prev
next
out of 26

COSO Auditoria

Embed Size (px)

Citation preview

COSO lanza dos documentos pensamiento adicional sobre gestin del riesgo

El Comit de Organizaciones Patrocinadoras de la Comisin Treadway (COSO) - una organizacin que proporciona liderazgo y orientacin sobre los controles internos, gestin del riesgo empresarial (ERM), y la disuasin del fraude - es la liberacin de dos documentos adicionales que son nuevos en relacin con el MTC pretende ofrecer una gua para ayudar al avance de las organizaciones a lo largo de la curva de madurez de ERM.COSO divulga resultados de dos encuestas sobre el estado actual de la gestin del riesgo y la supervisin del riesgo Junta

La primera encuesta, lanzada por COSO en colaboracin con Protiviti, busc la entrada directa de ms de 200 directores de las corporaciones para obtener un conocimiento ms profundo de la situacin actual y estado futuro deseado del proceso de supervisin de riesgos, ya que es aplicada por los consejos de administracin. La segunda encuesta, realizada con la ayuda de la Iniciativa de ERM en North Carolina State University, la informacin obtenida a partir de la gestin empresarial sobre el estado actual de sus procesos de supervisin de riesgos y comentarios sobre 2004 COSO Enterprise Risk Management - Integrated Framework.COSO anuncia Proyecto de Modernizacin de Control Interno - Marco Integrado

El Comit de Organizaciones Patrocinadoras de la Comisin Treadway (COSO) ha anunciado hoy un proyecto para revisar y actualizar el Control Interno COSO - Marco Integrado (Marco). Esta iniciativa se espera que el actual marco y las herramientas relacionadas con la evaluacin ms relevante en el entorno empresarial cada vez ms complejas para que las organizaciones de todo el mundo mejor puede disear, implementar y evaluar el control interno.

RESUMEN MARCO INTEGRADO DE CONTROL

El control consta de cinco componentes interrelacionados que se derivan de la forma cmo la administracin maneja el negocio, y estn integrados a los procesos administrativos. Los componentes son: Ambiente de control Evaluacin de riesgos

Actividades de control Informacin y comunicacin Supervisin y seguimiento del sistema de control. El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afecta slo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual ms de un componente influye en los otros. Los cinco componentes forman un sistema integrado dinmicamente a las condiciones cambiantes.EFECTIVIDAD

que reacciona

Los sistemas de control interno de entidades diferentes operan con diferentes niveles de efectividad. En forma similar, un sistema en particular puede operar en forma diferente en tiempo s diferentes. Cuando un sistema de control interno alcanza una calidad razonable, puede ser "efectivo". El control interno puede ser juzgado efectivo, si el consejo de Administracin y la Gerencia tiene una razonable seguridad de que: Se conoce el grado en que los objetivos y metas de las operaciones de las entidades estn siendo alcanzados. Los informes financieros estn siendo preparados con informacin confiable. Se estn observando las leyes y los reglamentos aplicables. 35. Dado que el control interno es u n proceso, su efectividad es un estado o condicin del mismo en un punto en el tiempo. Determinar si un sistema de control interno en particular es "efectivo: es un juicio subjetivo resultante de una evaluacin de si los cinco componentes mencionados estn presentes y funcionando con efectividad. Su funcionamiento efectivo da la seguridad razonable, en cuanto al logro de los objetivos de uno o ms de los logros citados. De esta manera, estos componentes constituyen tambin criterios para un control interno efectivo. A pesar de que los cinco criterios deben ser adecuados, esto no significa que cada componente deba funcionar idnticamente o al mismo nivel, en entidades diferentes. Puede haber algunos ajustes entre ellos dado que los controles pueden obedecer a una variedad de propsitos, aquellos incorporados a un componente en que previenen un riesgo en particular, sin embargo en combinacin con otros pueden lograr un efecto de conjunto satisfactorio.

