B i e n v e n i d o s

Transcripción

1 B i e n v e n i d o s Martin del Castillo, Septiembre 2010

2 Tecnología de información Nivel actual de utilización tecnológica. Relación dínamica entre negocio y tecnología. Dependencia crítica. Cumplimiento de objetivos y Cumplimiento legal. Certidumbre.

3 AGENDA Jueves 23 de Septiembre de Hechos relevantes. 2. Control Interno en la Tecnología de Información. 3. Modelos de Control Interno. 4. Impacto en el proceso financiero. 5. Conclusiones. 6. Comentarios.

4 Referencias de información Information Systems, Audit and Control Association Information Technology Governance Institute Imágenes tomadas de World Wide Web Formato de acceso libre

5 Antecedentes internacionales SEC / NYSE P. Sarbanes M. Oxley HECHOS SOX 30 JULIO 2002 Contabilidad fraudulenta. Auditoría deficiente. Valor de las acciones alterado. Fraude y bancarrota. Pérdida confianza opinión pública. Crisis en los mercados financieros. Organismo regulador Auditoría. Gobierno Corporativo. Sec. 302 Revelación de información. Sec Estructura de Control interno. Responsabilidad legal. Multas económicas y encarcelamiento. Documento asegurar En control.

6 Iniciativas de Control Interno Código Mexicano de Gobierno Corporativo (México, 1999) Código Turnbull (Inglaterra, 1999) Sarbanes-Oxley (Estados Unidos de Norteamérica, 2002) Código Tabaksblat (Paises Bajos, 2003) Tendencias Economía digital. Competencia global Gobierno corporativo Ventaja competitiva Valor del negocio

7 Balance Estados financieros del negocio EPG Flujo Efectivo Notas Otros Clases de Transacciones Procesos del Negocio Compras Producción Ventas Sistemas de información Transacciones ERP Aplicaciones Desarrollos ASEGURAR CONFIABILIDAD Servicos Tecnología de Información Infra Estructura Personal

8 Gobernabilidad del Negocio Gobierno Corporativo Gobernabilidad en Tecnología de Información Control Interno Evaluar de riesgos Definir Objetivos de Control Establecer controles Internos Resolver debilidades

9 Elementos de control interno Evento o Incidente afecta el logro de objetivos. Planear y Organizar Adquirir e Implantar Liberar y Dar Soporte Monitorear y Evaluar Riesgo implicito en Tecnología de Información Objetivo de Control Control ó Actividad de Control Práctica de mitigación de riesgo. Definición de las condiciones de mitigación del riesgo. Controles Generales Tecnología Información Electrónica

10 Diseño de controles de IT en los procesos de negocio CONTROLES Acciones específicas No implicitos Perfectibles Costo Riesgo Control para Detectar MONITOREO Proceso de negocio Etapas del proceso t Control para Prevenir TRANSACCION

11 Areas objetivo de los controles generales de Tecnología de Información Estrategia, organización y comunicación. Adquisición, mantenimiento y reemplazo de tecnología (S&W). Seguridad de información e infraestructura. Desarrollo y mantenimiento de aplicaciones. Identificación y manejo de riesgos. Administración, desarrollo y control de proyectos. Aseguramiento de operación (infraestructura, procesos, operaciones) Entrenamiento y soporte a usuarios. Inversión y operación en tecnología.

