AO DE LA INVERSION PARA EL DESARROLLO RURAL Y LA SEGURIDAD ALIMENTARIA

CONTROL INTERNO INFORME COSO - COBIT

MODULO: AUDITORIA DOCENTE : Mg. CPCC. CEDILLO PEA LUIS .E.

INTEGRANTES: . MUOZ BALLADARES, HELEN . MANRIQUE VIERA, YHAN . TORRES FIESTAS, CHARLY

CONTROL INTERNO
Es el conjunto de acciones, actividades,

planes, polticas, normas, registros, procedimientos y mtodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una entidad.

MODELO COSO
A nivel organizacional, Este documento destaca

la necesidad de que la alta direccin y el resto de la organizacin comprendan cabalmente la trascendencia del control interno, la incidencia del mismo sobre los resultados de la gestin, el papel estratgico a conceder a la auditora y esencialmente la consideracin del control como un proceso integrado a los procesos operativos de la empresa y no como un conjunto pesado, compuesto por mecanismos burocrticos.

MODELO COSO
A nivel regulatorio o normativo, el Informe

COSO ha pretendido que cuando se plantee cualquier discusin o problema de control interno, tanto a nivel prctico de las empresas, como a nivel de auditora interna o externa, o en los mbitos acadmicos o legislativos, los interlocutores tengan una referencia conceptual comn, lo cual hasta ahora resultaba complejo, dada la multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.

MODELO COSO - FINALIDAD

Establecer una definicin comn de

control interno que responda a las necesidades de las distintas partes. Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea su tamao y naturaleza, puedan evaluar sus sistema de control interno.

COMPONENTES DE CONTROL INTERNO

El control interno consta de cinco componentes relacionados entre s. Derivan del estilo gerencial y estn integrados en el proceso de direccin. Estos componentes, que se presentan con independencia del tamao o naturaleza de la organizacin, son:
Entorno de control. Evaluacin de riesgos. Actividades de control. Informacin y comunicacin.

Supervisin.

I. ENTORNO DE CONTROL
Es, fundamentalmente, consecuencia de la

actitud asumida por la alta direccin, la gerencia, y por carcter reflejo el resto de los empleados, con relacin a la importancia del Control Interno y su incidencia sobre las actividades y resultados.

I.1. Factores que lo constituyen

Integridad y valores ticos.

Competencia profesional.
Atmsfera de confianza mutua. Filosofa y estilo de direccin.

Estructura, plan organizacional, reglamentos y

manuales de procedimiento. Delegacin de autoridad y asignacin de responsabilidades. Polticas y prcticas en materia de Recursos Humanos. Consejo de Administracin, comit de auditora,

I.2. Valores ticos

Los

valores ticos fomentan la buena reputacin de una entidad. Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad y compromiso personal hacia la organizacin.

I.3.Compromiso de competencia profesional.

En una organizacin, es necesaria la existencia

de procesos de definicin de puestos y actividades de seleccin de personal, de formacin, de evaluacin y promocin para poder cubrir cada puesto de trabajo por personas capaces de realizar sus labores en forma competente.

I.4. Estructura y Plan Organizacin

La

estructura organizativa, formalizada en un organigrama, constituye el marco formal de autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los objetivos del organismo, son planeadas, efectuadas y controladas. Lo importante es que su diseo se ajuste a sus necesidades, es decir que proporcione el marco organizacional adecuado para llevar a cabo la estrategia diseada para alcanzar los objetivos fijados.

II. EVALUACION DE RIESGOS

Qu son los riesgos? Los riesgos son hechos o acontecimientos cuya probabilidad de ocurrencia es incierta. La trascendencia del riesgo en el mbito de estudio de control interno, se basa en que su probable manifestacin y el impacto que puede causar en la organizacin, pone en peligro la consecucin de los objetivos de la misma.

II.1. Identificacin y anlisis de riesgos

Es imprescindible identificar los riesgos relevantes

que enfrenta un organismo en la bsqueda de sus objetivos, ya sean de origen interno como externo. La direccin tendr la responsabilidad de identificar riegos, pero es verdaderamente importante que se analicen con la misma profundidad los factores que pueden contribuir a aumentar los mismos.