AMBIENTE DE CONTROL

El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades. Es en esencia el principal elemento sobre el que se sustentan o actan los otros cuatro componentes e indispensables, a su vez, para la realizacin de los propios

1. INTEGRIDAD Y VALORES ETICOS

Tiene como propsito establecer pronunciamientos relativos a los valores ticos y de conducta que se espera de todos los miembros d e la Organizacin durante el desempeo de sus actividades, ya que la efectividad del control interno depende de la integridad y valores de la gente que lo disea y lo establece. Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores ticos y de conducta. La participacin de la alta administracin es clave en este asunto, ya que su presencia dominante fija el tono necesario a travs de su empleo. La gente imita a sus lderes. Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores ticos como pueden ser: controles dbiles o requerido; debilidad de la funcin de auditoria; inexistencia o inadecuadas sanciones para quienes actan inapropiadamente.2. Competencia del Personal:

Se refiere a los conocimientos y habilidades que debe poseer el personal para cumplir adecuadamente con sus tarea3. Consejo de Administracin y/o comit de auditoria.

Debido a que estos rganos fijan los criterios que perfilan el ambiente de control, es determinante que sus miembros cuente con la experiencia, dedicacin e involucramiento necesario para tomar las acciones adecuadas e interacten con los Auditores Internos y Externos.4. Filosofa Administrativa y Estilo de Operacin.

Los actores ms relevantes son las actitudes mostradas hacia la informacin financiera, el procesamiento de la informacin y principios y criterios contables, entre otros.

Otros elementos que influyen en el ambiente de control se refieren a aspectos relacionados con: Estructura Organizat iva, Delegacin de Autoridad y Responsabilidad y Polticas de Recursos Humanos. El ambiente de control tienen gran influencia en la forma como se desarrollan las operaciones, se establecen los objetivos y se estiman los riesgos. Tiene que ver igualmente en el comportamiento de los sistemas de informacin y con la supervisin en general. A su ve es influenciado por la historia de la Entidad y su nivel de cultura administrativa.EVALUACION DE RIESGOS

El segundo componente del control, involucra la identificac in y anlisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. Asimismo se refiere a los mecanismos necesarios para identificar y manejar riesgos especficos asociados con los cambios, tanto los que influyen en el entorno de la Organizacin como en el interior de la misma. Para lo anterior, es indispensable primeramente el establecimiento de objetivos tanto a nivel global de la Organizacin como al de las actividades relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores de riesgos que amenazan su oportuno cumplimento. La evaluacin, o mejor dicho la autoevaluacin de riesgo debe ser una responsabilidad ineludible para todos los niveles que estn involucrados en el logro de objetivos. 1. Objetivos Para todos es clara la importancia que tiene este aspecto en cualquier organizacin, ya que representa la orientacin bsica de todos los recursos y esfuerzos y proporciona una base slida para un control interno efectivo. La fijacin de objetivos es el camino adecuado para identificar factores crticos de xito, particularmente a nivel de actividad relevante. Una vez que tales factores han sido identificados, la Gerencia tiene la re sponsabilidad de establecer criterios para medirlos y prevenir su posible ocurrencia a travs de mecanismos de control e informacin, a fin de estar enfocando permanentemente tales factores crticos de xito. El estudio del COSO propone una categorizacin que pretende unificar los puntos de vista al respecto. Tales categoras son las siguientes: Objetivos de operacin. Son aquellos relacionados con la efectividad y eficiencia de las operaciones de la Organizacin.

COSO II GESTIN INTEGRAL DEL RIESGO DEL CORPORATIVO

COSO II GESTIN INTEGRAL DEL RIESGO DEL CORPORATIVO Implantar un Sistema de Gestin de Riesgo Corporativo es una de las prioridades de las Compaas, esto debido a que les permite mejorar la rentabilidad y/o lograr la consecucin de los objetivos. Por eso, se puso en marcha un Proyecto llamado COSO II, proyecto capaz de abordar los riesgos bajo una metodologa integradora del negocio, ello para lograr los objetivos perseguidos y crear un valor agrega do a la Compaa. Por Lo Tanto: 1.- Qu es un Gobierno Corporativo? Es el conjunto de las relaciones de mejores prcticas, que debe establecer una empresa entre su Junta de Accionistas, su Directorio y su Administracin Superior. Todo ello para acrece ntar el valor para sus accionistas y responder a los objetivos de todos sus superiores. Vale Decir: *GOBIERNO CORPORATIVO *ACCIONISTAS *DIRECTORIO *ADMINISTRACIN SUPERIORTODO ELLO IMPLICA LA "GESTIN DEL RIESGO"

