Mapa conceptual control interno

Mapa conceptual Auditoría

Resumen COBIT

COBIT es un marco cuyo enfoque está inclinado hacia el gobierno de las tecnologías de la información. Este marco brinda buenas prácticas a través de un marco de dominios y procesos, con un enfoque pleno en el control. 

Ahora bien, dentro de los procesos que establece COBIT, podemos ver el proceso de planear y organizar, adquirir e implementar, entregar y dar soporte, y finalmente el de monitorear y evaluar.  De tal manera es importante resaltar que COBIT permite establecer un vínculo y una estrecha relación con los requerimientos del negocio, además organiza y sincroniza las actividades de TI en un modelo establecido generalmente aceptado.

Por otro lado este marco resalta la importancia de identificar los recursos de TI necesarios para ser utilizados, a partir de un amplio estudio de lo que se cuenta. 

El Marco COBIT está integrado por, los principios, la arquitectura, facilitadores, la guía de implementación y otras publicaciones futuras de interés. Así pues, dentro de los principios de COBIT, se resaltan: 

• Satisfacer las necesidades de los interesados 
• Cubrir la organización de principio a fin 
• Aplicar un único marco de trabajo integrado 
• Aproximación holística 
• Separar gestión de gobierno

 Además de ello COBIT posee 7 categorías, las cuales son:

• Los principios, las políticas y el marco de referencia son el vehículo para interpretar el comportamiento deseado en una guía práctica para la gestión del día a día. 
• Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir una serie de productos de apoyo a la consecución de metas relacionadas con las TI. 
• Las estructuras organizativas son las principales entidades de toma de decisiones en una empresa. 
• La cultura, la ética y el comportamiento de los individuos y de la empresa son muy a menudo subestimado como factor de éxito en las actividades de gobierno y de gestión. 
• La información es necesaria para mantener la organización funcionando bien la empresa, pero a nivel operativo, la información es muy a menudo la clave del producto de la propia empresa.

Dentro de los beneficios que otorga COBIT, es importante resaltar que le ayuda a la gerencia a tener una visión entendible de las TI, además ayuda a gestores, auditores y usuarios a entender  sus Sistemas de Información. Provee lineamientos avanzados en áreas de alto interés, como la arquitectura empresarial, gestión de activos.

Resumen COSO

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Objetivos del Informe

• Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y servicios de la calidad esperada.

• Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o irregularidades.

• Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la adhesión de los integrantes de la organización a las políticas y objetivos de la misma.

• Obtener datos financieros y de gestión completos y confiables y presentados a través de informes oportunos.

El control interno está diseñado para proporcionar una seguridad razonable en cuanto a:

1.    Eficacia de las operaciones

2.    Eficiencia de las operaciones

3.    Fiabilidad de la información financiera

4.    Fiabilidad de la información operativa y de gestión

5.    Salvaguardia de los activos

6.    Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.

Limitaciones del Control Interno

• Puede existir que el control interno frene el crecimiento empresarial.  Ya que el objetivo del control interno no es crecer sino que las actividades que la empresa realice sean las adecuadas y correctas.

• Con el control interno no se puede asegurar la efectividad en las operaciones empresariales cuando fueron definidos de forma.

COSO I

Ambiente de control: Este componente se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal.

Valoración del riesgo: Se refiere a la identificación y el análisis de los riesgos más relevantes que asume la empresa para el logro de sus objetivos.

Actividades de control: Actividades de control que realiza la gerencia y las demás dependencias de la empresa, para cumplir con las diferentes funciones.

Información comunicacional: Toda la información relevante que se produzca, debe ser identificada, capturada, procesada y comunicada a todo el personal de la organización, dentro de los tiempos establecidos.

Monitoreo: La gerencia de la organización debe llevar a cabo una permanente revisión y evaluación de todos los componentes y elementos que forman parte del sistema.

COSO II

COSO define ERM como:

Un proceso que lleva a cabo el consejo de administración, la dirección y otro personal de la entidad, que se aplica en la definición de estrategias y en toda la empresa, que está diseñado para identificar incidentes potenciales que pueden afectar a la entidad.

Componentes/Elementos de la ERM

La ERM tiene ocho componentes interrelacionados.

Entorno interno: Abarca el ambiente de una empresa y define la base para la manera en que el personal de una empresa considera y aborda los riesgos y el control.

Es la base de todos los demás componentes de la ERM y proporciona disciplina y estructura.

Definición de objetivos: los objetivos se definen en el nivel estratégico, estableciendo una base para las operaciones, la elaboración de informes y los objetivos de cumplimiento.

Identificación del incidente: la dirección identifica posibles incidentes que, si suceden, afectaran la entidad y determina si estos incidentes representan oportunidades o si podrían afectar negativamente la posibilidad de la entidad de implementar con éxito la estrategia y lograr los objetivos.

Evaluación de riesgos: permite a la entidad considerar el grado hasta el cual los incidentes potenciales tienen impacto sobre el logro de los objetivos.

Respuesta al riesgo: una vez evaluados los riesgos relevantes, la dirección determina como responderá. Las respuestas se clasifican en cuatro categorías: Evasión, reducción, gestión compartida y aceptación del riesgo

Actividades de control: son políticas y procedimientos que ayudan a garantizar que se lleven a cabo las respuestas al riesgo de la dirección.

Información y comunicación: la información relevante se identifica, captura y comunica en tiempo y forma, lo cual permite a los empleados llevar a cabo sus responsabilidades.

Supervisión: la ERM debe ser supervisada evaluando la presencia y el funcionamiento e sus componentes en el transcurso del tiempo.

MODELO COSO PARA LOS CONTROLES DE LA TECNOLOGÍA

Entorno de control

-        Imagen de la gerencia: TI y controles de seguridad considerados importantes

-        Política de tecnología general y política de seguridad de la información

-        Comité de gobierno corporativo sobre tecnología

-        Comité de normas y arquitectura de la tecnología

-        Representación total de todas las unidades de negocio

Evaluación de riesgos

-        Riesgos de TI incluidos en la evaluación de riesgo corporativo general

-        TI integrada en las evaluaciones de riesgos del negocio

-        Diferenciación de controles de TI para áreas/funciones de alto riesgo

-        Evaluación de auditoría interna de TI

-        Evaluación de aseguramiento de TI

Actividades de control

-        Junta revisora de la gestión del cambio

-        Comparación de iniciativas de tecnología para el plan y el rendimiento de la inversión

-        Documentación y aprobación de plantas de TI y arquitectura de sistemas

-        Cumplimiento de normas sobre seguridad física e información

-        Adhesión a la evaluación de riesgos de la continuidad del negocio

-        Cumplimiento de las normas sobre tecnología

Información y comunicación

-        Comunicaciones corporativas periódicas (intranet, correo electrónico, reuniones, boletines)

-        Concientización continua sobre mejores practicas en el área de tecnología

-        Encuesta de desempeño de TI

-        Capacitaciones de seguridad y TI

-        Resolución continua de problemas a través de mesas de ayuda

Supervisión

-        Mediciones mensuales del desempeño tecnológico

-        Análisis de desempeño de control y costos de la tecnología

-        Evaluaciones periódicas de la gestión de la tecnología

-        Auditoría interna de empresas de tecnología

-        Auditoría interna de áreas de alto riesgo