1.0 fundamentos control y riesgo 2013

2013

FUNDAMENTOS DE CONTROL INTERNO VS

EL MANEJO DEL RIESGO

PLANES, POLITICAS, OBJETIVOS,

ESTRATEGIASPROCESOS,

PROCEDIMIENTOSMANUALES

DE FUNCIONES

TALENTOHUMANO

PRINCIPIOS Y VALORES

NORMAS,

DISPOSICIONES

SISTEMA DE CONTROL INTERNO

SISTEMAS DE INFORMACIÓN

AUDITORIA

INTERNA

ESQUEMA DE ORGANIZACIO

N MECANISMOS DE

VERIFICACION Y

EVALUACION

Quiénes :Todos

Cómo :Indicadores,Normas, Estándares

CONCEPCION MODERNA DEL CONTROL

Cuándo :Permanentemente

Enfoque:Mejoramiento continuo en función del cliente

Objetivo :

CalidadDónde :Procesos

PRINCIPIOS GENERALES PARA

UN CONTROL EFECTIVOSEGREGACION DE

FUNCIONESDELIMITACION DE

RESPONSABILIDADES

AMPARO DE BIENESY VALORES

FORMALIZACION Y DOCUMENTACION DE PROCESOS Y PCDTOS

SEGURIDAD EN INSTALACIONES Y PROTECCION DE LA INFORMACION

SISTEMA DEEVALUACION

DEL DESEMPEÑO MONITOREO

Nuevos retos para el diseñador Nuevos retos para el diseñador de Controlesde Controles

Nuevos retos para el diseñador Nuevos retos para el diseñador de Controlesde Controles

Las empresas necesitan soluciones de control que estén alineadas con las mejores y más modernas prácticas de Administración de Riesgos

Las empresas necesitan soluciones de control que estén alineadas con las mejores y más modernas prácticas de Administración de Riesgos

¿ Cómo enfrentar los nuevos ¿ Cómo enfrentar los nuevos retos ?retos ?


1. Revisar enfoque y metodología utilizados para Administración de Riesgos.

2. Revisar enfoque y metodología empleada para diseño, implantación y actualización de controles internos.

3. Automatizar el proceso de análisis de riesgos y diseño de controles.

1. Revisar enfoque y metodología utilizados para Administración de Riesgos.

2. Revisar enfoque y metodología empleada para diseño, implantación y actualización de controles internos.

3. Automatizar el proceso de análisis de riesgos y diseño de controles.



4. Establecer políticas y normas de seguridad corporativas, utilizando las “Best Practices” recomendadas por los últimos estándares internacionales de control interno:

• COSO

• COBIT

4. Establecer políticas y normas de seguridad corporativas, utilizando las “Best Practices” recomendadas por los últimos estándares internacionales de control interno:

• COSO

• COBIT



5. Mejorar la cultura de control de las Empresas

•Estimular conciencia de Seguridad. El control es responsabilidad de todos en la organización

•Revisar y mejorar la cultura de Autocontrol. El control es intrínseco a las actividades y operaciones que se realizan.

5. Mejorar la cultura de control de las Empresas

•Estimular conciencia de Seguridad. El control es responsabilidad de todos en la organización

•Revisar y mejorar la cultura de Autocontrol. El control es intrínseco a las actividades y operaciones que se realizan.



6. Monitorear periódicamente la protección

existente y el riesgo residual.

Por operación individual.

Por Grupos de Operaciones Relacionadas.

Por Dependencia.

Por Proceso.

6. Monitorear periódicamente la protección

existente y el riesgo residual.

Por operación individual.

Por Grupos de Operaciones Relacionadas.

Por Dependencia.

Por Proceso.

MODELO COSO

Definición de control interno

El reporte COSO define el Control Interno como:

“Un proceso efectuado por la Junta de Directores, administradores y otro personal, diseñado para proveer una confianza razonable de la consecución de los objetivos en las siguientes categorías:

• Efectividad y eficiencia de las operaciones.• La confiabilidad de los reportes financieros.• El cumplimiento con las leyes y regulaciones aplicables.”

El reporte enfatiza que el sistema de control interno es una herramienta de la administración, pero no un sustituto para esta, y que los controles deberán ser construidos dentro de las actividades de operación y no fuera de ellas.

