control interno en la tecnologia de...

CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN

LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS

SESION TECNICA 23 DE SEPTIEMBRE DE 2010

B i e n v e n i d o s

Martin del Castillo, Septiembre 2010




•  Nivel actual de utilización tecnológica.

•  Relación dínamica entre negocio y tecnología.

•  Dependencia crítica.

•  Cumplimiento de objetivos y Cumplimiento legal.

•  Certidumbre.

Tecnología de información




AGENDA

Jueves 23 de Septiembre de 2010

1.  Hechos relevantes.

2.  Control Interno en la Tecnología de Información.

3.  Modelos de Control Interno.

4.  Impacto en el proceso financiero.

5.  Conclusiones.

6.  Comentarios.




Referencias de información

Information Systems, Audit and Control Association

www.isaca.org

Information Technology Governance Institute

www.itgi.org

Imágenes tomadas de World Wide Web Formato de acceso libre




Antecedentes internacionales

2001 2002

HECHOS

•  Contabilidad fraudulenta. •  Auditoría deficiente. •  Valor de las acciones alterado. •  Fraude y bancarrota. •  Pérdida confianza opinión pública. •  Crisis en los mercados financieros.

P. Sarbanes M. Oxley SEC / NYSE

SOX 30 JULIO 2002

•  Organismo regulador Auditoría. •  Gobierno Corporativo. •  Sec. 302 Revelación de información. •  Sec. 404. Estructura de Control interno. •  Responsabilidad legal. •  Multas económicas y encarcelamiento. •  Documento asegurar “En control”.




Iniciativas de Control Interno

•  Código Mexicano de Gobierno Corporativo (México, 1999) •  Código Turnbull (Inglaterra, 1999) •  Sarbanes-Oxley (Estados Unidos de Norteamérica, 2002) •  Código Tabaksblat (Paises Bajos, 2003)

Tendencias

•  Economía digital. •  Competencia global •  Gobierno corporativo •  Ventaja competitiva •  Valor del negocio




Procesos del Negocio Compras Producción Ventas

Estados financieros del negocio

Balance EPG Flujo Efectivo Notas Otros

Sistemas de información

Tecnología de Información

Servicos Infra Estructura Personal

Clases de Transacciones

Transacciones ERP Aplicaciones Desarrollos ASE

GU

RA

R

CO

NFI

AB

ILID

AD




Gobierno Corporativo

Gobernabilidad en Tecnología de Información

Control Interno

•  Evaluar de riesgos •  Definir Objetivos de Control •  Establecer controles Internos •  Resolver debilidades

Gobernabilidad del Negocio




Elementos de control interno

•  Práctica de mitigación de riesgo.

Riesgo implicito en Tecnología de

Información

Control ó Actividad de Control Objetivo de Control

•  Evento o Incidente afecta el logro de objetivos. •  Planear y Organizar •  Adquirir e Implantar •  Liberar y Dar Soporte •  Monitorear y Evaluar

•  Definición de las condiciones de mitigación del riesgo.

Información Electrónica

Controles Generales

Tecnología




Proceso de negocio

Etapas del proceso

Riesgo

t

Control para Prevenir

TRANSACCION

Control para

Detectar MONITOREO

Diseño de controles de IT en los procesos de negocio

•  Acciones específicas •  No implicitos •  Perfectibles •  Costo

CONTROLES




•  Estrategia, organización y comunicación.

•  Adquisición, mantenimiento y reemplazo de tecnología (S&W).

•  Seguridad de información e infraestructura.

•  Desarrollo y mantenimiento de aplicaciones.

•  Identificación y manejo de riesgos.

•  Administración, desarrollo y control de proyectos.

•  Aseguramiento de operación (infraestructura, procesos, operaciones)

•  Entrenamiento y soporte a usuarios.

•  Inversión y operación en tecnología.

