Métodos, políticas, y procedimientos que aseguran la protección de los activos de la organización

Transcripción

1

2 Seguridad y control Creación de un ambiente de control Métodos, políticas, y procedimientos que aseguran la protección de los activos de la organización Asegurar la exactitud y confiabilidad de los registros, y adherencia de las operaciones a los estándares de gestión

3 Seguridad y control Tipos de control Generales Establecer un marco general para controlar el diseño, seguridad y uso de los programas Incluye controles de software, hardware, operaciones, seguridad de datos, implementación y administrativos De Aplicación Únicos para cada sistema Incluye controles de entrada, procesamiento y salida

4 Seguridad y control interno Control interno Procesollevado a cabo por el Directorio, la Gerencia, y el Personal de una entidad, para asegurar razonablementeel logro de los objetivos en: Efectividad y eficiencia de las operaciones Confiabilidad de los reportes financieros Cumplimiento de las leyes y regulaciones aplicables

5 Objetivos del control interno Resguardo de activos: cuánto vale un archivo de deudores? Asegurar concordancia con políticas corporativas y requerimientos legales Autorización de ingreso de datos: quién puede anular una transacción? Integridad y exactitud de las transacciones Salida adecuada Confiabilidad de los procesos Respaldo y recuperación Eficiencia y economía de los procesos

6 Objetivos del control interno Objetivos empresariales básicos de una entidad, incluyendo los objetivos de rendimiento, de rentabilidad, y la salvaguarda de los recursos. Elaboración y publicación de estados contables confiables, incluyendo estados intermedios y abreviados, así como la información financiera extraída de dichos estados, como por ejemplo las comunicaciones sobre resultados, que sean publicados. Cumplimiento de aquellas leyes y normas a las que está sujeta la entidad.

7 Objetivos del control en Sistemas de Información Control de acceso Autorización e ingreso único Integridad Proceso de transacciones rechazadas Proceso de transacciones duplicadas Respaldo y recuperación Proceso de aprobación de cambios en las aplicaciones y datos

8 Procedimientos de control de Información Áreas: Procedimientos de control de organización general Acceso a datos y programas Metodología de desarrollo de sistemas Operación de procesamiento de datos Funciones de programación de sistemas y soporte técnico Procedimientos de control de Calidad de Procesamiento de Datos.

9 Modelos para el control COBIT (1996, ISACA) Control Objectives for Information an related Technology- Provee una herramienta para los propietarios de los procesos del negocio para reflejar eficiente y efectivamente sus responsabilidades de control sobre los sistemas informáticos SAC (1991, revisado en 1994) Security Auditability and Control Ofrece asistencia a los auditores internos sobre el control y auditoria de los sistemas y tecnología informática. COSO (1992) - Committee of Sponsoring Organizations of the Tradeway Commision, USA Brinda recomendaciones a la dirección sobre cómo evaluar, reportar y mejorar los sistemas de control. KONTRAG (Alemania) - Ley de Control y Transparencia en los Negocios CADBURY (1992, UK) Cadbury Committee. - Modelo similar a COSO COCO (1995) Criteria of Control Board of the Canadian Institute of Chartered Accountants King (I 1994, II 2002, III 2009, Sudáfrica) - King Committee on Corporate Governance. AEC Auto Evaluación de Controles

10 Modelos para el control -KONTRAG Principales elementos Obligación de establecer estructura gerencial de riesgo (para el control y administración) Análisis y evaluación sistemático del riesgo Comunicación oportuna del reconocimiento de riesgos Tipos de control Preventivos De actividades (repetitivas) De recursos De insumos De acceso De investigación y desarrollo De proyectos Detectivos Concurrentes (sobre la marcha) Posteriores De resultados (actividades creativas) De operaciones De procesos - De salidas De seguridad (resguardo)

11

12 Control Interno -Informe COSO Descripción Publicado en EEUU en 1992 TRADEDWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT FINANCIAL REPORTING American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) Financial Executive Institute (FEI) Institute of Internal Auditors (IIA) Institute of Management Accountants (IMA) Objetivos Organizacionales del Control Interno Efectividad y eficiencia en las operaciones. Confiables reportes financieros. Cumplimiento con leyes y regulaciones.

13 Componentes del control de Información COSO I - Internal Control - Integrated Framework 1. Entorno/ambiente de control: Establece el climade control a seguir en la entidad, que influye en la conciencia de control de los empleados. Proporciona disciplina y estructura Incluye: Integridad y valores éticos: Existencia de un código de ética o políticas relacionadas con las prácticas profesionales aceptables la capacidad de los empleados (competencia) filosofía de dirección y estilo de liderazgo asignación de autoridad y responsabilidades políticas y prácticas de RRHH Consejo de Administración/Comité de Auditoría

14 Componentes del control de Información COSO I - Internal Control - Integrated Framework 1.Entorno/ambiente de control El énfasis sobre los resultados, particularmente sobre el corto plazo provoca acciones y reacciones no buscadas, como por ejemplo tácticas de ventas bajo alta presión puede llevar a los individuos a cometer acciones fraudulentas. Incentivos que inducen al personal en el uso de prácticas fraudulentas o cuestionables: - la presión para lograr objetivos de desempeño poco realistas - recompensas dependientes de altos desempeños y los cortes en los niveles extremos (máximo o mínimo) en los planes de gratificaciones.

