Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIDAD MARCOS INTEGRADOS DE CONTROL Práctica de Auditoria Interna Marcos Integrados de Control – Agenda Que es un Marco Integrado de Control? Relación con el Sensor El Informe COSO El Informe COBIT y los Riesgos de TI Caso de estudio Práctica de Auditoria Interna • Noción de control interno ha variado: desde “detectivo o “correctivo” hacia “preventivo” • Diferencias en el entendimiento del control: Cultura latina: verificación o examen Cultura sajona: guía, impulso de prevención para corrección • Principales razones que motivaron nuevas definiciones de control interno: Fracaso de los antiguos sistemas de control (no ayudaron a evitar fraudes contables y financieros) Necesidad de una visión más gerencial e integral del control Evolución del concepto de Control Interno A mediados de los 70s Investigación del “Escándalo Watergate” 1977 Ley de prácticas de corrupción extranjeras (Foreign Corrupt Practices Act- FCPA) Inicios -1980s Incrementó el enfoque en Control Interno y cumplimiento 1985 Comisión Nacional de Informes Financieros Fraudulentos - (Treadway Commission) 1992 Publicación del Marco Integrado de Control Interno- COSO 1990s – 2000 Continúa el enfoque en Controles Internos, Riesgos Administrativos y responsabilidades (Blue Ribbon Commission, Competency Framework for Internal Audit, Others) 1980 1970 1990 2000 2002 Ley Sarbanes-Oxley Evolución histórica del concepto de control interno Informe COSO En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. Concepto de Control Interno: el informe COSO Práctica de Auditoria Interna El control interno se define como un proceso, efectuado por todo el personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de las leyes y normas aplicables. El objetivo de COSO Mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpreta- ciones y conceptos sobre el control interno. Impacto en la Hacienda Pública Como Órgano Rector del Sistema de Control Interno del Poder Ejecutivo Nacional, normativo, de Supervisión y coordinación, corresponde a la Sindicatura General de la Nación dictar normas de control interno. Así, oportunamente se emitieron las denominadas “Pautas de Control Interno”, antecedente de estas normas, surgidas de la experiencia y de las opiniones que nos llegaran tanto desde el ámbito de la gestión como del control que opera sobre la misma, tomando en cuenta también documentos de organizaciones internacionales especializadas en la materia. Práctica de Auditoria Interna Las presentes “Normas Generales de Control Interno” deberán ser aplicadas en todo el ámbito del Poder Ejecutivo Nacional, como base de la responsabilidad que la Ley 24.156 impone a la administración superior de cada jurisdicción o entidad del Sector Público Nacional, en cuanto a: • La implantación y mantenimiento de un eficiente y eficaz sistema de control interno normativo, financiero, económico y de gestión sobre sus propias operaciones, comprendiendo la práctica del control previo y posterior y de la auditoría interna; • Los procedimientos adecuados que aseguren la conducción económica y eficiente de las actividades institucionales y la evaluación de los resultados de los programas, proyectos y operaciones de los que es responsable la Jurisdicción o Entidad. Las “Normas Generales de Control Interno” constituyen un esquema básico para la transparencia de la gestión pública, en el marco de la legalidad, la ética y la rendición de cuentas republicana. Buenos Aires, Agosto 1998 Práctica de Auditoria Interna Práctica de Auditoria Interna MARCO O MODELO INTEGRADOS DE CONTROL Marco integrado de Control Interno Primera publicación: 1992 Obtuvo aceptación amplia aun luego de fracasos de control financiero de principios de la década de 2000 El marco más utilizado en Estados Unidos y en América Latina Sin embargo… Desde 1992, el entorno operativo ha evolucionado Los conceptos del marco son “eternos”, pero el contexto necesita actualización