1 / 42

Control Interno

Control Interno. Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos .

kylee-shaw
Download Presentation

Control Interno

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Control Interno Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos. ISACA -Control Objectives for Information and Related Technology (CobiT) Derechos reservados

  2. Control interno • Es un conjunto de elementos de administración • Incluye estructuras, procedimientos, políticas, gente, etc. • Apoya el logro de metas y objetivos de negocio • Evita la ocurrencia de eventos negativos Derechos reservados

  3. COBIT Un estándar global Derechos reservados

  4. COBIT • Sus antecedentes • Su definición • Su misión • Sus usuarios • Sus características generales • Sus componentes • Su estructura • Sus alcances Derechos reservados

  5. COBIT … sus antecedentes • La comunidad de profesionistas relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés • La ISACF, como órgano que agrupa a profesionistas de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo común de conocimientos sobre la materia Derechos reservados

  6. COBIT … sus antecedentes • Integra y concilia normas y reglamentaciones existentes • ISO • Códigos de conducta del consejo europeo • COSO, IFAC, IIA, ISACA, AICPA, Etc. • Incluye los anteriores Objetivos de Control emitidos por la ISACA • Se publica en septiembre de 1996 Derechos reservados

  7. COBIT … su definición COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para tecnología de información y tecnologías relacionadas). Derechos reservados

  8. COBIT … su misión Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores. Derechos reservados

  9. COBIT … su usuarios • La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas • Los usuarios de TI pueden obtener un aseguramiento sobre la seguridad y el control de productos adquiridos en forma externa • Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa • Los responsables de TI pueden identificar los controles que requieren establecer en su área Derechos reservados

  10. COBIT … sus características • Orientación al negocio • Alineación con estándares y regulaciones “de jure” y “de facto” • Basado en una revisión crítica de tareas y actividades en tecnología de información. • Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA Derechos reservados

  11. COBIT … los productos • Resumen ejecutivo • Marco referencial (framework) • Objetivos de control • Guías de auditoría • Herramientas de Implementación • CD - ROM • COBIT en Español Derechos reservados

  12. COBIT … Resumen ejecutivo El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace una descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT. Derechos reservados

  13. COBIT … Marco referencial El marco referencial incluye la introducción contenida en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los 34 objetivos de control de alto nivel (34 procesos) para los cuatro dominios. Derechos reservados

  14. COBIT … Objetivos de Control Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel. Se incluyen de 3 a 30 objetivos detallados por cada objetivo de control de alto nivel, totalizando 302. Derechos reservados

  15. COBIT … Guías de Auditoría Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y substanciar los riesgos). Este documento incluye guías detalladas para auditar cada uno de los 34 objetivos de alto nivel. Derechos reservados

  16. COBIT … Herramientas de Implemetación • Proporciona las lecciones aprendidas por aquellas organizaciones que se hicieron a la tarea de aplicar COBIT en sus ambientes de trabajo. • Incluye una guía de implementación con dos herramientas útiles: Diagnóstico de Conciencia Administrativa y Diagnóstico de Control de Tecnología de Información, así como Casos de Estudio detallados. • Además cuenta con las respuestas a las 25 más frecuentes preguntas sobre COBIT. Derechos reservados

  17. COBIT … CD ROM • El CD ROM de COBIT contiene toda la información relacionada con los Objetivos de Control y Guías de Auditoría, de tal forma que su búsqueda y acceso sea directo. Esto permite contar con las guías por objetivo de control, de una forma oportuna para la realización de las labores de Auditoría. Derechos reservados

  18. Principios de la Infraestructura I N F O R M A C I O N E VENTOS Datos Sistemas de Aplicación TECNOLOGIA mensaje entrada servicio salida INSTALACIONES GENTE • GENTE • OBJETOS Derechos reservados

  19. Marco referencial PROCESOS DE NEGOCIO Criterios • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad INFORMACION RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • gente ¿ Concuerdan ? ? Derechos reservados

