Escolar Documentos
Profissional Documentos
Cultura Documentos
Control interno
Es un proceso: Diseado y efectuado por quienes Es la adopcin de una serie Es un proceso llevado a cabo por las medidas que se personas de una organizacin, tienen a cargo el gobierno, la de establecen en las empresas, diseado con el fin de proporcionar administracin y otro personal. Tiene la intencin de dar seguridad razonable sobre el logro de los objetivos de la entidad con relacin a la confiabilidad de la informacin financiera, la efectividad y la eficiencia de las operaciones, y el cumplimiento con las leyes y regulaciones aplicables.
(AUDITORA FINANCIERA DE PYMES en Gua para usar los Estndares Auditora Internacionales de Auditora en las computacionales PYMES.IFAC)
con el propsito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento correctos de las actividades y operaciones de las empresas.
un grado de seguridad "razonable" para la consecucin de sus objetivos, dentro de las siguientes categoras: Eficiencia y eficacia de las operaciones Fiabilidad de la informacin financiera.
CONTROL INTERNO Naturaleza El control interno es diseado e implementado por la administracin para tratar los riesgos de negocio y de fraude identificados que amenazan el logro de los objetivos establecidos, tales como la confiabilidad de la informacin financiera.
(AUDITORA FINANCIERA DE PYMES Gua para usar los Estndares Internacionales de Auditora en las PYMES.IFAC)
CONTROL INTERNO
Hay una relacin directa entre los objetivos de la entidad y el control interno que la entidad implementa para asegurar el logro de tales objetivos. Una vez que se establecen los objetivos, es posible identificar y valorar los eventos (riesgos) potenciales que impediran el logro de los objetivos.
Control interno Riesgos Objetivos de la entidad
Informacin Financiera
Operaciones
Riesgos?
Qu puede pasar!!. Definicin Probabilidad de obtener un resultado desfavorable como resultado de la exposicin a un evento especfico (Gua de Seguridad de la informacin para Pymes.www. Vdigitalrm.com)
Amenazas
Password cracking
Fraudes informticos
Man in the middle
Escalamiento de privilegios
Exploits
Denegacin de servicio
ltimos parches no instalados
Backups inexistentes
Destruccin de equipamiento
Instalaciones default
Desactualizacin
Keylogging
Port scanning
Ms Amenazas!!
Spamming
Violacin de contraseas
Virus
Ingeniera social
empleados deshonestos
Propiedad de la informacin Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros
RIESGOS
PUEDEN
Los riesgos de negocio resultan de condiciones, eventos, circunstancias, acciones o inacciones significantes que podran afectar de manera adversa la capacidad de la entidad para lograr sus objetivos y ejecutar sus estrategias o mediante el establecimiento de objetivos y estrategias que no sean apropiados Los riesgos de fraude corresponden a los actos intencionales cometidos por uno o ms individuos de la administracin, por quienes tienen a cargo el gobierno de la entidad, empleados o terceros, que conlleva el uso de engao para obtener una ventaja injusta o ilegal
Oportunidad
Racionalizacin
Presin
Evolucin de COBIT
Governance of Enterprise IT
Audit
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996
1998
2000
2005/7
2012
Fundamentacin de Facilitadores
Cultura, tica y Comportamiento Estructura Organizacional Informacin Principios Polticas Habilidades y Competencias Capacidad de brindar Servicios Procesos
2012 ISACA. All rights reserved.
Evaluar riesgos
Riesgo de Valoracin
Indicadores de resultados
Riesgo de Rendimiento
Lluvia de ideas/ Entrevistas evaluacin colectiva de las exposiciones potenciales mediante talleres entrevistas estructuradas uno por uno
No
Delphi
Su objetivo es la consecucin de un consenso basado en la discusin entre expertos. Es un proceso repetitivo. Su funcionamiento se basa en la elaboracin de un cuestionario que ha de ser contestado por los expertos. Una vez recibida la informacin,
No
Se centraliza en aquellos tipos de riesgos que puedan interrumpir significativamente las operaciones de negocio
No
SWIFT
Se auxilia de tcnicas de taller en las cuales se impulsa a un grupo a explorar escenarios a travs del " Qu pasara si"
No
Anlisis de escenarios
No
10
Ratios de Impacto
Implicaciones Ratio-Impacto Financieras Financieras Operacionales Operacionales En el cumplimiento En el cumplimiento En las estrategias En las estrategias
5--Crtico
Leyes y Regulaciones Cdigos de Conducta Informacin financiera. a)Flexibilidad operativa-Red, b) Flexibilidad operativaNegocios, c) Operaciones, d) Experiencia de los clientes, ndices de lealtad
Impacto insignificante
Ratios de Probabilidades
Ratios probabilidades Probalidad (%) Frecuencia
> 90%
Es prcticamente seguro que se produzca un poco con menos de 1 ao o que ya se est produciendo
4-Alta probabilidad
70-90%
3-Probablemente
50-70%
2- No es probable
20-50%
1- Probabilidad remota
<20%
11
Cada entidad tendr diferentes exposiciones frente al riesgo y un apetito diferente para tolerar o absorber tal riesgo. Esto se puede expresar en trminos tanto cuantitativos como cualitativos. Objetivos Estrategias Operacional Descripcin Objetivos de alto nivel que mueven la organizacin hacia el logro de su visin y misin. Aborda el uso efectivo y eficiente de los recursos de la organizacin en orden a lograr los objetivos estratgicos. Prevencin de prdidas, robo, eludir de la administracin, desperdicios e ineficiencia en los activos y toma de decisiones de negocios pobre. Valora la confiabilidad del control interno y de la presentacin de reportes externos, incluyendo el proceso de preparacin de los estados financieros. Identifique las implicaciones de las leyes y regulaciones aplicables y cmo se medir el cumplimiento.
Salvaguarda de activos
Presentacin de reportes
Cumplimiento
12
De Negocio
Riesgos
De Fraude
Riesgos de Negocio
Hardware Software Recurso Humano Procesamiento de Datos Seguridad
Hd= Hardware Sf = Software Rh= Recurso Humano Pd= Procesamiento de datos Se= Seguridad
13
Una vez identificados los factores de riesgo as como el elemento impactado, el siguiente paso es valorar o clasificar su significancia. Es preferible valorar esos riesgos antes de considerar cualquier control interno que mitigue los riesgos. Recuerde aplicar una metodologa de valoracin 5 Impacto del riesgo Significativo
Alto Impacto Alta Probabilidad
Probabilidad 5 1
Impacto 5 1
Riesgo combinado 25 1
1 Residual
Hardware Riesgo identificado Cadas del sistema Qu puede ocurrir? Daos en equipos y dispositivos perifricos Valoracin del Riesgo Prob. 5 Imp. RC 5 25 Sign.? S
14
Hardware Riesgo significativo Cadas del sistema Qu puede ocurrir? Daos en equipos y dispositivos perifricos Respuesta de la administracin Implementacin de medidas de control interno
Debe desarrollar un plan para asegurar que se realiza la accin que se requiere para responder de manera apropiada a los riesgos valorados.
No tratar por aislado cada riesgo especfico. Piense cmo los riesgos valorados interactan unos con otros y desarrolle respuestas sobre la base de reas o conjuntos generales de riesgo;
15
La administracin del riesgo no debe ser vista como un evento que ocurre slo una vez. Los registros del riesgo deben ser actualizados sobre una base oportuna. Algunas actividades de monitoreo pueden incluir:
Comparacin de produccin, existencias, medidas de calidad, ventas y otra informacin del desempeo del da-a-da frente al presupuesto o plan;
16