SISTEMAS CONTABLES COMPUTARIZADOS

CONTROL INTERNO EN SISTEMAS

Control interno
Es un proceso: Diseado y efectuado por quienes Es la adopcin de una serie Es un proceso llevado a cabo por las medidas que se personas de una organizacin, tienen a cargo el gobierno, la de establecen en las empresas, diseado con el fin de proporcionar administracin y otro personal. Tiene la intencin de dar seguridad razonable sobre el logro de los objetivos de la entidad con relacin a la confiabilidad de la informacin financiera, la efectividad y la eficiencia de las operaciones, y el cumplimiento con las leyes y regulaciones aplicables.

(AUDITORA FINANCIERA DE PYMES en Gua para usar los Estndares Auditora Internacionales de Auditora en las computacionales PYMES.IFAC)

con el propsito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y as ayudar a la administracin y cumplimiento correctos de las actividades y operaciones de las empresas.

un grado de seguridad "razonable" para la consecucin de sus objetivos, dentro de las siguientes categoras: Eficiencia y eficacia de las operaciones Fiabilidad de la informacin financiera.

sistemas Cumplimiento de las leyes y normas aplicables. Informe COSO

-Carlos Muoz Razo-

CONTROL INTERNO Naturaleza El control interno es diseado e implementado por la administracin para tratar los riesgos de negocio y de fraude identificados que amenazan el logro de los objetivos establecidos, tales como la confiabilidad de la informacin financiera.
(AUDITORA FINANCIERA DE PYMES Gua para usar los Estndares Internacionales de Auditora en las PYMES.IFAC)

CONTROL INTERNO
Hay una relacin directa entre los objetivos de la entidad y el control interno que la entidad implementa para asegurar el logro de tales objetivos. Una vez que se establecen los objetivos, es posible identificar y valorar los eventos (riesgos) potenciales que impediran el logro de los objetivos.
Control interno Riesgos Objetivos de la entidad

CONTROL INTERNO- Objetivos

Los objetivos de la entidad y por consiguiente su control interno pueden ser agrupados en cuatro categoras
Cumplimiento con leyes y regulaciones Metas estratgicas de alto nivel

Objetivos de la entidad y de control interno

Informacin Financiera

Operaciones

COMPONENTES DEL CONTROL INTERNO

De acuerdo a NIA 315, el control interno abarca los siguientes componentes Teniendo presente que: El sistema de informacin consta de los procedimientos y registros establecidos para iniciar, registrar, procesar y reportar las transacciones de la entidad (as como los eventos y condiciones) y para mantener la accountability por los activos, pasivos y patrimonio relacionados.

Riesgos?
Qu puede pasar!!. Definicin Probabilidad de obtener un resultado desfavorable como resultado de la exposicin a un evento especfico (Gua de Seguridad de la informacin para Pymes.www. Vdigitalrm.com)

Amenazas
Password cracking
Fraudes informticos
Man in the middle

Escalamiento de privilegios

Puertos vulnerables abiertos

Exploits

Servicios de log inexistentes o que no son chequeados

Violacin de la privacidad de los empleados

Denegacin de servicio
ltimos parches no instalados

Backups inexistentes
Destruccin de equipamiento

Instalaciones default
Desactualizacin

Keylogging

Port scanning

Hacking de Centrales Telefnicas

Ms Amenazas!!
Spamming
Violacin de contraseas

Intercepcin y modificacin y violacin de e-mails

Captura de PC desde el exterior

Virus

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Ingeniera social

empleados deshonestos

Interrupcin de los servicios

Programas bomba, troyanos Destruccin de soportes documentales

Robo o extravo de notebooks, palms

Acceso clandestino a redes

Acceso indebido a documentos impresos

Propiedad de la informacin Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros

TODOS LOS CLASIFICARSE?

