable
Coso
Evitar peligros y sorpresas (riesgos) en el
camino camino
Integrar e involucrar al personal con los
objetivos de control objetivos de control
Ayudar al personal a medir su desempeo y
por ende a mejorarlo por ende, a mejorarlo
Contribuir a evitar el fraude
Facilitar a los directivos la informacin de
cmo se han aplicado los recursos y cmo se
h l d l bj ti han alcanzado los objetivos
Coso
Ayudar a evitar desperdicios Ayudar a evitar desperdicios
Reducir costos
Propiciar orden y disciplina
Simplificar trmites
Generar ahorros
Contribuir a evitar fraudes Contribuir a evitar fraudes
Generar buena imagen
Coso
El Informe COSO se estructura en cuatro partes:
Visin de alto nivel sobre la estructura
R
conceptual del control interno, dirigido a
directores ejecutivos, miembros del consejo,
legisladores.
Resumen
Ejecutivo
Define control interno, describe sus
componentes y proporciona criterios para
que Administradores, Consejeros y otros
puedan valorar sus sistemas de control.
Estructura
Conceptual
Es un documento suplementario que
proporciona orientacin a aquellas
entidades que publican informes sobre
t l i t d d l i
Reportes a
Partes Externas
control interno adems de la preparacin
de estados financieros.
Partes Externas
Proporciona materiales que se pueden
Herramientas
p q p
usar en la realizacin de una evaluacin
de un sistema de control interno.
Herramientas
de Evaluacin
Coso
Elementos de la matriz
o cubo COSO
MONITOREO
A
C
T
I
V
I
D
A
A
C
T
I
V
I
D
A
D

A
C
T
I
V
I
D
U
N
I
D
A
U
N
I
INFORMACION Y
COMUNICACION
Objetivos
Componentes
A
D

2

2
3
D
A
D

1
A
D

B
I
D
A
D

A
RIESGO INHERENTE
ACTIVIDADES DE CONTROL
Enfoque
CONTROL DEL MEDIO AMBIENTE
Coso
Objetivos operacionales
Objetivos de reporte
Obj ti d li i t Objetivos de cumplimiento
Estos tres objetivos se interrelacionan entre s
Coso
Obj et i vos de Cont r ol I nt er no
EFICACIA: Capacidad de
Operaciones
alcanzar las metas y/o
resultados propuestos
EFICIENCIA: Capacidad de
Reporte
producir el mximo de
resultados con el mnimo de
Reporte
recursos, energa y tiempo
Se refiere bsicamente a los
Objetivos empresariales:
Cumplimiento
Rendimiento y rentabilidad
Salvaguarda de los recursos Salvaguarda de los recursos
Coso
Son la razn de ser de las
Operaciones
empresas y se dirigen a la
consecucin del objetivo
i l
Reporte
social
Son peculiares para cada
entidad y han de ser
Reporte
coherentes y realistas
Aunque no son un elemento
Cumplimiento
de control interno sino de
gestin, son una base previa
para aqul para aqul
Coso
Elaboracin y publicacin de
Operaciones
Reporte
Estados Financieros confiables,
y toda otra informacin
fi i fi i
p
financiera y no financiera que
deba ser publicada o reportada
C li i Cumplimiento
Coso
Operaciones
Requisitos de fiabilidad de los
estados financieros: - principios
contables aceptados y
Reporte
apropiados a las circunstancias
Informacin financiera suficiente p
C li i
y apropiada, resumida y
clasificada pertinentemente
Cumplimiento
Estados financieros que reflejen
adecuada y razonablemente la
situacin financiera
Coso
Operaciones
Requisitos de fiabilidad ,
oportunidad y transparencia de
Reporte
p y p
informacin no financiera
Reportes que incluyan requisitos
p
C li i
adicionales de reguladores,
emisores de estndares o
polticas de la entidad
Cumplimiento
po tcas de a e tdad
Coso
Cumplimiento con aquellas
Operaciones
leyes, normas y estndares a
las cuales est sujeta la
organizacinY de esta forma
Reporte
organizacin Y de esta forma
logra evitar:
Efectos perjudiciales para la
Reporte
reputacin de la organizacin
Contingencias
Cumplimiento
g
Otros eventos de prdidas y
dems consecuencias
ti negativas
C t d C t l I t
Coso
Component es de Cont r ol I nt er no
Informacin y
Monitoreo
Actividades de Control
Informacin y
Comunicacin
Evaluacin de Riesgos
Ambiente de Control
Component es del c ont r ol i nt er no:
Coso
Component es del c ont r ol i nt er no:
Ambiente de Control
Es la base de los dems componentes,
t d di i li t t
Ambiente de Control
aportando disciplina y estructura
En la prctica es la cultura organizacional
que establece la Administracin
INTEGRIDAD, VALORES y
COMPETENCIA del PERSONAL COMPETENCIA del PERSONAL
A bi t d C t l
Coso
Integridad y Valores Integridad y Valores ticos ticos
Ambiente de Control
Compromiso con la Capacitacin del Compromiso con la Capacitacin del
personal personal
Directorio o Comit de auditora Directorio o Comit de auditora
Filosofa y estilo operativo de direccin Filosofa y estilo operativo de direccin Filosofa y estilo operativo de direccin Filosofa y estilo operativo de direccin
Estructura organizacional Estructura organizacional
D l i d t id d i i d D l i d t id d i i d Delegacin de autoridad y asignacin de Delegacin de autoridad y asignacin de
responsabilidad responsabilidad
Polticas y prcticas relativas al personal Polticas y prcticas relativas al personal
Coso
Cada organizacin enfrenta una variedad
de riesgos diferentes, tanto internos como
t d b d i i t d externos, que deben ser administrados
Una condicin previa para que la
l i d i d ll evaluacin de riesgos pueda llevarse a
cabo, es el establecimiento de objetivos
alineados consistentemente en todos los alineados consistentemente en todos los
niveles de la organizacin
Coso
La evaluacin de riesgos es la
identificacin y anlisis de los riesgos
l t l l d bj ti relevantes para el logro de objetivos,
estableciendo las bases para determinar
cmo stos deben controlarse cmo stos deben controlarse
Se utilizan mecanismos que permitan:
IDENTIFICARLOS IDENTIFICARLOS
ANALIZARLOS
ADMINISTRARLOS ADMINISTRARLOS
Coso
Conjunto de:
j
Polticas
Procedimientos Procedimientos
Prcticas
Que aseguran: Que aseguran:
Logro de objetivos
Miti i d i Mitigacin de riesgos
Sirven como medio para que el riesgo sea
d i i d i d administrado apropiadamente
Coso
Algunos controles utilizados son:
Coordinacin entre las reas
Documentacin
Anlisis de informacin
Revisin de informes
Niveles definidos de autorizacin, ,
verificacin y aprobacin
Coso
Segregacin de funciones
Manual de procedimientos
Rotacin del personal en las tareas claves
Indicadores de Desempeo
Revisin de Controles de las tecnologas de
informacin
Acceso restringido a los recursos, activos y
registros
Coso
ADECUACIONES
Ti pos de c ont r ol por su f unc i n
Entrada Entrada
Proceso Proceso
Salida Salida
?
PUNTODE
PREVENTIVO PREVENTIVO PREVENTIVO PREVENTIVO
p p
PUNTO DE
CONTROL
?
Entrada Entrada
Proceso Proceso
Salida Salida
PUNTO DE
CONTROL
DETECTIVO DETECTIVO DETECTIVO DETECTIVO
Entrada Entrada
Proceso Proceso
Salida Salida
?
CORRECTIVO CORRECTIVO CORRECTIVO CORRECTIVO
PUNTO DE
CONTROL
Coso
Los controles preventivos: os co oes p e e os
Son ms rentables
Deben quedar incorporados en los Deben quedar incorporados en los
sistemas
Evitan costos de correccin o reproceso p
Coso Coso
Ejemplos de controles preventivos: Ejemplos de controles preventivos:
Contratar seguros para cualquier tipo de
bienes bienes
Respaldar la informacin en archivos
Cotejar firmas antes de realizar un pago Cotejar firmas antes de realizar un pago
Coso
Los controles detectivos: os co oes de ec os
Son ms costosos que los controles
preventivos p
Miden la efectividad de los controles
preventivos
Algunos errores no pueden ser evitados en
la etapa preventiva
Coso
Ejemplos de controles detectivos:
Escudo anti-virus
Sistema de deteccin de intrusos
Filtro anti-spam
Coso
Los controles correctivos:
Implica que se tomen acciones y
procedimientos de correccin
Por medio de la documentacin y reportes
se informa a la gerencia
Se supervisan los asuntos hasta que son
corregidos o solucionados
Coso
Ejemplo de controles correctivos: Ejemplo de controles correctivos:
Clculos repetidos
Recuperacin de informacin desde copias Recuperacin de informacin desde copias
de respaldo
Cambio de partes que fallan en un Cambio de partes que fallan en un
computador
Coso
Tipos de control tecnolgicos Tipos de control tecnolgicos
Controles generales
Controles del medio tecnolgico Controles del medio tecnolgico
Controles de aplicacin
Controles includas en las aplicaciones Controles includas en las aplicaciones
Coso
Informacin y
Comunicacin
Es un sistema de informacin integral de
toda la empresa toda la empresa
Permite:
Capturar e intercambiar informacin Capturar e intercambiar informacin
oportunamente
Para: Para:
CONDUCIR, ADMINISTRAR y CONTROLAR
OPERACIONES OPERACIONES
Informacin y
Coso
Se debe identificar, ordenar y comunicar en
forma oportuna la informacin necesaria
Comunicacin
forma oportuna la informacin necesaria
para que los empleados puedan cumplir
con sus obligaciones con sus obligaciones
La informacin puede ser operativa o
financiera de origen interno o externo financiera, de origen interno o externo
Deben existir adecuados canales de
i i i t t comunicacin internos y externos
La informacin debe ser integrada
Deben generarse los reportes adecuados
Coso
Informacin y
Comunicacin
CARACTERSTICAS DE LA
CARACTERSTICAS DE LA
COMUNICACIN
SUFICIENTE
QUE ABARQUE TODOS LOS TRAMOS DE
CONTROL,
INFORMACIN
OPORTUNA
CONFIABLE Y
GENERALIZADA, NO CENTRALIZADA
(ASCENDENTE, DESCENDENTE Y
TRANSVERSAL)
OPORTUNA,
DE FCIL ACCESO
CONFIABLE,
ENTENDIBLE Y
CON RETROALIMENTACIN
Coso
Informacin y
Comunicacin
Flujo de la
informacin informacin
Informacin y
Coso
y
Comunicacin
Sistema integrado
de informacin de informacin
Informacin y
Coso
y
Comunicacin
Conocimiento de
la informacin
M it
Coso
Este proceso comprende la evaluacin de:
Monitoreo
Diseo de controles
Funcionamiento de controles Funcionamiento de controles
Manera en que se adoptan las medidas
necesarias necesarias
Se aplicar a:
Todas las actividades dentro de la entidad
A veces tambin a externos contratados
M it
Coso
Las operaciones de supervisin se
Monitoreo
materializan en dos modalidades:
Actividades continuas
Evaluaciones puntuales
Normalmente los sistemas de control Normalmente los sistemas de control
interno aseguran su propia supervisin
L l i i t t La evaluacin es interna y externa para
EVALUAR EL DESEMPEO del Control
Interno
M it
Coso
Las operaciones de supervisin se
Monitoreo
materializan en dos modalidades:
Actividades continuas
Evaluaciones puntuales
Normalmente los sistemas de control Normalmente los sistemas de control
interno aseguran su propia supervisin
L l i i t t La evaluacin es interna y externa para
EVALUAR EL DESEMPEO del Control
Interno
E f d C t l I t
Coso
Enf oques de Cont r ol I nt er no
A
A
C
Enfoque por actividad
A
C
T
I
V
I
D
A
D

