MODELOS DE CONTROL
CONTENIDO
PANORMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control segn Philip L. Campbell ( An Introduction to Information Control Models): Objetivos de Control Principios Madurez de la Capacidad
Objetivo de control: una declaracin de que el resultado o propsito deseado se alcanzar al implantar mecanismos de control en una actividad particular de tecnologa de informacin
4
DIAGRAMA DE INFLUENCIA
COMUNIDADES DE MODELOS
SSE CMM Systems Security Engineering Capability Maturity Model CoCo ITCG GASSP Cobit FISCAM SSAG Criteria of Control Board of The Canadian Institute of Chartered Accountants. Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA) Generaly Accepted System Security Principles. International Information Security Foundation (IISF) Control Objectives for Information and Related Technologies Federal Information Systems Controls Audit Manual. GAO System Self-Assessment Guide for Information Technology Systems. NIST
COSO - ANTECEDENTES
Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.
10
COSO - CONTROL
Cualquier medida que tome la direccin, el Consejo y otros,
11
Proceso llevado a cabo por el Consejo de Administracin, la Gerencia y otro personal de la Organizacin, diseado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organizacin clasificados en: Efectividad y eficiencia de las operaciones Confiabilidad de la informacin financiera Cumplimiento con las leyes, reglamentos, normas y polticas.
12
COSO - CARACTERSTICAS
Medio para alcanzar un fin, no un fin en si mismo. No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organizacin. Forma parte de los procesos bsicos de la administracin-planeacin ejecucin y monitoreo y se encuentra integrado en ellos. Los controles deben construirse Dentro de la infraestructura de la organizacin y no Sobre ella.
13
COSO - CARACTERSTICAS...
14
COSO - CARACTERSTICAS...
Afecta las acciones del personal, sealndole sus responsabilidades y lmites de autoridad, as como la vinculacin entre sus deberes y la forma en que los desempean. La alta direccin es responsable de la existencia de un eficiente sistema de control. Los Directores tienen la obligacin de la vigilancia del control adems de que proporcionan directrices y aprueban ciertas transacciones y polticas. Cada individuo dentro de la organizacin tiene algn rol respecto al control interno.
15
COSO - CARACTERSTICAS...
No existe sistema infalible. Ningn sistema har por siempre lo que se espera que haga. No importa lo bien diseado y operado que sea un sistema de control; lo ms que puede esperarse es que proporcione seguridad razonable. El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos.
16
COSO - CARACTERSTICAS...
Limitaciones del control :
Errores por falta de capacidad para ejecutar las instrucciones Errores de juicio en la toma de decisiones. Errores por mala interpretacin, negligencia,
distraccin o fatiga.
Inobservancia gerencial a las polticas o
COSO - CARACTERSTICAS...
Caractersticas de los objetivos de una organizacin: Operacionales: Relacionados con el uso eficiente y eficaz de los recursos. Informacin financiera: Relacionados con la
19
componentes
representan necesario
que
lo para
21
MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL COMPONENTE ACTIVIDAD
22
Tipos de Control:
25
Comunicacin :
Evaluaciones Independientes
Proceso de evaluacin
Metodologa / documentacin Plan de accin
Reportes de Deficiencias
27
28
- De acceso
- De investigacin y desarrollo - De proyectos
- De seguridad (resguardo)
29
MODELO CADBURY
MODELO CADBURY
Desarrollado por el llamado Comit Cadbury (UK Cadbury Committee). Adopta una interpretacin amplia del control. Mayores especificaciones en la definicin de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo.
31
MODELO CADBURY
Objetivos orientados a razonable seguridad de: proporcionar una
32
MODELO COCO
MODELO COCO
CONCEPTO DE CONTROL INTERNO
- Incluye aquellos elementos de una organizacin (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organizacin:
Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, as como con las polticas internas.
34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)
Servicio al cliente
Salvaguarda y uso eficiente de los recursos
Obtencin de beneficios
Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados
35
MODELO COCO
Confiabilidad de los reportes internos y externos
Mantenimiento de registros contables adecuados.
36
MODELO COCO
Cumplimiento con la normatividad y polticas internas aplicables Aseguramiento de que las actividades de la organizacin se conducen en total concordancia con el marco legal y con las polticas internas.
37
MODELO COCO
Naturaleza del control El control debe ser realizado por el personal de toda la organizacin, quien ser responsable del diseo, establecimiento, supervisin y mantenimiento del control.
El personal responsable de lograr determinados objetivos tambin deber evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluacin ante quien l es responsable.
38
MODELO COCO
Naturaleza del control
39
MODELO COCO
Ciclo del entendimiento bsico Propsito Compromiso Aptitud Accin Evaluacin (Auto) y Aprendizaje
Criterios de control
Los criterios de control son la base para entender el control de una organizacin. Estn planteados como metas a cumplir permanentemente.
