Ayer, hoy y mañana de los controles

internos

La evolución

Agenda

• De lo local al exterior.

• Del papel individual a los nuevos estándares.

• Robos físicos a robos de electrónicos.

• Continuidad de operaciones.

• Algunas fallas administrativas comunes.

• ¿Qué hacer ante este entorno?

• ¿Qué sigue? Los controles emergentes.

De lo local al exterior

Ampliando el ámbito de control

Las 5 principales deficiencias TI por tipo de control

1. Control de acceso (aplicaciones)

2. Configuración administrativa (mínimos, máximos)

3. Administración de la seguridad (servidores, base

de datos)

4. Continuidad de operaciones (pérdida de datos y

cortes en el servicio)

5. Segregación de funciones (perfiles de usuarios)

Fuente US Government Accounting Office 2009

Escenario de redes locales interacciones al exterior

de forma manual

Comprador

Recibo

Requisitor

Pagador

Contador

TI

Orden de

compra en

papel

Proveedor

1. Riesgos compras equivocadas

2. Proveedores intermediarios

Escenario con mala configuración de permisos

Comprador

Recibo

Requisitor

Pagador

Contador

TI

Orden de

compra en

papel

Proveedor

1. Riesgos compras equivocadas

2. Proveedores intermediarios

3. Compras falsas

Escenario de inadecuada actualización de permisos

Nuevo

promo

Compradory permiso anterior

de recibo

Recibo

Requisitor

Pagador

Contador

TI

cambio de puesto Orden de

compra en

papel

Proveedor

1. Riesgos compras equivocadas

2. Proveedores intermediarios

3. Compras falsas

4. Compras en colusión con proveedores

Escenario de interacciones

Comprador

Recibo

Requisitor

Pagador

Contador

TI

Nube

Proveedor

Orden de compraelectrónica y aceptación

del proveedor

Facturas

Pagos

1. Riesgos compras equivocadas

2. Proveedores intermediarios

3. Compras falsas

4. Compras en colusión con proveedores

5. Robo de información

6. Trasferencias a cuentas distintas del proveedor

Del papel individual a los nuevos

estándares Homologar los protocolos de comunicación

mejora la explotación de la información

Evolución de los controles

Taxonom ías

validaciones

Servicios

Idioma

Conectividad de punto a punto

Memos

contratos fi rmados

fi rmas autógrafas para autorización

Control de accesos y procesos

Controles externos

sujetos a verificación

Controles manuales

Controles de aplicación

Controles generales y

control sobre los controles

de terceros

Se sumaron

Se sumaron

De robos físicos a robos de

electrónicos

También el fraude evoluciona

Fraudes más populares

• Robo de identidades

• Robo de información bancaria

• Robo de información estratégica (fórmulas, clientes, proveedores

etc.)

• Autorizaciones de operaciones inexistentes

• Alteraciones de parámetros (mínimos, máximos, tablas)

• Intercepción de información

• Falsificación digital

• Destrucción de evidencia

• Entre muchos mas…

Existen muchos cyber crimes diariamente

1. Engaño a un periódico haciéndolo creer

que tenia buenas credenciales bancarias.

2. Inserto anuncios que llevaban a los clientes

a sitios para infectarlos con virus.

3. Vendía la solución antivirus en 48 dólares

por persona.

Continuidad de operaciones

El asunto no es solo adquirir, es mantener en control la tecnología.

Que pasa si….

• No hay internet.

• Se pierden mis bases de datos.

• Si requiero modificar o actualizar mis aplicaciones o equipo.

• Si se pierde el suministro eléctrico.

• Si personal clave de TI renuncia, fallece o enferma gravemente.

• Si quiero migrar a otra plataforma más moderna para estar en

posición competitiva.

• Si mis sistemas son atacados y tengo pérdida o fuga de datos

sumamente confidenciales.

• ¿Hay leyes que puedo estar infringiendo? ¿Puedo pagar las

multas?

