UNIVERSIDAD NACIONAL DE LOJA

rea de la Energa las Industrias y los Recursos Naturales no Renovables

CARRERA DE INGENIERA EN SISTEMAS

TEMAS: Similitudes y diferencias Auditoria informtica y el CI COSO ERM Fecha de inicio Por qu el nombre? Componentes adicionales

Alumno: Elivar Largo Mdulo: 8 B

Docente: Ing. Jenny Cuenca Msc.

Fecha: Loja 22 de abril de 2013

1. Similitudes y diferencias Auditoria informtica y el CI Auditoria Informtica Control Interno

Similitudes

Asesorar sobre el conocimiento de normas y procedimientos existentes dentro de la empresa. Recoger informacin sobre las actividades informticas. Determinar si los pro y normas se llevan de manera efectiva y eficiente. Especialistas en el conocimiento de tecnologas. Control de las actividades de Control diario de las actividades las actividades relacionadas de las actividades relacionadas con la Informtica en un con la Informtica. momento dado.

Diferencias

Se aplica al personal interno y Se aplica externo de la empresa interno.

solo

al

personal

Recoger informacin sobre las Recoger informacin sobre actividades informticas. todos las operaciones relacionadas con los sistemas de informacin. Informa a la Direccin General Informa al Departamento de Informtica

Introduccin Informe COSO Hace ms de una dcada el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, public el Internal Control - ntegrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces sta metodologa se incorpor en las polticas, reglas y regulaciones y ha sido utilizada por muchas compaas para mejorar sus actividades de control hacia el logro de sus objetivos. Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e irregularidades que provocaron prdidas importante a inversionistas, empleados y otros grupos de inters, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, public el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones tcnicas asociadas, el cual ampla el concepto de control interno, proporcionando un foco ms robusto y extenso sobre la identificacin, evaluacin y gestin integral de riesgo. Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de l, permitiendo a las compaas mejorar sus prcticas de control interno o decidir encaminarse hacia un proceso ms completo de gestin de riesgo. A nivel organizacional, este documento destaca la necesidad de que la alta direccin y el resto de la organizacin comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestin, el papel estratgico a conceder a la auditora y esencialmente la consideracin del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocrticos. A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se plantee cualquier discusin o problema de control interno, tanto a nivel prctico de las empresas, como a nivel de auditora interna o externa, o en los mbitos acadmicos o legislativos, los interlocutores tengan una referencia conceptual comn, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.

2. COSO ERM Coso - ERM es un proceso efectuado por el Directorio, la Gerencia y otro personal, aplicado en el establecimiento de estrategias y a travs de toda la empresa (en cada nivel o unidad), diseado para identificar eventos potenciales que puedan afectar a la entidad, y gerenciar los riesgos que se encuentren dentro de su deseo de riesgos, con el propsito de proveer de una certeza razonable acerca del logro de los objetivos de la entidad en las categoras: 1. Estratgico (esta categora no inclua coso 1). 2. Eficiencia y efectividad de las Operaciones. 3. Confiabilidad de la Informacin (Reportes). 4. Cumplimiento. Como se mencion Coso ERM es un proceso, es decir, algo continuo, que no se detiene, que no se da una vez al ao; no es una auditora que se hace cada ao sino que es un proceso continuo. El COSO II, incluye una gua actualizada de herramientas para ayudar a las empresas en la administracin de sus riesgos, ampliando de 5 a 8 los componentes. Con ello, se entrega una respuesta a las necesidades que viven las empresas en la actualidad, las cuales operan en ambientes donde factores como la globalizacin, la tecnologa, reestructuraciones, regulaciones, mercados cambiantes y competencias, entre otros, crean la incertidumbre. La Comisin Treadway plantea en su segundo informe, que la administracin de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales hasta el resultado final y en la retroalimentacin pertinente de todos los procesos. Qu es Enterprise Risk Management? La administracin de riesgos corporativos es un proceso efectuado por el directorio, administracin y las personas de la organizacin, es aplicado desde la definicin estratgica hasta las actividades del da a da, diseado para identificar eventos potenciales que pueden afectar a la organizacin y administrar los riesgos dentro de su apetito, a objeto de proveer una seguridad razonable respecto del logro de los objetivos de la organizacin. Es un proceso continuo: es un medio para un fin, no un fin en si mismo Efectuado por el personal en todos sus niveles (No slo polticas) Aplicado en la definicin de la estrategia Aplicado en toda la organizacin en cada nivel y unidad Diseado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo Provee seguridad razonable, logro de los objetivos estratgicos, operacionales, presentacin de reporte y cumplimiento. Beneficios de ERM Alinear el apetito al riesgo con la estrategia. Relacionar crecimiento, riesgo y retorno. Mejorar las decisiones de respuesta al riesgo. Reducir sorpresas y prdidas operacionales. Identificar y gestionar la diversidad de riesgos por compaa y grupo agregado. Aprovechar las oportunidades. Mejorar la asignacin de capital. 3. Fecha de inicio El proyecto se inici en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administracin de riesgo, reconociendo que muchas organizaciones estn comprometidas en algunos aspectos de la administracin de riesgos. En septiembre de 2004, se publica el informe denominado Enterprise Risk Management-Integrated Framework, el cual incluye el marco global para la administracin integral de riesgos. ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e Industrias manufactureras qumicas.