2.- Entonces Cmo Acta COSO II? Recordemos que en COSO (Original), existe la relacin entre Objetivos y Componentes, donde predomina: - Entorno de Control - Evaluacin de los Riesgos - Actividades de Control - Informacin y Comunicacin - Supervisin. Todo ello relacionado con la Eficienc ia y Eficacia en las Operaciones, La confiabilidad de la Informacin Financiera y El Cumplimiento de Normas y

Leyes. Ligados a las distintas Actividades y Unidades de La Empresa.

Hoy por hoy, en El Modelo COSO II, la relacin entre Objetivos y Componentes se establece de la siguiente manera: - Ambiente Interno - Establecimientos de Objetivos - Identificacin de Eventos - Evaluacin de Riesgos - Actividades de Control - Informacin y Comunicacin - Supervisin Todo ello relacionado con los Objetivos Es tratgicos, Operacionales, Financieros y de Cumplimiento. Ligados a Las Filiales, Unidades de Negocio, Divisiones y La Entidad 3.- Definiciones Ambiente Interno Filosofa Organizacional, Gestin de La Alta Administracin Integridad Valores ticos Asignacin de Responsabilidades Conflicto de Intereses Transparencia Responsabilidad Social Est. De Objetivos Estratgicos V/S Especficos Aversin y Tolerancia al Riesgo Id. De Riesgos Identificar y Separar el Riesgo de las Oportunidades Identificar Riesgos Internos y Externos Ev. De Riesgos Riesgos Inherentes Riesgos Residuales Evaluacin Cuantitativa y Cualitativa de los Riesgos Res. A los Riesgos Aceptar Compartir Reducir Evitar Act. De Control Preventivas Detectivas

Manuales Computacionales Gerenciales Inf. Y Comunicacin Fuentes Internas y Externas Retroalimentacin dentro de la Organizacin Difusin Interna y Externa Monitoreo Continuo En las Operaciones (curso normal) Evaluaciones Puntuales (auditores externos) Alcance y Frecuencia

4.- Beneficios - Incrementa la capacidad para asumir en forma apropiada los riesgos necesarios y crear valor. - Facilita la comprensin de los riesgos en la toma de decisiones. - Mejora el seguimiento del desempeo - Facilita la incorporacin de procedimientos consistent es y alineados con los objetivos estratgicos. - Mitiga la volatilidad de las ganancias del valor de los accionistas.

MODELO COSO Modelo de Control Interno, diseado para proporcionar a La Administracin un aseguramiento razonable, respecto a los logros de los objetivos y/o cumplimiento de metas interpuestas en la planificacin anual.

Para ello nos menciona: Ambiente de Control: Elemento que proporciona disciplina y estructura, se determina en funcin de la integridad y competencia del personal de la organizacin; los valores ticos son un elemento esencial que afecta a otros componentes del control. Entre sus factores se incluye la filosofa de la administracin, la atencin y gua proporcionada por el consejo de administracin, el estilo operativo, as como la manera en que la gerencia confiere autoridad y asigna responsabilidades, organiza y desarrolla su personal. Evaluacin de Riesgos: Es la identificacin y anlisis de los riesgos que se relacionan con el logro de los objetivos; la administracin debe cuantificar su

magnitud, proyectar su probabilidad y sus posibles consecuencias. Se debe prestar atencin a: a) Los avances tecnolgicos. b) Los cambios en los ambientes operativos. c) Las nuevas lneas de negocio. d) La reestructuracin corporativa. e) La expansin o adquisiciones extranjeras. Actividades de Control: Las actividades de control ocurren a lo largo de la organizacin, en todos los niveles y todas las funciones, incluyendo lo procedimientos de aprobacin, autorizacin, conciliaciones, e ntre otras. Los controles pueden ser: a) Controles preventivos. b) Controles detectivos. c) Controles correctivos. d) Controles tecnolgicos. e) Controles administrativos. Informacin y Comunicacin: Se debe generar informacin relevante y comunicarla oportunamente, de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades. Monitoreo: Los controles deben ser monitoreados constantemente para asegurarse que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen

COBIT (Objetivos de Control para Tecnologas relacionadas)

Tecnologa

de

Informacin

y

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores Usuarios:y

y y

y

La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas:y y y y

Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios: El enfoque del control en TI se lleva a cabo visualizan do la informacin necesaria para dar soporte a los procesos de negocio y considerando a la

informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.y

Requerimientos de la inf ormacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.y

y y

y

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidady y y

y

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:y y y

y y

Datos: Todos los objetos de informacin. Considera info rmacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad de l personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.y

o

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios Procesos Actividades Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno:3. Dominio: Planificacin y organizacin

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribui r de la mejor manera al logro de los objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Procesos:y

PO1 Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros. Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:y

y

La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin. El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad,

y

y y

costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos PO2 Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para optimiza r la utilizacin de esta informacin, tomando en consideracin:y

y y

y

La documentacin deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. El diccionario de datos, el cual incorpora ra las reglas de sintaxis de datos de la organizacin y deber ser continuamente actualizado. La propiedad de la informacin y la clasificacin de severidad con el que se establecer un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin. PO3 Determinacin de la direccin tecnolgica

Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica, tomando en consideracin:y

y

y

y

La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica. Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructura tecnolgica.y o

PO4 Definicin de la organizacin y de las relaciones de TI

Objetivo: Prestacin de servicios de TI Esto se realiza por medio de una organizacin conveniente en nmero y

habilidades, con tareas y responsabilidade s definidas y comunicadas, teniendo en cuenta:y y

y y y

y

y

y

El comit de direccin el cual se encargara de vigilar la funcin de servicios de informacin y sus actividades. Propiedad, custodia, la Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas. Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente Segregacin de funciones, con la que se evitar la posibilidad de que un solo individuo resuelva un proceso crtico. Los roles y responsabilidades, la gerencia deber asegurarse de que todo el personal deber conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilida des que le hayan sido asignadas La descripcin de puestos, deber delinear claramente tanto la responsabilidad como la autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo. Los niveles de asignacin de personal, debern hacerse evaluaciones de requerimientos regularmente para asegurar para asegurar una asignacin de personal adecuada en el presente y en el futuro. El personal clave, la gerencia deber definir e identificar al personal clave de tecnologa de informacin.y o

PO5 Manejo de la inversin

Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros. Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y operaciones establecidas y aprobados por el negocio, teniendo en cuenta:y y

y

Las alternativas de financiamiento, se debern investigar diferentes alternativas de financiamiento. El control del gasto real, se deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de informacin La justificacin de costos y beneficios, deber establecerse un control gerencial que garantice que la prestacin de servicios por parte de la funcin de servicios de informacin se justifique en cuanto a costos. Los beneficios derivados de las actividade s de TI debern ser analizados en forma similar.y o

PO6 Comunicacin de la direccin y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a travs de polt icas establecidas y transmitidas a la comunidad de usuarios, necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:y

y y y

y

Los cdigo de tica / conducta, el cumplimiento de las reg las de tica, conducta, seguridad y estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs del ejemplo. Las directrices tecnolgicas El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de la implementacin de sus polticas. El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener una filosofa de calidad, debiendo ser comprendidos, implementados y mantenidos por todos los niveles de la funcin de servicios de informacin. Las polticas de seguridad y control interno, la alta gerencia deber asegurar que esta poltica de seguridad y de control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance d entro de la organizacin, la definicin y asignacin de responsabilidades para su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de estas polticas.y o

PO7 Administracin de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal, tomando en consideracin:y

y

y

y

El reclutamiento y promocin, deber tener como base criterios objetivos, considerando factores como la educacin, la experiencia y la responsabilidad. Los requerimientos de calificaciones, el personal deber estar calificado, tomando como base una educacin, entrenamiento y o experi encia apropiados, segn se requiera La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a incrementar los niveles de habilidad tcnica y administrativa del personal. La evaluacin objetiva y medible del desempeo, se deber asegur ar que dichas evaluaciones sean llevada a cabo regularmente segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando esto sea apropiado.y o

PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:y

y y y y y y y

Definicin y mantenimiento de procedimientos para la revisin de requerimientos externos, para la coordinacin de estas actividades y para el cumplimiento continuo de los mismos. Leyes, regulaciones y contratos Revisiones regulares en cuanto a cambios Bsqueda de asistencia legal y modificaciones Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el personal de la funcin de servicios de informacin. Privacidad Propiedad intelectual Flujo de datos externos y criptografay o

PO9 Evaluacin de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI Para ello se logra la participacin de la propia org anizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y se toma en consideracin:y

y y y y y

y

Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos de TI (por ej.: tecnolgicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones de los riesgos. Actualizacin de evaluacin de riesgos Metodologa de evaluacin de riesgos Medicin de riesgos cualitativos y/o cuantitativos Definicin de un plan de accin contra los riesgos para asegurar que existan controles y medidas de seguridad econmicas que mitiguen l os riesgos en forma contina. Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y de que tan econmico resulte implementar protecciones y controles.y o

PO10 Administracin de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la

organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y se toma en consideracin:y

y y y y y y y

Definicin de un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo, as como la metodologa de administracin de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodologa deber cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones. El involucramiento de los usuarios en el desarrollo, implementacin o modificacin de los proyectos. Asignacin de responsabilidades y autoridades a los miembros del personal asignados al proyecto. Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase. Presupuestos de costos y horas hombre Planes y metodologas de aseguramiento de calidad que sean revisados y acordados por las partes interesadas. Plan de administracin de riesgos para eliminar o minimizar los riesgos. Planes de prueba, entrenamiento, revisin post -implementacin.y o

PO11 Administracin de calidad

Objetivo: Satisfacer los requerimientos del cliente Para ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin y se toma en consideracin:y

y

y

y y

Definicin y mantenimiento regular del plan de calidad, el cual deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. Responsabilidades de aseguramien to de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad. Metodologas del ciclo de vida de desarroll o de sistemas que rija el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin. Documentacin de pruebas de sistemas y programas Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisicin e implementa cin

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Procesos:y

AI1 Identificacin de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:y y y y y

y y

y

Definicin de requerimientos de informacin para poder aprobar un proyecto de desarrollo. Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo de un proyecto. Arquitectura de informacin para tener en consideracin el modelo de datos al definir soluciones y analizar la factibilidad de las mismas. Seguridad con relacin de costo -beneficio favorable para controlar que los costos no excedan los beneficios. Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej. Identificacin de usuarios contra divulgacin o mal uso) Contratacin de terceros con el objeto de adquirir productos con buena calidad y excelente estado. Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor donde se acuerda un plan de aceptacin para las instalaciones y tecnologa especifica a ser proporcionada. AI2 Adquisicin y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio. Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros y se toma en consideracin:y y y y y

y y

y

Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software claro y fcil de usar. Requerimientos de archivo, entrada, proceso y salida. Interfase usuario-maquina asegurando que el software sea fcil de utilizar y que sea capaz de auto documentarse. Personalizacin de paquetes Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y estrs), de acuerdo con el plan de prueba del proyecto y con los estndares establecidos antes de ser aprobado por los usuarios. Controles de aplicacin y requerimientos funcionales Documentacin (materiales de consulta y soporte para usuarios) con el objeto de que los usuarios puedan aprender a utili zar el sistema o puedan sacarse todas aquellas inquietudes que se les puedan presentar. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema y toma en consideracin:y y y

Evaluacin de tecnologa para identificar el impact o del nuevo hardware o software sobre el rendimiento del sistema general. Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento. Seguridad del software de sistema, instalacin y mantenimiento par a no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.y o

AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas. Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:y

y y

Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan en permanente actualizacin para el mejor desempeo y control de los usuarios. Manuales de Operaciones y controles, de manera que estn en permanente actualizacin. Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.y o

AI5 Instalacin y aceptacin de los sistemas

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas y toma en consideracin:y y y y

Capacitacin del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados. Conversin / carga de datos, de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo. Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el objeto de obtener un producto satisfactorio. Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.

y

Revisiones post implementacin con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas econmica.y o

AI6 Administracin de los cambios interrupciones, alteraciones no

Objetivo: Minimizar la probabilidad de autorizadas y errores.

Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:y y y y y

y

Identificacin de cambios tanto internos como por parte de proveedores Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de cambios. Evaluacin del impacto que provocaran los cambios. Autorizacin de cambios Manejo de liberacin de manera que la liberacin de software este regida por procedimientos formales asegurando aprobacin, empaque, pruebas de regresin, entrega, etc. Distribucin de software, estableciendo medidas de control especificas para asegurar la distribucin de software correcto al lugar correcto, con integridad y de manera oportuna.

5. Dominio: Prestacin y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta e l entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Procesosy

Ds1 Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en consideracin:y

Convenios formales que determinen la disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de c ontingencia / recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambio.

y y

y

y

y y y

Definicin de las responsabilidades de los usuarios y de la funcin de servicios de informacin Procedimientos de desempeo que aseguren que la manera y las responsabilidades sobre las relaciones que rigen el desempe o entre todas las partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados. Definicin de dependencias asignando un Gerente de nivel de Servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado y todos los problemas encontrados durante el procesamiento. Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles comparaciones y decisiones de niveles de servicios contra su costo. Garantas de integridad Convenios de confidencialidad Implementacin de un programa de mejoramiento del servicio.y o

Ds2 Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin:y

y

y

y

Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el proveedor de la administracin de instalaciones este basado en niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras estipulaciones segn sea apropiado. Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber definirse y acordarse para cada relacin de servicio con un proveedor. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados, declarados y acordados. Monitoreo de la entrega de servicio con el fin de asegurar e l cumplimiento de los acuerdos del contrato.y o

Ds3 Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin:

y y y

y

y

Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin Monitoreo y reporte de los recursos de tecnologa de informacin Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de configuracin, desempeo y disponibilidad. Administracin de capacidad estableciendo un proceso de planeacin para la revisin del desempeo y capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable econmicamente para procesar cargas de trabajo con cantidad y calidad de desempeo Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de prioridad de tareas.

Monitoreoy

Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones Para ello se tiene un plan de continuidad probada y funcional, que est alineado con el plan d e continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:y y y y y

Planificacin de Severidad Plan Documentado Procedimientos Alternativos Respaldo y Recuperacin Pruebas y entrenamiento sistemtico y singularesy o

Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:y

y

y

Autorizacin, autenticacin y el acceso lgico junto con el uso de los recursos de TI deber restringirse a travs de la instrumentacin de mecanismos de autenticacin de usuarios identificados y r ecursos asociados con las reglas de acceso Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario Administracin de llaves criptogrficas definiendo implementando procedimientos y protocolos a ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo

y y

y

de llaves criptogrficas con el fin de asegurar la protecci n de las mismas Manejo, reporte y seguimiento de incidentes implementado capacidad para la atencin de los mismos Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas. Utilizacin de Firewalls si existe una conexin con Internet u otras redes pblicas en la organizacin

Monitoreoy

Ds6 Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin:y

y

y

Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de informacin Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento Tcnicas de concientizacin proporcionando un programa de educacin y entrenamiento que incluya conducta tica de la funcin de servicios de informaciny o

Ds7 Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin:y y

y

Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la economa

Monitoreo

y

Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin:y y

y

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de bur de ayuda Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los tiempos de respuesta y la identificacin de tendenciasy o

Ds9 Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcion ar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:y

y

y y

Registro de activos estableciendo procedimientos para asegurar que sean registrados nicamente elementos de configuracin autorizados e identificables en el inventario, al momento de adquisicin Administracin de cambios en la configuracin asegurando que los registros de configuracin reflejen el status real de todos los elementos de la configuracin Chequeo de software no autorizado revisando peridicamente las computadoras personales de la organizacin Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos para todos los elementos de software vlidos en las fases del ciclo de vida de desarrollo de sistemasy o

Ds10 Administracin de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados. Este sistema de administracin de problemas deber tambin realizar un seguimiento de las causas a partir de un incidente dado.