C
T
I
V
I
D
A
D

3
A
C
T
I
V
I
D
A
U
N
I
D
A
D

U
N
I
D
A
D
Enfoque por actividad
Enfoque por unidad
2
D

1
B
D

A
E f d C t l I t
Coso
A
A
C
Se deben tomar en cuenta los
componentes y objetivos
i d d ti id d
A
C
T
I
V
I
D
A
D

C
T
I
V
I
D
A
D

3
A
C
T
I
V
I
D
A
U
N
I
D
A
D

U
N
I
D
A
D
apropiados para cada actividad
que se lleva a cabo
2
D

1
B
D

A
componentes y objetivos
apropiados para cada unidad de
la empresa
Coso
MONITOREO MONITOREO
INFORMACION Y INFORMACION Y
COMUNICACION COMUNICACION COMUNICACION COMUNICACION
ACTIVIDADES DE ACTIVIDADES DE
CONTROL CONTROL
EVALUACION DE EVALUACION DE
ACTIVIDAD ACTIVIDAD
EVALUACION DE EVALUACION DE
RIESGOS RIESGOS
AMBIENTE DE AMBIENTE DE
CONTROL CONTROL CONTROL CONTROL
COMPONENTE COMPONENTE
M I t d d C t l I t
Coso
Mar c o I nt egr ado de Cont r ol I nt er no
SUPERV. SUPERV.
Y Y
SEGUIMIENTO SEGUIMIENTO
C
A
C
I
N
O
N
R
M
A
C
I
O
N
A
C
T
S
.
D
E
C
A
C
T
S
.
D
E
O
L
C
O
M
U
N
I
C
A
C
O
M
U
N
I
C
A
C
I
I
N
F
O
R
M
A
C
I
O
I
N
F
O
R
M
D
E
C
O
N
T
R
O
L
D
E
C
O
N
T
R
O
L
E
V
A
L
U
A
C
IO
N
E
S E
V
A
L
U
A
C
IO
N
E
S
A
M
B
I
E
N
T
E
D
E
C
O
N
T
E
D
E
C
O
N
T
R
O
L
C
C
IO
N
E
S
D
E

