Reglamento de Gobierno Corporativo

Transcripción

1 JM Reglamento de Gobierno Corporativo JM , JM , COBIT 4.1 By JAV - 08/2016

2 CAPÍTULO I: DISPOSICIONES GENERALES Artículo 2: Definiciones Sistema de control interno: Es el conjunto de reglas y controles que gobiernan la estructura organizacional y operativa de una institución, incluyendo mecanismos de reporte y funciones de administración de riesgos, cumplimiento y auditoría interna.

3 CAPÍTULO VI: CONTROL INTERNO Artículo 14: Elementos del sistema de control interno Las instituciones deben implementar un sistema de control interno considerando la naturaleza y volumen de las operaciones que realizan, que comprenda los elementos siguientes:

4 a) Ambiente de control que incluya: 1. Una cultura organizacional que fomente en todo el personal de la institución principios, valores y conductas que enfatice la importancia de los controles internos y de su cumplimiento; 2. Disposiciones claras y definidas para la separación de funciones; la delegación de autoridad y responsabilidad; el establecimiento del grado de dependencia e interrelación entre las distintas áreas de la institución.

5 b) El establecimiento de planes operativos congruentes con el plan estratégico de la institución, los cuales deben estar documentados; c) Los procedimientos para la administración integral de los riesgos a que está expuesta la institución a que se refiere el Reglamento para la Administración Integral de Riesgos; d) Actividades de control, contenidas en políticas, procedimientos y sistemas, que incluyan revisiones de desempeño operativo, aprobaciones y autorizaciones de transacciones y actividades, desembolso de fondos, salvaguardas de activos, cumplimiento de leyes y disposiciones aplicables; y, verificaciones realizadas por la auditoría interna;

6 e) Sistemas de contabilidad, de información y de comunicación para capturar, procesar y proporcionar información precisa, correcta y oportuna y, que permita a la institución sus objetivos; y, f) Monitoreo y evaluación permanente del sistema de control interno, con el propósito de determinar su eficacia, oportunidad y validez, así como corregir deficiencias oportunamente.

7 CAPÍTULO VII: AUDITORÍA INTERNA Artículo 15: Auditoría interna La auditoría interna deberá ser una actividad independiente y objetiva, que examina con un enfoque sistemático la efectividad de la administración integral de riesgos, del sistema de control interno y del gobierno corporativo para agregar valor y mejorar las operaciones de la institución.

8 Artículo 16: Funciones de la auditoría interna La auditoría interna tendrá las funciones siguientes: a) Evaluar anualmente la idoneidad y efectividad de las políticas y procedimientos de gobierno corporativo, del sistema de control interno y del manual de gobierno corporativo, e informar del resultado al Comité de Auditoría. b) Evaluar anualmente la eficacia de los procesos de gestión integral de riesgos, proponer acciones a adoptar e informar al Comité de Auditoría;

9 c) Verificar el proceso utilizado para la evaluación de la suficiencia de capital de la institución en relación a su exposición al riesgo; d) Verificar el cumplimiento de las políticas y procedimientos aprobados por el Consejo, y elaborar propuestas sobre acciones a adoptar con relación a los incumplimientos e informar al Comité de Auditoría; e) Validar la integridad de los sistemas de información en la institución;

10 f) Revisar la confiabilidad, integridad y oportunidad de los registros contables y los reportes financieros, así como los reportes no financieros cuando proceda; g) Informar de manera inmediata al Consejo y al Comité de Auditoría cualquier deficiencia o irregularidad relevante que se haya encontrado como consecuencia de las auditorías realizadas y proponer medidas correctivas; y, h) Otras que le sean asignadas por el Consejo o por el Comité de Auditoría.

11 Artículo 17: Plan anual de trabajo La auditoría interna deberá elaborar un plan anual de trabajo que considere los riesgos a los que está expuesta la institución, el cual será evaluado por el Comité de Auditoría, previo a su aprobación con el Consejo, la cual debe hacerse a más tardar el treinta y uno (31) de diciembre del año anterior al que se trate. Este plan debe incluir el alcance, objetivos, asignación de recursos y el cronograma de las actividades programadas.

12 Artículo 18: Informes de auditoría interna La auditoría interna deberá preparar informes escritos de los resultados finales de cada auditoría o parciales en casos especiales. Los informes de auditoría deben contener una descripción del alcance y objetivos de la revisión, los resultados, las conclusiones y las recomendaciones. La auditoría interna deberá presentar trimestralmente un reporte de ejecución del plan de trabajo al Comité de Auditoría, dentro del mes siguiente de finalizado el trimestre calendario que corresponda.

