0 calificaciones0% encontró este documento útil (0 votos)
88 vistas27 páginas
El documento establece las disposiciones sobre auditoría interna y administración de riesgos tecnológicos en las instituciones financieras. Define auditoría interna como una actividad independiente que evalúa la efectividad de los controles internos y el gobierno corporativo. También describe las funciones de la auditoría interna y la unidad de cumplimiento, así como los requisitos para el responsable de auditoría interna y los planes de trabajo anuales.
El documento establece las disposiciones sobre auditoría interna y administración de riesgos tecnológicos en las instituciones financieras. Define auditoría interna como una actividad independiente que evalúa la efectividad de los controles internos y el gobierno corporativo. También describe las funciones de la auditoría interna y la unidad de cumplimiento, así como los requisitos para el responsable de auditoría interna y los planes de trabajo anuales.
El documento establece las disposiciones sobre auditoría interna y administración de riesgos tecnológicos en las instituciones financieras. Define auditoría interna como una actividad independiente que evalúa la efectividad de los controles internos y el gobierno corporativo. También describe las funciones de la auditoría interna y la unidad de cumplimiento, así como los requisitos para el responsable de auditoría interna y los planes de trabajo anuales.
Capitulo 7. Auditoría Interna JM-62-2016, JM-102-2011, C OBI T 4.1, COBIT 5 By Juan Antonio Vásquez Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
CAPÍTULO I: DISPOSICIONES GENERALES
Artículo 2: Definiciones
Sistema de control interno: Es el conjunto de reglas y controles
que gobiernan la estructura organizacional y operativa de una institución, incluyendo mecanismos de reporte y funciones de administración de riesgos, cumplimiento y auditoría interna. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
CAPÍTULO VI: CONTROL INTERNO
Artículo 14: Elementos del sistema de control interno
Las instituciones deben implementar un sistema de control
interno considerando la naturaleza y volumen de las operaciones que realizan, que comprenda los elementos siguientes: Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
a) Ambiente de control que incluya:
1. Una cultura organizacional que fomente en todo el personal
de la institución principios, valores y conductas que enfatice la importancia de los controles internos y de su cumplimiento;
2. Disposiciones claras y definidas para la separación de
funciones; la delegación de autoridad y responsabilidad; el establecimiento del grado de dependencia e interrelación entre las distintas áreas de la institución. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
b) El establecimiento de planes operativos congruentes con el
plan estratégico de la institución, los cuales deben estar documentados;
c) Los procedimientos para la administración integral de los
riesgos a que está expuesta la institución a que se refiere el Reglamento para la Administración Integral de Riesgos;
d) Actividades de control, contenidas en políticas,
procedimientos y sistemas, que incluyan revisiones de desempeño operativo, aprobaciones y autorizaciones de transacciones y actividades, desembolso de fondos, salvaguardas de activos, cumplimiento de leyes y disposiciones aplicables; y, verificaciones realizadas por la auditoría interna; Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
e) Sistemas de contabilidad, de información y de comunicación
para capturar, procesar y proporcionar información precisa, correcta y oportuna y, que permita a la institución sus objetivos; y,
f) Monitoreo y evaluación permanente del sistema de control
interno, con el propósito de determinar su eficacia, oportunidad y validez, así como corregir deficiencias oportunamente. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
CAPÍTULO VII: AUDITORÍA INTERNA
Artículo 15: Auditoría interna
La auditoría interna deberá ser una actividad independiente y
objetiva, que examina con un enfoque sistemático la efectividad de la administración integral de riesgos, del sistema de control interno y del gobierno corporativo para agregar valor y mejorar las operaciones de la institución. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 16: Funciones de la auditoría interna
La auditoría interna tendrá las funciones siguientes:
a) Evaluar anualmente la idoneidad y efectividad de las
políticas y procedimientos de gobierno corporativo, del sistema de control interno y del manual de gobierno corporativo, e informar del resultado al Comité de Auditoría.
b) Evaluar anualmente la eficacia de los procesos de gestión
integral de riesgos, proponer acciones a adoptar e informar al Comité de Auditoría; Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
c) Verificar el proceso utilizado para la evaluación de la
suficiencia de capital de la institución en relación a su exposición al riesgo;
d) Verificar el cumplimiento de las políticas y procedimientos
aprobados por el Consejo, y elaborar propuestas sobre acciones a adoptar con relación a los incumplimientos e informar al Comité de Auditoría;
e) Validar la integridad de los sistemas de información en la
institución; Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
f) Revisar la confiabilidad, integridad y oportunidad de los
registros contables y los reportes financieros, así como los reportes no financieros cuando proceda;
g) Informar de manera inmediata al Consejo y al Comité de
Auditoría cualquier deficiencia o irregularidad relevante que se haya encontrado como consecuencia de las auditorías realizadas y proponer medidas correctivas; y,
h) Otras que le sean asignadas por el Consejo o por el Comité de
Auditoría. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 17: Plan anual de trabajo
La auditoría interna deberá elaborar un plan anual de trabajo
que considere los riesgos a los que está expuesta la institución, el cual será evaluado por el Comité de Auditoría, previo a su aprobación con el Consejo, la cual debe hacerse a más tardar el treinta y uno (31) de diciembre del año anterior al que se trate. Este plan debe incluir el alcance, objetivos, asignación de recursos y el cronograma de las actividades programadas. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 18: Informes de auditoría interna
La auditoría interna deberá preparar informes escritos de los
resultados finales de cada auditoría o parciales en casos especiales. Los informes de auditoría deben contener una descripción del alcance y objetivos de la revisión, los resultados, las conclusiones y las recomendaciones.