R
IE
S
G
O
S
E
V
A
L
U
D
E

R
IE
S
G
O
S

D
E

C
O
N
T
R
O
L
A
M
B
IE
N
T
E
D
E
C
Principios del Control Interno
Coso
Principios del Control Interno
Se considera que todos los componentes y
l i i i d l t l i t los principios del control interno son
aplicables y relevantes a toda organizacin
Por lo tanto se requiere que todos los
componentes y los principios estn p y p p
presentes y funcionando
Todos los componentes deben operar Todos los componentes deben operar
juntos de manera integrada
El no cumplimiento de esto se considera
una deficiencia mayor
Coso
Pr i nc i pi os del Cont r ol I nt er no Pr i nc i pi os del Cont r ol I nt er no
1. Demuestracompromisocon integridady valoresticos p g y
2. Ejerceresponsabilidadesde supervisin
3. Estableceestructuras, autoridadesy responsabilidades
4. Demuesracompromisocon la capacidad
5. Estableceobligatoriamentela rendicinde cuentas
Ambiente de Control
6. Especificaobjetivosadecuados
7. Identificay analizariesgos
8. Evalael riesgode fraude
9. Identificay analizacambiossignificativos
10. Seleccionay desarrollaactividadesde control
11. Seleccionay desarrollacontroles generalessobrela tecnologa
12. Despliegacompletamentepolticasy procedimientos
13. Usainformacinrelevante
14. Se comunicainternamente
15. Se comunicaexternamente
16 Llevaacaboevaluacionescontinuasy/oseparadas
Informacin y
Comunicacin
16. Llevaa caboevaluacionescontinuasy/o separadas
17. Evalay comunicadeficiencias
Monitoreo
Coso
Ambiente de Control
1. La organizacin demuestra compromiso
con la integridad y los valores ticos con la integridad y los valores ticos
Puntos de enfoque:
Establece y demuestra sus propios valores Establece y demuestra sus propios valores
Establece estndares de conducta
E l dh i t d d d t Evala adherencia a estndares de conducta
Encara las desviaciones en forma oportuna
Coso
Ambiente de Control
2. El directorio demuestra independencia de
la gerencia y ejerce supervisin del la gerencia y ejerce supervisin del
desarrollo y del desempeo del control
interno interno
Puntos de enfoque:
Establece responsabilidades de supervisin Establece responsabilidades de supervisin
Utiliza experiencia relevante
Opera independientemente Opera independientemente
Coso
Ambiente de Control
Provee supervisin al sistema de control
Ambiente de Control
p
interno
Ambiente de control
E l i d i Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Monitoreo
Coso
Ambiente de Control
3. La gerencia establece, bajo supervisin
del directorio, estructuras, lneas de
mando, y autoridades y
responsabilidades apropiadas para el p p p p
logro de objetivos
Puntos de enfoque: q
Considera todas las estructuras de la entidad
Establece lneas de mando
Coso
Ambiente de Control
Coso
Define, asigna y limita autoridades y
bilid d responsabilidades
Directorio
Alta gerencia
Gerencias
Personal
Proveedores externos de servicios
Coso
4 La organizacin demuestra compromiso
Ambiente de Control
4. La organizacin demuestra compromiso
para atraer, desarrollar y retener personas
competentes en alineamiento con los competentes en alineamiento con los
objetivos
Puntos de enfoque: Puntos de enfoque:
Establece polticas y prcticas
Evala competencias y encara deficiencias
Atrae, desarrolla y retiene personal
Planea y prepara la sucesin
A bi t d C t l
Coso
5. Las personas son responsables por sus
Ambiente de Control
responsabilidades de control interno para el
logro de los objetivos ante la organizacin
Hace cumplir la rendicin de cuentas a travs de Hace cumplir la rendicin de cuentas a travs de
estructuras autoridades y responsabilidades estructuras autoridades y responsabilidades estructuras, autoridades y responsabilidades estructuras, autoridades y responsabilidades
Establece indicadores de rendimiento, incentivos y Establece indicadores de rendimiento, incentivos y
reconocimientos reconocimientos
Evala la relevancia continua de indicadores de Evala la relevancia continua de indicadores de
rendimiento, incentivos y reconocimientos rendimiento, incentivos y reconocimientos
Considera presiones excesivas Considera presiones excesivas Considera presiones excesivas Considera presiones excesivas
Evala el rendimiento y reconoce o disciplina al Evala el rendimiento y reconoce o disciplina al
personal personal
Coso
6 La organizacin especifica objetivos con 6. La organizacin especifica objetivos con
la suficiente claridad como para permitir
la identificacin y la evaluacin de la identificacin y la evaluacin de
riesgos relacionados a los objetivos
Considerar los siguientes puntos: Considerar los siguientes puntos:
Alineamiento entre objetivos establecidos y
prioridades estratgicas
Articulacin de tolerancia al riesgo por objetivo
Alineamiento entre objetivos establecidos y
leyes, normas, regulaciones y estndares leyes, normas, regulaciones y estndares
establecidos aplicables a la entidad
Coso
Articulacin de objetivos usando trminos que
sean especficos, medibles u observables, p , ,
obtenibles, relevantes y con fechas lmites
Organizar objetivos en cascada en toda la
tid d b id d entidad y sus subunidades
Alineamiento de objetivos con otras
circunstancias que requieren un enfoque c cu sta c as que eque e u e oque
especfico por parte de la entidad
Aprobacin de objetivos dentro del proceso de
establecimiento de objetivos
Coso
P t d f Puntos de enfoque:
Objetivos operacionales:
Refleja las elecciones de la gerencia Refleja las elecciones de la gerencia
Considera las tolerancias a los riesgos
Incluye metas de operaciones y de rendimiento
financiero financiero
Usa una base para comprometer recursos
Objetivos de reporte:
Reporte financiero externo
Cumple con las normas contables aplicables
Considera materialidad
Refleja las actividades de la entidad
Coso
R fi i Reporte no financiero externo
Cumple con las normas y marcos establecidos
externamente
Considera los niveles requeridos de presicin
Refleja las actividades de la entidad
Reporte interno Reporte interno
Refleja las elecciones de la gerencia
Considera los niveles requeridos de presicin
R fl j l ti id d d l tid d Refleja las actividades de la entidad
Objetivos de cumplimiento:
Refleja las leyes y regulaciones externas j y y g
Considera las tolerancias a riesgos
Coso
7 La organizacin identifica riesgos del 7. La organizacin identifica riesgos del
logro de sus objetivos en toda la entidad
y analiza los riesgos como base para y analiza los riesgos como base para
determinar la manera en que los riesgos
debieran ser gestionados debieran ser gestionados
Puntos de enfoque:
Incluye los niveles de entidad, subsidiaria, Incluye los niveles de entidad, subsidiaria,
divisin, unidad operativa y funcional
Analiza factores internos y externos
Involucra a los niveles gerenciales apropiados
Determina cmo responder a los riesgos
Coso
8. La organizacin considera el potential de
fraude al evaluar riesgos para el logro de
objetivos
Considera varios tipos de fraude
Evala incentivos y presiones Evala incentivos y presiones
