control interno en la tecnologia de...
TRANSCRIPT
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
B i e n v e n i d o s
Martin del Castillo, Septiembre 2010
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Nivel actual de utilización tecnológica.
• Relación dínamica entre negocio y tecnología.
• Dependencia crítica.
• Cumplimiento de objetivos y Cumplimiento legal.
• Certidumbre.
Tecnología de información
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
AGENDA
Jueves 23 de Septiembre de 2010
1. Hechos relevantes.
2. Control Interno en la Tecnología de Información.
3. Modelos de Control Interno.
4. Impacto en el proceso financiero.
5. Conclusiones.
6. Comentarios.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Referencias de información
Information Systems, Audit and Control Association
www.isaca.org
Information Technology Governance Institute
www.itgi.org
Imágenes tomadas de World Wide Web Formato de acceso libre
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Antecedentes internacionales
2001 2002
HECHOS
• Contabilidad fraudulenta. • Auditoría deficiente. • Valor de las acciones alterado. • Fraude y bancarrota. • Pérdida confianza opinión pública. • Crisis en los mercados financieros.
P. Sarbanes M. Oxley SEC / NYSE
SOX 30 JULIO 2002
• Organismo regulador Auditoría. • Gobierno Corporativo. • Sec. 302 Revelación de información. • Sec. 404. Estructura de Control interno. • Responsabilidad legal. • Multas económicas y encarcelamiento. • Documento asegurar “En control”.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Iniciativas de Control Interno
• Código Mexicano de Gobierno Corporativo (México, 1999) • Código Turnbull (Inglaterra, 1999) • Sarbanes-Oxley (Estados Unidos de Norteamérica, 2002) • Código Tabaksblat (Paises Bajos, 2003)
Tendencias
• Economía digital. • Competencia global • Gobierno corporativo • Ventaja competitiva • Valor del negocio
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Procesos del Negocio Compras Producción Ventas
Estados financieros del negocio
Balance EPG Flujo Efectivo Notas Otros
Sistemas de información
Tecnología de Información
Servicos Infra Estructura Personal
Clases de Transacciones
Transacciones ERP Aplicaciones Desarrollos ASE
GU
RA
R
CO
NFI
AB
ILID
AD
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Gobierno Corporativo
Gobernabilidad en Tecnología de Información
Control Interno
• Evaluar de riesgos • Definir Objetivos de Control • Establecer controles Internos • Resolver debilidades
Gobernabilidad del Negocio
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Elementos de control interno
• Práctica de mitigación de riesgo.
Riesgo implicito en Tecnología de
Información
Control ó Actividad de Control Objetivo de Control
• Evento o Incidente afecta el logro de objetivos. • Planear y Organizar • Adquirir e Implantar • Liberar y Dar Soporte • Monitorear y Evaluar
• Definición de las condiciones de mitigación del riesgo.
Información Electrónica
Controles Generales
Tecnología
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Proceso de negocio
Etapas del proceso
Riesgo
t
Control para Prevenir
TRANSACCION
Control para
Detectar MONITOREO
Diseño de controles de IT en los procesos de negocio
• Acciones específicas • No implicitos • Perfectibles • Costo
CONTROLES
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Estrategia, organización y comunicación.
• Adquisición, mantenimiento y reemplazo de tecnología (S&W).
• Seguridad de información e infraestructura.
• Desarrollo y mantenimiento de aplicaciones.
• Identificación y manejo de riesgos.
• Administración, desarrollo y control de proyectos.
• Aseguramiento de operación (infraestructura, procesos, operaciones)
• Entrenamiento y soporte a usuarios.
• Inversión y operación en tecnología.