Modelo Integrado de Control Contexto o entorno relacionado Estructura que le da forma Conjunto de normas y pautas culturales Procedimientos o acciones específicas Objetivos a cumplir Práctica de Auditoria Interna Modelo Integrado de Control “Un modelo integrado de control debe proporcionar una seguridad razonable de que una organización llegue a donde quiere ir, evitando sorpresas y sorteando peligros en el camino” Práctica de Auditoria Interna Modelos Integrados de Control “Marco Integrado de Control Interno” (1992) Committee Of Sponsoring Organizations of the Treadway Commission (COSO) “Guidance Of Control” (1995) Criteria Of Control Board (COCO) del Canadian Institute of Chartered Accountants Práctica de Auditoria Interna El Informe COCO es producto de una profunda revisión del Comité de Criterios de Control de Canadá sobre el reporte COSO. Su proposito: fue hacer el planteamiento de un informe más sencillo y comprensible, ante las dificultades que en la aplicación del COSO enfrentaron inicialmente algunas organizaciones. El resultado es un informe conciso y dinámico encaminado a mejorar el control, el cual describe y define al control en forma casi idéntica a como lo hace el Informe COSO. Práctica de Auditoria Interna http://www.monografias.com/trabajos12/elproduc/elproduc.shtml http://www.monografias.com/trabajos6/napro/napro.shtml Modelos Integrados de Control “ Control objectives for Information and Related Technology” (COBIT) (1996) Information Systems Audit and Control Association (ISACA). “Guía para las normas de Control Interno del sector público” (2004) Organización Internacional de Instituciones Fiscalizadoras Superiores (INTOSAI) Práctica de Auditoria Interna Modelos Integrados de Control QUE TIENEN QUE VER CON EL “SENSOR” ???? Práctica de Auditoria Interna Factores que motivaron un cambio Requisito SOX, Sección 404 – informes públicos sobre eficacia de control interno Foco de la crisis financiera reciente sobre las ineptitudes de la gestión de riesgo – presión sobre los directorios se involucren más en la gestión de riesgo Inquietudes continuas sobre los informes financieros fraudulentos http://www.google.com.ar/url?url=http://capitalibre.com/2013/01/credito-moral-banca-indispensable-recuperarlo&rct=j&frm=1&q=&esrc=s&sa=U&ei=niUrVK2tKqjbsAT21YKYAw&ved=0CDgQ9QEwEg&usg=AFQjCNELToVkTLvUtbimgeanqWvG7kUtJg Un entorno de negocios cambiante… Expectativas de supervisión del gobierno Globalización de los mercados y las operaciones Cambios en los modelos de negocios Demandas y complejidad de normas, regulaciones y estándares Expectativas de competencias y responsabilidades Uso y dependencia de tecnología que evoluciona …impulsa las actualizaciones del marco O p e ra c io n e s In fo rm e s C u m p li m ie n to Entorno de control Actividades de control Evaluación de riesgos Información y comunicacióm Actividades de monitoreo N iv e l d e e n ti d a d D iv is ió n U n id a d o p e ra ti v a F u n c ió n Oficina Normativa de Contratación y Adquisiciones (ONCAE) Primergran cambio: COSO ERM Enfasis en la gestión de los riesgos Conceptualización de la administración de riesgos asociada al control interno Apertura del componente 2 del Modelo COSO 1 Trabajar con matrices de riesgo – probabilidad e impacto Gestión del Riesgo empresarial (ERM) “El control interno es una parte integral de la Administración del riesgo empresarial y está abarcado dentro de éste.” “La Administración del riesgo empresarial es más amplia que el control interno, expandiendo y elaborando sobre el control interno para formar una concepción más robusta que se enfoca más sobre el riesgo.” “El Marco Integrado Control Interno sigue siendo totalmente válido para las entidades y otros que ponen énfasis en el control interno.” Actualización de COSO Qué no cambia... • Definición de control interno • Cinco componentes de control interno • Criterios utilizados para evaluar la eficacia de los sistemas de control interno • Uso de juicio