Evala oportunidades
Evala actitudes y racionalizaciones Evala actitudes y racionalizaciones
Coso
9. La organizacin identifica y evala
cambios que pudieran impactar
significativamente el sistema de control
interno
Puntos de enfoque:
Evala cambios en el ambiente externo Evala cambios en el ambiente externo
Evala cambios en el modelo de negocio
Evala cambios en el liderazgo Evala cambios en el liderazgo
Coso
10. La organizacin selecciona y desarrolla
actividades de control que contribuyen a
la mitigacin de riesgos para alcanzar los
objetivos a niveles aceptables
Puntos de enfoque:
Integra con evaluacin de riesgos
Considera factores especficos de la entidad p
Determina procesos de negocio relevantes
Evala una mezcla de tipos de actividades de Evala una mezcla de tipos de actividades de
control
Coso
11 La organizacin selecciona y desarrolla
11. La organizacin selecciona y desarrolla
actividades de control general sobre la
tecnologa para que soporte el logro de tecnologa para que soporte el logro de
los objetivos
Determina dependencias entre el uso de
tecnologa en los procesos del negocio y los g p g y
controles generales de tecnologa
Establece actividades relevantes de control de la
infraestructura tecnolgica
Coso
Establece actividades relevantes de control Establece actividades relevantes de control
del proceso de gestin de seguridad
Establece actividades relevantes de control
de los procesos de adquisicin, desarrollo y
mantenimiento de la tecnologa
Coso
12. La organizacin despliega actividades de
control a travs de polticas que
establecen lo que se espera y
procedimientos que implementan las
polticas
Puntos de enfoque:
Establece polticas y procedimientos para dar
soporte al despliegue de directivas gerenciales
Establece responsabilidades y rendicin de
t l j i d lti cuentas para la ejecucin de polticas y
procedimientos
Coso
Realiza las actividades de control de manera
oportuna
Toma acciones correctivas
Las actividades de control son realizadas por
l t t personal competente
Reevala polticas y procedimientos
Informacin y
Coso
13. La organizacin obtiene o genera y usa
Informacin y
Comunicacin
informacin de calidad y relevante para
soportar el funcionamiento del control
interno
Puntos de enfoque:
Identifica requerimientos de informacin
Captura fuentes de datos internos y externos
Procesa datos rele antes para obtener Procesa datos relevantes para obtener
informacin
Mantiene calidad en todo el procesamiento p
Considera costos y beneficios
Informacin y
Coso
14. La organizacin comunica informacin,
Informacin y
Comunicacin
incluyendo los objetivos y
responsabilidades por el control interno,
necesarios para soportar el
funcionamiento del control interno
Puntos de enfoque:
Comunica informacin de control interno
La gerencia se comunica con el directorio
Provee lneas alternativas de comunicacin
Selecciona mtodos relevantes de comunicacin
Informacin y
Coso
15. La organizacin se comunica con
terceras partes referente a asuntos que
Comunicacin
terceras partes referente a asuntos que
afectan el funcionamiento del control
interno interno
Puntos de enfoque:
Se comunica con partes externas Se comunica con partes externas
Habilita comunicaciones de entrada
Se comunica con el directorio Se comunica con el directorio
Provee lneas alternativas separadas de
comunicacin
Selecciona mtodos relevantes de comunicacin
Coso
L i i l i d ll
Monitoreo
16. La organizacin selecciona, desarrolla y
realiza evaluaciones contnuas y/o
t l ifi i l puntuales para verificar si los
componentes del control interno estn
t f i d presentes y funcionando
Puntos de enfoque:
Considera una mezcla de evaluaciones
continuas y puntuales
C id t l id d d bi Considera tasa o velocidad de cambio
Coso
Monitoreo
Establece comprensin de lneas base Establece comprensin de lneas base
Cuenta con personal calificado
S i t d l i Se integra con procesos del negocio
Realiza ajustes de alcance y frecuencia
Evala objetivamente
M it
Coso
17. La organizacin evala y comunica
d fi i i d t l i t d
Monitoreo
deficiencias de control interno de manera
oportuna a las personas responsables de
t i ti i l d tomar acciones correctivas, incluyendo a
la alta gerencia y al directorio, segn lo
i d apropiado
Puntos de enfoque:
Evala resultados
Comunica deficiencias
Monitorea acciones correctivas
I nt egr ac i n de Cont r ol es I nt er nos en
Coso
I nt egr ac i n de Cont r ol es I nt er nos en
Pr oc esos
Finanzas y
Administracin
Controles
Internos
Programas
Mayores
Tecnologa de
Informacin
Coso
Func i ones y Func i ones y Responsabi l i dades Responsabi l i dades
La Alta Gerencia es la responsable
ltima del sistema de control
La integridad y la tica deben ser
elementos que aporten ejemplo a los elementos que aporten ejemplo a los
dems empleados
Debe dirigir a los gerentes que a su vez Debe dirigir a los gerentes que a su vez
son los responsables en sus
respectivas reas p
Coso
El Consejo de Administracin fija las
pautas y la visin global del negocio pautas y la visin global del negocio
El Consejo debe tener un papel activo
en el conocimiento de las acciones que en el conocimiento de las acciones que
se ejecutan
Debe asegurarse de contar con vas de
comunicacin efectivas con el
directorio, la alta gerencia y las reas
financieras, legales y de auditora
interna
Coso
L A dit I t A dit I t d b d La Auditora Interna Auditora Interna debe desempear un
papel de supervisin sobre la eficiencia y
i d l i t d t l permanencia de los sistemas de control
Para ello debe contar con una ubicacin
jerrquica adecuada
Coso
Los empleados empleados en general tienen la
responsabilidad de participar en el responsabilidad de participar en el
esfuerzo de aplicar el control interno,
cuyos detalles deben ser incorporados a cuyos detalles deben ser incorporados a
la descripcin de los puestos de trabajo
Ellos deben comunicar al nivel superior las
desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o
la legalidad de las acciones realizadas
Coso
Responsabi l i dad Fr ent e Responsabi l i dad Fr ent e
al Cont r ol I nt er no al Cont r ol I nt er no
Alta gerencia
de la Entidad
Empleados
Quin es
el Responsable
Empleados
Servidores
Pblicos
el Responsable
del Control
Interno?
Oficina de
Control
Interno
Gerentes
Operativos Directorio
Estado
Coso
Li mi t ac i ones del Cont r ol I nt er no Li mi t ac i ones del Cont r ol I nt er no Li mi t ac i ones del Cont r ol I nt er no Li mi t ac i ones del Cont r ol I nt er no
La confianza en el sistema de control
interno no debe dejar de considerar interno no debe dejar de considerar
que:
Pueden existir fallas resultantes de errores Pueden existir fallas resultantes de errores
de juicio
La colusin de dos o ms personas o la La colusin de dos o ms personas o la
accin de la direccin pueden burlar el
sistema
El sistema a disear debe explicitar las
limitaciones de recursos (relacin costo -
beneficio)
Coso
Li mi t ac i ones del Cont r ol I nt er no Li mi t ac i ones del Cont r ol I nt er no