Areas objetivo de los controles generales de Tecnología de Información
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Objetivo de control • Riesgo implicito • Riesgo llave
• Control de transacción • Control de monitoreo • Control manual • Control automatizado • Control de mitigación
• Controles del negocio • Controles generales de IT • Controles de aplicación
• Enfoque preventivo • Enfoque detectivo • Ocurrencia • Dueño del control
Elementos de definicion de controles generales
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Prueba de efectividad • Muestra de prueba • Método de prueba Observación Revisiön Ejecuciön
Prueba de Diseño • Diseño adecuado • Existencia de diseño Descripción Proceso • Deficiencia de diseño
EN CONTROL • Diseño adecuado • Efectividad adecuada • No materialidad • Planes de acción
Conceptos de evaluación de controles generales
• Deficiencia de operación • Deficiencia significativa. • Deficiencia material. • Impacto potencial (EF) • Plan de acción
Existe Funciona ¿Tiene deficiencias? En control
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Procesos del Negocio Compras Producción Ventas
Estados financieros del negocio
Balance EPG Flujo Efectivo Notas Otros
Sistemas de información
Tecnología de Información
Servicos Infra Estructura Personal
Clases de Transacciones
ERP Aplicaciones Desarrollos
Controles Generales
IT
Controles de
Aplicación
Controles del
Negocio
Resultados y Decisiones del Negocio
Con
trol
es d
e Tr
ansa
cció
n
Con
trol
es d
e M
onito
reo
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Objetivo de Control: Asegurar transacciones confiables • Riesgo implícito: Transacciones no efectudas conforme requerimientos o prácticas contables. • Controles internos: Controles de aplicación.
Sistemas de información
SISTEMAS LEGACY ERP DESARROLLOS
PROPIOS SOLUCIONES EN PAQUETE
Negocio
Define Requerimientos
Transacciones Registro
Procesamiento Cálculo Posteo
Reportes Acceso
Controles de Aplicación
Operaciones automatizadas. Incorporadas en funcionalidad Previenen Op. no autorizadas
Procesan información según definiciones
Internas.
Estados financieros del negocio
Tecnología de Información
Habilitador de requerimientos
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Parámetros Antigüedad de Saldos
Ventas X Cliente
Cobranza X Cliente
Reporte Antigüedad de Saldos
VALIDACION • Diseño: Control existe. • Efectividad: Resuelve requerimiento. • Documentación. Prueba de identificación • Control de cambios.
CATEGORIAS • Seguridad - Acceso • Programación - Lógica • Validación - Entradas • Configuración - Parámetros • Reportes - Salidas • Auditoría integrada.
Validación de controles de aplicación EFECTIVIDAD • Proceso completo • Exacto • Válido • Acceso autorizado • Segregación
ORIENTACION • Controles de riesgo llave: Transacciones Cálculos. Reportes. • Controles no documentados.
Ejemplo de revisión de controles de aplicación en transacciones de cobranza
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Enfoque en controles de aplicación:
• Documentación de la aplicación (Metodología)
• Métodos: más utilizados: 1. Re-ejecución 2. Validación
• Ambientes operativos: Producción y Prueba.
• Herramientas:
1. Vaciado de datos (Data Dumping) 2. Hojas de cálculo. 3. Manejadores de bases de datos.
• Herramientas auditoría integradas a Sistemas.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
La madurez de un control se mide a través de las pruebas de diseño y efectividad a través del tiempo con base en documentación, conciencia y revisión
Figura tomada de Cobit 4.1 / ISACA
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Modelos de Control Interno
Modelo COSO (Committee of Sponsor Organizations)
• Organización patrocinada voluntaria del sector privado.
• Antecedente: SEC ordena usar un marco de control interno reconocido.
• Objetivo: Mejorar la calidad de los reportes financieros.
• Etica de negocios, Control interno efectivo, Gobierno corporativo.
• Modelo COSO: Componentes básicos de control interno efectivo a nivel organizacional.
• No establece requerimientos de objetivos de control ni actividades de control para Tecnología de Información.
• Publicación Estados Unidos, 1992. Monitoreo
Actividades de control
Evaluación de riesgos
Clima de Control
Información y comunicación
Conciencia de control “The tone at the top”
Identificar factores afectan el Negocio
Mitigación de riesgos.
Información relevante Identificada y comunicada oportuna y debidamente
Determinar si el Control Interno es Adecuada y efectivo
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Modelos de Control Interno
Modelo Cobit
• Control OBjectives for Information and related Technology. • ISACA & ITGI, Estados Unidos, 1992. • Prácticas generalmente aceptadas para Tecnología de Información. Comprende: 4 Dominios (Areas funcionales) 34 Procesos genéricos de IT. 216 Actividades u Objetivos de Control. • Modelo Integrador Requerimientos del negocio. Funciones de T.I. Recursos de T.I. • Proporciona un modelo de evaluación de madurez de procesos. • Reconocido como modelo de control interno para T.I.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Planear y Organizar Dirigir la entrega de soluciones y servicios.
