coso final-cd
TRANSCRIPT
coso
Comisión 1.
Auditoria de SistemasFIIS -2011
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway
Universidad Nacional Federico Villarreal
Misión: La Auditoría Interna de la Nación es el órgano de control que contribuye a generar un entorno económico transparente y confiable, protegiendo la hacienda pública y privada en beneficio de la sociedad en su conjunto.
Visión: Ser protagonista en la mejora de la gestión de la hacienda pública y generar seguridad y confianza en la hacienda privada al velar por la correcta aplicación de la normativa vigente, logrando constituir una organización flexible, capaz de adaptarse a los cambios del entorno, generando sinergias con los sistemas interactuantes.
Para muchas empresas, la información y la tecnología que las soportan representan
sus más valiosos activos, aunque con frecuencia son poco entendidos.
Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus
interesados
INTRODUCCIÓN
Gobierno de TI
PROCESOS
ORGANIZACIÓN
PERSONAS
TECNOLOGÍA
Gestión de TI
Modelo de Gobierno de TI
ORGANIZACIÓN
COBIT
COSO
MARCO DE CONTROL INTERNO
TI
Nivel 2
Nivel 1
ADM.
Metodologías
Conceptos
COMPETITIVIDAD Control
COSO
COSO
“El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (C.O.S.O.) “
COSO
Implantar Gestionar
Evaluar
SISTEMA DE CONTROL INTERNO
ORGANIZACIÓN
UNA NUEVA SITUACIÓN
- Cambio Cambio +
Tiempo
Políticas
PolíticasPolíticas
Conceptos
Conceptos
Conceptos
Marco de Control Interno
OBJETIVO COSO
No estandarizados
- Cambio Cambio +
Tiempo
Políticas
Conceptos
Marco de Control Interno
OBJETIVO COSO
Estandarizados
Conceptos
Conceptos
Conceptos
Políticas Políticas Políticas
COSO vs. COBIT
CO
SO Foco en la
organizaciónNO ahonda en seguridad
CO
BIT Foco
entorno TIEspecífico en la seguridad informática
CONTROL INTERNO
Efectividad y eficiencia en las operaciones
Confiabilidad en la información financiera
Cumplimientos de políticas, leyes y normas
ELEMENTOS PRINCIPALES DEL CI
Entorno de Control
Evaluación del riesgo
Actividades de control
Información y comunicación
Supervisión
Ejemplo Indicar las principales actividades que se
requieren para que una empresa tenga un adecuado control interno en relación a la SEGURIDAD DE LA INFORMACION (Confidencialidad, Integridad y
Disponibilidad)
AMBIENTE DE CONTROL
1. Controles tecnológicos y de seguridad se consideran importantes
2. Existencia de una Política de Seguridad de la Información
3. Existencia de un Comité de Seguridad de la Información y Comité de Auditoría
4. Recursos Humanos: Preocupación por contratar profesionales idóneos, planes de capacitación, incentivos adecuados
5. Código de Ética
ANALISIS DE RIESGO
1. Especificación de objetivos globales y específicos
2. Identificación de factores críticos de éxito
3. Identificación de riesgos externos (ej. cambios tecnológicos, fuentes de suministro, normativas aplicables, desastres naturales, requerimientos de acreedores, accionistas, clientes)
4. Identificación de riesgos internos (ej. recursos humanos, sistemas, redes, comunicaciones)
ACTIVIDADES DE CONTROL
1. Existencia de políticas y procedimientos relacionadas con las acciones necesarias para afrontar los riesgos y lograr los objetivos:
a) Controles de acceso físicob) Controles de acceso lógicoc) Clasificación de la informaciónd) Respaldose) Monitoreosf) Planes de contingenciag) Segregación de funcionesh) Cumplimiento con estándares de seguridadi) Planes tecnológicos y desarrollo de proyectos
2. Las actividades de control están siendo aplicadas correctamente (ej. supervisión, escalamiento, evaluaciones)
INFORMACIÓN
1. Informes de gestión internos
2. Manuales de procedimientos y descripción de funciones
3. Capacitaciones
4. Reuniones periódicas y existencia de Comités
5. Acceso a fuentes de información externas
6. Encuestas, investigaciones, etc.
COMUNICACIÓN
1. Adecuada descripción de funciones y responsabilidades del personal con respecto al control Interno.
2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.
3. La Alta Dirección es receptiva a sugerencias de los empleados.
4. Sistemas de comunicación interno (ej. intraweb, emails, buzón de sugerencias, etc.)
5. Sistema de comunicación externo (ej. atención clientes, reclamos y sugerencias, escalamientos, )
COMUNICACIÓN
1. Análisis de estadísticas
2. Control de gestión
3. Revisión de informes
4. Auditoría interna
Herramienta Metodológica
El software MEYCOR COSO AG ha sido desarrollado por DATASEC, permite realizar una evaluación del control
interno según el informe COSO, evaluando riesgos y auditando dichas
evaluaciones.
Es un sistema de control interno en
base al marco COSO.
Gestionar los riesgos de la
norma IS0 31000.
Planificar y ejecutar auditorías basadas
en riesgo o generales.
Características Detalladas
El sistema de Control se accede por medio de un logeo y contraseña.
Acceso
Proporciona una barra de herramientas, en las cuales muestra las opciones más utilizadas.
Menú Principal
Grupo de Trabajo
Aquí se pueden definir los grupos de Trabajo y revisores.
Guía Metodológica
Una guía metodológica esta incluidapara la aplicación de la metodología
COSO, esta guía también incluye los pasosa seguir durante la evaluación junto con la
Documentación respectiva.
Los cuestionarios que se hallan pueden ser modificados y están basados en los
diferentes niveles de la organización
Cuestionarios Generales
Los cuestionarios generales pueden ser generados para ser accesados vía web.
Presentación de los Cuestionarios
Reportes de los Cuestionarios
Se pueden visualizar la respuestas de los cuestionarios de manera gráfica, numérica,
por niveles, etc.
Se puede ingresar la composición de la estructura organizativa de la entidad
Estructura Organizacional
Cada área de la organización puede ser definida, así como sus objetivos y responsabilidades.
Constitución Organizacional
Reporte Constitución Organizacional
Procesos Críticos
Los procesos y sub-procesos pueden ser jerarquizados por actividades criticas para el
negocio, por lo tanto requieren mayor atención.
Riesgo y Control de Actividades
Se puede definir los objetivos de control y los controles de riesgo relacionados a los procesos y sub-procesos de la evaluación.
Es posible seleccionar un control de actividades, que en el futuro será auditado.
Crear proyectos de Auditoría
Se pueden crear proyectos de Auditoria, para ello se debe asignar a los auditores y un conjunto de
procesos objetivos que deben ser auditados.
Asignación de Objetivos y Riesgos
En los proyectos se deben definir los objetivos que van a ser auditados por cada auditor.El riesgo de cada objetivo en comparación con el proyecto de auditoria también debe ser definido.
Reporte Final de Auditoria
El Reporte final es automáticamente generado.
Selección de las observaciones que deben ser incluidas en el
reporte.