Razonable seguridad Razonable seguridad
Debilidad humana Debilidad humana
Violacin de la direccin Violacin de la direccin Violacin de la direccin Violacin de la direccin
Colusin Colusin
Costo vs. beneficio Costo vs. beneficio
Situaciones imprevistas Situaciones imprevistas Situaciones imprevistas Situaciones imprevistas
Coso
Programa para poder establecer una
estructura adecuada de control interno
1. El Directorio, La Gerencia y todos los
funcionarios deben comprometerse e funcionarios deben comprometerse e
involucrarse con el programa
2 P i d b l i i 2. Para organizarse se debe seleccionar equipos
de trabajo debidamente capacitados y
entrenados recurriendo en algunos casos a entrenados, recurriendo en algunos casos a
consultores externos especializados en el tema
Coso
Programa para poder establecer una
estructura adecuada de control interno estructura adecuada de control interno
3. El marco de referencia puede ser COSO
4. Se debe contar con un Comit de Control con
la debida autoridad para poder supervisar el
programa
5. Para establecer el Programa de Control Interno g
debemos implementar todos los
componentes del Control Interno y cumplir
t d l i i i todos los principios
INVESTIGACIN
Coso
Bank of Credit and Commerce
International BCCI
INVESTIGACIN
Enron Corporation
Worldcom
Parmalat
GlobalCrossing
Ad l hi Adelphia
Banco Barings
Instituto para las Obras de Religin IOR Instituto para las Obras de Religin IOR
Lehman Brothers
Innovate Project de McDonald j
Maxwell Communications
Coso
EJERCICIO
COSO I
CoCo
CoCo
Fue publicado en 1995 por CICA Fue publicado en 1995 por CICA
Fue elaborado en Canad por el
Consejo de Criterios de Control Consejo de Criterios de Control
Su objetivo fue presentar el modelo
COSO de manera ms sencilla y COSO de manera ms sencilla y
comprensible debido a las dificultades
iniciales de aplicacin que surgieron iniciales de aplicacin que surgieron
CoCo
Definicin de Control Interno
El concepto de control interno incluye
elementos de una organizacin como
recursos, sistemas, procesos, cultura,
estructura y metas que tomadas en
conjunto apoyan al personal en el logro
de los objetivos de la organizacin
CoCo
Objetivos del Control Interno
Los objetivos son:
Ef ti id d fi i i d l i Efectividad y eficiencia de las operaciones
Confiabilidad de los reportes internos o
externos
Cumplimiento con las leyes y reglamentos
aplicables, as como con las polticas internas
CoCo
Los objetivos organizacionales o de
f ti id d fi i i d l efectividad y eficiencia de las
operaciones son:
Salvaguarda y uso eficiente de los recursos
Obtencin de beneficios
Cumplimiento de obligaciones sociales
Seguridad de que los riesgos son Seguridad de que los riesgos son
debidamente identificados y administrados
CoCo
L bj ti d fi bilid d d l Los objetivos de confiabilidad de los
reportes internos y externos son:
Mantenimiento de registros contables
adecuados
Confiabilidad de la informacin utilizada
Informacin publicada para terceros p p
interesados
CoCo
El objetivo de cumplimiento con la El objetivo de cumplimiento con la
normatividad y polticas internas
aplicables significa: aplicables significa:
Aseguramiento de que las actividades de
la organizacin se conducen en total
concordancia con el marco legal y con las
polticas internas polticas internas
CoCo
Naturaleza del control:
El control debe ser realizado por el El control debe ser realizado por el
personal de toda la organizacin, quien
ser responsable del diseo, p ,
establecimiento, supervisin y
mantenimiento del control
El personal responsable de lograr
determinados objetivos tambin deber j
evaluar la efectividad del control dentro de
su esfera de competencia y de reportar tal
l i i l bl evaluacin ante quien l es responsable
CoCo
El costo del control deber ser El costo del control deber ser
proporcional a los beneficios esperados
El t l i d ilib i t El control requiere de un equilibrio entre
autonoma e integracin y entre
consistencia y adaptacin al cambio co s s e c a y adap ac a ca bo
CoCo
Criterios de control
Los criterios de control son la base para p
entender el control de una organizacin
Estn planteados como metas a cumplir Estn planteados como metas a cumplir
permanentemente
Se requiere un adecuado anlisis y Se requiere un adecuado anlisis y
comparacin para:
Interpretar los criterios en el contexto de una Interpretar los criterios en el contexto de una
organizacin en particular
Una evaluacin efectiva de los controles Una evaluacin efectiva de los controles
implantados
CoCo
Ciclo lgico de acciones para
Ciclo de Entendimiento Bsico de Control
Ciclo lgico de acciones para
asegurar el cumplimiento de los
objetivos j
Consta de cuatro etapas que
contienen los 20 criterios generales: contienen los 20 criterios generales:
Propsito
Compromiso Compromiso
Capacidad
M it A di j Monitoreo y Aprendizaje
Ciclo de Entendimiento Bsico del Control:
CoCo
Propsito
Sentido de direccin
P t ? Paraqu estamos aqu?
Compromiso
Monitoreo y
A di j
Compromiso
Sentido de identidad y
valores
Queremos hacer un buen
trabajo?
Aprendizaje
Sentido de evolucin
Qu progreso?
Qu sigue? j g
Accin
Capacidad
Sentido de competencia
Qu accin debemos
tomar?
Accin
CoCo
PROPSITO o Sentido de Direccin a
la Organizacin la Organizacin
1. Los objetivos deben ser establecidos y
comunicados comunicados
2. Los riesgos internos y externos significativos
deben ser identificados y evaluados deben ser identificados y evaluados
3. Las polticas, para apoyar el logro de los
objetivos de una organizacin y el manejo de objetivos de una organizacin y el manejo de
sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que el y p q
personal entienda lo que de l se espera
CoCo
4 Deben establecerse y comunicarse 4. Deben establecerse y comunicarse
planes para guiar los esfuerzos para
lograr los objetivos de la organizacin g j g
5. Los objetivos y los planes relativos
deben incluir metas, parmetros e , p
indicadores de medicin del desempeo
CoCo
COMPROMISO o Sentido de
id tid d l d l i i identidad y valores de la organizacin
6 Deben establecerse comunicarse y 6. Deben establecerse, comunicarse y
ponerse en prctica valores ticos
compartidos, incluyendo la integridad p , y g
7. Las polticas y prcticas sobre recursos
humanos deben ser consistentes con los
valores ticos de la organizacin y con el
logro de sus objetivos
CoCo
8. La autoridad, la responsabilidad y la
bli i d di t d b obligacin de rendir cuentas deben ser
claramente definidas y consistentes con
los objetivos de la organizacin, de tal los objetivos de la organizacin, de tal
forma que se tomen las decisiones y
acciones por el personal apropiado
9. Debe fomentarse una atmsfera de
mutua confianza para apoyar el flujo de
l i f i t l l la informacin entre el personal para su
efectivo desempeo hacia el logro de los
objetivos objetivos
CoCo
CAPACIDAD o Sentido de
Competencia de la Organizacin p g
10. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los y p
