AUDITORIA DE SISTEMAS CONTABLES Mdulo: I Unidad: I Semana: 1 TTULO DEL TEMA CONTROL INTERNO Y AUDITORA INFORMTICA ORIENTACIONES Estimados alumnos, se recomienda la lectura del libro de texto para reforzar las clases, adems de revisar los enlaces interesantes y responder las autoevaluaciones. CONTENIDOS TEMTICOS COSO Los sistemas de control interno Vulnerabilidades y ataques sobre los sistemas y equipos. Modelo de Gobierno TI Sistema de Control Interno Modelo de Gobierno TI Sistema de Control Interno Gestin de Proyectos Seguridad de la Informacin Gestin de Servicios COSO COBIT - ISO 38000 Explotacin TI Tecnologa y Comuni- caciones Desarrollo Aplicaciones de Negocios Sistemas de Calidad Planificacin Estratgica TI C M M I ISO 20000 ITIL ITSM ISO 27000 ISO9 00x PMI ITSGA Sarbanes Oxley US Securities & Exchange Commission Gestin de Continuidad del Negocio ISO 22301 ITSGA: Information Technology Strategic. Generic Actions Sistema de Control Interno Mapa de Procesos y Recursos GESTIN DEL RIESGO Modelo de Riesgos Modelo de Controles Evaluacin de Controles Qu es C.O.S.O? Committee of Sponsoring Organizatin of the Treadway Commission C O S O Qu es COSO?
Organizacin voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientacin a la gestin ejecutiva a las entidades de gobierno sobre los aspectos fundamentales de organizacin de este, la tica empresarial, control interno, gestin del riesgo empresarial, el fraude, y la presentacin de informes financieros. COSO ha establecido un modelo comn de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
En esta presentacin se expondr exclusivamente lo relativo al Control Interno.
ESTADOS UNIDOS CASO ENRON Caso de fraude financiero muy sonado a nivel mundial. Era una de las empresas mas grandes de Estados Unidos, dispona de un gran futuro comercial. El fraude financiero se descubri cuando se presento por quiebra endeudado 30.000 Millones de dlares Presentar informacin financiera falsa mostrando utilidades de mas o menos 1.000 Millones de dlares
CASO ENRON Ocultamiento de pasivos abismales Consultora ANDERSEN (una de las firmas mas importantes del mundo) Por consecuencia de estos fraudes se vot en el congreso las Leyes Sarbenes Oxley. SANCIONES: Seis aos de prisin para ANDREW FASTON acusado de crear una serie de manejos fraudulentos para disimular las perdidas millonarias. Adems de juicios a los ejecutivos implicados
Informe COSO. COSO I COSO II Internal Control - Integrated Framework Enterprise Risk Management - Integrated Framework Informe COSO. Hace ms de una dcada el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, public el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces sta metodologa se incorpor en las polticas, reglas y regulaciones y ha sido utilizada por muchas compaas para mejorar sus actividades de control hacia el logro de sus objetivos.
Informe COSO. Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e irregularidades que provocaron prdidas importante a inversionistas, empleados y otros grupos de inters, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, public el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones tcnicas asociadas, el cual ampla el concepto de control interno, proporcionando un foco ms robusto y extenso sobre la identificacin, evaluacin y gestin integral de riesgo. Informe COSO.
Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de l, permitiendo a las compaas mejorar sus prcticas de control interno o decidir encaminarse hacia un proceso ms completo de gestin de riesgo. Informe COSO. A nivel organizacional, este documento destaca la necesidad de que la alta direccin y el resto de la organizacin comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestin, el papel estratgico a conceder a la auditora y esencialmente la consideracin del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocrticos.
A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier discusin o problema de control interno, tanto a nivel prctico de las empresas, como a nivel de auditora interna o externa, o en los mbitos acadmicos o legislativos, los interlocutores tengan una referencia conceptual comn, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
Informe COSO. Establecer una definicin comn de control interno que responda a las necesidades de las distintas partes.
Objetivos Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamao y naturaleza, puedan evaluar sus sistemas de control interno Control Interno. Proceso realizado por el consejo de directores, administradores y otro personal de una entidad, diseado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos en las suiguientes categoras:
Efectividad y eficiencia de las operaciones. Confiabilidad de la informacin financiera. Cumplimiento de las leyes y regualciones aplicables.
Control Interno El Control Interno puede juzgarse efectivo en cada una de las categorias anteriores respectivamente, si quienes lo llevan a cabo tienen seguridad razonable sobre que:
Comprenden la extension en la cual se estn obteniendo los objetivos de las operaciones de la entidad. Los EEFF publicados se estan preparando confiablemente. Se est cumpliendo con las leyes y regulaciones aplicables.