en la evaluación de la eficacia de sistemas de control interno Qué cambia... • Codificación de principios con aplicación universal para el uso en el desarrollo y evaluación de la eficacia del sistema de control interno • Objetivo de informes financieros ampliado para abordar los objetivos de informes externos, financieros y no financieros • Mayor concentración en operaciones, cumplimiento y objetivos de informe no financieros basados en aportes de usuarios Práctica de Auditoria Interna El denominado “INFORME COSO” sobre control interno, publicado en EE.UU en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). Práctica de Auditoria Interna El grupo estaba constituido por representantes de las siguientes organizaciones: • American Accounting Association (AAA) • American Institute of Certified Public Accountants (AICPA) • Financial Executive Institute (FEI) • Institute of Internal Auditors (IIA) • Institute of Management Accountants (IMA) Práctica de Auditoria Interna Proceso ejecutado por la dirección y todo el personal de la organización, diseñado con el objeto de proporcionar garantía razonable para el logro de los OBJETIVOS incluidos en las siguientes categorías: Eficacia y eficiencia de las operaciones. Confiabilidad de la información. Cumplimiento de leyes, reglamentos y políticas. Práctica de Auditoria Interna Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Práctica de Auditoria Interna Práctica de Auditoria Interna Es la Base. Actitud, Estilo y Disciplina Organizacional Supervisión Información y comunicación Actividades de Control Evaluación del riesgo Ambiente de control Filosofía y Estilo de Dirección y Gerencia. Valores Eticos. Competencia Profesional. Recursos Humanos. Plan Organizacional. Estructura. Manuales de Precedimiento. Grado de Documentación. Gobierno Corporativo. NORMAS DE AMBIENTE DE CONTROL Integridad y valores éticos Competencia profesional Atmósfera de confianza mutua Filosofía y estilo de la dirección Misión, objetivos y políticas Organigrama Asignación de autoridad y responsabilidad Políticas y prácticas en personal Comité de Control Práctica de Auditoria Interna Práctica de Auditoria Interna ¿Cuáles son las vulnerabilidades que podrán afectar el cumplimiento de los objetivos organizacionales? Supervisión Información y comunicación Actividades de Control Evaluación de riesgos Ambiente de control • Estimación de su Importancia/ Trascendencia. • Evaluación de la Probabilidad/ Frecuencia. • Definición del modo en que habrán de Manejarse/Controlarse NORMAS DE EVALUACION DE RIESGO Identificación del riesgo Estimación del riesgo Determinación de los objetivos de control Detección del cambio Práctica de Auditoria Interna Práctica de Auditoria Interna Las actividades de control son aquellas políticas, técnicas y procedimientos diseñados para mitigar el riesgo. Supervisión Información y comunicación Actividades de Control Evaluación de riesgo Ambiente de control Se definen para mitigar riesgos relacionados con los tres objetivos de la entidad. Actividades • Análisis de la Dirección/ Gerencia. • Comprobación de Exactitud, Autorización e Integridad. • Control Físico Patrimonial. • Acceso Restrictivo. • Segregación de Funciones. • Seguridad Informática. NORMAS DE ACTIVIDADES DE CONTROL Separación de tareas y responsabilidades Coordinación entre áreas Documentación Niveles definidos de autorización Registro oportuno y adecuado de las transacciones y hechos Acceso restringido a los recursos, activos y registros Rotación del personal en las tareas claves Control de la tecnología de información Indicadores de desempeño Función de Auditoría Interna independiente Práctica de Auditoria Interna Práctica de Auditoria Interna Identificar, Recopilar y Comunicar información pertinente en tiempo y forma a la organización Supervisión Información y comunicación Actividades de Control Evaluación de riesgos Ambiente de control Exactitud y Oportunidad de la Información Financiera y