objetivos de la organizacin
11. El proceso de comunicacin debe apoyar los p p y
valores de la organizacin y el logro de sus
objetivos
12. Debe ser identificada y comunicada
informacin suficiente y relevante de manera
oportuna, para posibilitar al personal a
desempear las responsabiIidades asignadas
CoCo
ACCIN o Decisin: ACCIN o Decisin:
13. Deben coordinarse las decisiones y acciones
de las diferentes partes de la organizacin de las diferentes partes de la organizacin
14. Las actividades de control deben disearse
como parte integral de la organi acin como parte integral de la organizacin,
tomando en consideracin sus objetivos, los
riesgos para su cumplimiento y la interrelacin riesgos para su cumplimiento y la interrelacin
de los elementos de control
MONITOREO Y APRENDIZAJE o Sentido
CoCo
MONITOREO Y APRENDIZAJE o Sentido
de Evolucin de la Organizacin:
15 El ambiente externo e interno debe ser 15. El ambiente externo e interno debe ser
monitoreado para obtener informacin que
pueda sealar la necesidad de revaluar los pueda sealar la necesidad de revaluar los
objetivos de la organizacin o el control
16 El desempeo debe ser evaluado o medido 16. El desempeo debe ser evaluado o medido
contra las metas e indicadores en los planes
u objetivos de la organizacin
17. Las premisas consideradas para los
objetivos de la organizacin deben revisarse j g
peridicamente
CoCo
18. Las necesidades de informacin y los
i t d i f i l ti d b sistemas de informacin relativos deben
reevaluarse en la medida que cambian los
objetivos o al identificarse deficiencias en la objetivos o al identificarse deficiencias en la
informacin reportada
19 Debe establecerse y ejecutarse un 19. Debe establecerse y ejecutarse un
seguimiento de los procedimientos, para
asegurar que se den los cambios requeridos g q q
20. Se debe evaluar peridicamente el sistema
de control e informar los resultados de control e informar los resultados
Cadbur y
D ll d l C it C db
Cadbur y
Desarrollado por el Comit Cadbury
del Reino Unido
F itid M d 1992 Fue emitida en Mayo de 1992
Fue revisado en 1996, al mismo
tiempo que OECD emita sus tiempo que OECD emita sus
principios de gobierno corporativo
Adopta una interpretacin amplia del Adopta una interpretacin amplia del
control
Contiene mayores especificaciones en Contiene mayores especificaciones en
la definicin de su enfoque sobre el
sistema de control en su conjunto
fi i d l i ti financiero que de cualquier tipo
Cadbur y
Los elementos clave de este modelo son
en esencia similares al modelo COSO
y
en esencia similares al modelo COSO,
salvo la consideracin de los sistemas de
informacin integrados en los otros informacin integrados en los otros
componentes y un mayor nfasis
respecto a riesgos respecto a riesgos
Limitacin en la responsabilidad de los
t d t l l fi bilid d d reportes de control a la confiabilidad de
los financieros
Cadbur y
Objetivos orientados a proporcionar una
y
razonable seguridad de:
Efectividad y eficiencia de las operaciones Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin y reportes
financieros financieros
Cumplimiento con leyes y reglamentos
Cadbur y
Sus componentes son:
y
Ambiente de Control
Identificacin de Riesgos Prioridades y Identificacin de Riesgos, Prioridades y
Objetivos de Control
Actividades de Control Actividades de Control
Monitoreo y Accin Correctiva
Cadbur y
Ambiente de Control
y
Ambiente de Control
La direccin debe enviar un mensaje
claro a todo el personal de que: claro a todo el personal de que:
Las responsabilidades de control se las toma
muy en serio y
Cada persona tiene un rol particular en el
sistema de control
Cada rol est relacionado con el rol de otro
Cadbur y
Identificacin y Evaluacin de Riesgos,
y
Prioridades y Objetivos de Control
Proceso por el que el gerente general Proceso por el que el gerente general
identifica los riesgos que se presentan por
el negocio de la organizacin
Ya que los recursos son siempre limitados,
el gerente establece la prioridad de los
controles y de objetivos particulares de
control
Cadbur y
Informacin y Comunicacin
y
Informacin relevante es capturada y
comunicada por toda la organizacin p g
Cadbur y
y
Son las polticas y procedimientos
detallados diseados para: detallados diseados para:
Lograr los objetivos de control de la compaa
Proveer al gerente una seguridad razonable de
que sus prioridades de control interno han sido
implementadas implementadas
Los controles operan en toda la organizacin,
potencialmente en todos los niveles p
Cadbur y
Monitoreo y Accin Correctiva
y
Deben producir suficiente evidencia de que
el sistema de control financiero por el que
bl f ti l ti son responsables es efectivo en la prctica
El monitoreo:
Debe realizarse en un nivel superior al de los
chequeos diarios de rutina
Involucra un mayor grado de independencia de
los que operan los procedimientos
Cadbur y
El informe considera los siguientes
y
valores ticos:
Confianza Confianza
Franqueza
I t id d Integridad
Responsabilidad
Cadbur y
El informe Cadbury se enfoca
principalmente en el gobierno corporativo
y da una serie de recomendaciones en
forma de principios agrupados en las
siguientes categoras:
Los derechos de los accionistas
El tratamiento equitativo
La funcin de los grupos de inters La funcin de los grupos de inters
Comunicacin y transparencia
Las responsabilidades del consejo
Tur nbul l Tur nbul l
Tur nbul l
Fue emitido en 1999 por el Instituto de
C t d Pbli d I l t Contadores Pblicos de Inglaterra y
Wales ICAEW
Fue revisado en 2005
La gua Turnbull a los directivos forma La gua Turnbull a los directivos forma
parte del Cdigo Combinado en Gran
Bretaa Bretaa
Enfatiza el cumplimiento de
responsabilidad de parte del directorio responsabilidad de parte del directorio
Tur nbul l
El control interno es visto como un El control interno es visto como un
aspecto ms activamente preventivo
Adopta un enfoque basado en riesgos Adopta un enfoque basado en riesgos
para establecer un sistema de control
interno y revisar su efectividad interno y revisar su efectividad
Cubre todos los controles internos, no
solo el financiero
Tur nbul l
Cont r i buc i ones de Audi t or a I nt er na
u bu
Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control y del sistema de control
Apoyo para mejorar
el proceso de
Identificacin y
Administracin de
riesgos
Promocin de la
Concientizacin de
riesgos y controles
y los programas de
riesgos
autoevaluacin
Desplazamiento
oportunoaotras
Mayor
probabilidad
delograr
Mayor
cobertura a largo
oportuno a otras
reas de negocios
de lograr
objetivos
g
plazo
Disminucin de
sorpresas
desagradables
Mayor
probabilidad de
lograr cambios
BENEFICIOS
POTENCIALES
Ventajas
competitivas
Reduccin de
tiempo para
emergencias
Enfoqueinterno
competitivas
emergencias
Mejores bases
para establecer
estrategias
Menores costos
de capital
Enfoque interno
en hacer bien
las cosas
Id tifi i d bi
Implantacin de
accionesde
Identificacin de
