Академический Документы
Профессиональный Документы
Культура Документы
COSO
Los sistemas de control interno
Vulnerabilidades y ataques sobre los
sistemas y equipos.
Sistema de Control Interno
Modelo de Gobierno TI
Sistema de Control Interno
Modelo de Gobierno TI
Sarbanes US Securities
Oxley & Exchange
COSO Commission
ITSGA
Planificacin Estratgica TI
Mapa de
Procesos y
Recursos
Evaluacin de Modelo de
Controles GESTIN DEL Riesgos
RIESGO
Modelo de
Controles
Qu es C.O.S.O?
Committee of Sponsoring Organizatin of the Treadway Commission
C O S O
Qu es COSO?
Organizacin voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar
orientacin a la gestin ejecutiva a las entidades de
gobierno sobre los aspectos fundamentales de
organizacin de este, la tica empresarial, control
interno, gestin del riesgo empresarial, el fraude, y
la presentacin de informes financieros. COSO ha
establecido un modelo comn de control interno
contra el cual las empresas y organizaciones
pueden evaluar sus sistemas de control.
Enterprise
Internal Risk
Control - Management
Integrated - Integrated
Framework Framework
Informe COSO.
Hace ms de una dcada el Committee of
Sponsoring Organizations of the Treadway
Commission, conocido como COSO, public
el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a
evaluar y mejorar sus sistemas de control
interno. Desde entonces sta metodologa se
incorpor en las polticas, reglas y
regulaciones y ha sido utilizada por muchas
compaas para mejorar sus actividades de
control hacia el logro de sus objetivos.
Hacia fines de
Informe COSO.
Septiembre de 2004, como
respuesta a una serie de escndalos, e
irregularidades que provocaron prdidas
importante a inversionistas, empleados y otros
grupos de inters, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, public el Enterprise Risk
Management - Integrated Framework (COSO II) y
sus Aplicaciones tcnicas asociadas, el cual
ampla el concepto de control interno,
proporcionando un foco ms robusto y extenso
sobre la identificacin, evaluacin y gestin
integral de riesgo.
Informe COSO.
Este nuevo enfoque no sustituye el marco de
control interno, sino que lo incorpora como parte
de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse
hacia un proceso ms completo de gestin de
riesgo.
A nivel organizacional, este
Informe
A
COSO.
nivel regulatorio o
documento destaca la normativo, el Informe COSO ha
necesidad de que la alta pretendido que cuando se
direccin y el resto de la plantee cualquier discusin o
organizacin comprendan problema de control interno,
cabalmente la trascendencia del tanto a nivel prctico de las
control interno, la incidencia del empresas, como a nivel de
mismo sobre los resultados de auditora interna o externa, o
la gestin, el papel estratgico a en los mbitos acadmicos o
conceder a la auditora y legislativos, los interlocutores
esencialmente la consideracin tengan una referencia
del control como un proceso conceptual comn, lo cual
integrado a los procesos hasta ahora resultaba
operativos de la empresa y no complejo, dada la multiplicidad
como un conjunto pesado, de definiciones y conceptos
compuesto por mecanismos divergentes que han existido
burocrticos. sobre control interno.
Informe COSO.
Objetivos
Facilitar un
Establecer una
modelo en base al
definicin comn
de control interno cual las empresas
que responda a las y otras entidades,
necesidades de las cualquiera sea su
distintas partes. tamao y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
suiguientes categoras:
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION COMUNICACIONAL
MONITOREO
AmbienteComponentes
de Control. del Control Interno.
Es el fundamento de todos los dems
componentes del control interno,
proporcionando disciplina y estructura.
Valoracin de Riesgos.
Identificacin y anlisis de los riesgos
relevantes para la consecucin de los objetivos,
constituyendo una base para determinar cmo
se deben administrar los riesgos.
Actividades de Control.
Polticas y procedimientos que ayudan a segurar
que las directivas administrativas se lleven a
cabo.
Componentes del Control Interno.
Informacin y Comunicacin.
Identificacin, obtencin y comunicacin de informacin
pertinente en una forma y en un tiempo que le permita a
los empleados cumplir con sus responsabilidades.
Monitoreo.
Proceso que valora el desempeo de sistema en el
tiempo.
Definicin de Riesgo
Es la probabilidad que ocurra un
determinado evento que puede tener
efectos negativos para la institucin.
Administracin
de riesgo de la
empresa ERM
Estructura
Losdel COSO II. del
8 componentes
coso II estn
interrelacionados entre si.
Estos procesos debe ser
efectuados por el
director, la gerencia y los
dems miembros del
personal de la empresa a
lo largo de su
organizacin
Los 8 componentes estn
alineados con los 4
objetivos.
Donde se consideran las
actividades en todos los
niveles de la organizacin
La administracin de riesgos de la empresa (ERM)
COSO describe en su marco basado en principios tales
como:
La definicin de administracin de riesgos
de la empresa
Los principios crticos y componentes de un
proceso de administracin de riesgo
corporativo efectivo.
Pautas para las empresa, para que ellas
sean capaces de administrar sus riesgos.
Criterios para determinar si la
administracin de riesgo de la empresa es
efectiva
Conceptos claves de el COSO II
Administracin del riesgo en la determinacin de la
estrategia
Eventos y riesgo
Apetito o tolerancia al riesgo
Visin de portafolio de riesgo
Descripcin de Componente del
COSO II.