12 Elementos de definicion de controles generales Objetivo de control Riesgo implicito Riesgo llave Control de transacción Control de monitoreo Control manual Control automatizado Control de mitigación Controles del negocio Controles generales de IT Controles de aplicación Enfoque preventivo Enfoque detectivo Ocurrencia Dueño del control

13 Conceptos de evaluación de controles generales Prueba de Diseño Diseño adecuado Existencia de diseño Descripción Proceso Deficiencia de diseño Prueba de efectividad Muestra de prueba Método de prueba Observación Revisiön Ejecuciön Deficiencia de operación Deficiencia significativa. Deficiencia material. Impacto potencial (EF) Plan de acción EN CONTROL Diseño adecuado Efectividad adecuada No materialidad Planes de acción Existe Funciona Tiene deficiencias? En control

14 Resultados y Decisiones del Negocio Balance Estados financieros del negocio EPG Flujo Efectivo Notas Otros Clases de Transacciones Controles del Negocio Controles de Aplicación Controles Generales IT Procesos del Negocio Compras Producción Ventas Servicos Sistemas de información ERP Aplicaciones Desarrollos Tecnología de Información Infra Estructura Personal Controles de Transacción Controles de Monitoreo

15 Estados financieros del negocio Tecnología de Información Sistemas de información Negocio Habilitador de requerimientos SISTEMAS LEGACY ERP SOLUCIONES EN PAQUETE DESARROLLOS PROPIOS Define Requerimientos Transacciones Registro Procesamiento Cálculo Posteo Reportes Acceso Controles de Aplicación Operaciones automatizadas. Incorporadas en funcionalidad Previenen Op. no autorizadas Procesan información según definiciones Internas. Objetivo de Control: Asegurar transacciones confiables Riesgo implícito: Transacciones no efectudas conforme requerimientos o prácticas contables. Controles internos: Controles de aplicación.

16 Ejemplo de revisión de controles de aplicación en transacciones de cobranza Ventas X Cliente Cobranza X Cliente Parámetros Antigüedad de Saldos Reporte Antigüedad de Saldos VALIDACION Diseño: Control existe. Efectividad: Resuelve requerimiento. Documentación. Prueba de identificación Control de cambios. Validación de controles de aplicación CATEGORIAS Seguridad - Acceso Programación - Lógica Validación - Entradas Configuración - Parámetros Reportes - Salidas Auditoría integrada. EFECTIVIDAD Proceso completo Exacto Válido Acceso autorizado Segregación ORIENTACION Controles de riesgo llave: Transacciones Cálculos. Reportes. Controles no documentados.

17 Enfoque en controles de aplicación: Documentación de la aplicación (Metodología) Métodos: más utilizados: 1. Re-ejecución 2. Validación Ambientes operativos: Producción y Prueba. Herramientas: 1. Vaciado de datos (Data Dumping) 2. Hojas de cálculo. 3. Manejadores de bases de datos. Herramientas auditoría integradas a Sistemas.

18 La madurez de un control se mide a través de las pruebas de diseño y efectividad a través del tiempo con base en documentación, conciencia y revisión Figura tomada de Cobit 4.1 / ISACA

19 Modelos de Control Interno Modelo COSO (Committee of Sponsor Organizations) Organización patrocinada voluntaria del sector privado. Antecedente: SEC ordena usar un marco de control interno reconocido. Objetivo: Mejorar la calidad de los reportes financieros. Etica de negocios, Control interno efectivo, Gobierno corporativo. Modelo COSO: Componentes básicos de control interno efectivo a nivel organizacional. No establece requerimientos de objetivos de control ni actividades de control para Tecnología de Información. Publicación Estados Unidos, Clima de Control Evaluación de riesgos Actividades de control Información y comunicación Monitoreo Conciencia de control The tone at the top Identificar factores afectan el Negocio Mitigación de riesgos. Información relevante Identificada y comunicada oportuna y debidamente Determinar si el Control Interno es Adecuada y efectivo

20 Modelos de Control Interno Modelo Cobit Control OBjectives for Information and related Technology. ISACA & ITGI, Estados Unidos, Prácticas generalmente aceptadas para Tecnología de Información. Comprende: 4 Dominios (Areas funcionales) 34 Procesos genéricos de IT. 216 Actividades u Objetivos de Control. Modelo Integrador Requerimientos del negocio. Funciones de T.I. Recursos de T.I. Proporciona un modelo de evaluación de madurez de procesos. Reconocido como modelo de control interno para T.I.