factores crticos
I mpl ement ac i n de Tur nbul l
Identificacin de cambios
Internos y externos
y reconsideracin y
negociacin de objetivos
Revisinanual deriesgos
acciones de
mejora
de xito
Identificacin y
i i i d
ENFOQUEALLOGRO
Revisin anual de riesgos
y controles
priorizacin de
riesgos
Determinacinde
ENFOQUE AL LOGRO
DE OBJETIVOS A
TRAVS DE UNA
MEJOR GESTIN
Informes sucintos
Determinacin de
riesgos significativos
i i d
MEJOR GESTIN
DE RIESGOS
Fuentes de
aseguramiento
Monitoreodeaspectos
Negociacin de
estrategias de control y
administracin de riesgos
Cambios en comportamiento
y enfoque en las bases
Monitoreo de aspectos
significativos de
control interno
Negociacin sobre
rendicin de cuentas
168
de una buena gestin
de riesgos y control
Mecanismos de
advertencia oportunos
Concientizacin
de los riesgos
crticos
Si l i f i i R d i d C t
Tur nbul l
E f i
Asegurar que los objetivos
Si mpl i f i c ac i n y Reduc c i n de Cost os
Enfocarse en riesgos
crticos y sus controles
Evitar duplicidades
Asegurar que los objetivos
se jerarquicen
MANTENERSE SIMPLE
Reorientar el
Asignar
responsabilidades N N S S
Y PROSPECTIVO
entrenamiento
hacia los riesgos crticos
responsabilidades
en la gestin de
riesgos
Elaborar un plan
E it di t
Mantener los informes Elaborar un plan
apropiado y
monitorear su avance
Evitar expedientes
voluminosos
Mantener los informes
al Consejo sucintos y
sencillos
Tur nbul l
Implantacindemecanismosapropiados
Enfoque a la mejora de negocios
Pasos Suger i dos
Involucramiento de los distintos niveles
Implantacin de mecanismos apropiados
para la informacin de avance
Implementacin del plan de desarrollo y de la
Polticadegestinderiesgos
de la organizacin
Reconsideracin y afinacin del plan por el Consejo
Poltica de gestin de riesgos
Aceptacin del plan por parte de los directores
Consideracin del plan por el Consejo de Administracin
170
Asignacin de responsabilidades para elaborar el plan individual
o de equipos
Resul t ados de l a Enc uest a de Ri esgos
Tur nbul l
Si gni f i c at i vos (En I ngl at er r a)
TIPOS DE RIESGO
PROMEDIO
Fracasoenla
PROMEDIO
Fracaso en la
administracin de
proyectos mayores
7.05
6.67
Fracaso de estrategias
6.32
Fracaso en innovacin
Mala reputacin
Motivacin y bajo
d d l l
6.30
600
/administracin - marca
desempeo del personal
6.00
Fuente: Deloitte Deloitte & & Touche Touche, 1990 , 1990
1= riesgo mnimo, 9 = crtico
Resul t ados de l a Enc uest a de Ri esgos
Tur nbul l
Si gni f i c at i vos Gl obal es en 2011 Y 2012
Los 10 Riesgos ms Significativos
1. Regulacin y Cumplimiento
2 Reduccin de Costos 2. Reduccin de Costos
3. Gestin de Talentos
4. Presin en Determinacin de Precios
5 T l E t 5. Tecnologas Emergentes
6. Mercado
7. Expansin del rol gubernamental
8. Recesin
9. Aceptacin Social
10 Acceso a Crdito
Fuente: Ernst Ernst & & Young, 2012 Young, 2012
10.Acceso a Crdito
Sencillez
Tur nbul l
Enfasis en el cambio
de comportamiento
Sencillez
Conciencia
del riesgo
I f i
ADECUADA
GESTIN DE Informacin
confiable
Asesora a
todos los niveles de
la compaa
GESTIN DE
RIESGOS Y
CONTROL
Controles bsicos
Mecanismos de
Aplicacin
continua
advertencia oportunos
y respuesta rpida
Concientizacin
de los objetivos
organizacionales
continua
de
Estrategias de
control
Tur nbul l
PELI GROS POTENCI ALES
Enfoque
Insuficiente
en
Gestin de
Riesgos
Inapropiada
Orientacin
de riesgos
Falta de
Mecanismos
de
Advertencia
Peligros
Incapacidad
para obtener
aceptacin
de alta
gerencia
Demasiados
Riesgos
identificados
Potenciales
Sobrecarga
del comit
de
Abandonarlo
Demasiado
de
Auditora
Ignorar
Controles
Financieros
bsicos
Incremento
de
Burocracia
tarde
Tur nbul l
Sugiere que la medicin del sistema de
control interno sea con indicadores de: control interno sea con indicadores de:
Efectividad
Eficiencia
Calidad
Los resultados deben publicarse
A dit I t d b t l l Auditora Interna debe controlar la
evolucin del sistema acorde con el plan
t t i d l tid d estratgico de la entidad
COSO I I
o
COSO ERM COSO ERM
Ant ec edent es
COSO I I
El proyecto inici en Diciembre 2001 y
termin en Septiembre 2004
Ant ec edent es
p
Se identific la necesidad de un marco
reconocido para la gestin de riesgos reconocido para la gestin de riesgos
Todas las organizaciones pueden
beneficiarse de mejores procedimientos de beneficiarse de mejores procedimientos de
gestin de riesgos
As como el control la gestin de riesgos As como el control, la gestin de riesgos
est presente en todos los procesos de una
organizacin organizacin
Def i ni c i n de Gest i n de Ri esgos
COSO I I
Def i ni c i n de Gest i n de Ri esgos
La gestin de riesgos es un proceso La gestin de riesgos es un proceso
Es llevado a cabo por personas
Se aplica al establecer estrategias Se aplica al establecer estrategias
Se lleva a cabo en todo nivel de la
i i organizacin
Aporta un grado de seguridad razonable a
la direccin y al consejo de administracin
Diseado para facilitar la consecusin de
los objetivos y metas institucionales
COSO I I
El ement os de l a mat r i El ement os de l a mat r i z
o c ubo COSO
Objetivos
Componentes
Niveles de la
Entidad
Obj t i d l G t i d Ri
COSO I I
Obj et i vos de l a Gest i n de Ri esgos
Objetivos Estratgicos Objetivos Estratgicos
Objetivos Operacionales
Objetivos de Informes Objetivos de Informes
Objetivos de Cumplimiento
Coso
Obj et i vos de Gest i n de Ri esgos
E t t i Estratgicos
Objetivos de alto nivel
Alineados con la misin y Alineados con la misin y
visin de la organizacin
Diseados para dar apoyo
Operacional
Informes
p p y
a la misin y visin
Reflejan las elecciones
Cumplimiento
estratgicas de la gerencia
Coso
EFICACIA: Capacidad de
E t t i
alcanzar las metas y/o
resultados propuestos
Estratgicos
producir el mximo de
resultados con el mnimo de
Operacional
recursos, energa y tiempo
Se refiere bsicamente a los
Informes
Rendimiento y rentabilidad
Salvaguarda de los recursos
Cumplimiento
Salvaguarda de los recursos
Coso
E t t i
empresas y se dirigen a la
consecucin del objetivo
i l
Estratgicos
social
Son peculiares para cada
Operacional
coherentes y realistas
Informes
de control interno sino de
gestin, son una base previa
para aqul
Cumplimiento
para aqul
Coso
E t t i
Estratgicos
Estados Financieros confiables,
y toda otra informacin
fi i fi i
Operacional
financiera y no financiera que
deba ser publicada o reportada
Informes
Cumplimiento
Coso
E t t i
Requisitos de fiabilidad de los
estados financieros: - principios
Estratgicos
apropiados a las circunstancias
Informacin financiera suficiente
Operacional
y apropiada, resumida y
clasificada pertinentemente
Informes
Estados financieros que reflejen
adecuada y razonablemente la
situacin financiera
Cumplimiento
Coso
E t t i
Requisitos de fiabilidad ,
oportunidad y transparencia de
Estratgicos
p y p
informacin no financiera
Reportes que incluyan requisitos
Operacional
adicionales de reguladores,
emisores de estndares o
polticas de la entidad
Informes
po tcas de a e tdad
Cumplimiento
Coso
E t t i