4. Componentes adicionales Componentes de la administracin de riesgos COSO II (ERM) ESTABLECIMIENTO DE OBJETIVOS. Los objetivos se establecen a nivel estratgico, estableciendo con ellos una base para los objetivos operativos, de reporte y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos precedentes de fuentes externas e internas, y una condicin previa para la identificacin efectiva de eventos, la evaluacin de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la entidad. Este componente nos dice que los objetivos deben existir antes de que la direccin pueda identificar potenciales eventos que afecten a su consecucin. La administracin de riesgos corporativos asegura que la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccionados apoyan la misin de la entidad y estn en lnea con ella, adems de ser consecuentes con el riesgo aceptado. Los Objetivos pueden ser: Objetivos Estratgicos Estos tienen directa relacin con la planificacin de largo plazo, y son el fundamento de las restantes categoras de objetivos. Objetivos Operacionales Estos se relacionan directamente con la eficacia y eficiencia de las operaciones de la entidad, incluye el desarrollo y alcance de los objetivos, como la salvaguarda de los recursos contra las prdidas. Objetivos de Informacin Financiera Estos se refieren a la confiabilidad y razonabilidad de la informacin financiera o no financiera, acorde con principios contables y de auditora, la cual (informacin) tambin puede ser interna o externa. Objetivos de cumplimiento Estos objetivos establecen la adhesin de la entidad en cuanto al cumplimiento de leyes, normas y regulaciones que pueden afectar positiva o negativamente la reputacin organizacional. IDENTIFICACIN DE RIESGOS O EVENTOS. La direccin identifica los eventos potenciales que, de ocurrir, afectarn a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con xito. Los eventos con impacto negativo representan riesgos, que exigen la evaluacin y respuesta de la direccin. Los eventos con impacto positivo representan oportunidades, que la direccin reconduce hacia la estrategia y el proceso de fijacin de objetivos. Cuando identifica los eventos, la direccin contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del mbito global de la organizacin. La metodologa de identificacin de eventos en una entidad puede comprender una combinacin de tcnicas y herramientas de apoyo. Las tcnicas de identificacin de eventos se basan tanto en el pasado como en el futuro. La direccin utiliza diversas tcnicas para identificar posibles acontecimientos que afecten al logro de los objetivos. Estas tcnicas se emplean en la identificacin de riesgos y oportunidades. Por ejemplo, implantar un nuevo proceso de negocio, redisearlo o evaluarlo. A continuacin, se presenta una serie de tcnicas comunes de identificacin de eventos y su aplicacin.

Identificacin de Eventos: Las direcciones utilizan listados de eventos posibles comunes a un sector o rea funcional especifica. Estos listados se elaboran por el personal de la entidad o bien son listas externas genricas y se utilizan, por ejemplo, con relacin a un proyecto, proceso o actividad determinada, pudiendo resultar tiles a la hora de asegurar una visin coherente con otras actividades similares a la organizacin. Cuando se trata de listados generados externamente, el inventario se revisa y se somete a mejoras, adaptando su contenido a las circunstancias de la entidad, para presentar una mejor relacin con los riesgos de la organizacin