La auditoría interna deberá presentar trimestralmente un
reporte de ejecución del plan de trabajo al Comité de Auditoría, dentro del mes siguiente de finalizado el trimestre calendario que corresponda. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Dicho reporte deberá contener un resumen de las auditorías y
otras actividades realizadas durante el trimestre, la identificación de las principales deficiencias o irregularidades encontradas y las medidas correctivas propuestas, así como los avances en la implementación de dichas medidas.
En caso de deficiencias o irregularidades relevantes, se deberá
proceder conforme lo indicado en la literal g) del artículo 16 de este reglamento. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 19: Responsable de la auditoría interna
El responsable de la auditoría interna deberá ser persona
solvente, honorable, con grado académico de licenciatura en el área contable y de auditoría, con conocimientos y experiencia en las actividades que la institución realiza y sus riesgos.
La institución no podrá nombrar o contratar como responsable
de la auditoría interna a una persona que haya sido removida de ésta u otra institución conforme lo establecido en el artículo 101 de la ley de Bancos y Grupos Financieros. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 20: Auditoría interna de grupos financieros
En el caso de las instituciones que forman parte de un grupo
financiero, estará permitido que la persona responsable de la auditoría interna de una institución sea designada como responsable de la auditoría interna de otras instituciones del mismo grupo. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Artículo 21: Unidad Administrativa de Cumplimiento
La Unidad Administrativa de Cumplimiento a que se refiere el
artículo 57 de la Ley de Bancos y Grupos Financieros dependerá del Comité de Auditoría, y tendrá las funciones siguientes:
a) Velar porque el personal cumpla con las leyes y disposiciones
aplicables a las actividades de la institución del país y, cuando proceda, en el extranjero; Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
b) Informar al Comité de Auditoría, trimestralmente, dentro del
mes siguiente de finalizado el trimestre calendario que corresponda, y cuando la situación lo amerite, sobre el cumplimiento de las leyes y disposiciones aplicables y sobre las medidas adoptadas en caso de incumplimiento, así como proponer medidas correctivas adicionales de ser necesario;
c) Verificar que la información enviada periódicamente a la
Superintendencia de Bancos, cumpla con las características y los plazos establecidos en las disposiciones aplicables; Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
d) Velar porque el personal de la institución tenga conocimiento
de las leyes y disposiciones aplicables, de forma que su cumplimiento, objetivos e implicaciones sean comprendidos por el personal que corresponda; y,
e) Otras que le asigne el Consejo.
Esta unidad deberá ser independiente d las unidades de negocio
y unidades operativas y tendrá acceso a la información que sea necesaria para cumplir con sus responsabilidades, así como la facultad de comunicarse directamente con cualquier miembro del personal de la institución. Reglamento de Gobierno Corporativo Capitulo 7. Auditoría Interna
Esta unidad deberá elaborar un plan anual de trabajo, el cual
será aprobado por el Comité de Auditoría a más tardar el treinta y uno (31) de diciembre del año anterior al que se trate. Este plan debe incluir el alcance, objetivos, asignación de recursos y el cronograma de las actividades programadas. JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico
CAPÍTULO I: DISPOSICIONES GENERALES
Artículo 2. Definiciones
Sistemas de información: es el conjunto organizado de datos,
procesos y personas para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información en la institución para un objetivo específico.
Tecnología de la información o TI: es el uso de la tecnología para
obtener, procesar, almacenar, transmitir, comunicar y disponer de la información, para dar viabilidad a los procesos del negocio. COBIT 4.1 Criterios de Información
Para satisfacer los objetivos del negocio, la información necesita
adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio.
Con base en los requerimientos más amplios de calidad,
fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:
La integridad está relacionada con la precisión y completitud
de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. COBIT 4.1 Procesos relacionados a la “Integridad”
PO2. Definir la Arquitectura de la Información
PO2.1. Modelo de Arquitectura de Información Empresarial
PO2.4. Administración de Integridad
AI3 Adquirir y Mantener Infraestructura Tecnológica
AI3.2 Protección y Disponibilidad del Recurso de
Infraestructura
AI6 Administrar Cambios
DS5 Garantizar la Seguridad de los Sistemas
COBIT 5 Modelo de Información
Integridad: Si la información tiene integridad, entonces está
completa y libre de errores. Esto concuerda con las siguientes metas de la calidad de la información: completitud, precisión. COBIT 5 Procesos relacionados a la “Integridad”
APO01 Gestionar el Marco de Gestión de TI
APO01.05 Optimizar la ubicación de la función de TI.
BAI03 Gestionar la Identificación y Construcción de
Soluciones
BAI03.05 Construir soluciones.
BAI03.08 Ejecutar pruebas de la solución.
BAI06 Gestionar los Cambios
BAI06.02 Gestionar cambios de emergencia.
COBIT 5 Procesos relacionados a la “Integridad”
BAI07 Prácticas, Entradas/Salidas y Actividades del Proceso
BAI07.02 Planificar la conversión de procesos de negocio,
sistemas y datos.
BAI10 Gestionar la Configuración
BAI10.03 Mantener y controlar los elementos de configuración.
BAI10.05 Verificar y revisar la integridad del repositorio de
configuración. COBIT 5 Procesos relacionados a la “Integridad”
DSS04 Gestionar la Continuidad
DSS04.03 Desarrollar e implementar una respuesta a la
continuidad del negocio.
DSS05 Gestionar Servicios de Seguridad
DSS05.03 Gestionar la seguridad de los puestos de usuario final.
COBIT 5 Procesos relacionados a la “Integridad”
DSS06 Gestionar Controles de Proceso de Negocio
DSS06.02 Controlar el procesamiento de la información.
DSS06.03 Gestionar roles, responsabilidades, privilegios de
acceso y niveles de autorización.
DSS06.04 Gestionar errores y excepciones.
MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
MEA01.03 Recopilar y procesar los datos de cumplimiento y