Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Unidad: I
Semana: 1
AUDITORIA DE SISTEMAS
CONTABLES
Ing. Marlon Frank Acua Benites
ORIENTACIONES
Estimados alumnos, se recomienda
la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
CONTENIDOS TEMTICOS
COSO
Los sistemas de control interno
Vulnerabilidades y ataques sobre los
sistemas y equipos.
Sarbanes
Oxley
COSO
Desarrollo
Aplicaciones
de Negocios
Tecnologa
y Comunicaciones
ISO
27000
Explotacin
TI
ISO 20000
ITIL ITSM
Gestin de Servicios
ISO9
00x
Sistemas de Calidad
Gestin de Proyectos
ITSGA
PMI
Planificacin Estratgica TI
Gestin de Continuidad del Negocio
ISO
22301
Evaluacin de
Controles
GESTIN DEL
RIESGO
Modelo de
Controles
Modelo de
Riesgos
Qu es C.O.S.O?
Committee of Sponsoring Organizatin of the Treadway Commission
Qu es COSO?
Organizacin voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar
orientacin a la gestin ejecutiva a las entidades de
gobierno sobre los aspectos fundamentales de
organizacin de este, la tica empresarial, control
interno, gestin del riesgo empresarial, el fraude, y
la presentacin de informes financieros. COSO ha
establecido un modelo comn de control interno
contra el cual las empresas y organizaciones
pueden evaluar sus sistemas de control.
En esta presentacin se expondr exclusivamente lo
relativo al Control Interno.
ESTADOS UNIDOS
CASO ENRON
Caso de fraude financiero muy sonado a
nivel mundial.
Era una de las empresas mas grandes de
Estados Unidos, dispona de un gran futuro
comercial.
El fraude financiero se descubri cuando se
presento por quiebra endeudado 30.000
Millones de dlares
Presentar informacin financiera falsa
mostrando utilidades de mas o menos 1.000
Millones de dlares
CASO ENRON
Ocultamiento de pasivos abismales
Consultora ANDERSEN (una de las firmas mas
importantes del mundo)
Por consecuencia de estos fraudes se vot en
el congreso las Leyes Sarbenes Oxley.
SANCIONES:
Seis aos de prisin para ANDREW FASTON
acusado de crear una serie de manejos
fraudulentos para disimular las perdidas
millonarias.
Adems de juicios a los ejecutivos implicados
Informe COSO.
COSO I
Internal
Control Integrated
Framework
COSO II
Enterprise
Risk
Management
- Integrated
Framework
Informe COSO.
Hace ms de una dcada el Committee of
Sponsoring Organizations of the Treadway
Commission, conocido como COSO, public
el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a
evaluar y mejorar sus sistemas de control
interno. Desde entonces sta metodologa se
incorpor en las polticas, reglas y
regulaciones y ha sido utilizada por muchas
compaas para mejorar sus actividades de
control hacia el logro de sus objetivos.
Informe COSO.
Hacia fines de Septiembre de 2004, como
respuesta a una serie de escndalos, e
irregularidades
que
provocaron
prdidas
importante a inversionistas, empleados y otros
grupos de inters, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission,
public
el
Enterprise
Risk
Management - Integrated Framework (COSO II) y
sus Aplicaciones tcnicas asociadas, el cual
ampla
el
concepto
de
control
interno,
proporcionando un foco ms robusto y extenso
sobre la identificacin, evaluacin y gestin
integral de riesgo.
Informe COSO.
Este nuevo enfoque no sustituye el marco de
control interno, sino que lo incorpora como parte
de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse
hacia un proceso ms completo de gestin de
riesgo.
Informe COSO.
A nivel organizacional, este
documento
destaca
la
necesidad de que la alta
direccin y el resto de la
organizacin
comprendan
cabalmente la trascendencia del
control interno, la incidencia del
mismo sobre los resultados de
la gestin, el papel estratgico a
conceder a la auditora y
esencialmente la consideracin
del control como un proceso
integrado a los procesos
operativos de la empresa y no
como un conjunto pesado,
compuesto por mecanismos
burocrticos.