y de ser consecuentes con el lenguaje comn de gestin de riesgos corporativos de la entidad. Talleres de Trabajo: Los talleres o grupos de trabajo dirigidos para identificar eventos renen habitualmente a personal de muy diversas funciones o niveles, con el propsito de aprovechar el conocimiento colectivo del grupo y desarrollar una lista de acontecimientos relacionados, por ejemplo, con los objetivos estratgicos de una entidad de negocio o de procesos de la empresa. habitualmente de la profundidad y amplitud de la informacin que aportan los participantes. Algunas organizaciones, en conexin con el establecimiento de objetivos, ponen en marcha un taller en que participa la alta direccin, a fin de identificar eventos que podran afectar al logro de objetivos corporativos estratgicos. Entrevistas: Las entrevistas se desarrollan habitualmente entre entrevistador y el entrevistado o, en ocasiones, con dos entrevistas para cada persona entrevistada, en cuyo caso el entrevistador est acompaado por un compaero que toma notas. Su propsito es averiguar los puntos de vista y Los resultados de estos talleres dependen conocimientos sinceros del entrevistado en relacin con los acontecimientos pasados y los posibles acontecimientos futuros. Cuestionarios y Encuestas: Los cuestionarios abordan una amplia gama de cuestiones que los participantes deben considerar, centrando su reflexin en los factores internos y externos que han dado, o pueden dar lugar, a eventos. Las preguntas pueden ser abiertas o cerradas, segn sea el objetivo de la encuesta. Pueden dirigirse a un individuo o a varios o bien pueden emplearse en conexin con una encuesta de base ms amplia, ya sea dentro de una organizacin o est dirigida a clientes, proveedores u otros terceros. Anlisis del flujo de procesos: El anlisis del flujo de procesos implica normalmente la representacin esquemtica de un proceso, con el objetivo de comprender responsabilidades de sus componentes. Una vez realizado este esquema, los acontecimientos pueden ser identificados y considerados frente a los objetivos del proceso. Al igual que otras tcnicas de identificacin de eventos, el anlisis del flujo de procesos puede utilizarse en una visin de la organizacin a nivel global o a un nivel de detalle. Principales indicadores de eventos e indicadores de alarma: Los principales indicadores de eventos, a menudo denominados principales indicadores de riesgo, son mediciones cualitativas o cuantitativas que proporcionan un mayor conocimiento de los riesgos potenciales, tales como el precio del combustible, la rotacin de las cuentas de valores de los inversores. Para resultar tiles, los principales indicadores de riesgo deben estar disponibles para la direccin de manera oportuna, lo que, dependiendo de la informacin, puede implicar una frecuencia diaria, semanal, mensual o a tiempo real. Los indicadores de alarma se centran habitualmente en operaciones diarias y se emiten, sobre la base de excepciones, cuando se sobrepasa un umbral preestablecido. Las empresas poseen a menudo indicadores de alarma establecidos en unidades de negocio o departamentos. Estos indicadores, para ser eficaces, deben establecer el momento en que deber informarse a los directivos partiendo del tiempo necesario para poner en marcha una accin. Seguimiento de datos de eventos con prdidas: El seguimiento de la informacin relevante puede ayudar a una organizacin a identificar acontecimientos pasados con un impacto negativo y a cuantificar las prdidas asociadas, a fin de predecir futuros sucesos. Las bases de datos de eventos con prdidas asociadas contienen informacin sobre aquellos acontecimientos reales que cumplen criterios especficos. Identificacin continua de Eventos: Las tcnicas anteriormente presentadas se aplican, normalmente, en circunstancias particulares que se presentan con una frecuencia variable a lo largo del tiempo. Tambin se identifican eventos posibles de manera continua en conexin con las actividades diarias propias del negocio. Interrelacin de eventos que pueden afectar a los objetivos: Bajo determinadas circunstancias, son muchos los eventos que pueden tener impactos sobre el logro de un objetivo. Para conseguir una mejor visin y comprensin acerca de sus interrelaciones, algunas empresas utilizan diagramas de eventos en rbol, tambin conocidos como diagramas espinas de pescado.