13 Dicho reporte deberá contener un resumen de las auditorías y otras actividades realizadas durante el trimestre, la identificación de las principales deficiencias o irregularidades encontradas y las medidas correctivas propuestas, así como los avances en la implementación de dichas medidas. En caso de deficiencias o irregularidades relevantes, se deberá proceder conforme lo indicado en la literal g) del artículo 16 de este reglamento.

14 Artículo 19: Responsable de la auditoría interna El responsable de la auditoría interna deberá ser persona solvente, honorable, con grado académico de licenciatura en el área contable y de auditoría, con conocimientos y experiencia en las actividades que la institución realiza y sus riesgos. La institución no podrá nombrar o contratar como responsable de la auditoría interna a una persona que haya sido removida de ésta u otra institución conforme lo establecido en el artículo 101 de la ley de Bancos y Grupos Financieros.

15 Artículo 20: Auditoría interna de grupos financieros En el caso de las instituciones que forman parte de un grupo financiero, estará permitido que la persona responsable de la auditoría interna de una institución sea designada como responsable de la auditoría interna de otras instituciones del mismo grupo.

16 Artículo 21: Unidad Administrativa de Cumplimiento La Unidad Administrativa de Cumplimiento a que se refiere el artículo 57 de la Ley de Bancos y Grupos Financieros dependerá del Comité de Auditoría, y tendrá las funciones siguientes: a) Velar porque el personal cumpla con las leyes y disposiciones aplicables a las actividades de la institución del país y, cuando proceda, en el extranjero;

17 b) Informar al Comité de Auditoría, trimestralmente, dentro del mes siguiente de finalizado el trimestre calendario que corresponda, y cuando la situación lo amerite, sobre el cumplimiento de las leyes y disposiciones aplicables y sobre las medidas adoptadas en caso de incumplimiento, así como proponer medidas correctivas adicionales de ser necesario; c) Verificar que la información enviada periódicamente a la Superintendencia de Bancos, cumpla con las características y los plazos establecidos en las disposiciones aplicables;

18 d) Velar porque el personal de la institución tenga conocimiento de las leyes y disposiciones aplicables, de forma que su cumplimiento, objetivos e implicaciones sean comprendidos por el personal que corresponda; y, e) Otras que le asigne el Consejo. Esta unidad deberá ser independiente d las unidades de negocio y unidades operativas y tendrá acceso a la información que sea necesaria para cumplir con sus responsabilidades, así como la facultad de comunicarse directamente con cualquier miembro del personal de la institución.

19 Esta unidad deberá elaborar un plan anual de trabajo, el cual será aprobado por el Comité de Auditoría a más tardar el treinta y uno (31) de diciembre del año anterior al que se trate. Este plan debe incluir el alcance, objetivos, asignación de recursos y el cronograma de las actividades programadas.

20 JM Reglamento para la Administración del Riesgo Tecnológico CAPÍTULO I: DISPOSICIONES GENERALES Artículo 2. Definiciones Sistemas de información: es el conjunto organizado de datos, procesos y personas para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información en la institución para un objetivo específico. Tecnología de la información o TI: es el uso de la tecnología para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información, para dar viabilidad a los procesos del negocio.

21 COBIT 4.1 Criterios de Información Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información: La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

22 COBIT 4.1 PO2. Definir la Arquitectura de la Información PO2. Definir la Arquitectura de la Información La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos de la organización, el esquema de clasificación de datos y los niveles de seguridad.

23 COBIT 4.1 PO2. Definir la Arquitectura de la Información Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura, y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del negocio. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades.

24 COBIT 4.1 PO2. Definir la Arquitectura de la Información PO2.1. Modelo de Arquitectura de Información Empresarial Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con los planes de TI como se describen en P01. El modelo debe facilitar la creación, uso y el compartir en forma óptima la información por parte del negocio de tal manera que se mantenga su integridad, sea flexible, funciona rentable, oportuna, segura y tolerante a fallos.

25 COBIT 4.1 PO2. Definir la Arquitectura de la Información PO2.4. Administración de Integridad Definir e implementar procedimientos para garantizar la integridad y consistencia de todos los datos almacenados en formato electrónico, tales como bases de datos, almacenes de datos y archivos.

26 COBIT 4.1 AI3 Adquirir y Mantener Infraestructura Tecnológica AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio.

27 COBIT 4.1 AI3 Adquirir y Mantener Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.

28 COBIT 4.1 AI6 Administrar Cambios AI6 Administrar Cambios Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implementación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.

29 COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas DS5 Garantizar la Seguridad de los Sistemas La necesidad de mantener la integridad de la información y de proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye el establecimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de seguridad también incluye realizar monitoreos de seguridad y pruebas periódicas así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.