15 Componentes del control de Información COSO I - Internal Control - Integrated Framework 2. Evaluación de riesgos: Identificacióny análisis de los riesgos relevantes para el logro de los objetivos, constituyendo la base para determinar cómo se deben administrar los riesgos Riesgos son todos aquellos eventos internos o externos que se interponen en el cumplimiento de los objetivos propuestos por la empresa. Apreciación/Valoración de Riesgos: Método para identificar y medir consecuencias, des decir, determinar la potencialidad de ocurrencia de los mismos, y los desvíos que provocaría en los objetivos. Administración de Riesgos: Tomar acciones para minimizar el impacto (establecer mecanismos de control). Los riesgos deben ser administrados, atendiendo a la existencia de un medio interno y externo cambiante

16 Componentes del control de Información COSO I - Internal Control - Integrated Framework 2. Evaluación de riesgos Características del riesgo: Dinámico y cambiante (Interacción Amenazas/Vulnera bilidad) No siempre se percibe de igual manera entre los miembros de una institución que tal vez puede terminar en resultados inadecuados y por lo cual es importante que participen las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, etc.)

17 Componentes del control de Información COSO I - Internal Control - Integrated Framework 3. Actividades de control: Políticasy procedimientosque ayudan a asegurar que las directivas administrativas se lleven a cabo y que que las transacciones son autorizadas y completamente procesadas y registradas Tienen lugar en toda la organización a todos los niveles y en todas las funciones Ejemplos: autorizaciones, verificaciones, conciliaciones, segregación de funciones, definiciones de cargos, revisiones de desempeño, de rentabilidad operativa, políticas y procedimientos, etc.

18 Componentes del control de Información COSO I - Internal Control - Integrated Framework 4. Información y comunicación: Identificación, obtencióny comunicaciónde información pertinente y oportuna que le permita a los empleados cumplir con sus responsabilidades Los Sistemas de Información se basan en un plan estratégico alineados a la estrategia global y se disponen recursos para ello La comunicación es efectiva a lo largo de toda la entidad La Alta Dirección es receptiva a sugerencias de los empleados Hay canales para las denuncias de irregularidades

19 Componentes del control de Información COSO I - Internal Control - Integrated Framework 5. Supervisión o monitoreo: Proceso que valora el desempeño de sistema en el tiempo. Tareas permanentes y revisiones periódicas cuya frecuencia dependerá de la evaluación de la importancia de los riesgos No basta con que el control exista y sea apropiado. Se debe verificar su correcto funcionamiento y la retroalimentación del mismo. Receptividad ante las recomendaciones de los auditores Grado de comprensión del personal de los códigos de ética En qué medida las comunicaciones de terceros ratifican la información generada internamente o alertan sobre problemas?

20 Componentes del control de Información COSO II - Enterprise Risk Management - Integrated Framework Se agrega: Establecimiento de objetivos Identificación de riesgo/eventos Respuesta a los riesgos

21 Comparación de versiones COSO I, 1992 COSO II ERM, 2004 Incorpora exigencias de la Ley Sarbanes Oxley

22 Modelos para el control CADBURY basado en COSO Objetivos proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la información y reportes financieros. c) Cumplimiento con leyes y reglamentos COCO Objetivos a) Efectividad y eficiencia de las operaciones: Servicio al cliente, Salvaguarda y uso eficiente de los recursos, Obtención de beneficios, Cumplimiento de obligaciones sociales, Seguridad de que los riesgos son debidamente identificados y administrados b) Confiabilidad de la información y reportes financieros: Mantenimiento de registros contables adecuados, Confiabilidad de la información utilizada, Información publicada para terceros interesados. c) Cumplimiento con leyes y reglamentos: Aseguramiento de que las actividades de la organización se conducen en total concordancia con el marco legal y con las políticas interna

23

24 AEC Auto Evaluación de Controles Proceso documentado en el que: La administración o el equipo de trabajo se involucra directamente en una función. Se juzga la efectividad del proceso de control vigente. Se define si se asegura razonablemente el lograr alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización. Se necesita capacitación al personal en: Enfoques: reuniones de equipos facilitados (talleres) cuestionarios (encuestas) análisis de producción gerencial metodología modelos de control evaluación de riesgos talleres de autoevaluación de control redacción tecnología