  20. En resumen ….. PROCESOS DE NEGOCIO Criterios • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad COBIT INFORMACION RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • gente PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE Derechos reservados

  21. Definición de un Plan Estratégico de Tecnología de Información • Definición de la Arquitectura de Información • Determinación de la dirección tecnológica • Definición de la Organización y de las Relaciones de TI • Manejo de la Inversión en Tecnología de Información • Comunicación de la dirección y aspiraciones de la gerencia • Administración de Recursos Humanos • Aseguramiento del Cumplimiento de Requerimientos Externos • Evaluación de Riesgos • Administración de proyectos • Administración de Calidad Procesos de TI y sus dominios • Monitoreo de los procesos • Evaluar lo adecuado del Control Interno • Obtención de aseguramiento independiente • Proveer una auditoría independiente RECURSOS DE TI • datos • sistemas de aplicación • tecnología • instalaciones • gente PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION • Definición de Niveles de Servicio • Administración de Servicios prestados por Terceros • Administración de Desempeño y Capacidad • Aseguramiento de Servicio Continuo • Garantizar la Seguridad de Sistemas • Identificación y Asignación de Costos • Educación y Entrenamiento de Usuarios • Apoyo y Asistencia a los Clientes de Tecnología de Información • Administración de la Configuración • Administración de Problemas e Incidentes • Administración de Datos • Administración de Instalaciones • Administración de Operaciones ENTREGA Y SOPORTE • Identificación de Soluciones • Adquisición y Mantenimiento de Software de Aplicación • Adquisición y Mantenimiento de Arquitectura de Tecnología • Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información • Instalación y Acreditación de Sistemas • Administración de Cambios Derechos reservados

  22. Criterios de información Calidad Normatividad Seguridad Datos Instalaciones Dominios Tecnología Sistemas Procesos Gente Procesos de TI Actividades Recursos de TI El “Cubo” de COBIT Derechos reservados

  23. El control de Proceso de TI Que satisface Requerimiento de Negocio Es habilitado por Declaración de Control Considerando Prácticas de control Estructura de COBIT Derechos reservados

  24. confidencialidad disponibilidad cumplimiento confiabilidad efectividad integridad eficiencia P S Planeación y Organización Criterios de Información Recursos de TI Adquisición e Implementación Dominios de TI Entrega y Soporte Ayudas de Navegación Tres puntos de posición Monitoreo instalaciones aplicaciones tecnología gente datos Ayudas de Navegación Derechos reservados

  25. Cómo se relacionan Recursos de TI Procesos de trabajo Requerimientos de negocio • Datos • Sistemas de Información • Tecnología • Instalaciones • Recursos humanos • Planeación y organización • Adquisición e implementación • Prestación de servicios y soporte • Monitoreo • Efectividad • Eficiencia • Confidencialidad • Integridad • Disponibilidad • Cumplimiento • Confiabilidad de la información Derechos reservados

  26. Recursos Gente Sistemas de información Instalaciones Tecnología Datos Efectividad Eficiencia Confidencialidad Integridad Requerimientos Disponibilidad El proceso de planeación debe tomar en consideración los requerimientos de integridad de datos Cumplimiento Confiabilidad de la información Monitoreo Prestación de servicio y soporte Dominios (procesos) • Adquisición e implementación Planeación y organización Derechos reservados

  27. Recursos de TI • Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráfica, sonidos, etc. • Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología) • Tecnología: Incluye hardware (equipo), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc. • Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. • Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información. Derechos reservados

  28. Agrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Dominios Series de actividades unidas con cortes naturales de control. Procesos Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas. Actividades o tareas Procesos de TI Derechos reservados

  29. Dominios • Planeación y organización - Planning and organization - • Adquisición e implementación - Acquisition and implementation - • Prestación de servicios y soporte - Delivery and support - • Monitoreo - Monitoring - Derechos reservados