OBJETIVOS DEL REPORTE COSO

Los dos objetivos principales del reporte COSO:

• Establecer una definición común de control interno que sirviera a diferentes partes interesadas.

• Proporcionar un Estándar contra el cual las organizaciones pudieran evaluar sus sistemas de control y determinar como mejorarlos.

MONITORING

CONTROL ACTIVITIES

RISK ASSESSMENT

CONTROL ENVIRONMENT

INFORMATIONCOMMUNICATION

INTERNAL CONTROL COMPONENTES

C.O.S.O.

AMBIENTE DE CONTROL

VALORACIÓN DE RIESGOS

ACTIVIDADES DE CONTROL

MONITOREO

INFORMACIÓNCOMUNICACIÓN

Responsabilidades de los Auditados

* Definir

* Diseñar

* Implantar

* Ejecutar

* Supervisar (Monitorear)

* Dar Mantenimiento - Actualizar.

El Control Interno

Una responsabilidad de todos en la Empresa

El Control Interno

Una responsabilidad de todos en la Empresa

Responsabilidades de la Auditoría

* Evaluar (Monitorear)

* Verificar (Monitorear)

* Retroalimentar a los auditados

* Asesorar a los Auditados.

Modelo de COBITISACA, 2000

Marco de Referencia

¿¿Qué Significa Qué Significa COBIT?COBIT?

C ControlOB ObjectivesI for InformationT and Related Technology

Objetivos de Control para Informacióny Tecnología Relacionada

Control Objectives for Information and Related TechnologyCOBIT

OBJETIVOS DE COBIT

Servir como un Estándar generalmente aplicable y aceptado por las buenas prácticas de control de tecnología de información (IT).

La expresión “Generalmente aplicables y aceptadas” se utiliza con el mismo sentido que Principios de Contabilidad Generalmente Aceptados.

La expresión “Buenas Prácticas” significa consenso de expertos.

DEFINICION DE CONTROL INTERNO

COBIT adaptó de COSO su definición de control, así:“Las políticas, procedimientos, prácticas y estructuras organizacionales que son diseñadas para proveer razonable confianza de que los objetivos de negocios serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos”.

COBIT adaptó la definición de OBJETIVOS DE CONTROL del modelo SAC, así:“Una declaración del resultado o propósito que será alcanzado mediante la implementación de procedimientos de control en una actividad particular de IT.

COBIT enfatiza el rol y el impacto del control de IT en relación con los procesos de negocios.

RECURSOS TI

INFORMACIÓN

PROCESOS DEL NEGOCIO

Criterios:* Efectividad* Eficiencia* Confidencialidad* Integridad* Disponibilidad* Cumplimiento* Confiabilidad

* Datos* Aplicaciones* Tecnología* Instalaciones* Gente

? Concuerdan

Lo que usted obtiene Lo que usted

necesita


Definición de los DominiosPlaneación y Organización

Adquisición eImplementación

Prestación del Servicio y Soporte

Monitoreo

1

2

3

4


Control Objectives for Information and Related Technology

Dominio: Planeación y Organización

* PO1: Definir un Plan Estratégico de TI* PO2: Determinar la Arquitectura de la Información* PO3: Definir la Dirección Tecnológica* PO4: Definir la Organización y las Relaciones de TI* PO5: Administrar la Inversión* PO6: Comunicar los Propósitos de la Administración y la

Dirección de TI* PO7: Administrar los Recursos Humanos* PO8: Asegurar el Cumplimiento de Requisitos Externos* PO9: Evaluar Riesgos* PO10: Administrar Proyectos* PO11: Administrar la Calidad

COBIT


Dominio: Adquisición e Implementación

* AI1 : Identificar las Soluciones Automatizadas* AI2 : Adquirir y Mantener Software de Aplicación* AI3 : Adquirir y Mantener Infraestructura de Tecnología* AI4: Desarrollar y Mantener Procedimientos* AI5: Instalar y Acreditar los Sistemas* AI6: Administración de Cambios