40
MODELO COCO
A.- PROPSITO Sentido de Direccin a la Organizacin
MODELO COCO
A.- PROPSITO A4.Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organizacin. Los objetivos y los planes relativos deben incluir metas, parmetros e indicadores de medicin del desempeo.
A5.-
42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y valores de la organizacin.
B1.
Deben establecerse, comunicarse y ponerse en prctica valores ticos compartidos, incluyendo la integridad.
B2. Las polticas y prcticas sobre recursos humanos deben ser consistentes con los valores ticos de la organizacin y con el logro de sus objetivos.
43
MODELO COCO
B.- COMPROMISO B3. La autoridad, la responsabilidad y la obligacin de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organizacin, de tal forma se tomen las decisiones y acciones por el personal apropiado.
B4. Debe fomentarse una atmsfera de mutua confianza para apoyar el flujo de la informacin entre el personal y para su efectivo desempeo hacia el logro de los objetivos.
44
MODELO COCO
C. APTITUD: sentido de competencia o aptitud de la organizacin C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organizacin. C2. El proceso de comunicacin debe apoyar los valores de la organizacin y el logro de sus objetivos. C3. Debe ser identificada y comunicada informacin suficiente y relevante de manera oportuna, para posibilitar al personal a desempear las responsabiIidades asignadas.
45
MODELO COCO
C. APTITUD
C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organizacin.
C5. Las actividades de control deben disearse como parte integral de la organizacin, tomando en consideracin sus objetivos, los riesgos para su cumplimiento y la interrelacin de los elementos de control.
46
D1.-
El ambiente externo e interno debe ser monitoreado para obtener informacin que pueda sealar la necesidad de revaluar los objetivos de la organizacin o el control.
D2.- El desempeo debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organizacin. D3.- Las premisas consideradas para los objetivos de la organizacin deben cuestionarse peridicamente.
47
MODELO COCO - Evaluacin y Aprendizaje D4.- Las necesidades de informacin y los sistemas de informacin relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la informacin reportada.
D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.
48
COBIT
Cobit - Definicin
Control OBjectives for Information and Related Technology
(Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
Fuente: Control Objectives for Information and Related Technology (CObIT) y presentacin de Fernando Izquierdo Duarte 2002
50
Cobit - Definicin
Qu es? Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin.
Promueve el enfoque y la propiedad de los procesos.
51
Cobit - Definicin
Apoya a la organizacin al proveer un marco que asegura que: La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.
52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin en TI y control sobre su rendimiento, as como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente
53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y el control mnimo requerido. Responsables de TI: Identificar los controles que requieren.
54
Cobit - Principios
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
55
Cobit - Estructura
EVENTOS
Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos
56
Cobit - Estructura
Lo que usted Obtiene
Criterios
Informacin
Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Recurso Humano
Concuerdan
57
Cobit - Estructura
CUBO de CobiT Relacin entre los componentes
Criterios de la Informacin (7)
Procesos TI
Dominios
Procesos
Actividades
58
59
CobiT
Requerimientos de Informacin
Planeacin y Organizacin
Seguimiento
Recursos de TI
Adquisicin e Implantacin
Servicios y Soporte
60
Cobit - Requerimientos
de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad
Requerimientos Financieros (COSO) Requerimientos de Seguridad
Calidad. Costo. Oportunidad. Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.
61
62
Cobit - Requerimientos de la
Informacin del Negocio
Disponibilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.
63
Recursos de TI
Datos: Todos los objetos de informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Hardware y software bsico, sistemas operativos, de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano :Habilidad, actitud y productividad del personal.
64
Actividades o tareas
318
COBIT DOMINIOS: 4
66
Adquisicin e Implantacin
Identificacin de soluciones automatizadas Adquisicin y mantenimiento del software aplicativo Adquisicin y mantenimiento de la infraestructura tecnolgica Desarrollo y mantenimiento de procedimientos Instalacin y aceptacin de los sistemas Administracin de los cambios
67
Seguimiento
CobiT 1996/1998
Definicin de Control Interno Definicin de Objetivos de Control de T I
COSO 1992
Contribuciones al concepto de Control Interno
SAC 1991/1994
Conceptos de Control Interno Conceptos de Control Interno
SAS 78 - 1995
enmienda
SAS 55 - 1988
70
SAC
COSO
Administracin Procesos
SASs 55/78
Auditores Externos Procesos
Administracin, Usuarios, Auditores de Auditores Internos Sistemas Responsables de TI Conjunto de procesos, subsistemas y personas Efectividad y Eficiencia de las operaciones
El Control Interno es Visto Conjunto de procesos incluyendo como polticas, procedimientos, prcticas y estructura Organizacional Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la informacin Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeacin y Organizacin Adquisicin e implantacin Servicio y Soporte Seguimiento
Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas
Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros Cumplimiento con leyes y normas Cumplimiento con leyes y normas
Componentes: Ambiente de Control Evaluacin de Riesgo Actividades de Control Informacin y Comunicacin Seguimiento
Componentes: Ambiente de Control Evaluacin de Riesgo Actividades de Control Informacin y Comunicacin Seguimiento Estados Financieros Por un periodo de tiempo Administracin 63 pginas en 2 documentos
Enfocado a
Tecnologa de Informacin
Evaluacin de la Por un periodo de tiempo Efectividad del Control I. Responsable por el Control Administracin Interno Tamao 187 pginas en 4 volmenes
71
GUA TURNBULL
QU ES LA GUA TURNBULL?