Ya que el Control Interno es un proceso, su efectivida es un estado o condicin del mismo en uno o ms puntos a travs del tiempo
ESTRUCTURA DE COSO I COSO I AMBIENTE DE CONTROL EVALUACION DE RIESGO ACTIVIDAD DE CONTROL INFORMACION COMUNICACIONAL MONITOREO Componentes del Control Interno. Ambiente de Control. Es el fundamento de todos los dems componentes del control interno, proporcionando disciplina y estructura. Valoracin de Riesgos. Identificacin y anlisis de los riesgos relevantes para la consecucin de los objetivos, constituyendo una base para determinar cmo se deben administrar los riesgos. Actividades de Control. Polticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.
Componentes del Control Interno. Informacin y Comunicacin. Identificacin, obtencin y comunicacin de informacin pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades. Monitoreo. Proceso que valora el desempeo de sistema en el tiempo.
Definicin de Riesgo Es la probabilidad que ocurra un determinado evento que puede tener efectos negativos para la institucin.
Riesgos es uno de los cinco componentes del Marco de Control Interno COSO. Gestin de Riesgo. Todas las organizaciones independientemente de su tamao, naturaleza o estructura, enfrentan riesgos
LOS OBJETIVOS DE LA GESTION DE RIESGO SON IDENTIFICAR, CONTROLAR Y ELIMINAR LAS FUENTES DE RIESGOS.
COSO II Administracin de riesgo de la empresa ERM Estructura del COSO II. Los 8 componentes del coso II estn interrelacionados entre si. Estos procesos debe ser efectuados por el director, la gerencia y los dems miembros del personal de la empresa a lo largo de su organizacin Los 8 componentes estn alineados con los 4 objetivos. Donde se consideran las actividades en todos los niveles de la organizacin La administracin de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como: La definicin de administracin de riesgos de la empresa Los principios crticos y componentes de un proceso de administracin de riesgo corporativo efectivo. Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos. Criterios para determinar si la administracin de riesgo de la empresa es efectiva Conceptos claves de el COSO II Administracin del riesgo en la determinacin de la estrategia Eventos y riesgo Apetito o tolerancia al riesgo Visin de portafolio de riesgo
Descripcin de Componente del COSO II. Ambiente interno Sirve como la base fundamental para los otros componentes del ERM, dndole disciplina y estructura. Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa Establecimientos de objetivos. Es importante para que la empresa prevenga los riesgo, tenga una identificacin de los eventos, una evaluacin del riesgo y una clara respuesta a los riesgos en la empresa. La empresa debe tener una meta clara que se alineen y sustenten con su visin y misin, pero siempre teniendo en cuenta que cada decisin con lleva un riesgo que debe ser previsto por la empresa Identificacin de eventos Se debe identificar los eventos que afectan los objetivos de la organizacin aunque estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer de la mejor forma posible. La empresa debe identificar los eventos y debe diagnosticarlos como oportunidades o riesgos. Para que pueda hacer frente a los riesgos y aprovechar las oportunidades. Actividades de control Son las polticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. Tipo de actividades de control: Preventiva, detectivas, manuales, computarizadas o controles gerenciales Respuesta al riesgo Una vez evaluado el riesgo la gerencia identifica y evala posibles repuestas al riesgo en relacin al las necesidades de la empresa. Las respuestas al riesgo pueden ser: Evitarlo: se discontinan las actividades que generan riesgo. Reducirlo (mitigar): se reduce el impacto o la probabilidad de ocurrencia o ambas Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porcin del riesgo. Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo. Informacin y comunicacin La informacin es necesaria en todos los niveles de la organizacin para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicacin se debe realizar en sentido amplio y fluir por toda la organizacin en todo los sentidos. Debe existir una buena comunicacin con los clientes, proveedores, reguladores y accionistas. Monitoreo. Sirve para monitorear que el proceso de administracin de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. El monitoreo se puede medir a travs de: Actividades de monitoreo continuo Evaluaciones puntuales Una combinacin de ambas formas
COSO y Auditoria Interna. La auditoria interna se considerar entonces como una parte del sistema de control.
Informe COSO es una herramienta utilizada por la Auditoria interna para realizar el control interno de la empresa.
La responsabilidad de los Auditores Internos en este proceso es la de revisar el Control implementado.