COBIT


Dominio:Prestación del Servicio y Soporte* DS1: Definir Niveles de Servicio* DS2: Administrar los Servicios de Terceras Partes* DS3: Administrar el Desempeño y la Capacidad* DS4: Asegurar un Servicio Continuo* DS5: Garantizar la Seguridad de los Sistemas* DS6: Identificar y Asignar Costos* DS7: Educar y Entrenar a los Usuarios* DS8: Asistir y Aconsejar a los Clientes * DS9: Administrar la Configuración* DS10: Administrar los Problemas e Incidentes* DS11: Administrar los Datos* DS12: Administrar las Instalaciones* DS13: Administrar las Operaciones

COBIT


Dominio: Monitoreo

* M1: Monitorear los Procesos

* M2: Evaluar lo adecuado que es el Control Interno

* M3: Obtener Aseguramiento Independiente

* M4: Proveer Auditoría Independiente

COBIT

METODOLOGIA PARA EVALUACIÓN DE RIESGOS

(Risk Assessment)

Administración de Riesgos de Administración de Riesgos de Seguridad de la InformaciónSeguridad de la Información

La administración de riesgos de seguridad de La administración de riesgos de seguridad de la informaciónla información es el proceso de mantener la es el proceso de mantener la seguridad de la tecnología de información seguridad de la tecnología de información dentro de una organización.dentro de una organización.

El análisis de riesgosEl análisis de riesgos es el medio por el cual es el medio por el cual los riesgos a los sistemas son identificados y los riesgos a los sistemas son identificados y evaluados para justificar las medidas de evaluados para justificar las medidas de protección.protección.

RiesgoRiesgo es la probabilidad de que un agente de es la probabilidad de que un agente de amenaza explote una debilidad del sistema y amenaza explote una debilidad del sistema y como consecuencia cree un efecto como consecuencia cree un efecto detrimental en el sistema.detrimental en el sistema.

Administración de Riesgos de Administración de Riesgos de Seguridad de la InformaciónSeguridad de la Información

Objetivo del Análisis de Riesgos.Objetivo del Análisis de Riesgos. Asegurar que la seguridad de los sistemas de Asegurar que la seguridad de los sistemas de

computador satisface la relación costo - computador satisface la relación costo - beneficio, está actualizada y responde a las beneficio, está actualizada y responde a las amenazas o causas de riesgo.amenazas o causas de riesgo.

Importancia del Análisis de Riesgos.Importancia del Análisis de Riesgos. Se ha convertido en un problema social Se ha convertido en un problema social

importante, debido al rol central y crítico del importante, debido al rol central y crítico del procesamiento de la información en la procesamiento de la información en la sociedad moderna y a que el costo de las sociedad moderna y a que el costo de las medidas de protección puede ser demasiado medidas de protección puede ser demasiado costoso y algunas veces contraproducente.costoso y algunas veces contraproducente.

Conceptos sobre RiesgosConceptos sobre Riesgos

Webster’s define el riesgo como Webster’s define el riesgo como “la “la posibilidad de daño ó pérdida”posibilidad de daño ó pérdida”. .

En el contexto de los negocios, el riesgo se En el contexto de los negocios, el riesgo se define como define como ““los factores, eventos o los factores, eventos o exposiciones, internos y externos, que exposiciones, internos y externos, que amenazan el logro de los objetivosamenazan el logro de los objetivos”.”.

El riesgoEl riesgo es el costo o valor de las pérdidas es el costo o valor de las pérdidas que puede sufrir una organización, como que puede sufrir una organización, como consecuencia de eventos no deseables consecuencia de eventos no deseables denominados denominados Amenazas ó Causas del Amenazas ó Causas del RiesgoRiesgo..

Diseño de Controles Diseño de Controles Orientado al RiesgoOrientado al Riesgo

Riesgo Potencial (Inherente): Riesgo Potencial (Inherente): Riesgo asociado Riesgo asociado con el ambiente (social, jurídico y tecnológico), y la con el ambiente (social, jurídico y tecnológico), y la forma como se desarrollan los procesos. Punto de forma como se desarrollan los procesos. Punto de partida del diseño de controles y la administración del partida del diseño de controles y la administración del riesgo. No tiene en cuenta los controles establecidos.riesgo. No tiene en cuenta los controles establecidos.

