coso v cobit v itil
DESCRIPTION
differences between various IT frameworksTRANSCRIPT
![Page 1: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/1.jpg)
1
Adoptando los modelos de control interno COSO y CoBIT
![Page 2: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/2.jpg)
2
Modelo de Control Interno COSO
Dr. Ing. Jorge Valencia del Toro
![Page 3: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/3.jpg)
3
QuQuéé significa significa COSOCOSO? ?
C ommitteeO fS ponsoringO rganizations
(of the Treadway Commission)
1992
![Page 4: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/4.jpg)
4
Objetivos del Informe COSOObjetivos del Informe COSOEstablecer una definición común
del CONTROL INTERNO “Marco de Referencia”
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL
y decidir cómo mejorarlos
InformeInformeCOSOCOSO
Ayudar a la dirección de las empresas a mejorar el CONTROL DE LAS
ACTIVIDADES de sus organizaciones
![Page 5: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/5.jpg)
5
Proporcionarun grado deseguridad
razonable encuanto a la
consecuciónde objetivos
CONTROLCONTROLINTERNOINTERNO
Proceso efectuado por la Dirección, la alta gerencia y
el restodel personal
QuQuéé?? Para QuPara Quéé??
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con lasleyes y normas que
sean aplicables
En quEn quéénivelesniveles??
EficaciaEficacia
DefiniciDefinicióón de Control n de Control InternoInterno
![Page 6: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/6.jpg)
6
Eficacia y Eficienciaen las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
![Page 7: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/7.jpg)
7
• EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
• EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:
• Rendimiento y rentabilidad• Salvaguarda de los recursos
Eficacia yEficiencia
en las Operaciones
![Page 8: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/8.jpg)
8
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno
Cumplimiento SOX
![Page 9: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/9.jpg)
9
• Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada.
• Abarca también la información de gestión de uso interno.
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
Confiabilidadde la
informaciónfinanciera
![Page 10: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/10.jpg)
10
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
Eficacia y Eficiencia en las Operaciones
LosLos 3 3 ObjetivosObjetivos del del Control Control InternoInterno
![Page 11: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/11.jpg)
11
Cumplimientocon las leyes
y normas que sean aplicables
• Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. De esta forma logra evitar:
• Efectos perjudiciales para la reputación de la organización.
• Contingencias.
• Otros eventos de pérdidas y demás consecuencias negativas.
LosLos 3 Objetivos 3 Objetivos del del Control InternoControl Interno
![Page 12: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/12.jpg)
12
Los Los 55 Componentes Componentes interrelacionadosinterrelacionados
del del Control InternoControl Interno
![Page 13: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/13.jpg)
13
Eficacia y Eficiencia
en las Operaciones
Confiabilidadde la
Información que se Publica
Cumplimientocon las Leyes
y NormasAplicables
El Control Interno El Control Interno -- COSOCOSOCommittee of Sponsoring Organizations
of the Treadway Commission
Cumplimiento SOX
![Page 14: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/14.jpg)
14
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
![Page 15: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/15.jpg)
15
Am
bien
te d
e C
ontr
ol
Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:
1. Integridad y valores éticos
2. Compromiso de competencia profesional
3. Filosofía de dirección y el estilo de gestión
4. Estructura Organizacional
5. Asignación de autoridad y responsabilidad
6. Políticas y Prácticas de Recursos Humanos
7. Consejo de Administración / Comité de Auditoría
![Page 16: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/16.jpg)
16
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
![Page 17: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/17.jpg)
17
Aná
lisis
de
Rie
sgo
Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:
1. Objetivos Organizacionales Globales
2. Objetivos asignados a cada Actividad
3. Identificación de Riesgos
4. Administración del Riesgo y Cambio
![Page 18: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/18.jpg)
18
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
![Page 19: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/19.jpg)
19
Act
ivid
ades
de
Con
trol
COSO reconoce los siguientes tipos de Actividades de Control:
1. Análisis efectuados por la dirección
2. Administración directa de funciones por actividades
3. Proceso de información
4. Controles físicos contra los registros
5. Indicadores de rendimiento
6. Segregación de funciones
7. Políticas y procedimientos
![Page 20: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/20.jpg)
20
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
![Page 21: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/21.jpg)
21
Info
rmac
ión
Evaluación adecuada de los mecanismos de información:
1. La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales
2. Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades
3. Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización)
4. Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)
![Page 22: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/22.jpg)
22
Com
unic
ació
n
Evaluación adecuada de los mecanismos de Comunicación:
1. La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno.
2. El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.
3. La Alta Dirección es receptiva a sugerencias de los empleados.
4. La comunicación a través de toda la empresa es efectiva.
5. Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.
![Page 23: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/23.jpg)
23
LosLos 5 Componentes 5 Componentes del del Control InternoControl Interno
![Page 24: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/24.jpg)
24
Mon
itore
o y
Supe
rvis
ión
EVALUACION DE LA SUPERVISIÓN y MONITOREO Supervisión Continua1. En qué medida obtiene el personal -al realizar sus
actividades habituales- evidencia del buen funcionamiento del sistema de control interno?.
2. En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas?
3. Comparaciones periódicas de importes registrados contra los activos físicos.
4. Receptividad ante las recomendaciones de auditores internos y externos.
5. Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas).