Al final ¿Cuánto dinero pierdo?

Algunas fallas administrativas comunes

La tecnología responde a los requerimientos de negocio y no al revés.

Proyectos que involucran tecnología

• Las empresas no se cercioran de que la tecnología es adecuada a

los procesos de la empresa, a veces intentan instaurar los

procesos de negocio por medio de la tecnología cuando realmente

es al revés.

• Las empresas subestiman la inversión de tiempo y dinero para

terminar el proyecto. Salen muchos extras.

• El resultado no es el esperado y se hacen nuevos proyectos para

salvar la inversión inicial.

• No hacen la evaluación del proyecto para determinar el valor

presente del mismo.

Operar la tecnología

• Capacitación inadecuada del personal así como poco interés del

mismo.

• Falta de manuales y guías de consulta disponibles a usuarios y

técnicos.

• Uso parcial de las funcionalidades de aplicaciones o

infraestructura.

• Mantenimiento inadecuado a errores, disfuncionalidades o

solicitudes de usuarios.

• Problemas de seguridad.

¿Qué hacer ante este entorno?

ABC de las soluciones

Medidas básicas de control

• En cualquier inversión en tecnología pide

asesoría de un tercero sin conflicto de

interés, el que vende y el que sugiere la

compra están en posición de conflicto de

interés, el primero siempre el segundo a

veces.

Implementar controles en base a riesgos

• Establecer los riesgos que implica la

adquisición de tecnologías de información

por expertos en el tema, siempre

contestando cuatro preguntas básicas:

– ¿Cuál es el objetivo y de que eventos

negativos me puede impedir obtenerlo?

– ¿Qué impacto económico tiene el evento

en la empresa?

– ¿Cuál es la probabilidad de que suceda?

– ¿Cómo responder adecuadamente

riesgo?

Implementar controles en base a riesgos de fraude

• Investigar sobre fraudes utilizando

tecnologías (cambian, hay modas), tanto

internos como externos, y establecer los

riesgos de acceso, proceso, sabotaje

entre otros. Después implementar las

medidas de control y seguridad

necesarias.

Aprende administrar el cambio e implementar por

proyectos

• Los proyectos de nuevas tecnologías, la

implementación de controles así como el

monitoreo de controles, debe usarse

personal capacitado para planear e

implementar en base a la técnica de

administración de proyectos, así como

administrar el cambio dentro de la

organización como factor de éxito para

cumplir con el requerimiento de negocios.

Políticas y procedimientos y plan de cumplimiento

• Tener políticas y procedimientos formales

que dicten claramente las reglas de

operación. Los riesgos se fijan top-down

pero se administran bottom-up.

• Implementar en base a políticas y

procedimientos siempre es mejor y más

económico.

Tener un programa de continuidad de negocio

• Identificar eventos que pueden detener el

negocio en marcha y hacer un plan que

permita superarlos exitosamente al

menor costo posible.

Implementar un plan de monitoreo continuo

• Ningún programa de control interno

funciona exitosamente si no existe un

programa de monitoreo que lo mantenga

vigente y en continua adaptación a las

cambiantes realidades de la

organización.

¿Qué sigue?

Los controles de nueva generación

Los controles emergentes en evolución

• Controles biométricos.

• Controles auto correctores de errores .

• Controles que vigilan acciones físicas (movimientos predefinidos).

• Reconocimiento de video inteligente.

• Alertas e indicadores que activan otros controles.

• Controles satelitales (ubicación, instalaciones).

• Tomadores de notas escritas y voz que se almacenan en bases de

datos.

¡Gracias! C.P.C. Arturo Lara

arturo.lara@rsmi.com.mx

Ave. Jose Vasconcelos 638 A Col Valle del

Campestre, San Pedro Garcia Nuevo Leon 66250 México.

Telefonos:

+ 52 (81) 838 77428

+ 52 (81) 838 74463