COSO
(Committe of Sponsoring Of The Treadway Commission)
DEFINICIÓN: Es un comité fundado en 1985 por 5 organizaciones del sector privado (AICPA, AAA, FEI, IIIA, IMA) dedicado a proporcionar liderazgo de pensamiento a través de la creación de marcos y orientación sobre:
- Gestión de riesgos empresariales (ERM)
- Control Interno
- Disuasión del fraude
- Ética de negocios
- Informes Financieros.
El COSO es un proceso ejecutado por la dirección y el resto del personal de una organización, con el fin de proporcionar un grado de seguridad razonable para la consecución de los objetivos de la entidad. Serie de acciones aplicadas a todas las actividades y procesos básicos de la administración (Planificación, organización, dirección y control).
CATEGORÍAS DE OBJETIVOS:
- . Eficacia y eficiencia de las operaciones
- Confiabilidad de la información
- Cumplimiento de las leyes, reglamentos y normas.
CONCEPTOS BÁSICOS:
CONTROL INTERNO: Proceso efectuado por todo el personal en todos los niveles de la organización (junta directiva, dirección y otro personal), diseñado para proveer seguridad razonable en la consecución de los objetivos de la organización (efectividad y eficiencia operacional, confiabilidad en los reportes financieros, cumplimiento de las leyes y regulaciones y la protección de los activos). Acción humana por lo tanto es susceptible de errores de procesamiento o juicio, colisión de empleados o coacción por la alta gerencia.
MARCO INTEGRAL DE CONTROL INTERNO:
COMPONENTES DEL MARCO DE CI:
1. Ambiente de Control: Proporciona disciplina y estructura (integridad, valores éticos, delegación y ejecución de funciones, autoridad).
2. Evaluación de riesgo: (mediante fuentes internas y externas) establecer objetivos para después identificar y analizar los riesgos potenciales que pueden afectar la consecución de los objetivos y así más adelante administrar tales riesgos.
3. Actividades de control: Políticas y procedimientos para enfrentar los riesgos, aplicadas en todos los niveles y funciones de la organización (aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeño operacional, protección de activos y de funciones).
4. Información y Comunicación: sistemas de información de control interno, que producen los informes (financieros, operativos) de acuerdo con la normatividad, que permitan ejecutar y controlar el negocio. Comunicación efectiva hacia abajo (comunicación interna y externa).
MARCO INTEGRAL DE GESTIÓN DE RIESGO EMPRESARIAL (ERM):
Se relaciona con el Control Interno, para la gestión de riesgos empresariales que pueden afectar la consecución de los objetivos del negocio.
- Estratégicos: (Relacionados con la misión).
- Operacionales: (Uso eficaz y eficiente de los recursos).
- De reportes: (Confiablidad de la información).
- Cumplimiento: (De acuerdo a la normatividad).
COMPONENTES DEL MARCO ERM:
1. Ambiente de Control: (Filosofía de gestión de riesgo y apetito de riesgo, la integridad, los valores y el entorno)
2. Establecimiento de Objetivos: (Fijar objetivos relacionados con la misión y el apetito de riesgo propuesto por la entidad).
3. Identificación de eventos: (riesgos y oportunidades internas/externas).
4. Evaluación del Riesgo: (probabilidad/impacto, inherente/residual).
5. Respuesta al Riesgo: (Evitar, aceptar, reducir o compartir los riesgos).
6. Actividades de Control: (Políticas y procedimientos).
7. Información y Comunicación: (Sistema de Control Interno, producción de informes, comunicación efectiva interna y externa).
8. Monitoreo: (evaluación del desempeño del sistema de CI, detección y reporte de deficiencias, mejora continua).
LEY SOX RELACIÓN CON EL CI Y LA TI:
Para proteger a los usuarios (accionistas e inversores) de las compañías de interés público contra el fraude y las malas prácticas se creó la ley SOX en EEUU donde se propició la adquisición de tecnologías de vanguardia para el control interno, se exigió: la creación de comités de auditoria dentro de las organizaciones, responsabilidad de la compañía (ejecutivos) por los informes financieros, evaluación de la gerencia de los controles internos, tiempo real de revelación del emisor, negación de préstamos a los ejecutivos de la compañía, etc.
ACTIVIDADES DE CONTROL DE LA TI:
Cumplimento de la regulación, gestión de amenazas (virus), protección de privacidad, supervisión, auditoria, aseguramiento continuo, seguridad de redes inalámbricas, protección contra intrusos, tercerización de TI, Medidas de seguridad empresarial, Gestión de identidad, Adquisiciones y ventas, impacto en la gestión de sistemas.
CLASIFICACIÓN DE ACTIVIDADES DE CONTROL DE TI:
(Actividades de control general y actividades de control de aplicación). De gobierno: Políticas y procedimientos. De gestión: normas de organización y de gestión, controles físicos y del entorno. Técnico: Controles de software de sistemas, de desarrollo de sistemas, basados en aplicaciones.
CATEGORÍAS FUNDAMENTALES DE CONTROL GENERAL DE TI:
- -Seguridad física y de la información.
- -Gestión de cambio
- -Continuidad del negocio y recuperación de desastres.