25

26 COBIT Framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de TI creado por ISACA, asociación internacional Permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgosde negocio. Hace posible el desarrollo de una política clara y las buenas prácticas para los controles de TI a través de la organización Énfasis en conformidad con regulaciones Creado en 1992, evolucionó por distintas versiones Alineado con : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF (The Open Group Architecture Framework ), PMBOK/PRINCE2, CMMI Contiene: Los 5 Principios y los 7 Catalizadores de COBIT 5

27 COBIT: Gobierno de TI de las Empresas COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute). Evolución del Alcan nce Gobierno Corporativo de TI Gobierno de TI Administración Control Auditoría COBIT1 COBIT2 COBIT3 Val IT 2.0 (2008) Risk IT (2009) COBIT4.0/4.1 COBIT / Un Marco Empresarial de ISACA, en Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

28 La Familia de Productos de COBIT 5 COBIT 5 Guías de Habilitadores/Catalizadores de COBIT 5 COBIT 5: COBIT 5: Procesos Habilitadores Información Habilitadora Otras Guías Habilitadoras Guías Profesionales COBIT 5 COBIT 5 Implementación COBIT 5 Para la Seguridad de la Información COBIT 5 Para el Aseguramiento COBIT 5 Para Riesgos Otras Guías Profesionales Ambiente Colaborativo Online de COBIT 5 Fuente P.28

29 Los Principios de COBIT 5 Gobierno: evaluar, dirigir, monitorear (EDM) Administración: planificar, (APO) construir (BAI), operar (DSS), monitorear (MEA) Catalizadores Procesos Estructuras Organizacionales Cultura, Ética Comportamiento 5. Separar el Gobierno de la Administración 1. Satisfacer las necesidades de las partes interesadas Principios de COBIT 5 Necesidades de las Partes Interesadas Realización de Beneficios 2. Cubrir la Organización de forma integral Optimización de Riesgos Optimización de Recursos Integra el gobierno de la TI corporativa en el gobierno corporativo Información Principios, Políticas y Marcos Servicios, Infraestructura y Aplicaciones RECURSOS Personas, Habilidades, Competencias 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Corporativo: COSO, COSO ERM, ISO 9000, ISO Relacionado con TI: ISO 38500, ITIL, la serie ISO 27000, TOGAF, PMBOK/ PRINCE2, CMMI Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

30 Cascada de Metas de COBIT 5 Traduce las necesidades de las Partes Interesadas en metas específicas y personalizadas dentro del contexto de la Organización, que se llevan a objetivos tangibles y a la ejecución de acciones concretas para lograrlos Catalizadores Procesos Estructuras Organizacionales Cultura, Ética Comportamiento Principios, Políticas y Marcos Información Servicios, Infraestructura y Aplicaciones RECURSOS Personas, Habilidades, Competencias Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

31 Metas Corporativas de COBIT 5 CMI - Cuadro de mando Integral (Balanced Scorecard BSC) Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

32 Metas de TI de COBIT 5 CMI: plantea importancia de los activos intangibles de una empresa (relaciones con los clientes, habilidades y motivaciones de los empleados,...) como fuente principal de ventaja competitiva Fuente: COBIT 5, - ISACA

33 Cascada de Metas de COBIT 5 Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

34 Cascada de Metas de COBIT 5 Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

35 Evaluar, Dirigir y Monitorear EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor Alinear, Planear y Organizar APO01 Admin. Marco de la Administración de TI APO08 Administrar las Relaciones Modelo de Procesos de COBIT 5 APO02 Administrar la Estrategia APO09 Administrar los Contratos de Servicios APO03 Administrar la Arquitectura Corporativa Construir, Adquirir e Implementar BAI01 Administrar Programas y Proyectos BAI08 Administrar el Conocimiento BAI02 Administrar la Definición de Requerimientos BAI09 Administrar los Activos EDM03 Asegurar la Optimización de los Riesgos APO04 Administrar la Innovación APO05 Administrar el Portafolio EDM04 Asegurar la Optimización de los Recursos Procesos para el Gobierno Corporativo de TI APO06 Administrar el Presupuesto y los Costos APO10 APO11 APO12 APO13 Administrar Administrar Administrar los Administrar la los Proveedores la Calidad Riesgos Seguridad BAI03 Admin. la Identif y Construcción de Soluciones BAI10 Admnistrar la Configuración BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios EDM05 Asegurar la Transparencia a las partes interesadas APO07 Administrar el Recurso Humano BAI07 Admin. Aceptación de Cambios y Transiciones Monitorear, Evaluar y Valorar MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno Entregar, Servir y Dar Soporte DSS01 Administrar las Operaciones DSS02 Admin. Solicit. de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Admin. Controles en los Procesos de Negocio Procesos para la Administración de TI Corporativa MEA03 Monitorear, Evaluar y Valorar Cumpl. Requisitos Externos

36 Ejemplos Una empresa ha definido como meta corporativa que la satisfacción del cliente es la más importante. Cuáles son los aspectos relativos a TI que necesita mejorar? Fuente: COBIT 5, - ISACA