II.2. Fuentes de Riesgo:

A. Externas:
Desarrollos tecnolgicos que en caso de no adoptarse,

provocaran obsolescencia organizacional, Cambios en las necesidades y expectativas de la demanda, Modificaciones en la legislacin y normas regulatorias que conduzcan a cambios forzosos en la estrategia y procedimientos, Alteraciones en el escenario econmico que impacten en el presupuesto del organismo, sus fuentes de financiamiento y su posibilidad de expansin.

II.2. Fuentes de Riesgo:

B. Internas: La estructura organizacional adoptada, teniendo en cuenta la existencia de riesgos inherentes tpicos tanto en un modelo centralizado como en uno descentralizado, La calidad del personal incorporado, as como los mtodos para su instruccin y motivacin, La propia naturaleza de las actividades del organismo, El impacto relativo de los sistemas informticos en el sistema de informacin de la entidad.

II.3. Estimacin del Riesgo.

Se debe estimar la frecuencia con que se presentarn los riesgos identificados, as como tambin se debe cuantificar la probable prdida que ellos pueden ocasionar. El mtodo para determinar la importancia relativa, como mnimo incluir:
Estimacin de su importancia/trascendencia, Evaluacin de su probabilidad de ocurrencia/

frecuencia, Valoracin de la prdida que podra resultar, Definir la forma en que habrn de manejarse/gestionar el riesgo.

II.4. Valoracin de riesgos.

La valoracin es la identificacin y anlisis de los riesgos asociados al logro de los objetivos, definidos en planes estratgicos y anuales. La valoracin del riesgo se realiza usando el juicio profesional y la experiencia del auditor y del gestor, en funcin de los siguientes criterios:
El impacto del rea auditable cuando no logra los

OBJETIVOS de la organizacin. 2. La competencia, integridad y suficiencia del PERSONAL. 3. La cuanta de los activos, liquidez o volumen de TRANSACCIONES. 4. La COMPLEJIDAD o VOLATILIDAD de las actividades. 5. La suficiencia de los CONTROLES INTERNOS en la propia rea. 6. El grado en que el rea depende de los SISTEMAS INFORMTICOS.

II.4. Valoracin de riesgos.

Cada uno de los anteriores criterios se cuantifica segn una escala, de 1 a 3, que asigna un valor descriptivo a cada uno de los factores de riesgo ms importantes:
1 = Riesgo bajo. 2 = Riesgo medio. 3 = Riesgo alto.
Suma

De acuerdo con los anteriores coeficientes, la suma del riesgo ms bajo alcanzable por un rea es 6 y el ms alto, 18. La suma se multiplica por (P + I) siendo:
P = la probabilidad de ocurrencia de un riesgo importante (1 = bajo, 2 = el medio, 3 =

alto)
I = impacto en la Organizacin (1 = impacto bajo, 2 = impacto moderado, 3 = impacto

crtico)

ACTIVIDADES DE CONTROL

4. ACTIVIDADES DE CONTROL

Son polticas y procedimientos que tienden asegurar que se cumplan las instrucciones emanadas de la direccin superior. Apuntan a minimizar riesgos:
Prevenir su ocurrencia Minimizar el impacto de sus consecuencias Procurar el restablecimiento del sistema en el menor tiempo posible

CATEGORIAS
LAS OPERACIONES

LA CONFIABILIDAD DE LA INFORMACIN FINANCIERA

EL CUMPLIMIENTO DE LEYES Y REGLAMENTOS

MECANISMOS DE CONTROL
SEGREGACIN O SEPARACIN DE FUNCIONES

Las responsabilidades de autorizar, ejecutar, registrar y comprobar una transaccin, deben quedar, en la medida de lo posible, claramente segregadas y diferenciadas.
ANLISIS REALIZADOS POR LA DIRECCIN

La comparacin de datos actuales con datos histricos referidos a los mismos perodos.

Documentacin
La documentacin sobre transacciones y hechos significativos debe ser completa y exacta,

MECANISMOS DE CONTROL
La autorizacin es la forma idnea de asegurar que slo se llevan adelante actos y transacciones que cuentan con la conformidad de la direccin. Registro oportuno Las transacciones y los hechos que afectan a un organismo deben registrarse inmediatamente y ser debidamente clasificados.
Acceso restringido a los recursos Niveles definidos de autorizacin

El acceso a los recursos, activos, registros y comprobantes, debe estar protegido por mecanismos de seguridad y limitado a personas autorizadas

MECANISMOS DE CONTROL
Rotacin del personal Ningn empleado debe tener a su cargo, durante un tiempo prolongado, las tareas que presenten una mayor probabilidad de comisin de irregularidades.
Control del sistema de El sistemainformacin de informacin debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar la confiabilidad del procesamiento de transacciones.

