2. LEY SARBANES OXLEY - SOX
Por que se creó la ley Sarbanes Oxley? La Ley Sarbanes-Oxley establece que el
reporte sobre el control interno de las
organizaciones sea un requerimiento para
Enron – shock! todas las compañías registradas en la SEC.
WorldCom !!
Restituir la confianza de los inversionistas Sección 404. Establece para todas las
Incrementar la transparencia compañías registradas en la SEC, la obligación
de emitir un reporte que incluya la evaluación de
la efectividad de sus controles internos sobre
sus reportes financieros, ejecutado por un
auditor independiente.
Sección 302. Requiere que la alta dirección de
las compañías registradas en la SEC, (CEO y
CFO) Certifiquen la efectividad de sus controles
internos en forma trimestral y en su reporte
anual
SABMiller desarrolló el proyecto ICU para
alcanzar el “estado de alistamiento” a marzo
31, 2008, para listarse en un futuro en las
bolsas de los Estados Unidos de America.
3. GESTIÓN DE RIESGOS: ANTES
FALTA DE INTEGRACION
PERDIDA DE DUPLICACION
FUNCIONES Y
PROCESOS POR VISIBILIDAD
SILOS
COMPLEJIDAD
ALTOS
CAIDAS Y FRAGMENTACION COSTOS
DESLIZAMIENTOS PERDIDA DE
INFORMACION
“Reactivo”
PERDIDA DE
RECURSOS
COMPLEJIDAD E
VULNERABILIDAD INFLEXIBILIDAD
INNECESARIA
4. Controles
85% de los controles
internos en promedio de
las organizaciones son
manuales.
Financial Executives
Research Foundation
5. Controles
…68% del personal
operativo admiten el
incumplimiento a los
controles de seguridad
de información con el
objetivo de cumplir sus
trabajos…
ISACA - Symposium IT Security
6. GESTIÓN DE RIESGOS: FUTURA
FACTORES DEL
CAMBIO
Exigencia de
TRANSPARENCIA responsabilidad sobre
Y VISIBILIDAD
BAJOS COSTOS
los niveles de la Alta
INTEGRACION
Gerencia
PROCESOS Globalización e
ESTANDARIZADO innovación tecnológica
DIALOGO COMUN
Regulación compleja
y especializada
USO EFICIENTE
SEGURIDAD
RECURSOS
7. TIPOS DE CONTROLES
DETECTIVOS
Que han hecho Cambios Patrones de ejecución Patrones de ejecución
los usuarios realizados en el realizada realizada
proceso
ACCESO /
MANUALES /
SEGREGACION DE AUTOMATICOS SEMI - AUTOMATICOS
POLÍTICAS
FUNCIONES
PREVENTIVOS
e Ejecución de las Ejecución de las
Que pueden Configuraciones
hacer los propias del transacciones por parte transacciones por parte
usuarios sistema de los usuarios sin de los usuarios a través
intervención del sistema del sistema
Key Controls: Ayudan a mitigar la presentación de informes material clave y los riesgos de fraude de la
manera más eficiente y eficaz.
8. Segregación de funciones
1. Separar funciones incompatibles asignadas a un
usuario.
2. Control preventivo
3. Reduce el riesgo, con la colusión puede eludirse la
segregación de funciones
4. Tanto a nivel de sistemas como procesos
manuales.
Ejemplo: Se debe mantener separadas las
Registro Custodia siguientes actividades:
Crear pedidos vs aprobación y custodia de las
mismas
Autorización Registro Realizar el pago a proveedores y creación de
proveedores
9. Beneficios del nuevo modelo de
riesgos y controles
Reduce el riesgo financiero, de fraude y operacional manteniendo un nivel
aceptable para la administración
Minimiza el costo en términos de tiempo y dinero con un nivel de riesgo
aceptable
Ayuda a integrar y mantener los procesos estandarizados
Apoya el desarrollo de la información consistente, oportuna y confiable para
la administración
Ayuda a la dirección para cumplir con los requisitos reglamentarios y de
cumplimiento en organismos de control
Protege los intereses de todos los miembros directos e indirectos de la
organización
11. Software GRC (Governance Risk
Compliance)
GRC no es nuevo….
GRC no es una función …..
GRC no es un único responsable….
C GRC no es solo un software….
….significa múltiples funciones de
colaboración y trabajo en conjunto con
framework e infraestructura de tecnología
común y visión integrada para las actividades
de la organización….
12. Access Control Process Control
Monitor exceptions PerformCAPA Remediate Issues
Monitor
Test Test Perform
Automated Controls Manual Assessments
Controls
Evaluate
Business Processes
…
IT Infrastructure
Scope
Doc
Control Environment:
Process-Control-Objective-Risk