Areas objetivo de los controles generales de Tecnología de Información




•  Objetivo de control •  Riesgo implicito •  Riesgo llave

•  Control de transacción •  Control de monitoreo •  Control manual •  Control automatizado •  Control de mitigación

•  Controles del negocio •  Controles generales de IT •  Controles de aplicación

•  Enfoque preventivo •  Enfoque detectivo •  Ocurrencia •  Dueño del control

Elementos de definicion de controles generales




Prueba de efectividad •  Muestra de prueba •  Método de prueba Observación Revisiön Ejecuciön

Prueba de Diseño •  Diseño adecuado •  Existencia de diseño Descripción Proceso •  Deficiencia de diseño

EN CONTROL •  Diseño adecuado •  Efectividad adecuada •  No materialidad •  Planes de acción

Conceptos de evaluación de controles generales

•  Deficiencia de operación •  Deficiencia significativa. •  Deficiencia material. •  Impacto potencial (EF) •  Plan de acción

Existe Funciona ¿Tiene deficiencias? En control




Procesos del Negocio Compras Producción Ventas


Balance EPG Flujo Efectivo Notas Otros



Servicos Infra Estructura Personal

Clases de Transacciones

ERP Aplicaciones Desarrollos

Controles Generales

IT

Controles de

Aplicación

Controles del

Negocio

Resultados y Decisiones del Negocio

Con

trol

es d

e Tr

ansa

cció

n

Con

trol

es d

e M

onito

reo




•  Objetivo de Control: Asegurar transacciones confiables •  Riesgo implícito: Transacciones no efectudas conforme requerimientos o prácticas contables. •  Controles internos: Controles de aplicación.


SISTEMAS LEGACY ERP DESARROLLOS

PROPIOS SOLUCIONES EN PAQUETE

Negocio

Define Requerimientos

Transacciones Registro

Procesamiento Cálculo Posteo

Reportes Acceso

Controles de Aplicación

Operaciones automatizadas. Incorporadas en funcionalidad Previenen Op. no autorizadas

Procesan información según definiciones

Internas.



Habilitador de requerimientos




Parámetros Antigüedad de Saldos

Ventas X Cliente

Cobranza X Cliente

Reporte Antigüedad de Saldos

VALIDACION •  Diseño: Control existe. •  Efectividad: Resuelve requerimiento. •  Documentación. Prueba de identificación •  Control de cambios.

CATEGORIAS •  Seguridad - Acceso •  Programación - Lógica •  Validación - Entradas •  Configuración - Parámetros •  Reportes - Salidas •  Auditoría integrada.

Validación de controles de aplicación EFECTIVIDAD •  Proceso completo •  Exacto •  Válido •  Acceso autorizado •  Segregación

ORIENTACION •  Controles de riesgo llave: Transacciones Cálculos. Reportes. •  Controles no documentados.

Ejemplo de revisión de controles de aplicación en transacciones de cobranza




Enfoque en controles de aplicación:

•  Documentación de la aplicación (Metodología)

•  Métodos: más utilizados: 1. Re-ejecución 2. Validación

•  Ambientes operativos: Producción y Prueba.

•  Herramientas:

1. Vaciado de datos (Data Dumping) 2. Hojas de cálculo. 3. Manejadores de bases de datos.

•  Herramientas auditoría integradas a Sistemas.




La madurez de un control se mide a través de las pruebas de diseño y efectividad a través del tiempo con base en documentación, conciencia y revisión

Figura tomada de Cobit 4.1 / ISACA




Modelos de Control Interno

Modelo COSO (Committee of Sponsor Organizations)

•  Organización patrocinada voluntaria del sector privado.

•  Antecedente: SEC ordena usar un marco de control interno reconocido.

•  Objetivo: Mejorar la calidad de los reportes financieros.

•  Etica de negocios, Control interno efectivo, Gobierno corporativo.

•  Modelo COSO: Componentes básicos de control interno efectivo a nivel organizacional.

•  No establece requerimientos de objetivos de control ni actividades de control para Tecnología de Información.

•  Publicación Estados Unidos, 1992. Monitoreo

Actividades de control

Evaluación de riesgos

Clima de Control

Información y comunicación

Conciencia de control “The tone at the top”

Identificar factores afectan el Negocio

Mitigación de riesgos.

Información relevante Identificada y comunicada oportuna y debidamente

Determinar si el Control Interno es Adecuada y efectivo




Modelos de Control Interno

Modelo Cobit

•  Control OBjectives for Information and related Technology. •  ISACA & ITGI, Estados Unidos, 1992. •  Prácticas generalmente aceptadas para Tecnología de Información. Comprende: 4 Dominios (Areas funcionales) 34 Procesos genéricos de IT. 216 Actividades u Objetivos de Control. •  Modelo Integrador Requerimientos del negocio. Funciones de T.I. Recursos de T.I. •  Proporciona un modelo de evaluación de madurez de procesos. •  Reconocido como modelo de control interno para T.I.