Riesgo Residual:Riesgo Residual: Riesgo no cubierto por los Riesgo no cubierto por los controles establecidos. Punto de llegada del diseño de controles establecidos. Punto de llegada del diseño de los controles y la administración del riesgo.los controles y la administración del riesgo.

Conceptos sobre Conceptos sobre RiesgosRiesgos

Gran parte del Riesgo es inherente a la Gran parte del Riesgo es inherente a la naturaleza de los negocios o servicios de las naturaleza de los negocios o servicios de las empresas. Esta parte no puede ser eliminada, empresas. Esta parte no puede ser eliminada, solamente puede reducirse mediante controles solamente puede reducirse mediante controles o medidas de seguridad, y por consiguiente su o medidas de seguridad, y por consiguiente su manejo es una parte natural del éxito de los manejo es una parte natural del éxito de los negocios.negocios.

Componentes del RiesgoComponentes del Riesgo

El riesgo tiene dos componentes:El riesgo tiene dos componentes:

La La probabilidadprobabilidad de ocurrencia de ocurrencia (P) (P) de la de la causa de riesgo o Amenazacausa de riesgo o Amenaza..

El impacto o Costo El impacto o Costo (C) (C) que la que la ocurrencia de la ocurrencia de la causacausa de riesgo o de riesgo o amenazaamenaza podría generar, expresado en podría generar, expresado en términos monetarios.términos monetarios.

Riesgo = P * CRiesgo = P * C

Modelo de Riesgos TípicosModelo de Riesgos Típicos

El modelo El modelo Audirisk,Audirisk, considera 8 riesgos considera 8 riesgos típicos:típicos:

Pérdidas por Sanciones Legales.Pérdidas por Sanciones Legales. Pérdidas por Errores en el Cálculo de Ingresos.Pérdidas por Errores en el Cálculo de Ingresos. Pérdidas por Errores en el cálculo de Egresos.Pérdidas por Errores en el cálculo de Egresos. Pérdidas Bajas Reputación y Credibilidad Pérdidas Bajas Reputación y Credibilidad

Pública.Pública. Pérdida de Ventaja Competitiva.Pérdida de Ventaja Competitiva. Pérdidas por Daño o Destrucción de Activos.Pérdidas por Daño o Destrucción de Activos. Pérdidas por Fraude ó Hurto.Pérdidas por Fraude ó Hurto. Pérdidas por Decisiones Erróneas.Pérdidas por Decisiones Erróneas.

Identificación de RiesgosIdentificación de Riesgos Potenciales Críticos Potenciales Críticos

ObjetivoObjetivo

Identificar y clasificar en orden de importancia los Identificar y clasificar en orden de importancia los riesgos potenciales riesgos potenciales (inherentes) asociados con la (inherentes) asociados con la forma como se llevan a cabo las actividades del forma como se llevan a cabo las actividades del negocio (las operaciones) soportadas en la negocio (las operaciones) soportadas en la tecnología de información.tecnología de información. Método del Grupo Delphy.Método del Grupo Delphy. Método de Cuestionarios de Riesgo.Método de Cuestionarios de Riesgo.

Identificación de Riesgos Identificación de Riesgos Potenciales CríticosPotenciales Críticos

Productos a Obtener.Productos a Obtener. Cuestionarios de riesgos diligenciados para Cuestionarios de riesgos diligenciados para

cada riesgo potencial evaluado, ócada riesgo potencial evaluado, ó Matriz Delphy con los puntajes asignados por Matriz Delphy con los puntajes asignados por

expertos en el negocio y técnicos de expertos en el negocio y técnicos de sistemas.sistemas.

Calificación de la Calificación de la Vulnerabilidad Vulnerabilidad del negocio del negocio o servicio a los Riesgos Potenciales típicos o servicio a los Riesgos Potenciales típicos evaluados. evaluados.