Controles fsicos Estos controles, muy efectivos, comparan los resultados del recuento o arqueo.
Indicadores de desempeo Todo organismo debe contar con mtodos de medicin de

desempeo que permitan la preparacin de indicadores para su supervisin y evaluacin.

INFORMACIN Y COMUNICACIN
SISTEMAS DE INFORMACION FORMALES INFORMACIO N SISTEMAS DE INFORMACION INFORMALES

ESTRATEGIAS Y SISTEMAS INTEGRADOS

APOYO DE LOS SISTEMAS A LAS INICIATIVAS ESTRATGICAS

INTEGRACIN CON LAS OPERACIONES

COEXISTENCIA DE TECNOLOGAS

LA CALIDAD DE LA INFORMACIN

INFORMACIN Y COMUNICACIN
COMUNICACIN INTERNA

COMUNICACI ON

COMUNICACIN EXTERNA

SUPERVICION

Resulta necesario realizar una supervisin de los sistemas de Control Interno, evaluando la calidad de su comportamiento

CONTROLES PERMANENTE S

LA FRECUENCIA DE LAS REVISIONES

COMUNICACIN DE LAS DEFICIENCIAS DE CONTROL INTERNO

CONTROLES PERMANENTES:
Los Controles permanentes comprenden la evaluacin de ciertos aspectos segn la manera en que se han diseado los procesos y procedimientos
PROCEDIMIENTOS

Supervisin continuada Por evaluaciones puntuales

LA FRECUENCIA DE LAS REVISIONES O AUDITORAS Sus resultados depende de: La naturaleza e importancia de los cambios De la competencia y experiencia de las personas que aplican los controles

De los resultados observados en los controles permanentes

COMUNICACIN DE LAS DEFICIENCIAS DE CONTROL INTERNO

LA COMUNICACIN DE LAS DEFICIENCIAS 1. Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detectada de control interno. 2. Idoneidad de los procedimientos de comunicacin. 3. Idoneidad de las acciones de seguimiento.

INFORME COBIT

INTRODUCCIN
Para muchas organizaciones, la informacin y la tecnologa que la respalda, representan los activos ms valiosos de la empresa, por lo que la gestin de los riesgos asociados de la Tecnologa de Informacin, o Gobernabilidad de TI, ha ganado notoriedad en tiempos recientes como un aspecto clave de la gobernabilidad corporativa, dada su capacidad de proporcionar valor agregado al negocio, balanceando la relacin entre el riesgo y el retorno de la inversin sobre TI y sus procesos.

MODELO COBIT
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de informacin de toda la empresa. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

DEFINICIN DE COBIT
QU ES?
Es un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Es un modelo de referencia que permite a la Audiencia (Administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos de negocio, las necesidades de control y aspectos tecnolgicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos tecnologas de la informacin (COSO Y COBIT). En efecto COBIT apoya la gobernabilidad de los recursos de TI mediante la comprensin y la administracin de los riesgos asociados a las tecnologas de la informacin a travs de un Marco Referencial de dominios, procesos y tareas estructuradas en forma simple y lgica.

MODELO COBIT

La Misin de COBIT:

Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores.

Usuarios:
LOS USUARIOS FINALES Quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamen te. LOS AUDITORE S Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. LOS RESPONSABL ES DE TI

LA GERENCIA Para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

Para identificar los controles que requieren en sus reas.

Se encargan de
DISE O
DESARROLL O FOMENT O MANTENIMIENT O

ADMINISTRACI N

D E
INFORMACI N

Por medio de

SISTEMAS INFORMTICO S

MODELO COBIT

Caractersticas:
ALINEADO CON ESTNDARES Y REGULACIONE S "DE FACTO" BASADO EN UNA REVISIN CRTICA Y ANALTICA DE LAS TAREAS Y ACTIVIDADES EN TI ALINEADO CON ESTNDARES DE CONTROL Y AUDITORIA (COSO, IFAC, IIA, ISACA, AICPA)

ORIENTADO AL NEGOCIO

MODELO COBIT
REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO
Principios: El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
REQUERIMIENTOS DE CALIDAD

Calidad, Costo y Entrega.

Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

REQUERIMIENTOS FINANCIEROS

REQUERIMIENTOS DE SEGURIDAD

Confidencialidad, Integridad y Disponibilidad

MODELO COBIT
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: DATOS: Todos los
objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. RECURSO HUMANO: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin. APLICACIONES: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados.