Es la adopcin de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad
74
BENEFICIOS POTENCIALES
Ventajas competitivas
Informes sucintos
Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos
Cambios en comportamiento y enfoque en las bases de una buena administracin de riesgos y control
PASOS SUGERIDOS
Enfoque a la mejora de negocios Implantacin de mecanismos apropiados para la informacin de avance
Implantacin del plan de desarrollo y de la poltica de administraci de riesgos Reconsideracin y afinacin del plan por el Consejo Consideracin del plan por el Consejo de Administracin Aceptacin del plan por parte de los directores Asignacin de responsabilidades para elaborar el plan individual o de equipos 78
7.05 6.67
6.32
6.30
6.00
Sencillez
Informacin confiable
Controles bsicos
PELIGROS POTENCIALES
Enfoque Insuficiente en Admn de Riesgos
Peligros Potenciales
81
AEC - DEFINICIN
Proceso documentado en el que : La administracin o el equipo de trabajo se involucra directamente en una funcin. Se juzga la efectividad del proceso de control vigente.
83
Autoevaluacin de riesgocontrol.
Evaluacin dinmica del control. Co-evaluacin del control.
Autoevaluacin organizacional.
84
AEC - ENTRENAMIENTO
Para desarrollar la AEC se requiere capacitacin: . En metodologa. . En modelos de control
. En evaluacin de riesgos
. En talleres de autoevaluacin de control . En redaccin. . En tecnologa.
85
Eficiencia
de Procesos - Satisfaccin del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general
- Promocin de la unidad organizacional mediante la identificacin y solucin de problemas. - REALZA EL PAPEL DE AUDITORA INTERNA.
87
Monitoreo y
Reporte de Resultados
Planeacin
Conduccin de Reuniones
Capacitacin
88
89
Requisitos de la Organizacin
- Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control.
90
organizacin,
91
AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es responsable de los controles
- Explicar el proceso de AEC
Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organizacin Seleccionar los objetivos de la organizacin Seleccionar los participantes al TAC Preparar la logstica de la reunin Enviar informacin previa a la reunin.
93
AEC INVOLUCRAMIENTO DE .
Estrategias
6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentacin participantes sobre los resultados a los
9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora
96
AEC - P L A N E A C I N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta.
97
AEC- C A P A C I T A C I O N
Capacitar en Control y Autocontrol: Modelos de Control (COSO, COCO...) Evaluacin de riesgos Autoevaluacin en control y su metodologa Herramientas y tecnologa especializada para su uso en el taller
98
Beneficios tangibles
99
6. Conducir la reunin
7. Estructurar e inventariar el resultado de las evaluaciones
100
Escuche No interrumpa Establezca un proceso de voto Asegrese que todos apoyen las reglas Todos deben ser facilitadores en algn momento Las ideas de otros fortalecen la decisin del grupo Logre consenso
101
102
103
AEC - PROBLEMTICA
- Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes
profesionales,
104
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la tcnica.
- Represalias por comentarios hechos en la sesin de la AEC.
- Accin subsecuente con informacin confidencial.
Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad. - Tecnologa de voto electrnico.
105
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante
Salvaguardas.
- Seleccin de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar.
106
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
- La cultura no valora la innovacin y la colaboracin.
- Organizaciones en medio de una reduccin de personal.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
107
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la adecuacin.
- El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con nicamente una o dos personas. + Terceros vendedores o proveedores de servicios.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
-
- Organizaciones en medio de una reduccin de personal. Salvaguardas. - Evitar utilizar la AEC con estas situaciones.
109
I.
II.
III.
para
su
110
1) 2)
3)
4)
Apoyo de la gerencia
Entendimiento de por qu participa cada uno en la sesin de Autoevaluacin Sealamiento de expectativas
5)
111
6) 7)
Cultura que apoya la AEC Actitud gerencial orientada al facultamiento y el control Beneficios tangibles Definicin del producto final Entorno libre de riesgos (no represalias)
8) 9) 10)
112
3)
4)
5)
6)
qu
2) 3) 4) 5)
Ser innovador y dispuesto a tomar riesgos Particularizar el marco estructurado de control Agregar valor a la organizacin
6)
7)
10)
Reconocer que las habilidades de facilitacin son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditora
Mantener visible el apoyo de la gerencia
11)
12)
1) Fallar en explicar el por qu de la AEC. 2) Pilotear la AEC en un rea problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situacin.
116