A
nivel
regulatorio
o
normativo, el Informe COSO ha
pretendido que cuando se
plantee cualquier discusin o
problema de control interno,
tanto a nivel prctico de las
empresas, como a nivel de
auditora interna o externa, o
en los mbitos acadmicos o
legislativos, los interlocutores
tengan
una
referencia
conceptual comn, lo cual
hasta
ahora
resultaba
complejo, dada la multiplicidad
de definiciones y conceptos
divergentes que han existido
sobre control interno.
Informe COSO.
Objetivos
Establecer una
definicin comn
de control interno
que responda a las
necesidades de las
distintas partes.
Facilitar un
modelo en base al
cual las empresas
y otras entidades,
cualquiera sea su
tamao y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
suiguientes categoras:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la informacin financiera.
Cumplimiento de las leyes y regualciones
aplicables.
Control Interno
El Control Interno puede juzgarse efectivo en cada
una de las categorias anteriores respectivamente,
si quienes lo llevan a cabo tienen seguridad
razonable sobre que:
Comprenden la extension en la cual se estn obteniendo los
objetivos de las operaciones de la entidad.
Los EEFF publicados se estan preparando confiablemente.
Se est cumpliendo con las leyes y regulaciones aplicables.
ESTRUCTURA DE COSO I
COSO I
AMBIENTE DE CONTROL
EVALUACION DE RIESGO
ACTIVIDAD DE CONTROL
INFORMACION COMUNICACIONAL
MONITOREO
Informacin y Comunicacin.
Identificacin, obtencin y comunicacin de informacin
pertinente en una forma y en un tiempo que le permita a
los empleados cumplir con sus responsabilidades.
Monitoreo.
Proceso que valora el desempeo de sistema en el
tiempo.
Definicin de Riesgo
Es la probabilidad que ocurra un
determinado evento que puede tener
efectos negativos para la institucin.
Riesgos es uno de los cinco componentes
del Marco de Control Interno COSO.
Gestin de Riesgo.
Todas las organizaciones
independientemente de su tamao,
naturaleza o estructura, enfrentan riesgos
COSO II
Administracin
de riesgo de la
empresa ERM
Ambiente interno
Establecimientos de objetivos.
Es importante para que la empresa prevenga
los riesgo, tenga una identificacin de los
eventos, una evaluacin del riesgo y una
clara respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que
se alineen y sustenten con su visin y
misin, pero siempre teniendo en cuenta
que cada decisin con lleva un riesgo que
debe ser previsto por la empresa
Identificacin de eventos
Se debe identificar los eventos que afectan
los objetivos de la organizacin aunque
estos sean positivos, negativos o ambos,
para que la empresa los pueda enfrentar y
proveer de la mejor forma posible.
La empresa debe identificar los eventos y
debe diagnosticarlos como oportunidades o
riesgos. Para que pueda hacer frente a los
riesgos y aprovechar las oportunidades.
Actividades de control
Son las polticas y procedimientos para asegurar que
las respuesta al riesgo se lleve de manera adecuada
y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales, computarizadas o
controles gerenciales
Respuesta al riesgo
Una vez evaluado el riesgo la gerencia identifica y evala
posibles repuestas al riesgo en relacin al las
necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinan las actividades que generan
riesgo.
Reducirlo (mitigar): se reduce el impacto o la
probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porcin del
riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
Informacin y comunicacin
La informacin es necesaria en todos los
niveles de la organizacin para hacer frente a
los riesgos identificando, evaluando y dando
respuesta a los riesgos.
La comunicacin se debe realizar en sentido
amplio y fluir por toda la organizacin en
todo los sentidos.
Debe existir una buena comunicacin con los
clientes, proveedores, reguladores y
accionistas.
Monitoreo.