•  Planear y Organizar Dirigir la entrega de soluciones y servicios.

•  Adquirir e Implantar Provee soluciones y las transforma en servicios.

•  Liberar y Dar soporte Recibe las soluciones y las hace utilizables.

•  Monitorear y Evaluar Monitorea los procesos y seguimiento de directrices.

34 Procesos de Tecnología de Información

216 Actividades de Control (Controles)

Cubo de Cobit como compendio de actividades de control en IT




•  Dominio - Acquire and implement •  Proceso AI1 - Identify automated solutions •  Proceso AI2 - Acquire and maintain application software •  Proceso AI3 - Acquire and maintain technology infraestructure •  Proceso AI4 - Enable operation and use. •  Proceso AI5 - Procure IT resources. •  Proceso AI6 - Manage changes.

•  Descripción del proceso. •  Objetivos de control

•  AI6.1 Change Standards and Procedures. •  Establecer procedimientos formales de administracion de cambios para manejar todas las solicitudes en forma estandarizada (incluyendo mantenimientos y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros y plataformas de soporte.

•  AI6.2 Impact Assessment, Prioritisation and Authorisation. •  AI6.3 Emergency changes. •  AI6.4 Change Status Tracking and Reporting. •  AI6.5 Change Closure and Documentation.

•  Como se administra el proceso •  Procesos COBIT relacionados •  Diagrama RACI Responsables, Consultado, Informado. •  Metas del proceso y métricas aplicables •  Evaluación de madurez.

•  Proceso AI7 - Install and accredit solutions and changes.

Objetivo de control en la estructura de COBIT




Tres cubos, un enfoque

Cubo COSO + Cubo Cobit = Cubo SOX




Herramientas automatizadas

para COBIT




Objetivos de Control de T.I. relevantes en el proceso de revisión financiero

1. Seguridad.

•  Solicitudes ABC empleados con autorización del negocio. •  Autorización conjunta de Personal. •  Autorización de derechos de acceso a información. •  Segregación de funciones. •  Habilitación y deshabilitación oportuna. •  Inventario de usuarios en sistema comparado con Personal. •  Aplica sin excepción a todo el personal. •  Comunicación de políticas generales al usuario. •  Documentación de transacciones disponibles. •  Autorización de 3 partes:

•  Negocio. •  Personal. •  Sistemas.




2. Segregación de funciones

•  Baseline de aplicaciones. •  Debe existir division de roles y responsabilidades.en funciones críticas. •  Definición del negocio y de las mejores prácticas. •  Análisis de riesgo necesario. •  Matriz de responsabilidades. •  Controles automatizados.

•  Informe de derechos de acceso. •  Informe de transacciones.

•  Controles compensatorios. •  Funcional o Perfil.





Ejemplo de matriz de segregación de funciones





3. Control de cambios en aplicaciones

•  Iniciado y autorizado por el negocio. •  Comité de cambios negocio y sistemas. •  Cambios necesarios vs. Imperantes. •  Análisis de Impacto y riesgo implícito. •  Definición de alcances y tiempos. •  Pruebas de funcionamiento de sistema. •  Pruebas de funcionamiento del negocio. •  Aceptación del negocio. •  Ambientes de operación separados:

•  Desarrollo •  Calidad •  Producción

•  Capacidad de reversar los cambios. •  Segregación de funciones:

•  Desarrollo. •  Liberación

•  Liberación y Comunicación.





CONCLUSIONES

1.  El control interno en la tecnología de información persigue asegurar la efectividad y eficiencia de los procesos del negocio y el cumplimiento de regulaciones.

2.  Requiere la aplicación de planes de trabajo apoyados por el nivel Directivo específicos para su aseguramiento como función del negocio.

3.  Utiliza una inversión importante en documentación, siendo el reto no hacer inefectivos los procesos.

4.  En sus niveles de madurez, el control interno provee una ventaja competitiva.




C o m e n t a r i o s




Por su atención

Gracias

control interno en la tecnologia de...

Documents