1. coso
El Comité de Organizaciones
Patrocinadoras de la
Comisión Treadway
Comisión 1.
Auditoria de Sistemas
FIIS -2011
Universidad Nacional Federico Villarreal
2. Misión: La Auditoría Interna de la Nación es el órgano de control
que contribuye a generar un entorno económico transparente y
confiable, protegiendo la hacienda pública y privada en beneficio
de la sociedad en su conjunto.
Visión: Ser protagonista en la mejora de la gestión de la hacienda
pública y generar seguridad y confianza en la hacienda privada al
velar por la correcta aplicación de la normativa vigente, logrando
constituir una organización flexible, capaz de adaptarse a los
cambios del entorno, generando sinergias con los sistemas
interactuantes.
3.
4. INTRODUCCIÓN
Para muchas empresas, la información y la
tecnología que las soportan representan
sus más valiosos activos, aunque con
frecuencia son poco entendidos.
Las empresas exitosas reconocen los
beneficios de la tecnología de información
y la utilizan para impulsar el valor de sus
interesados
5. Gobierno de TI
ORGANIZACIÓN
PROCESOS Gestión de TI PERSONAS
TECNOLOGÍA
6. Modelo de Gobierno de TI
MARCO DE CONTROL
INTERNO
ORGANIZACIÓN COSO
COBIT
TI
7. COSO
Metodologías
ADM.
Nivel 1
Nivel 2 Conceptos
Control
COMPETITIVIDAD
8. COSO
“El Comité de Organizaciones Patrocinadoras de la
Comisión Treadway (C.O.S.O.) “
9. UNA NUEVA SITUACIÓN
ORGANIZACIÓN
COSO
Implantar Gestionar Evaluar
SISTEMA DE CONTROL INTERNO
10. OBJETIVO COSO
Marco de Control Interno
Conceptos Políticas
Conceptos
- Cambio Cambio +
Tiempo
Políticas
Políticas
Conceptos
No
estandarizados
11. OBJETIVO COSO
Marco de Control Interno
Conceptos Conceptos Conceptos Conceptos
- Cambio Cambio +
Tiempo
Políticas Políticas Políticas Políticas
Estandarizados
12. COSO vs. COBIT
Foco en la Foco
COBIT
COSO
organización entorno TI
NO ahonda Específico en
en seguridad la seguridad
informática
13. CONTROL INTERNO
Efectividad y eficiencia en las operaciones
Confiabilidad en la información financiera
Cumplimientos de políticas, leyes y normas
14. ELEMENTOS PRINCIPALES
DEL CI
Entorno de Evaluación del
Control riesgo
Actividades de Información y
control comunicación
Supervisión
15. Ejemplo
Indicar las principales actividades que se
requieren para que una empresa tenga un adecuado
control interno en relación a la SEGURIDAD DE LA
INFORMACION (Confidencialidad, Integridad y
Disponibilidad)
17. 1. Controles tecnológicos y de
seguridad se consideran
importantes
2. Existencia de una Política de
Seguridad de la Información
3. Existencia de un Comité de
Seguridad de la Información y
Comité de Auditoría
4. Recursos Humanos: Preocupación
por contratar profesionales
idóneos, planes de capacitación,
incentivos adecuados
5. Código de Ética
21. 1. Existencia de políticas y
procedimientos relacionadas con las
acciones necesarias para afrontar los
riesgos y lograr los objetivos:
a) Controles de acceso físico
b) Controles de acceso lógico
c) Clasificación de la información
d) Respaldos
e) Monitoreos
f) Planes de contingencia
g) Segregación de funciones
h) Cumplimiento con estándares de
seguridad
i) Planes tecnológicos y desarrollo de
proyectos
2. Las actividades de control están
siendo aplicadas correctamente (ej.
supervisión, escalamiento,
evaluaciones)
23. 1. Informes de gestión
internos
2. Manuales de
procedimientos y
descripción de funciones
3. Capacitaciones
4. Reuniones periódicas y
existencia de Comités
5. Acceso a fuentes de
información externas
6. Encuestas, investigaciones,
etc.
25. 1. Adecuada descripción de
funciones y responsabilidades del
personal con respecto al control
Interno.
2. El establecimiento de canales de
comunicación para la denuncia
de posibles actos indebidos.
3. La Alta Dirección es receptiva a
sugerencias de los empleados.
4. Sistemas de comunicación interno
(ej. intraweb, emails, buzón de
sugerencias, etc.)
5. Sistema de comunicación externo
(ej. atención clientes, reclamos y
sugerencias, escalamientos, )
29. El software MEYCOR COSO AG ha sido
desarrollado por DATASEC, permite realizar
una evaluación del control interno según el
informe COSO,
evaluando riesgos y auditando dichas
evaluaciones.
30. Es un sistema de
control interno en
base al marco
COSO.
34. El sistema de Control se accede por
medio de un logeo y contraseña.
35. Proporciona una barra de herramientas,
en las cuales muestra las opciones más
utilizadas.
36. Aquí se pueden definir los grupos
de Trabajo y revisores.
37. Una guía metodológica esta incluida
para la aplicación de la metodología
COSO, esta guía también incluye los pasos
a seguir durante la evaluación junto con la
Documentación respectiva.
38. Los cuestionarios que se hallan pueden ser
modificados y están basados en los
diferentes niveles de la organización
40. Se pueden visualizar la respuestas de los
cuestionarios de manera gráfica, numérica,
por niveles, etc.
41. Se puede ingresar la composición de la
estructura organizativa de la entidad
42. Cada área de la organización puede ser definida,
así como sus objetivos y responsabilidades.
43.
44. Los procesos y sub-procesos pueden ser
jerarquizados por actividades criticas para el
negocio, por lo tanto requieren mayor atención.
45. Es posible seleccionar un
control de actividades, que
en el futuro será auditado.
Se puede definir los objetivos de control y los
controles de riesgo relacionados a los
procesos y sub-procesos de la evaluación.
46. Se pueden crear proyectos de Auditoria, para ello
se debe asignar a los auditores y un conjunto de
procesos objetivos que deben ser auditados.
47. En los proyectos se deben definir los objetivos que
van a ser auditados por cada auditor.
El riesgo de cada objetivo en comparación con el
proyecto de auditoria también debe ser definido.
48. Selección de las observaciones
que deben ser incluidas en el
reporte.
El Reporte final es
automáticamente generado.