21 Cubo de Cobit como compendio de actividades de control en IT Planear y Organizar Dirigir la entrega de soluciones y servicios. Adquirir e Implantar Provee soluciones y las transforma en servicios. Liberar y Dar soporte Recibe las soluciones y las hace utilizables. Monitorear y Evaluar Monitorea los procesos y seguimiento de directrices. 34 Procesos de Tecnología de Información 216 Actividades de Control (Controles)

22 Objetivo de control en la estructura de COBIT Dominio - Acquire and implement Proceso AI1 - Identify automated solutions Proceso AI2 - Acquire and maintain application software Proceso AI3 - Acquire and maintain technology infraestructure Proceso AI4 - Enable operation and use. Proceso AI5 - Procure IT resources. Proceso AI6 - Manage changes. Descripción del proceso. Objetivos de control AI6.1 Change Standards and Procedures. Establecer procedimientos formales de administracion de cambios para manejar todas las solicitudes en forma estandarizada (incluyendo mantenimientos y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros y plataformas de soporte. AI6.2 Impact Assessment, Prioritisation and Authorisation. AI6.3 Emergency changes. AI6.4 Change Status Tracking and Reporting. AI6.5 Change Closure and Documentation. Como se administra el proceso Procesos COBIT relacionados Diagrama RACI Responsables, Consultado, Informado. Metas del proceso y métricas aplicables Evaluación de madurez. Proceso AI7 - Install and accredit solutions and changes.

23 Tres cubos, un enfoque Cubo COSO + Cubo Cobit = Cubo SOX

24 Herramientas automatizadas para COBIT

25 Objetivos de Control de T.I. relevantes en el proceso de revisión financiero 1. Seguridad. Solicitudes ABC empleados con autorización del negocio. Autorización conjunta de Personal. Autorización de derechos de acceso a información. Segregación de funciones. Habilitación y deshabilitación oportuna. Inventario de usuarios en sistema comparado con Personal. Aplica sin excepción a todo el personal. Comunicación de políticas generales al usuario. Documentación de transacciones disponibles. Autorización de 3 partes: Negocio. Personal. Sistemas.

26 Objetivos de Control de T.I. relevantes en el proceso de revisión financiero 2. Segregación de funciones Baseline de aplicaciones. Debe existir division de roles y responsabilidades.en funciones críticas. Definición del negocio y de las mejores prácticas. Análisis de riesgo necesario. Matriz de responsabilidades. Controles automatizados. Informe de derechos de acceso. Informe de transacciones. Controles compensatorios. Funcional o Perfil.

27 Objetivos de Control de T.I. relevantes en el proceso de revisión financiero Ejemplo de matriz de segregación de funciones

28 Objetivos de Control de T.I. relevantes en el proceso de revisión financiero 3. Control de cambios en aplicaciones Iniciado y autorizado por el negocio. Comité de cambios negocio y sistemas. Cambios necesarios vs. Imperantes. Análisis de Impacto y riesgo implícito. Definición de alcances y tiempos. Pruebas de funcionamiento de sistema. Pruebas de funcionamiento del negocio. Aceptación del negocio. Ambientes de operación separados: Desarrollo Calidad Producción Capacidad de reversar los cambios. Segregación de funciones: Desarrollo. Liberación Liberación y Comunicación.

29 CONCLUSIONES 1. El control interno en la tecnología de información persigue asegurar la efectividad y eficiencia de los procesos del negocio y el cumplimiento de regulaciones. 2. Requiere la aplicación de planes de trabajo apoyados por el nivel Directivo específicos para su aseguramiento como función del negocio. 3. Utiliza una inversión importante en documentación, siendo el reto no hacer inefectivos los procesos. 4. En sus niveles de madurez, el control interno provee una ventaja competitiva.

30 C o m e n t a r i o s

31 Por su atención Gracias