  30. Procesos • Planeación y organización • Definir un Plan Estratégico de Tecnología de Información • Definir la Arquitectura de Información • Determinar la dirección tecnológica • Definir la Organización y las Relaciones de TI • Manejar la Inversión en Tecnología de Información • Comunicar la dirección y aspiraciones de la gerencia • Administrar Recursos Humanos • Asegurar el Cumplimiento de Requerimientos Externos • Evaluar Riesgos • Administrar proyectos • Administrar Calidad Derechos reservados

  31. Procesos • Adquisición e implementación: • Identificar Soluciones • Adquirir y Mantener Software de Aplicación • Adquirir y Mantener la Arquitectura de Tecnología • Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información • Instalar y Acreditar Sistemas • Administrar Cambios Derechos reservados

  32. Procesos • Prestación de servicio y soporte: • Definir Niveles de Servicio • Administrar Servicios prestados por Terceros • Administrar Desempeño y Capacidad • Asegurar un Servicio Continuo • Garantizar la Seguridad de Sistemas • Identificar y Asignar Costos • Educar y Entrenar a Usuarios • Apoyar y Asesorar a los Clientes de Tecnología de Información • Administrar la Configuración • Administrar Problemas e Incidentes • Administrar Datos • Administrar Instalaciones • Administrar Operaciones Derechos reservados

  33. Procesos • Monitoreo: • Monitoreo de los procesos • Evaluar qué tan adecuado es el Control Interno • Obtener aseguramiento independiente • Proporcionar Auditoría Independiente. Derechos reservados

  34. Objetivos de control 3. Prestación de servicio y soporte (dominio) DS.2 Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea). Objetivo de control:“La gerencia debe definir procedimientos específicos para asegurar que un contrato formal es definido y acordado para cada relación de servicio con un proveedor”. Derechos reservados

  35. Requerimientos de negocio 1/2 • Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable. • Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos. • Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada. • Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo con los valores y expectativas de la empresa Derechos reservados

  36. Requerimientos de negocio 2/2 • Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mismos. • Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa ej. criterios de negocio impuestos en forma externa • Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración opere la empresa y cumpla con sus responsabilidades de reportes financieros y de cumplimiento normativo. Derechos reservados

  37. Cómo se relacionan los elementos Recursos de TI Procesos de trabajo Requerimientos de negocio Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se verán afectados Derechos reservados

  38. Information Systems Audit and Control Association Guías de auditoría Una guía genérica identifica varias tareas a ser desarrolladas para evaluar cualquier objetivo de control dentro de un proceso. Esta guía genérica extrajo todas las tareas repetitivas en una guía a ser aplicada para todos los objetivos de control. Otras 34 son sugerencias específicas orientadas a cada proceso para proporcionar a la gerencia certeza de que los controles existen y trabajan adecuadamente. Derechos reservados

  39. Information Systems Audit and Control Association Identificación y documentación Pruebas de cumplimiento Pruebas sustantivas Evaluación El proceso genérico de auditoría Derechos reservados

  40. Information Systems Audit and Control Association Un proceso de TI es por lo tanto auditado mediante: La obtención de un entendimiento de los requerimientos de negocio, riesgos relacionados y medidas relevantes de control. Evaluación de lo apropiado de los controles establecidos Evaluando el cumplimiento mediante pruebas que determinen si los controles trabajan tal como están prescritos, consistentemente y en forma contínua. Substanciando el riesgo del objetivo de control no alcanzado mediante el empleo de técnicas analíticas y/o consultando fuentes alternativas. Derechos reservados

  41. ¿ Por qué adoptar COBIT ? • Atención al Control Corporativo • Reconocimiento de la Dirección de la necesidad de recursos • Necesidad específica de Recursos de Control de Tecnología de Información • Soluciones orientadas al Negocio • Bases para la administración del Riesgo • Mejora la comunicación entre la Dirección, usuarios y auditores. Derechos reservados

  42. ¿ Preguntas ? Cobit Elia Fernández Torres Grupo Cynthus Varsovia 57 piso 9 México, D.F. (5 25)514-4154 y 57 Derechos reservados

More Related