Relación entre Riesgos y Causas de Relación entre Riesgos y Causas de RiesgosRiesgos

Costo ó Valor de las Pérdidas

Originadas por Eventos no deseables denominados Causas

de Riesgo ó Amenazas

• Sanciones Legales• Pérdida de Ingresos• Exceso de Egresos• Pérdida de Negocios - Credibilidad Pública• Desventaja ante la Competencia• Daño - Destrucción de Activos• Decisiones Erróneas• Fraude - Robo

• Errores u Omisiones Humanas

• Interrupciones por daño de Equipos,

Energía, Aire Acondicionado

• Actos mal intencionados

• Desastres Naturales

RIESGOS

CATEGORIAS DE RIESGOS

CAUSAS DEL RIESGO

(AMENAZAS)

ESTIMACIÓN

IMPACTO

(EFECTO)

* FRECUENCIA DE

OCURRENCIA

(PROBABILIDAD)

* VALOR PÉRDIDA ESTIMADA

Relación entre Riesgos y Relación entre Riesgos y Causas del RiesgoCausas del Riesgo

Causas del Riesgo (Amenazas)Causas del Riesgo (Amenazas)..

Se refieren a los medios, circunstancias y Se refieren a los medios, circunstancias y agentes que generan riesgos.agentes que generan riesgos.

Una causa puede generar más de un tipo de Una causa puede generar más de un tipo de riesgo.riesgo.

Ejemplo.Ejemplo.

La causa La causa Incendio en el Centro de Incendio en el Centro de Cómputo,Cómputo, podría generar varios de los podría generar varios de los riesgos considerados por el modelo riesgos considerados por el modelo Audirisk.Audirisk.

OBJETIVO DE LOS CONTROLESOBJETIVO DE LOS CONTROLES

Deficiencias de control

Causas del

Riesgo

Control 1

Control 2

Control 3

Control 4

Riesgos

Pérdida de ActivosFraudeSanciones Legales

Prevenir

DetectarCorregir

InsuficientesInefectivosNo cumplen

Errores HumanosActos malintencionados

Relación entre Causas del Relación entre Causas del Riesgo y ControlesRiesgo y Controles

Objetivo de los controlesObjetivo de los controlesLos controles actúan sobre las causas del Los controles actúan sobre las causas del

riesgo de tresriesgo de tresmaneras, mutuamente excluyentes:maneras, mutuamente excluyentes:a)a) Como control Preventivo. Como control Preventivo. Para evitar Para evitar

la ocurrencia de la causa del riesgo, óla ocurrencia de la causa del riesgo, ób)b) Como control Detectivo.Como control Detectivo. Para Para

detectar, registrar e informar la detectar, registrar e informar la ocurrencia de la causa (actuar como ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la alarma que se dispara cuando detecta la causa), ó causa), ó


Objetivo de los controlesObjetivo de los controlesLos controles actúan sobre las causas del Los controles actúan sobre las causas del

riesgo de tresriesgo de tresmaneras, mutuamente excluyentes:maneras, mutuamente excluyentes:

c)c) Como control Correctivo Como control Correctivo. Obligan a . Obligan a tomar acción correctiva para resolver el tomar acción correctiva para resolver el problema detectado por los controles problema detectado por los controles detectivos. detectivos.


No existe una relación “uno a uno” entre causas de No existe una relación “uno a uno” entre causas de riesgo y controles.riesgo y controles.

Varias técnicas de control pueden actuar sobre una Varias técnicas de control pueden actuar sobre una causa de riesgo particular.Una técnica de control puede causa de riesgo particular.Una técnica de control puede servir para diferentes causas del riesgo.servir para diferentes causas del riesgo.Ejemplos.Ejemplos.Cifras de control.Cifras de control.

Actúa sobre las siguientes causas de riesgo:Actúa sobre las siguientes causas de riesgo:a) Errores de digitación de documentos grabados.a) Errores de digitación de documentos grabados.b) Manipulación de cifras sensiblesb) Manipulación de cifras sensibles

ENFOQUE PREVENTIVO DE LAS ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROLTRES BARRERAS DE CONTROL

CAUSAS

DE

RIESGO

BARRERA

DETECTIVA

C1

C2

C3

BARRERA

PREVENTIVA

BARRERA

CORRECTIVA

ORGANIZACIÓN

INSTALACIONES

C2

C3

C3

PERSONAS

HW - SW

FINANCIEROS

DATOS

FEEDBACK

Gracias por su Gracias por su atenciónatención

Hasta Pronto Hasta Pronto !!

1.0 fundamentos control y riesgo 2013

Documents