Sirve para monitorear que el proceso de administracin
de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a travs de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinacin de ambas formas
SCI: Procesos
Procesos de Negocio:
Aseguramiento de recursos.
Cumplimiento de obligaciones
legales y normas internas.
Ejm: Finanzas, Contabilidad, Sistemas, RRHH, Legales,
Gestin de Riesgos, inmuebles, etc.
Procesos de Gestin:
SCI: Procesos
Polticas: Que se permite hacer (Reglas)
Normas : Quien realiza qu , en la organizacin (Incl.
Requisitos)
Proceso : Cmo se realizan las actividades (Incl. Recursos)
SCI: Recursos
.. Involucra recursos como
Instalaciones y Activos
Infraestructura Tecnolgica
Explotacin Tecnolgica
Recursos Humanos
Pueden ser .
Tangibles:
Computadoras, Redes, Servidores,
Equipos, manuales, libros, discos, etc.
Salas
de
Computo,
Intangibles:
Informacin, Seguridad y salud del personal, privacidad de
usuarios, contraseas, imagen pblica, etc.
Vulnerabilidades
Debilidades o deficiencias en los
procesos, sistemas o recursos.
Fallas en el diseo de sistemas o procesos
Controles inadecuados o insuficientes
Control de acceso (lgicos y fsicos)
Falta de Mantenimiento
Personal sin conocimiento
Desactualizacin de sistemas crticos
Amenazas / Ataques
Hechos que pueden producir daos
sean en forma fortuita o intencionada
Desastres Naturales
Errores Humanos y Procedimentales
Errores Tecnolgicos:
Hardware y Software
Actos Malintencionados
Entorno de la Empresa: Competidores
Amenazas
Lluvias, inundaciones,
terremotos, rayos, etc.
Ataques
Hackers,
crackers,
piratas.
Virus.
Escucha
electrnica
Ataques
fsicos
Proporciones
20%
80%
Externos
Internos
Competidores.
Usuarios.
Delincuentes.
Interna.
Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
espionaje
soborno
robo de
programas
Obtencin de
informacin.
Entrega de informacin
a competidores.
Infeccin viral
Archivo
Infectado
Transmisin
Reproduccin INFECCIN
Falsificar
informacin.
Entrega de informacin
a externos.
Activar
defectos.
Copiar
archivos.
Destruir archivos.
Robar
programas o
datos.
Introducir fallas.
11 3
Vender reportes o
duplicados.
Buscar informaciones
SCI: Riesgo
Posibilidad que ocurra un
evento que pueda afectar el
logro de los objetivos de la
organizacin.
Se mide en trminos de
impacto y probabilidad.
SCI: Riesgos
Riesgo del Negocio: Pueden afectar la viabilidad del
negocio o empresa a largo plazo.
Riesgo Inherente: Riesgo antes de considerar la
efectividad de los sistemas de control (Riesgo Total).
SCI: Riesgos
Modelo de Riesgos.
Se debe implantar mecanismos para identificar,
analizar y gerenciar los riesgos.
Cuadro de valoracin de factores de riesgos
Recursos o
Procesos
(Aplicativos)
Afiliacin de
Clientes
Ventas
Compras y
Proveedores
Almacenes
RRHH
Contabilidad
Produccin
Volumen de
operaciones
Antigedad de
Aplicativo
Nivel de
Mantenimiento
Complejidad
de Aplicacin
Nmero de
Incidencias
Conocimiento
de Usuarios
Nivel de
Reclamos
SCI: Riesgos
Matriz de Riesgos Valoracin
Impacto
Crtico
Alto
Medio
Bajo
Mnimo
Alto
NA
No
aceptable
NA
RIESGO
Bajo
Tolerante
Probable
Frecuente
Remota
Improbable
Ocasional
Probabilidad
SCI: Riesgos
Riesgos de Informacin
Prdida de confidencialidad
Prdida de integridad
Prdida de disponibilidad
Prdida de Activos
(Bsicos)
SCI: Controles
COSO Actividades de Control
Es el conjunto integrado de estructuras,
polticas, procedimientos, mtodos, procesos y
recursos, que permiten mitigar los riesgos a
los que est expuesto una organizacin, en
funcin a sus objetivos y metas.