• Adquirir e Implantar Provee soluciones y las transforma en servicios.
• Liberar y Dar soporte Recibe las soluciones y las hace utilizables.
• Monitorear y Evaluar Monitorea los procesos y seguimiento de directrices.
34 Procesos de Tecnología de Información
216 Actividades de Control (Controles)
Cubo de Cobit como compendio de actividades de control en IT
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
• Dominio - Acquire and implement • Proceso AI1 - Identify automated solutions • Proceso AI2 - Acquire and maintain application software • Proceso AI3 - Acquire and maintain technology infraestructure • Proceso AI4 - Enable operation and use. • Proceso AI5 - Procure IT resources. • Proceso AI6 - Manage changes.
• Descripción del proceso. • Objetivos de control
• AI6.1 Change Standards and Procedures. • Establecer procedimientos formales de administracion de cambios para manejar todas las solicitudes en forma estandarizada (incluyendo mantenimientos y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros y plataformas de soporte.
• AI6.2 Impact Assessment, Prioritisation and Authorisation. • AI6.3 Emergency changes. • AI6.4 Change Status Tracking and Reporting. • AI6.5 Change Closure and Documentation.
• Como se administra el proceso • Procesos COBIT relacionados • Diagrama RACI Responsables, Consultado, Informado. • Metas del proceso y métricas aplicables • Evaluación de madurez.
• Proceso AI7 - Install and accredit solutions and changes.
Objetivo de control en la estructura de COBIT
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Tres cubos, un enfoque
Cubo COSO + Cubo Cobit = Cubo SOX
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Herramientas automatizadas
para COBIT
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Objetivos de Control de T.I. relevantes en el proceso de revisión financiero
1. Seguridad.
• Solicitudes ABC empleados con autorización del negocio. • Autorización conjunta de Personal. • Autorización de derechos de acceso a información. • Segregación de funciones. • Habilitación y deshabilitación oportuna. • Inventario de usuarios en sistema comparado con Personal. • Aplica sin excepción a todo el personal. • Comunicación de políticas generales al usuario. • Documentación de transacciones disponibles. • Autorización de 3 partes:
• Negocio. • Personal. • Sistemas.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
2. Segregación de funciones
• Baseline de aplicaciones. • Debe existir division de roles y responsabilidades.en funciones críticas. • Definición del negocio y de las mejores prácticas. • Análisis de riesgo necesario. • Matriz de responsabilidades. • Controles automatizados.
• Informe de derechos de acceso. • Informe de transacciones.
• Controles compensatorios. • Funcional o Perfil.
Objetivos de Control de T.I. relevantes en el proceso de revisión financiero
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
Ejemplo de matriz de segregación de funciones
Objetivos de Control de T.I. relevantes en el proceso de revisión financiero
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
3. Control de cambios en aplicaciones
• Iniciado y autorizado por el negocio. • Comité de cambios negocio y sistemas. • Cambios necesarios vs. Imperantes. • Análisis de Impacto y riesgo implícito. • Definición de alcances y tiempos. • Pruebas de funcionamiento de sistema. • Pruebas de funcionamiento del negocio. • Aceptación del negocio. • Ambientes de operación separados:
• Desarrollo • Calidad • Producción
• Capacidad de reversar los cambios. • Segregación de funciones:
• Desarrollo. • Liberación
• Liberación y Comunicación.
Objetivos de Control de T.I. relevantes en el proceso de revisión financiero
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
CONCLUSIONES
1. El control interno en la tecnología de información persigue asegurar la efectividad y eficiencia de los procesos del negocio y el cumplimiento de regulaciones.
2. Requiere la aplicación de planes de trabajo apoyados por el nivel Directivo específicos para su aseguramiento como función del negocio.
3. Utiliza una inversión importante en documentación, siendo el reto no hacer inefectivos los procesos.
4. En sus niveles de madurez, el control interno provee una ventaja competitiva.
CONTROL INTERNO EN LA TECNOLOGIA DE INFORMACION Y SU IMPACTO EN
LOS PROCESOS DE NEGOCIO Y EN LOS REPORTES FINANCIEROS
SESION TECNICA 23 DE SEPTIEMBRE DE 2010
C o m e n t a r i o s