De negocio Riesgos De fraude

RIESGOS

PUEDEN

Los riesgos de negocio resultan de condiciones, eventos, circunstancias, acciones o inacciones significantes que podran afectar de manera adversa la capacidad de la entidad para lograr sus objetivos y ejecutar sus estrategias o mediante el establecimiento de objetivos y estrategias que no sean apropiados Los riesgos de fraude corresponden a los actos intencionales cometidos por uno o ms individuos de la administracin, por quienes tienen a cargo el gobierno de la entidad, empleados o terceros, que conlleva el uso de engao para obtener una ventaja injusta o ilegal

Tringulo del fraude

Oportunidad

Racionalizacin

Presin

Control interno COSO Vrs. COSO ERM

Evolucin de COBIT
Governance of Enterprise IT

Evolucin del alcance

IT Governance Val IT 2.0 Management Control Risk IT

(2009) (2008)

Audit
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996

1998

2000

2005/7

2012

De una herramienta de auditora a un marco de gobierno de las TI

2012 ISACA. All rights reserved.

COBIT 5 Sus principios

Marco Integrador Conductores de valor para los Interesados Enfoque al Negocio y su Contexto para toda la organizacin Fundamentado en facilitadores Estructurado de manera separada para el Gobierno y la Gestin
2012 ISACA. All rights reserved.

Fundamentacin de Facilitadores
Cultura, tica y Comportamiento Estructura Organizacional Informacin Principios Polticas Habilidades y Competencias Capacidad de brindar Servicios Procesos
2012 ISACA. All rights reserved.

Procesos de Gobierno y Gerenciamiento

Procesos de Gobierno Permite que las mltiples partes interesadas tengan una lectura organizada del anlisis de opciones, identificacin del norte a seguir y la supervisin del cumplimiento y avance de los planes establecidos Procesos de Gestin Utilizacin prudente de medios (recursos, personas, procesos, practicas) para lograr un fin especfico
2012 ISACA. All rights reserved.

COBIT 5 Procesos Facilitadores

2012 ISACA. All rights reserved.

El ciclo de vida de la administracin de riesgos

Establecer el contexto de riesgos y gobernabilidad Monitoreo y reporte Identificar los elementos que favorecen la creacin de valor

Componentes de la administracin de riesgos Cultura del riesgo Polticas y mandato

Evaluar la respuestas a los riesgos

Infraestructura y usuarios Mtodos y prcticas Informacin y tecnologa

Identificar factores de riesgos

Desarrollar respuestas a los riesgos

Evaluar riesgos

Enfoque de evaluacin de riesgos

Afecta el modelo de negocios y la oportunidad de crecimiento

Riesgo de Valoracin

Viabilidad Riesgo inherente a la estrategia y modelo de negocios

Afecta el logro de los objetivos y la ejecucin de iniciativas

Indicadores de resultados

Riesgo de Rendimiento

Vulnerabilidad Riesgo para la ejecucin de planes operativos y estratgicos

Algunas tcnicas de evaluacin de riesgos

Tcnica Descripcin se basa en identificar mediante una lista de exposiciones (amenazas) previamente definidas Cuantitativa Lista de control No

Lluvia de ideas/ Entrevistas evaluacin colectiva de las exposiciones potenciales mediante talleres entrevistas estructuradas uno por uno

No

Delphi

Su objetivo es la consecucin de un consenso basado en la discusin entre expertos. Es un proceso repetitivo. Su funcionamiento se basa en la elaboracin de un cuestionario que ha de ser contestado por los expertos. Una vez recibida la informacin,

No

Anlisis de Impacto financiero

Se centraliza en aquellos tipos de riesgos que puedan interrumpir significativamente las operaciones de negocio

No

SWIFT

Se auxilia de tcnicas de taller en las cuales se impulsa a un grupo a explorar escenarios a travs del " Qu pasara si"

No

Anlisis de escenarios

Identificacin de riesgos de forma cualitativa o cuantitativamente a travs de la imaginacin o extrapolarizacin de escenarios

No

10

Ratios de Impacto
Implicaciones Ratio-Impacto Financieras Financieras Operacionales Operacionales En el cumplimiento En el cumplimiento En las estrategias En las estrategias

5--Crtico

Prdidas financieras afectacin en el apalancamiento

Leyes y Regulaciones Cdigos de Conducta Informacin financiera. a)Flexibilidad operativa-Red, b) Flexibilidad operativaNegocios, c) Operaciones, d) Experiencia de los clientes, ndices de lealtad

Estrategias Tecnologa Cuotas de mercado

4-Significativo 3-Alto 2- Moderado 1-

Impacto insignificante

Ratios de Probabilidades
Ratios probabilidades Probalidad (%) Frecuencia

5-Esperado/Ya est ocurriendo

> 90%

Es prcticamente seguro que se produzca un poco con menos de 1 ao o que ya se est produciendo