Procesos de Negocio: Relacionados con el cliente externo. Ejm.: Ventas, Produccin, Investigacin y Desarrollo, Post Venta, etc. Procesos de Soporte: Aseguramiento de recursos. Cumplimiento de obligaciones legales y normas internas. SCI: Procesos Ejm: Finanzas, Contabilidad, Sistemas, RRHH, Legales, Gestin de Riesgos, inmuebles, etc. Procesos de Gestin: Relacionados con la direccin, planificacin. Polticas: Que se permite hacer (Reglas) Normas : Quien realiza qu , en la organizacin (Incl. Requisitos) Proceso : Cmo se realizan las actividades (Incl. Recursos)
Ciclo de vida de los productos. Conjunto de actividades: - Secuenciales en el tiempo con un inicio y un fin (Output de la ltima actividad). - Eventos Mltiples (Output es la suma de los outputs de las actividades) SCI: Procesos .. Involucra recursos como Instalaciones y Activos Infraestructura Tecnolgica Explotacin Tecnolgica Recursos Humanos Pueden ser . Intangibles: Tangibles: Computadoras, Redes, Servidores, Salas de Computo, Equipos, manuales, libros, discos, etc. Informacin, Seguridad y salud del personal, privacidad de usuarios, contraseas, imagen pblica, etc. SCI: Recursos Vulnerabilidades Debilidades o deficiencias en los procesos, sistemas o recursos. Fallas en el diseo de sistemas o procesos Controles inadecuados o insuficientes Control de acceso (lgicos y fsicos) Falta de Mantenimiento Personal sin conocimiento Desactualizacin de sistemas crticos Amenazas / Ataques Hechos que pueden producir daos sean en forma fortuita o intencionada Desastres Naturales Errores Humanos y Procedimentales Errores Tecnolgicos: Hardware y Software Actos Malintencionados Entorno de la Empresa: Competidores Amenazas Provocados por la naturaleza Lluvias, inundaciones, terremotos, rayos, etc. Ataques Provocados por el hombre Hackers, crackers, piratas. Virus. Escucha electrnica Ataques fsicos Proporciones 20% 80% Externos Internos Procedencia de los ataques Externa. Interna. Administrativos. Ingenieros. Operadores. Programadores. Auxiliares. Competidores. Usuarios. Delincuentes. Posibles acciones de los competidores sabotaje espionaje robo de programas soborno Posibles acciones de los usuarios Obtencin de informacin. Entrega de informacin a competidores. Infeccin viral Archivo Infectado Transmisin Reproduccin INFECCIN Tendencias de los ataques Tendencias de los ataques Posibles acciones de los administrativos Falsificar informacin. Entrega de informacin a externos. Posibles acciones de los ingenieros Activar defectos. Acceder a los sistemas de seguridad. Posibles acciones de los operadores Destruir archivos. Copiar archivos. Posibles acciones de los programadores Introducir fallas. 1 1 3 Robar programas o datos. Posibles acciones de los auxiliares Vender reportes o duplicados. Buscar informaciones Posibilidad que ocurra un evento que pueda afectar el logro de los objetivos de la organizacin. Se mide en trminos de impacto y probabilidad. SCI: Riesgo SCI: Riesgos Riesgo del Negocio: Pueden afectar la viabilidad del negocio o empresa a largo plazo. Riesgo Inherente: Riesgo antes de considerar la efectividad de los sistemas de control (Riesgo Total). Riesgo de Control: Posibilidad de que los controles vigentes, no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo Residual: Riesgo no considerado dentro de los sistemas de control implantados. Pueden ser Riesgos internos: Operacional, Crditos, etc. Riesgos externos: Normativos, Mercado, Naturales, etc. Modelo de Riesgos. Se debe implantar mecanismos para identificar, analizar y gerenciar los riesgos. Recursos o Procesos (Aplicativos) Factores que inciden como probabilidad o impacto en el riesgo Importancia en el negocio Volumen de operaciones Antigedad de Aplicativo Nivel de Mantenimiento Complejidad de Aplicacin Nmero de Incidencias Conocimiento de Usuarios Nivel de Reclamos Afiliacin de Clientes Ventas Compras y Proveedores Almacenes RRHH Contabilidad Produccin Cuadro de valoracin de factores de riesgos SCI: Riesgos Crtico Alto A A NA No aceptable Alto M M A A NA Medio B B M M A Bajo T Bajo B B M Mnimo Tolerante T B B M Remota Improbable Ocasional Probable Frecuente RIESGO Matriz de Riesgos Valoracin Probabilidad I m p a c t o