leyes, normas y estndares a
las cuales est sujeta la
organizacinY de esta forma
Estratgicos
organizacin Y de esta forma
logra evitar:
Operacional
reputacin de la organizacin
Contingencias
Informes
g
Otros eventos de prdidas y
dems consecuencias
ti
Cumplimiento
negativas
COSO I I
Component es de l a Gest i n de Ri esgos
Ambiente Interno Ambiente Interno
Establecimiento de objetivos
Identificacin de eventos Identificacin de eventos
Evaluacin de riesgos
Respuesta al riesgo p g
Actividades de control
Informacin y comunicacin
Monitoreo
COSO I I
Es la base fundamental para los otros
Ambiente Interno
componentes
Los factores que contempla son: q p
Filosofa de la administracin de riesgos
Apetito al riesgo Apetito al riesgo
Valores ticos
Visin del directorio Visin del directorio
Compromiso de competencia profesional
Estructura organizativa Estructura organizativa
Polticas y prcticas de recursos humanos
COSO I I
Establecimiento de Objetivos
Seleccin de objetivos, la estrategia y la
misin de la organizacin
Se alinean con el apetito al riesgo
Reflejan las estrategias gerenciales Reflejan las estrategias gerenciales
seleccionadas
Definen la asignacin de recursos en las Definen la asignacin de recursos en las
unidades de negocio
Controlan el retorno de inversin deseado Controlan el retorno de inversin deseado
COSO I I
Identificain de Eventos
Identificacin de eventos potenciales que
pueden afectar la implementacin de la
estrategia
El impacto puede ser positivo, negativo o p p p , g
ambos
Eventos con impacto negativo representan Eventos con impacto negativo representan
riesgos
Eventos con impacto positivo representan Eventos con impacto positivo representan
oportunidades
Pueden provenir de factores internos o Pueden provenir de factores internos o
externos
COSO I I
Permiten considerar el grado en que los
efectos potenciales pueden impactar en el
efectos potenciales pueden impactar en el
logro de los objetivos
Se realiza desde dos perspectivas: Se realiza desde dos perspectivas:
Probabilidad de ocurrencia
I t Impacto
Emplea una combinacin de metodologas
i i li i cuantitativas y cualitativas
Se deben evaluar tanto riesgos inherentes
como residuales
COSO I I
Respuesta al Riesgo
Identificacin y evaluacin de las posibles
respuestas al riesgo:
Respuesta al Riesgo
respuestas al riesgo:
Evitarlo
Compartirlo Compartirlo
Reducirlo
Aceptarlo Aceptarlo
Las opciones se evalan considerando:
A tit l i Apetito al riesgo
Costo / beneficio de respuestas potenciales
G d d d i d i t b bilid d Grado de reduccin de impacto o probabilidad
COSO I I
Polticas y procedimientos necesarios para
asegurar que las respuestas al riesgo se g q p g
llevan a cabo de manera adecuada y
oportuna
Se llevan a cabo en toda la organizacin,
en todos los niveles y en todas las y
funciones
COSO I I
Los tipos de actividades de control son:
Preventivos
Detectivos
Correctivos
Manuales
Automatizados
Gerenciales o directivos
COSO I I
La informacin es necesaria en todos los
niveles de la organizacin para identificar,
g p ,
evaluar y dar respuesta al riesgo
Se debe identificar, capturar y comunicar Se debe identificar, capturar y comunicar
la informacin necesaria para que todos
puedan cumplir con sus responsabilidades puedan cumplir con sus responsabilidades
La informacin puede provenir de fuentes
internas y externas internas y externas
La comunicacin debe fluir en todo sentido
D b i ti i i d d Debe existir comunicacin adecuada con
partes externas
COSO I I
Monitoreo
Monitorea la efectividad de los otros
componentes mediante:
Actividades de monitoreo contnuo
Evaluaciones puntuales, cuyo alcance y
frecuencia dependen de la evaluacin de
riesgos y de la efectividad de las actividades
de monitoreo contnuo de monitoreo contnuo
Una combinacin de ambas formas
Ni l d l O i i
COSO I I
Ni vel es de l a Or gani zac i n
Subsidiaria
Unidad de Negocio
Di i i Divisin
Entidad
COSO I I
Considera actividades en todos los niveles
Ni vel es de l a Or gani zac i n
Considera actividades en todos los niveles
de la organizacin
Subsidiaria Subsidiaria
Unidad de Negocio
Divisin
Entidad
Considera los efectos sinrgicos de los niveles
de la organizacin g
COSO I I
Alt G i Alta Gerencia
Responsable ltima
C j d Ad i i t i Consejo de Administracin
Desarrolla una importante supervisin
Otros Gerentes Otros Gerentes
Apoyan la filosofa de gestin de riesgos
Gestionan los riesgos en sus reas Gestionan los riesgos en sus reas
Toman en cuenta la tolerancia al riesgo
F i F i R bi l i d d R bi l i d d
COSO I I
Comisin de Auditora y Control y
Papel activo en la supervisin
Gerente de Riesgos, Finanzas y g y
Auditor Interno
Apoyo y supervisin
Personal Restante
Ejecucin de directrices establecidas
Clientes, Proveedores, Auditores
Externos, Reguladores y Analistas
Informacin til para el desarrollo de ERM Informacin til para el desarrollo de ERM
B f i i d l ERM B f i i d l ERM
COSO I I
Benef i c i os del ERM Benef i c i os del ERM
Visin global del riesgo g g
Priorizacin de objetivos, riesgos y
controles
Toma de decisiones ms segura
Alineamiento de objetivos, riesgos y j , g y
controles
Soporte a planificacin estratgica y al p p g y
control interno
Gestin de Riesgos como parte de la
cultura organizacional
COSO I I
El profesional de control puede aportar
Concl usi ones
p p p
valor a las organizaciones incorporando
mejoras en el proceso de Gestin de j p
Riesgos Corporativos
El profesional de control deber actuar El profesional de control deber actuar
como agente de cambio colaborando a la
direccin de la empresa para direccin de la empresa, para
implementar la estructura adecuada para
una administracin de riesgos eficiente una administracin de riesgos eficiente
Si t uac i n Ac t ual
COSO I I
Si t uac i n Ac t ual
Al 2012, 73 % de las instituciones
financieras tiene un modelo de financieras tiene un modelo de
gobierno de riesgos completamente
desarrollada 18 %la est desarrollada, 18 % la est
desarrollando y 2 % la est
considerando considerando
89 % tiene la funcin de un director
d i CRO i l t de riesgos CRO o equivalente
62 % tiene un programa de gestin
de riesgos establecido y 21 % lo
estn implementando
C di i d A dit G ti d
COSO I I
Coordinacin de Auditora con Gestin de
Riesgos (Estudio de PWC Marzo 2013)
Nor t e Amr i c a
2012 2013
Sit i A t l
COSO I I
Situacin Actual
(Estudio de PWC Marzo 2013)
Amr i c a Lat i na
2012 2013
Sit i A t l
COSO I I
Situacin Actual
(Estudio de PWC Marzo 2013)
Amr i c a Lat i na
2012 2013
COSO I I
EJERCICIO
COSO I I
EJERCICIO
COSO II COSO II
OECD
Ot r os Model os
SSAG
SAC
GAPP
SSAG
eSAC
BITS
ITCG
GASSP
BITS
NIST serie 800
GAISP
FISCAM
Systrust/Webtrust
GAISP
SSE CMM
y
BMIS
ITIL
ITAF
IPPF
MOF MOF
KING III KING III
HP ITSM
TOGAF
KING III KING III
PMBOK PMBOK
PRINCE2

Normas y Estandares2 0713

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Normas y Estandares2 0713

Încărcat de

Drepturi de autor:

Formate disponibile

MAESTR A EN SEGURI DAD

S-ar putea să vă placă și