Pueden ser:
Manuales o Automticas
Por operacin, diaria, semanal, mensual,
eventual, etc.
SCI: Controles
Tipos:
Controles Preventivos.
Para evitar hechos no deseados, antes de empezar un proceso,
se implementan para incrementar la calidad de los procesos y
para eliminar los problemas en origen
Controles Correctivos
Para corregir hechos no deseados que han ocurrido, y que son
difciles de identificar previamente.
Controles Detectivos
Identifica desviaciones antes de concluir un proceso, detectando
errores difciles de definir y predecir y cuyas consecuencias no
suelen ser muy relevantes
Controles Directivos
Para provocar o promover que sucedan hechos deseados, esta
orientado al seguimiento de indicadores de resultados internos.
SCI: Controles
Niveles
1. Seguimiento, supervisin de los controles generales o
especficos, como:
Auditora Interna
Comits de control
2. Generales, afectan de forma generalizada a un grupo de
procesos, como:
Segregacin de Funciones
Polticas y procedimientos
Control de Accesos y Control de Cambios
Seleccin y formacin de personal
Controles fsicos sobre activos y registros.
SCI: Controles
Niveles
3. Especficos, mecanismos que permiten prevenir,
detectar y corregir los riesgos, como:
Autorizaciones.
Verificaciones y reclculos
Documentos y registros adecuados.
Conciliaciones
Chequeos independientes.
Comparacin de registros con activos
SCI: Controles
COSO Ambiente de Control
Se refiere a la actitud y las acciones del Directorio y la Gerencia con
respecto a la importancia del control dentro de la organizacin.
El entorno de control proporciona la disciplina y la estructura para
lograr los objetivos principales del sistema de control interno.
Incluye los siguientes elementos :
Integridad y valores ticos.
Estilo de operacin y filosofa de la gerencia.
Estructura organizacional
Asignacin de autoridad y responsabilidades
Polticas y prcticas de recursos humanos
Compromiso de competencias del personal.
Comit de Auditoria
SCI: Controles
COSO Informacin y Comunicacin
Informacin estructurada y oportuna para
que los gerentes evalen los resultados de
gestin versus los objetivos (desempeo).
Seguridad: Confidencialidad, Disponibilidad e Integridad
Clasificacin:
Definir estndares para adoptar proteccin adecuada, puede ser
Pblica, Privada, Confidencial y secreta
Comunicacin interna y
externa, a todos los niveles.
Informacin gerencial y
financiera.
Informacin operativa, de
control y supervisin
Calidad de la informacin.
Medios de comunicacin.
Definicin de Objetivos
Revisin de procesos
asociados
Anlisis de Riesgos
Valoracin de Riesgos
Cumplimiento de Objetivos
COMPONENTES
Procesos y
Recursos
R de Control
Inherente
Evaluacin
de Controles
GESTIN DEL
RIESGO
Pto. Mitigacin
R Residual
Valoracin y
Matriz de
Riesgos
Impacto
No existe .
Deficientes .
Inadecuados .
M
B
Probabilidad
Valoracin Riesgos
Rec. o
Procesos
Preventivos
Detectivos
Correctivos
Directivos
.
.
.
.
Implantar
Controles
Seguridad
Afiliacin
de Clientes
RRHH
Contabilid
ad
Produccin
Import
ancia
Volu
men
Antiged
ad
Conoci
mien
Recl
amo
s
Alto
Medi
o
Alto
Bajo
Med
io
Alto
Medi
o
Alto
Bajo
Med
io
Alto
Medi
o
Alto
Bajo
Med
io
Alto
Medi
o
Alto
Bajo
Med
io
GRACIAS