SCI: Riesgos Riesgos de Informacin (Bsicos) Prdida de confidencialidad Prdida de integridad Prdida de disponibilidad Prdida de Activos SCI: Riesgos COSO Actividades de Control Es el conjunto integrado de estructuras, polticas, procedimientos, mtodos, procesos y recursos, que permiten mitigar los riesgos a los que est expuesto una organizacin, en funcin a sus objetivos y metas. SCI: Controles Pueden ser: Manuales o Automticas Por operacin, diaria, semanal, mensual, eventual, etc. Controles Preventivos. Para evitar hechos no deseados, antes de empezar un proceso, se implementan para incrementar la calidad de los procesos y para eliminar los problemas en origen Controles Correctivos Para corregir hechos no deseados que han ocurrido, y que son difciles de identificar previamente. Controles Detectivos Identifica desviaciones antes de concluir un proceso, detectando errores difciles de definir y predecir y cuyas consecuencias no suelen ser muy relevantes Controles Directivos Para provocar o promover que sucedan hechos deseados, esta orientado al seguimiento de indicadores de resultados internos. Tipos: SCI: Controles 1. Seguimiento, supervisin de los controles generales o especficos, como: Auditora Interna Comits de control 2. Generales, afectan de forma generalizada a un grupo de procesos, como: Segregacin de Funciones Polticas y procedimientos Control de Accesos y Control de Cambios Seleccin y formacin de personal Controles fsicos sobre activos y registros. Niveles SCI: Controles 3. Especficos, mecanismos que permiten prevenir, detectar y corregir los riesgos, como: Autorizaciones. Verificaciones y reclculos Documentos y registros adecuados. Conciliaciones Chequeos independientes. Comparacin de registros con activos Todo control debe generar evidencia y se valora su efectividad para mitigar el riesgo (deben existir los mnimos necesarios) Niveles SCI: Controles COSO Ambiente de Control Se refiere a la actitud y las acciones del Directorio y la Gerencia con respecto a la importancia del control dentro de la organizacin. El entorno de control proporciona la disciplina y la estructura para lograr los objetivos principales del sistema de control interno. Incluye los siguientes elementos : Integridad y valores ticos. Estilo de operacin y filosofa de la gerencia. Estructura organizacional Asignacin de autoridad y responsabilidades Polticas y prcticas de recursos humanos Compromiso de competencias del personal. Comit de Auditoria SCI: Controles COSO Informacin y Comunicacin Informacin estructurada y oportuna para que los gerentes evalen los resultados de gestin versus los objetivos (desempeo). Seguridad: Confidencialidad, Disponibilidad e Integridad Clasificacin: Definir estndares para adoptar proteccin adecuada, puede ser Pblica, Privada, Confidencial y secreta SCI: Controles COSO Monitoreo Todo el proceso debe ser supervisado y actualizado segn necesidades, a fin de que el sistema reaccione dinmicamente. Se deben realizar evaluaciones peridicas o puntuales del funcionamiento de los controles, por: Los propios responsables Control Interno Auditoria interna Auditoria externa. SCI: Evaluacin de Controles SCI: Evaluacin de Controles La evaluacin debe considerar Que se realicen como se disearon Validar la efectividad: Disminuya el riesgo Que est actualizado Que aporten valor agregado Sistema de Control Interno - Coso Filosofa y Estilo de la Direccin. Estructura Organizacional Consejo de Administracin y Comits. Asignacin de Autoridad y Responsabilidad Administracin de los Recursos Humanos. Integridad y Valores ticos. Definicin de Objetivos Revisin de procesos asociados Anlisis de Riesgos Valoracin de Riesgos Cumplimiento de Objetivos Polticas y Procedimientos Anlisis efectuados por la Direccin Procesamiento de informacin Controles fsicos y lgicos Indicadores de rendimiento Segregacin de funciones Comunicacin interna y externa, a todos los niveles. Informacin gerencial y financiera. Informacin operativa, de control y supervisin Calidad de la informacin. Medios de comunicacin. Monitoreo continuo por la administracin Evaluaciones internas (Propias y Auditora) Evaluaciones Externas COMPONENTES Sistema de Control Interno Procesos y Recursos GESTIN DEL RIESGO Valoracin y Matriz de Riesgos Implantar Controles Seguridad Evaluacin de Controles Amenazas Vulnerabilidades Preventivos . Detectivos . Correctivos . Directivos . No existe . Deficientes . Inadecuados . I n h e r e n t e
R de Control R Residual Pto. Mitigacin Valoracin Riesgos Rec. o Procesos Factores probabilidado impacto riesgo Import ancia Volu men Antiged ad Conoci mien Recl amo s Afiliacin de Clientes Alto Medi o Alto Bajo Med io RRHH Alto Medi o Alto Bajo Med io Contabilid ad Alto Medi o Alto Bajo Med io Produccin Alto Medi o Alto Bajo Med io Probabilidad I m p a c t o
A M B Conclusiones No existe ninguna organizacin a salvo de ataques a sus sistemas informticos. No existe sistema informtico, ni organizacin absolutamente seguros. Tiene componente subjetivo Existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza Sistema de Control Interno GRACIAS