Ambiente interno
Sirve como la base fundamental para los otros
componentes del ERM, dndole disciplina y
estructura.
Dentro de la empresa sirve para que los
empleados creen conciencia de los riesgos que
se pueden presentar en la empresa
Establecimientos de objetivos.
Intangibles:
Informacin, Seguridad y salud del personal, privacidad de
usuarios, contraseas, imagen pblica, etc.
Vulnerabilidades
Debilidades o deficiencias en los
procesos, sistemas o recursos.
Fallas en el diseo de sistemas o procesos
Falta de Mantenimiento
Desastres Naturales
Actos Malintencionados
Lluvias, inundaciones,
terremotos, rayos, etc.
Ataques
Provocados por el hombre
Hackers, Escucha
crackers, electrnica
piratas.
Virus. Ataques
fsicos
Proporciones
20%
80%
Externos Internos
Procedencia de los ataques
Externa. Competidores.
Usuarios.
Delincuentes.
Interna. Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
Posibles acciones de los
competidores
sabotaje
espionaje
robo de
programas
soborno
Posibles acciones de los
usuarios
Obtencin de
informacin.
Entrega de informacin
a competidores.
Infeccin viral
Falsificar
informacin.
Entrega de informacin
a externos.
Posibles acciones de los
ingenieros
Activar
defectos.
Copiar
archivos.
Destruir archivos.
Posibles acciones de los
programadores
Robar
programas o
datos.
Introducir fallas.
113
Posibles acciones de los
auxiliares
Vender reportes o
duplicados.
Buscar informaciones
SCI: Riesgo
Pueden ser
Riesgos internos: Operacional, Crditos, etc.
Riesgos externos: Normativos, Mercado, Naturales, etc.
SCI: Riesgos
Modelo de Riesgos.
Se debe implantar mecanismos para identificar,
analizar y gerenciar los riesgos.
Afiliacin de
Clientes
Ventas
Compras y
Proveedores
Almacenes
RRHH
Contabilidad
Produccin
SCI: Riesgos
Matriz de Riesgos Valoracin
Crtico No
Alto A A NA aceptable
Alto M M A A NA
Impacto
B M M
Medio B
RI SG O A
Bajo T
E
Bajo B B M
Mnimo
Tolerante T B B M
Probabilidad
SCI: Riesgos
Riesgos de Informacin (Bsicos)
Prdida de confidencialidad
Prdida de integridad
Prdida de disponibilidad
Prdida de Activos
SCI: Controles
COSO Actividades de Control
Es el conjunto integrado de estructuras,
polticas, procedimientos, mtodos, procesos y
recursos, que permiten mitigar los riesgos a
los que est expuesto una organizacin, en
funcin a sus objetivos y metas.
Pueden ser:
Manuales o Automticas
Por operacin, diaria, semanal, mensual,
eventual, etc.
Tipos:
SCI: Controles
Controles Preventivos.
Para evitar hechos no deseados, antes de empezar un proceso,
se implementan para incrementar la calidad de los procesos y
para eliminar los problemas en origen
Controles Correctivos
Para corregir hechos no deseados que han ocurrido, y que son
difciles de identificar previamente.
Controles Detectivos
Identifica desviaciones antes de concluir un proceso, detectando
errores difciles de definir y predecir y cuyas consecuencias no
suelen ser muy relevantes
Controles Directivos
Para provocar o promover que sucedan hechos deseados, esta
orientado al seguimiento de indicadores de resultados internos.
SCI: Controles
Niveles
1. Seguimiento, supervisin de los controles generales o
especficos, como:
Auditora Interna
Comits de control
2. Generales, afectan de forma generalizada a un grupo de
procesos, como:
Segregacin de Funciones
Polticas y procedimientos
Control de Accesos y Control de Cambios
Seleccin y formacin de personal
Controles fsicos sobre activos y registros.
SCI: Controles
Niveles
3. Especficos, mecanismos que permiten prevenir,
detectar y corregir los riesgos, como:
Autorizaciones.
Verificaciones y reclculos
Documentos y registros adecuados.
Conciliaciones
Chequeos independientes.
Comparacin de registros con activos
Polticas y Procedimientos
Anlisis efectuados por la
Comunicacin interna y Direccin
externa, a todos los niveles. Procesamiento de
Informacin gerencial y informacin
financiera. Controles fsicos y lgicos
Informacin operativa, de Indicadores de rendimiento
control y supervisin Segregacin de funciones
Calidad de la informacin.
Medios de comunicacin.
Procesos y
Recursos
No existe .
R de Control
Inherente
Deficientes .
Inadecuados . Pto. Mitigacin
R Residual
Evaluacin Valoracin y A
Impacto
de Controles GESTIN DEL Matriz de
M
RIESGO Riesgos
B
Probabilidad
Valoracin Riesgos
Rec. o Factores probabilidado impacto riesgo
Procesos
Implantar Afiliacin de
Clientes
Alto
Alto
Medi
o
Medi
Alto
Alto
Bajo
Bajo
Med
io
Med
RRHH
o io
Preventivos .
Controles Contabilid ad Alto Medi
o
Alto Bajo Med
io
Detectivos . Seguridad
Alto Medi Alto Bajo Med
Produccin
o io
Correctivos .
Directivos .
Sistema de Control Interno
Conclusiones
No existe ninguna organizacin a salvo
de ataques a sus sistemas informticos.