1.22k likes | 1.52k Views
MODELOS DE CONTROL. CP, CIA y Mtro Fernando Vera Smith Diciembre 2007. MODELOS DE CONTROL. CONTENIDO PANORÁMICA DE MODELOS DE CONTROL COSO CADBURY COCO COBIT TURNBULL AEC. PANORÁMICA DE MODELOS DE CONTROL.
E N D
MODELOS DE CONTROL CP, CIA y Mtro Fernando Vera Smith Diciembre 2007
MODELOS DE CONTROL CONTENIDO • PANORÁMICA DE MODELOS DE CONTROL • COSO • CADBURY • COCO • COBIT • TURNBULL • AEC
PANORÁMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control según Philip L. Campbell ( An Introduction to Information Control Models): • Objetivos de Control • Principios • Madurez de la Capacidad
PANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”: • Control: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán. • Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información
PANORÁMICA DE MODELOS DE CONTROL Comunidad de Principios • Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética. Comunidad de Madurez de la Capacidad • Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM). La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en el producto.
DIAGRAMA DE INFLUENCIA FUENTE: An Introduction to Information Control Models, Philip L. Campbell
COMUNIDADES DE MODELOS FUENTE: An Introduction to Information Control Models, Philip L. Campbell
SIGNIFICADO DE SIGLAS UTILIZADAS • OECD Organization for Economic Cooperation and Development • GAPP Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST) • BS 7799 British Standard Institute • SAC Security Auditability and Control. The Inst. of Internal Audit. • COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations • SSE CMM Systems Security Engineering Capability Maturity Model National Security Agency (NSA) Defense- Canada. • CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants. • ITCG Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA) • GASSP Generaly Accepted System Security Principles. International Information Security Foundation (IISF) • Cobit Control Objectives for Information and Related Technologies • FISCAM Federal Information Systems Controls Audit Manual. GAO • SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability • SSAG System Self-Assessment Guide for Information Technology Systems. NIST
CONTROL SEGÚN COSO CP, CIA y Mtro Fernando Vera Smith Diciembre 2007
COSO -ANTECEDENTES • Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. • Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.
COSO - CONTROL Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.
COSO - CONCEPTO DE CONTROL INTERNO Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en: • Efectividad y eficiencia de las operaciones • Confiabilidad de la información financiera • Cumplimiento con las leyes, reglamentos, normas y políticas.
COSO - CARACTERÍSTICAS • Medio para alcanzar un fin, no un fin en si mismo. • No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización. • Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos. • Los controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”.
COSO - CARACTERÍSTICAS... • Es efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino son personas en cada nivel de la organización. • Es ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.
COSO - CARACTERÍSTICAS... • Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan. • La alta dirección es responsable de la existencia de un eficiente sistema de control. • Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y aprueban ciertas transacciones y políticas. • Cada individuo dentro de la organización tiene algún rol respecto al control interno.
COSO - CARACTERÍSTICAS... • No existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga. • No importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es que proporcione seguridad razonable. • El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos.
COSO - CARACTERÍSTICAS... • Limitaciones del control : • Errores por falta de capacidad para ejecutar las instrucciones • Errores de juicio en la toma de decisiones. • Errores por mala interpretación, negligencia, distracción o fatiga. • Inobservancia gerencial a las políticas o procedimientos prescritos. • Colusión. • Costo - beneficio.
COSO - CARACTERÍSTICAS... • Características de los objetivos de una organización: • Operacionales: Relacionados con el uso eficiente y eficaz de los recursos. • Información financiera: Relacionados con la preparación de reportes financieros confiables. • Cumplimiento: Relacionados con el cumplimiento con leyes y reglamentos aplicables.