6. Eficacia de las actividades de Auditoría Interna.
![Page 25: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/25.jpg)
25
Mon
itore
o y
Supe
rvis
ión
Evaluación periódica puntual1. Alcance y frecuencia
2. El proceso de evaluación es el ideal? (si se hace bien)
3. La metodología para evaluar el sistema de controles internos es lógica y adecuada?
4. Adecuación de las muestras, son significativas y como estála calidad de la documentación examinada.
La Comunicación de las Deficiencias1. Mecanismos para recoger y comunicar cualquier deficiencia
detectada en el control interno.
2. Los procedimientos de comunicación son los ideales.
3. Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.
![Page 26: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/26.jpg)
26
Preguntas y Respuestas
BDO MéxicoAv. Ejercito Nacional No. 904 Piso 12Polanco los Morales CP 11510México, D.F.Telefono: (55) 5901 3953E-mail: [email protected]
![Page 27: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/27.jpg)
27
Modelo de Control Interno CoBIT
Juan Antonio Segura González, CISA, CISM
![Page 28: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/28.jpg)
28
“CoBIT (Objetivos de Control para Tecnología de Informacion), es un modelo estructurado,
lógico de mejores practicas de Tecnología de Información, definidas por
un consenso de expertos en todo el mundo en aspectos técnicos, seguridad,
riesgos, calidad y control”
¿Qué es CoBIT?
![Page 29: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/29.jpg)
29
Com
pone
ntes
CoB
ITC
ompo
nent
es C
oBIT
![Page 30: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/30.jpg)
30
Componentes CoBIT
(PO)Planear y Organizar
(AI)Adquirir e
Implementar
(DS)Entrega y Soporte
(M)Monitoreo
Dominios CoBIT
Siendo habilitados por
y considera
El control de
Que satisfacen
Procesos de TI
Requerimientosde la Institución
Esquemasde Control
Prácticasde Control
![Page 31: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/31.jpg)
31
Com
pone
ntes
CO
SO
Objetivos de Control CoBIT
Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.
Si bien COSO identifica cinco componentes de control interno, que deberán estar integrados para alcanzar los objetivos de reporte financiero y su divulgación, CoBIT proporciona una guía detallada similar para TI.
La relación entre COSO y CoBIT
![Page 32: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/32.jpg)
32
Marco de referencia …
![Page 33: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/33.jpg)
33
Marco de referencia
![Page 34: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/34.jpg)
34
Servicios de Infraestructura de TI (Bases de datos, Sistemas Operativos, Telecomunicaciones,
Red, Etc.)
Procesos de
Negocio
(Finanzas)
Procesos de
Negocio
(Manufactura)
Procesos de
Negocio
(Logística)
Procesos de
Negocio
(Etc.)
Administración Corporativa
• Estructura• Políticas
Corporativas• Procedimientos
• Estructura• Políticas
Corporativas• Procedimientos
Controles a Nivel Gobierno de TI
Controles a Nivel Gobierno de TI
Controles Generales de TI
Controles Generales de TI
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
• Desarrollo y cambios a programas
• Desarrollo e Implementación
• Operación de cómputo
• Acceso a Programas y Datos
Controles de Aplicación
Controles de Aplicación
• Totalidad• Exactitud• Validación• Autorización• Separación de
funciones
• Totalidad• Exactitud• Validación• Autorización• Separación de
funciones
Enfoque de Control
Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).
Si bien CoBIT proporciona controles que se refieren a los objetivos operativos y de ejecución, relacionados directamente con el reporte financiero, también se pueden considerar otros lineamientos de control de TI, incluyendo ISO 17799 y el “Information Technology Infrastructure Library” ( ITIL).
![Page 35: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/35.jpg)
35
Ejecución
1
23
4
5
6
8
7
9
![Page 36: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/36.jpg)
36
Ejemplo …
1 ACTIVIDAD B ACTIVIDAD C Error? ACTIVIDAD DNo 2
2 ACTIVIDAD FError?ACTIVIDAD E 3
3 ACTIVIDAD G ACTIVIDAD H Error? ACTIVIDAD I
ACTIVIDAD L
4
4 End
31
yes
1
ACTIVIDAD J
ACTIVIDAD A
ACTIVIDAD K
Yes
Yes (goes back to analyst who corrects any error and submits for approval)
No
2
89
2
6
109
No
11
4
4
2
3 12
13
5
7
8
SAP transaction: GS02
1
2Riesgo
C1ontrol
Interfases
NOMENCLATURANOMENCLATURA
![Page 37: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/37.jpg)
37
Ejemplo …
![Page 38: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/38.jpg)
38
Ejemplo …
![Page 39: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/39.jpg)
39
Con
trol
es G
ener
ales
de
TI
![Page 40: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/40.jpg)
40
Preguntas y Respuestas
ISACA Capítulo Ciudad de MéxicoVicepresidenteE-mail [email protected]. 1089-4004
![Page 41: COSO v COBIT v ITIL](https://reader034.vdocuments.site/reader034/viewer/2022042501/5571f1b649795947648b9346/html5/thumbnails/41.jpg)
41
Muchas Gracias
Juan Antonio Segura González, CISA, CISMDr. Ing. Jorge Valencia del Toro