INSTALACIONES: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.

TECNOLOGA: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

ESTRUCTURA DE MODELO COBIT

se define a partir de que "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos".

Se divide en tres niveles::

PROCESOS Conjuntos o series de actividades unidas con delimitacin o cortes de control.

DOMINIOS Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

ACTIVIDADES Acciones requeridas para lograr un resultado medible.

ESTRUCTURA DE COBIT
DOMINIOS

Planificacin y organizacin Este dominio cubre la estrategia , tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio.

Adquisicin e implementacin Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Prestacin y soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.

Monitoreo Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialida d. Este es, precisamente, el mbito de este dominio.

ESTRUCTURA DE COBIT
DOMINIOS
PO1 Definicin de un plan Estratgico Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros.

Planificacin y organizacin

P R O C E S O S

PO2 Definicin de la Arquitectura de Informacin Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio PO3 Determinacin de la direccin tecnolgica Aprovechar al mximo la tecnologa disponible o emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica. PO4 Definicin de la organizacin y de las relaciones de TI Prestacin de servicios de TI. Esto se realiza por medio de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas.

ESTRUCTURA DE COBIT
DOMINIOS
PO5 Manejo de la inversin Tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

Planificacin y organizacin

P R O C E S O S

PO6 Comunicacin de la direccin y aspiraciones de la gerencia Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la comunidad de usuarios. PO7 Administracin de recursos humanos Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal. PO8 Asegurar el cumplimiento con los requerimientos Externos Cumplir con obligaciones legales, regulatorias y contractuales.

ESTRUCTURA DE COBIT
DOMINIOS
PO9 Evaluacin de riesgos Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI.

Planificacin y organizacin

P R O C E S O S

PO10 Administracin de proyectos Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin.

PO11 Administracin de calidad Satisfacer los requerimientos del cliente. Para ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin.

ESTRUCTURA DE COBIT
DOMINIOS
AI1 Identificacin de Soluciones Automatizadas: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario. AI2 Adquisicin y mantenimiento del software aplicativo: Proporciona funciones automatizadas que soporten efectivamente al negocio. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. AI4 Desarrollo y mantenimiento de procedimientos: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas. AI5 Instalacin y aceptacin de los sistemas: Verificar y confirmar que la solucin sea adecuada para el propsito deseado. AI6 Administracin de los cambios: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

Adquisicin e implementacin

P R O C E S O S

ESTRUCTURA DE COBIT
DOMINIOS
Ds1 Definicin de niveles de servicio Establecer una comprensin comn del nivel de servicio requerido. Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio.

Prestacin y soporte

P R O C E S O S

Ds2 Administracin de servicios prestados por terceros Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos. Ds3 Administracin de desempeo y capacidad Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Ds4 Asegurar el Servicio Continuo Mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones.

ESTRUCTURA DE COBIT
DOMINIOS
Ds5 Garantizar la seguridad de sistemas salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida.

Prestacin y soporte

P R O C E S O S

Ds6 Educacin y entrenamiento de usuarios Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados.
Ds7 Identificacin y asignacin de costos Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Ds8 Apoyo y asistencia a los clientes de TI Asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente. Ds9 Administracin de la configuracin Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios.

ESTRUCTURA DE COBIT
DOMINIOS
Ds10 Administracin de Problemas Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

Prestacin y soporte

P R O C E S O S

Ds11 Administracin de Datos Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento. Ds12 Administracin de las instalaciones Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados Ds13 Administracin de la operacin Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada.

ESTRUCTURA DE COBIT
DOMINIOS
M1 Monitoreo del Proceso Asegurar el logro de los objetivos establecidos para los procesos de TI.

Monitoreo

P R O C E S O S

M2 Evaluar lo adecuado del Control Interno Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.

M3 Obtencin de Aseguramiento Independiente Incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos.

M4 Proveer Auditoria Independiente Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos regulares de tiempo.

CONCLUSIN
En el modelo de control interno, las diferencias que son significativas, sobre todo entre COSO y COBIT, que son los dos modelos ms difundidos en la actualidad. 1. La primera gran diferencia es que COSO est enfocado a toda la organizacin, mientras que COBIT se centra en el entorno IT. 2. La segunda es que COBIT contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. 3. Y la tercera, que el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito, que el de COSO, ya que contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno

GRACIA S