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES • Existe una relación directa entre objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos
COSO - Relaciones de Componentes y Objetivos REPORTES FINANCIEROS CUMPLIMIENTO OPERACIONES ACTIVIDAD 2 MONITOREO INFORMACION Y COMUNICACION ACTIVIDAD 1 ACTIVIDAD ACTIVIDADES DE CONTROL UNIDAD B EVALUACION DE RIESGOS UNIDAD A AMBIENTE DE CONTROL COMPONENTE
COSO - AMBIENTE DE CONTROL • Integridad y Valores Eticos • Comité de Auditoría • Filosofía Admva. y Estilo de Dirección • Estructura Organizacional • Asignación de Autoridad y Responsabilidad • Política de Recursos Humanos • Competencia
COSO - EVALUACIÓN DE RIESGOS • Objetivos Institucionales • Objetivos Específicos • Operativos • Información Financiera • Cumplimiento • Análisis de Riesgos • Organización (Externos / Internos) • Actividad • Análisis (Trascendencia / Probabilidad / Control) • Manejo de Cambios (Reorganizaciones/Políticas / Sistemas y Procedimientos)
COSO - ACTIVIDADES DE CONTROL • Actividades de control sobre: • Las operaciones • La información financiera • El acatamiento • Tipos de Control: • Preventivos / Correctivos • Manuales / Automatizados • Gerenciales
COSO - INFORMACIÓN Y COMUNICACIÓN • Sistemas de Información : • Apoyo Actividades Estratégicas • Integración con las Operaciones • Calidad • Comunicación : • Interna / Externa • Medios
COSO - SUPERVISIÓN Y SEGUIMIENTO • Supervisión Concurrente • Evaluaciones Independientes • Alcance y frecuencia • Quiénes evalúan • Proceso de evaluación • Metodología / documentación • Plan de acción • Reportes de Deficiencias
COSO - RESPONSABILIDADES SOBRE EL CONTROL • Consejo de Administración.- Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización • Gerencia.- El Director General es el último responsable y asume la propiedad del sistema de control • Auditores Internos.- Evalúa la efectividad del sistema de control • Personal.- es responsable todo el personal dependiendo de su nivel y ubicación funcional
COSO - TIPOS DE CONTROL • Preventivos • Detectivos • Concurrentes (sobre la marcha) • Posteriores • De resultados (actividades creativas) • De actividades (repetitivas) • De operaciones • De procesos - De salidas • De recursos • De insumos • De acceso • De investigación y desarrollo • De proyectos • De seguridad (resguardo)
MODELO CADBURY CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
MODELO CADBURY • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee). • Adopta una interpretación amplia del control. • Mayores especificaciones en la definición de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo.
MODELO CADBURY • Objetivos orientados a proporcionar una razonable seguridad de: • a) Efectividad y eficiencia de las operaciones. • b) Confiabilidad de la información y reportes financieros. • c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros
MODELO COCO CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
MODELO COCO CONCEPTO DE CONTROL INTERNO • Efectividad y eficiencia de las operaciones. • Confiabilidad de los reportes internos o externos. • Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas. • Incluye aquellos elementos de una organización • (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:
MODELO COCO OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones) • Servicio al cliente • Salvaguarda y uso eficiente de los recursos • Obtención de beneficios • Cumplimiento de obligaciones sociales • Seguridad de que los riesgos son debidamente identificados y administrados
MODELO COCO Confiabilidad de los reportes internos y externos • Mantenimiento de registros contables adecuados. • Confiabilidad de la información utilizada. • Información publicada para terceros interesados.
MODELO COCO Cumplimiento con la normatividad y políticas internas aplicables • Aseguramiento de que las actividades de la organización se conducen en total concordancia con el marco legal y con las políticas internas.
MODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control. • El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.
MODELO COCO Naturaleza del control • El costo del control deberá ser proporcional a los beneficios esperados. • El control requiere de un equilibrio entre autonomía e integración y entre consistencia y adaptación al cambio.
MODELO COCO Ciclo del entendimiento básico • Propósito • Compromiso • Aptitud • Acción • Evaluación (Auto) y Aprendizaje Criterios de control • Los criterios de control son la base para entender el control de una organización. • Están planteados como metas a cumplir permanentemente.
MODELO COCO A.- PROPÓSITO Sentido de Dirección a la Organización A1.-Los objetivos deben ser establecidos y comunicados. A2.- Los riesgos internos y externos significativos deben ser identificados y evaluados. A3.- Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de él se espera.
MODELO COCO A4.- Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organización.A5.- Los objetivos y los planes relativos deben incluir metas, parámetros e indicadores de medición del desempeño. A.- PROPÓSITO
MODELO COCO B.-COMPROMISO:Sentido de identidad y valores de la organización. B1.Deben establecerse, comunicarse y ponerse en práctica valores éticos compartidos, incluyendo la integridad. B2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos.
MODELO COCO B.-COMPROMISO • B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado. • B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos.
MODELO COCO C. APTITUD: sentido de competencia o aptitud de la organización C1.El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización. C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. C3.Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.
MODELO COCO C. APTITUD C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización. C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.
MODELO COCO Evaluación y aprendizaje. Sentido de evolución de la organización: D1.- El ambiente externo e interno debe ser “monitoreado” para obtener información que pueda señalar la necesidad de revaluar los objetivos de la organización o el control. D2.- El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organización. D3.- Las premisas consideradas para los objetivos de la organización deben cuestionarse periódicamente.
MODELO COCO • Evaluación y Aprendizaje D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada. D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.
COBIT CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
Cobit - Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002