y

Ds11 Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento. Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de en trada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creacin de los datos. Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que estn completos, sean precisos y se registren apropiadamente. Se debern crear tambin procedimientos que validen los datos de entrada y corrijan o detecten los datos errneos, como as tambin procedimientos de validacin para transacciones errneas, de manera que stas no sean procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperacin de datos, teniendo un registro fsico (discos, disquetes, CDs y cintas magnticas) de todas las transacciones y datos manejados por la organizacin, alber gados tanto dentro como fuera de la empresa. La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos almacenados, definiendo e implementando procedimientos para tal fin.y

Ds12 Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.y

Ds13 Administracin de la operacin

Objetivo: Asegurar que las funcion es importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.6. Dominio: Monitoreo

Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los

requerimientos de control, integridad y confidencialidad. Este es, precisamente, el mbito de este dominio. Procesosy

M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistema s de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de los procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin del los clientes con respecto a los servicios de informacin proporcionados para identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento, co nfeccionando informes que indiquen el avance de la organizacin hacia los objetivos propuestos.y

M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables y problemas de seguridad.y

M3 Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre l a organizacin, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, como as tambin para trabajar con nuevos proveedores de servicios de tecnologa de informacin. Luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin y de los proveedores de estos servicios como as tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de los proveedores de estos se rvicios.y

M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a interval os regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa. Esta auditora deber respetar la tica y los estndares profesionales, selecciona ndo para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditora. La funcin de auditora deber proporcionar un reporte que muestre los objetivos de la auditoria, perodo de cobertura, naturaleza y trabajo de auditora realizado, como as tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora llevado a cabo. Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente. Un Control se define como "las normas, estndares, procedimientos, usos y costumbres y las estructuras organizativas, diseadas para proporcionar garanta razonable de que los objetivos empresariales se alcanzaran y que l os eventos no deseados se prevern o se detectaran, y corregirn" Un Objetivo de Control se define como "la declaracin del resultado deseado o propuesto que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI " En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista: -Los recursos de las TI -Los criterios empresariales que deben satisfacer la informacin -Los procesos de TI

Las tres dimensiones conceptuales de COBIT


COSO I Y COSO II. - sesionesdeclases.files.wordpress.com · más completo de gestión de riesgo. ... interna o externa, o en los ámbitos académicos o legislativos, ... COSO y Auditoria

COSO I Y COSO II. - sesionesdeclases.files.wordpress.com · más completo de gestión de riesgo. ... interna o externa, o en los ámbitos académicos o legislativos, ... COSO y Auditoria

Documents
COSO Y COSO ERM

COSO Y COSO ERM

Business
09CONTROLMA4KU68INTERNALCONTROL COSO

09CONTROLMA4KU68INTERNALCONTROL COSO

Documents
COSO Enterprise Risk Management …...Framework now? 1 Who is COSO and what is the COSO ERM Framework? Introducing COSO COSO recognises the growing expectation of organisations to

COSO Enterprise Risk Management …...Framework now? 1 Who is COSO and what is the COSO ERM Framework? Introducing COSO COSO recognises the growing expectation of organisations to

Documents
grupo 13 , coso I, COSO II , COSO III Y GUIA DE IMPLEMENTACION.docx

grupo 13 , coso I, COSO II , COSO III Y GUIA DE IMPLEMENTACION.docx

Documents
Exposicion COSO

Exposicion COSO

Documents
MANUAL DE AUDITORIA GUBERNAMENTAL · MANUAL DE AUDITORIA GUBERNAMENTAL PARTE VI AUDITORIA AMBIENTAL PROYECTO BID/CGR MANAGUA – NICARAGUA ... 3.2 Cuestionario basado en modelo COSO

MANUAL DE AUDITORIA GUBERNAMENTAL · MANUAL DE AUDITORIA GUBERNAMENTAL PARTE VI AUDITORIA AMBIENTAL PROYECTO BID/CGR MANAGUA – NICARAGUA ... 3.2 Cuestionario basado en modelo COSO

Documents
GRC_tecnicas - COSO

GRC_tecnicas - COSO

Documents
Villarroel Victor Proceso Auditoria Informacion Control Interno Coso II Erm