Operativa. Acceso a la información Según Niveles de Autorización. Comunicación Formal e Informal dentro de la Organización. NORMAS DE INFORMACION Y COMUNICACION Información y responsabilidad Contenido y flujo de la información Calidad de la información El sistema de información Flexibilidad al cambio Compromiso de la autoridad superior Comunicación, valores organizacionales y estrategias Canales de comunicación Práctica de Auditoria Interna Práctica de Auditoria Interna Supervisión Información y comunicación Actividades de Control Evaluación del riesgo Ambiente de control La supervisión es un proceso que comprueba al adecuado funcionamiento a lo largo del tiempo. Actividades Continuas y/o Evaluaciones puntuales. Continuas = Arraigadas a la Gestión. Puntuales • En Función al riesgo • Planificadas. • Autoevaluación y/o Evaluación de 3°. • Metodología. • Seguimiento/ Corrección. NORMAS DE SUPERVISION Evaluación del Sistema de Control Interno Eficacia del Sistema de Control Interno Auditorías del Sistema de Control Interno Validación de los supuestos asumidos Tratamiento de las deficiencias detectadas Práctica de Auditoria Interna Práctica de Auditoria Interna INFORME COSO INFORME COSO Efectividad de los controles internos Limitaciones de la efectividad del control interno Roles y Responsabilidades Práctica de Auditoria Interna “El Control interno no puede por si mismo asegurar el logro de los objetivos definidos por la organización”. “Todos en una organización tienen responsabilidad por el control interno”. INFORME COSO DEBEN SATISFACER TRES CRITERIOS ESCENCIALES: SER APROPIADOS FUNCIONAR ACORDE A LO PREVISTO DURANTE TODO EL PERIODO SER RENTABLES Práctica de Auditoria Interna El control es el más indicado al caso y proporcional al riesgo Aún en ausencia de los superiores o en períodos de “Stress” El costo de su aplicación no debe exceder su beneficio. INFORME COSO No puede cambiar una Gerenciainherentemente mala por una buena. Los cambios en las políticas o programas de gobierno están fuera de su control. Depende del “factor humano”, interpretación, descuido, fatiga, distracción, colusión o excesos. El costo de ciertos controles y los recursos existentes. Los cambios organizacionales y la actitud de la Gerencia. Práctica de Auditoria Interna INFORME COSO Agentes Internos Agentes Externos Práctica de Auditoria Interna Ejecutivos y Gerentes Miembros del Personal Auditores Internos Auditores Externos Entidades Fiscalizadoras Superiores. Legisladores y Reguladores Otros OObjetivos de Controlbjetivos de Control para Información para Información yy TTecnologías Relacionadasecnologías Relacionadas Práctica de Auditoria Interna EL INFORME COBIT Y LOS RIESGOS DE TECNOLOGIA DE INFORMACION ¿Qué significa COBIT? COBIT es un acrónimo formado por las siglas derivadas de Control OBjectives for Information and related Technology Práctica de Auditoria Interna COBIT (Objetivos de control de información y tecnologías relacionadas), publicado por ITGI, es un modelo aceptado de buen control de la información, las IT y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno sobre TI y mejorar sus controles. Contiene objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez. Los productos de COBIT Sumario Ejecutivo: “Es un método...” Marco de referencia: “El método es...” Objetivos de Control: “Los controles mínimos son...” Pautas de Gestión: “Cómo usted puede medir el desempeño...” Pautas de Auditoría: “Cómo usted puede auditar...” Implementación: “Cómo usted puede implementar. . .” Práctica de Auditoria Interna Práctica de Auditoria Interna OBJETIVOS DE NEGOCIO Planificación y organización Práctica de Auditoria Interna PO1 Definir un Plan Estratégico de Tecnología de Información PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnología PO4 Definir la Organización y de las relaciones de TI PO5 Manejar la Inversión en Tecnología de Información PO6 Comunicar la dirección y aspiraciones de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad Adquisición e implementación Práctica de Auditoria Interna A11 Identificar Soluciones A12 Adquirir y Mantener Software de Aplicación A13 Adquirir y Mantener Arquitectura de Tecnología A14 Desarrollar y Mantener Procedimientos relacionados con TI A15 Instalar y Acreditar Sistemas A16 Administrar Cambios Entrega y soporte Práctica de Auditoria Interna DS1 Definir Niveles de Servicios DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones Monitoreo Práctica de Auditoria Interna M1 Monitorear los Procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento Independiente M4 Proporcionar auditoria Independiente Práctica de Auditoria Interna RIESGOS EN TECNOLOGIA DE LA INFORMACION Riesgos de TI Práctica de Auditoria Interna VULNERABILIDADES Actos de la naturaleza Fallas de Hard, Soft o instalación Errores y omisiones Fraudes Daño intencional Invasión a la privacidad CONSECUENCIAS RIESGO PERDIDA ESPERADA RIESGOS O AMENAZAS Riesgos de TI - Tipo de Riesgos Operacionales Infraestructura Tecnológica Seguridad Integridad de los datos Disponibilidad Controles Auditorias Outsourcing Estrategicos Reputación Legales Práctica de Auditoria Interna Riesgos de TI - Seguridad Práctica de Auditoria Interna • Seguridad Física. • Seguridad Lógica. • Seguridad Administrativa. Riesgos de TI Protección de la Información Práctica de Auditoria Interna CONFIDENCIAL INTERNA PUBLICA INFORMACIÓN QUÉ? USUARIOS QUIÉN? CÓMO? SUFICIENTE ESTRICTO MÍNIMO DIRECTORES EMPLEADOS COMUNIDAD CONTROLES PROTECCIÓN PROPIETARIOS DE DATOS TÉCNICO EN SEGURIDAD Disminución del Riesgo de TI Práctica de Auditoria Interna • Preventivas. • De detección. • De recuperación y corrección. MEDIDAS Disminucion del Riesgo de TI Algunas medidas y políticas Equipamientos y programas de seguridad instalados Darle el correcto uso a los mismos Revisar en forma permanente los archivos de eventos y alarmas Mantenerse al día con respecto a los problemas de seguridad que se vayan descubriendo, y responder de acuerdo Plataforma de gestión para mantener una política de seguridad consistente entre los elementos de red Permanente actualizaciones a los sistemas operativos y bases de datos para disminuir la probabilidad de ser vulnerados Práctica de Auditoria Interna Disminución del Riesgo de TI Práctica de Auditoria Interna oObjetivos de Seguridad Física •Protección contra vulnerabilidades •Asegurar sobrevivir a las emergencias •Controlar la propiedad de la información •Restringir el acceso al equipamiento y a la información •Asegurar resguardo del personal Práctica de Auditoria Interna ISO 17799 Mejores Prácticas en Seguridad Informática Mejores Practicas en SI Práctica de Auditoria Interna Norma internacional que ofrece recomendaciones para la gestión de la seguridad de la información. Dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organización Objetivo: proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. ¿Qué es ? Mejores Practicas en SI Práctica de Auditoria Interna Asegura la continuidad del negocio Minimiza los daños a la organización Permite un posicionamiento estratégico Asegura el cumplimiento de normas legales Habilita un proceso de planeamiento y mejora continua Maximiza el retorno de las inversiones y las oportunidades de negocio. ¿Para qué sirve ? Mejores Practicas en SI Práctica de Auditoria Interna 1. Política de seguridad. 2. Aspectos organizativos para la seguridad. 3. Clasificación y control de activos. 4. Seguridad ligada al personal. 5. Seguridad física y del entorno. 6. Gestión de comunicaciones y operaciones. 7. Control de accesos. 8. Desarrollo y mantenimiento de sistemas. 9. Gestión de continuidad del negocio. 10. Conformidad con la legislación. Estructura: Dominios de Control Mejores Practicas en SI Práctica de Auditoria Interna Se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo). Estructura: Dominios de Control Mejores Practicas en SI Práctica de Auditoria Interna Estructura: Dominios de Control
Compartir