4-Alta probabilidad

70-90%

Puede ocurrir entre 1-2 aos

3-Probablemente

50-70%

Puede ocurrir entre 2-3 aos

2- No es probable

20-50%

Puede ocurrir entre 3-5 aos

1- Probabilidad remota

<20%

Muy improbable que ocurre

11

Determine el apetito por el riesgo y los objetivos de la entidad

Monitoree los resultados

Identifique los riesgos (eventos)

Disee e implemente la respuesta al riesgo

Valore los riesgos identificados

Desarrolle la respuesta ante el riesgo

Cada entidad tendr diferentes exposiciones frente al riesgo y un apetito diferente para tolerar o absorber tal riesgo. Esto se puede expresar en trminos tanto cuantitativos como cualitativos. Objetivos Estrategias Operacional Descripcin Objetivos de alto nivel que mueven la organizacin hacia el logro de su visin y misin. Aborda el uso efectivo y eficiente de los recursos de la organizacin en orden a lograr los objetivos estratgicos. Prevencin de prdidas, robo, eludir de la administracin, desperdicios e ineficiencia en los activos y toma de decisiones de negocios pobre. Valora la confiabilidad del control interno y de la presentacin de reportes externos, incluyendo el proceso de preparacin de los estados financieros. Identifique las implicaciones de las leyes y regulaciones aplicables y cmo se medir el cumplimiento.

Salvaguarda de activos

Presentacin de reportes

Cumplimiento

12

De Negocio
Riesgos

De Fraude

Riesgos de Negocio
Hardware Software Recurso Humano Procesamiento de Datos Seguridad

Factor de Riesgo Cadas del sistema

Qu puede provocar? Daos en archivos de programas, daos en equipos, prdida de informacin

Elemento del SI afectado Hd Sf X X Rh Pd X Se

Hd= Hardware Sf = Software Rh= Recurso Humano Pd= Procesamiento de datos Se= Seguridad

13

Una vez identificados los factores de riesgo as como el elemento impactado, el siguiente paso es valorar o clasificar su significancia. Es preferible valorar esos riesgos antes de considerar cualquier control interno que mitigue los riesgos. Recuerde aplicar una metodologa de valoracin 5 Impacto del riesgo Significativo
Alto Impacto Alta Probabilidad

Alto Impacto Baja Probabilidad

Probabilidad 5 1

Impacto 5 1

Riesgo combinado 25 1

Bajo Impacto Baja Probabilidad

Bajo Impacto Alta Probabilidad

CRITERIO Superior a la media=Significativo Inferior a la media= Residual

1 Residual

Probabilidad de ocurrencia del riesgo

Hardware Riesgo identificado Cadas del sistema Qu puede ocurrir? Daos en equipos y dispositivos perifricos Valoracin del Riesgo Prob. 5 Imp. RC 5 25 Sign.? S

Prob.= Probabilidad de ocurrencia Imp. = Impacto RC = Riesgo combinado Sig = Significativo

14

Hardware Riesgo significativo Cadas del sistema Qu puede ocurrir? Daos en equipos y dispositivos perifricos Respuesta de la administracin Implementacin de medidas de control interno

Posibles respuestas a los riesgos valorados

Uso de controles generales y de aplicacin

Debe desarrollar un plan para asegurar que se realiza la accin que se requiere para responder de manera apropiada a los riesgos valorados.

El plan debe articular qu se requiere, quin har el trabajo y cundo

No tratar por aislado cada riesgo especfico. Piense cmo los riesgos valorados interactan unos con otros y desarrolle respuestas sobre la base de reas o conjuntos generales de riesgo;

Asigne responsabilid ad continua por la mitigacin del riesgo dentro de la entidad

Obtenga input de asesores externos y auditores en cuanto se requiera

Obtenga aprobacin formal del plan por parte de los responsables

15

La administracin del riesgo no debe ser vista como un evento que ocurre slo una vez. Los registros del riesgo deben ser actualizados sobre una base oportuna. Algunas actividades de monitoreo pueden incluir:

Indicadores clave del desempeo;

Comparacin de produccin, existencias, medidas de calidad, ventas y otra informacin del desempeo del da-a-da frente al presupuesto o plan;

Desempeo contra las tolerancias permitidas frente al riesgo; y

Datos especficos relacionados con el logro de los objetivos de la entidad

16