Villarroel Victor Proceso Auditoria Informacion Control Interno Coso II Erm

Documents
COSO I y COSO II. COSO ICOSO II MEYCOR COSO AG - Solución integral

COSO I y COSO II. COSO ICOSO II MEYCOR COSO AG - Solución integral

Documents
Coso, New Coso, Iso 31000

Coso, New Coso, Iso 31000

Documents
Coso i y Coso II 1 1

Coso i y Coso II 1 1

Documents
COSO - sfmagazine.com · COSO ’92 and COSO ERM and what it requires as well. Interestingly, the agency has no point person on COSO per se or COSO ERM or risk management in general.“The

COSO - sfmagazine.com · COSO ’92 and COSO ERM and what it requires as well. Interestingly, the agency has no point person on COSO per se or COSO ERM or risk management in general.“The

Documents
GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/Control interno - COSO.pdf · Se Aplica en Bolivia el Informe COSO? PREGUNTAS DE DISCUSIÓN La 1ra. diferencia

GABINETE DE AUDITORIA DE SISTEMAScotana.informatica.edu.bo/downloads/Control interno - COSO.pdf · Se Aplica en Bolivia el Informe COSO? PREGUNTAS DE DISCUSIÓN La 1ra. diferencia

Documents
Cumple coso!

Cumple coso!

Documents
COSO Evaluacion Control Auditoria

COSO Evaluacion Control Auditoria

Documents
Control Coso

Control Coso

Documents
INTOSAI COSO

INTOSAI COSO

Documents
13 COSO I Vrs COSO II

13 COSO I Vrs COSO II

Documents
NOVO COSO 2013 - auditoriainterna.org · Conselho de Administração e Comité de Auditoria 4. Filosofia Administrativa e o estilo gerencial 5. Estrutura organizacional ... •Interna

NOVO COSO 2013 - auditoriainterna.org · Conselho de Administração e Comité de Auditoria 4. Filosofia Administrativa e o estilo gerencial 5. Estrutura organizacional ... •Interna

Documents
Coso I Y Coso Ii

Coso I Y Coso Ii

Documents
COSO Framework

COSO Framework

Documents
KEY RISKINDICATORS(KRI) Y AUDITORIA CONTINUA · PDF file• KPI • KRI • Procesos ... control de COSO sobre las funcionesdesupervisión. Esunmétododelagerencia con el objetivo

KEY RISKINDICATORS(KRI) Y AUDITORIA CONTINUA · PDF file• KPI • KRI • Procesos ... control de COSO sobre las funcionesdesupervisión. Esunmétododelagerencia con el objetivo

Documents
informe coso

informe coso

Documents
epitro~lear. 1 Coso 2 Coso 1 Coso 4 Coso 5 Coso 6 Coso 7 Coso 8 HOSPITAL SAN JOSE SEMINARIO DE DERMATOLOGIA Dr. Juan Rosoi Sobodo 8 de 'Di ciembre de 1973 - 9 A.M. RESUMEN DE HISTORIAS

epitro~lear. 1 Coso 2 Coso 1 Coso 4 Coso 5 Coso 6 Coso 7 Coso 8 HOSPITAL SAN JOSE SEMINARIO DE DERMATOLOGIA Dr. Juan Rosoi Sobodo 8 de 'Di ciembre de 1973 - 9 A.M. RESUMEN DE HISTORIAS

Documents
Presentacion coso

Presentacion coso

Education
Cibera coso

Cibera coso

Documents
Relacion Entre Coso i y Coso II Rrrrrr

Relacion Entre Coso i y Coso II Rrrrrr

Documents
LOGO COSO I Y COSO II.. LOGO Contenidos. ¿Qué es el COSO? 1 Informe COSO 2 Objetivos Informe COSO 3 Componentes del Control Interno. 4

LOGO COSO I Y COSO II.. LOGO Contenidos. ¿Qué es el COSO? 1 Informe COSO 2 Objetivos Informe COSO 3 Componentes del Control Interno. 4

Documents
Definicion Segun Coso II y Coso III

Definicion Segun Coso II y Coso III

Documents