Un diagrama de este tipo proporciona un medio para identificar y representar de manera grfica la incertidumbre, centrndose por lo general en un objetivo y en el modo en que mltiples eventos afectan el logro. Mediante la agrupacin de posibles eventos de caractersticas similares, la direccin puede determinar con ms precisin las oportunidades y los riesgos. Algunas entidades clasifican los eventos posibles, para ayudar a asegurar que los esfuerzos para su identificacin sean completos. RESPUESTA AL RIESGO. Una vez evaluados los riesgos relevantes, la direccin determina cmo responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la direccin evala su efecto sobre la probabilidad e impacto del riesgo, as como los costos o beneficios, y selecciona aquella que site el riesgo residual dentro de las tolerancias al riesgo establecidas. La direccin identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva de la cartera de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad. Cuando la gerencia haya evaluado el riesgo, identifica y evala posibles respuestas al riesgo en relacin al apetito de riesgo de la entidad. Las respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido. Como ya lo haba mencionado hay varias respuestas del riesgo, a continuacin un breve detalle: Evitarlo: Supone salir de las actividades que generen riesgos porque no se identific alguna opcin de respuesta que redujera el impacto y la probabilidad hasta un nivel aceptable. Evitar el riesgo puede implicar el cese de una lnea de producto o de actividad, frenar la expansin hacia un nuevo mercado geogrfico o a la venta de una divisin. Reducir: Implica llevar a cado acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a la vez. Significa reducir el riesgo residual para ubicarle en la lnea con la tolerancia de riesgo deseada. Compartir: La probabilidad o el impacto del riesgo se reduce trasladando o, de otro modo, compartiendo una parte del riesgo. Igual que la opcin de compartir, significa reducir el riesgo residual para ubicarlo en lnea con la tolerancia de riesgo deseada. Las tcnicas comunes incluyen la contratacin de seguros, la tercerizacin de una actividad sustantiva o adjetiva como una parte de la gestin del recurso humano. Aceptar: No se emprende ninguna accin que afecte la probabilidad o el impacto del riesgo. El COSO ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. Le permite desarrollar sta visin de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad y as poder determinar si el perfil de riesgo residual de la entidad est acorde con su apetito de riesgo global. El ERM tambin propone que para decidir la respuesta a los riesgos, la direccin debera tener en cuenta lo siguiente: Los costos y beneficios de las respuestas potenciales. Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto. Prcticamente todas las respuestas al riesgo implican algn tipo de coste directo e indirecto que se debe medir en relacin con el beneficio que genera. Se ha de considerar el costo inicial del diseo e implantacin de una respuesta (proceso, personal y tecnologa), as como el costo de mantener la respuesta de manera continua. Los costos y beneficios asociados pueden medirse cuantitativa o cualitativamente, empleando normalmente una unidad de medida coherente con la empleada para establecer el objetivo y las tolerancias al riesgo relacionadas. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin a las nuevas oportunidades para la entidad.

Bibliografa:
[1] Auditoria Informtica y Control Informtico. Obtenida el 21 de Abril de 2013, de

http://www.slideshare.net/jaimedanilosistemas/auditoria-informatica-4835783 [2] Control Interno y Auditoria Informtica. Obtenida el 22 de Abril de 2013, de

http://aabbccddee.galeon.com/winpy.htm [3] Coso ERM. Obtenida el 22 de Abril de 2013, de http://www.scribd.com/doc/50648878/COSO-ERM [4] COSO II: Enterprise Risk Management, Primera Parte, 31/07/2009. Obtenida el 22 de Abril de 2013, de https://docs.google.com/viewer? a=v&q=cache:PaxT-wkqOnAJ:www.actualicese.com/Blogs/DeNuestrosUsuarios/Nasaudit-COSO_II_Enterpri se_Risk_Management_Primera_Parte.pdf+&hl=es-419&pid=bl&srcid=ADGEESjV69UwWVdkYdZv6_qx9hD O_d_7k8bhFZVd3ZD7YPhQKr_YvJVlqxK2WnWhkdBgzR-iYM3Vvjz-fHDSMIkAzpZNTQrdRHd0QUDDKe9Bj _MmbxaqvxN0PAali-KH70Z-i-UWA5st&sig=AHIEtbQCYVWqwE8bfqPDmQpd4uSrbkWXRg [5] COSO ERM. Obtenida el 22 de Abril de 2013, de

http://www.slideshare.net/ancadira/presentacin-cursos-13881197 [6] CAPITULO III. DISEO DEL SISTEMA DE CONTROL INTERNO POR EL MTODO INFORME COSO. Obtenida el 22 de Abril de 2013, de https://docs.google.com/viewer?

a=v&q=cache:xBi8IVgKorsJ:dspace.ups.edu.ec/bitstream/123456789/1464/4/CAPITULO %25203.pdf+&hl=es-419&gl=ec&pid=bl&srcid=ADGEESg3bL-YQoXxZ1F7i46Q-pXn-SgJirr-wHT0jPW0326y QIg5MrSsJ3yGj4PfYolOZqBT3fNqbzf_4fevZlgXgtp3jbJlgHZXpTMJC_QeAq9IvVW9UAN20YcySMrW_hn-wB tZtM7J&sig=AHIEtbSC0si_RgHsH0gQ0YG8udjafXcQtQ