Académique Documents
Professionnel Documents
Culture Documents
MATERIA:
Auditoria informática
METODOLOGIA COSO II
ALUMNOS:
Bladimir Stanislao Minga Medina
Jhonny Fernando Carrión Ramirez
Pablo Danilo Medina Diaz
Edhisson Alexis Sanmartín Freire
PROFESOR:
Ing. Cristian Narváez
Metodología COSO II
2. Índice:
1. Titulo: ...................................................................................................................................2
2. Índice: ..................................................................................................................................3
3. Introducción:........................................................................................................................4
4. Objetivos:.............................................................................................................................5
5. Desarrollo: ...........................................................................................................................6
COSO ERM ................................................................................................................................6
COSO ERM - Objetivos ..............................................................................................................6
COSO ERM - Componentes.......................................................................................................6
COSO ERM - Relación entre objetivos y componentes .............................................................8
RIESGOS Y OPORTUNIDADES ....................................................................................................8
GESTIÓN DE RIESGOS EMPRESARIALES (ERM) .........................................................................9
ERM - Beneficios ....................................................................................................................10
ERM - Eficacia .........................................................................................................................11
EL PAPEL DEL RIESGO EN LA SELECCIÓN DE ESTRATEGIAS .....................................................12
EL AMBIENTE INTERNO ..........................................................................................................13
ROLES Y RESPONSABILIDADES ................................................................................................15
COSO ERM – Actualización 2017 ............................................................................................17
RIEGOS DE CONTROL INTERNO ..............................................................................................20
Evaluación de riesgos .............................................................................................................23
Probabilidad de Ocurrencia ....................................................................................................25
Magnitud de Impacto .............................................................................................................26
RIESGOS DE AUDITORÍA .........................................................................................................26
MATRIZ DE EVALUACIÓN DE RIESGOS ....................................................................................28
MATRIZ DE GESTIÓN DE RIESGOS...........................................................................................28
POSIBLES RIESGOS INFORMÁTICOS Y SUS PREVENCIONES ....................................................30
6. Conclusiones: .....................................................................................................................32
7. Recomendaciones:.............................................................................................................34
7. Bibliografía:........................................................................................................................34
8. Anexos ...............................................................................................................................34
3. Introducción:
Esta investigación toma como base informes y libros relacionadas a COSO II, donde
se analizará la metodología, sus objetivos, componentes, la relación que existe entre
ellos, la gestión de riesgos empresariales, el ambiente interno y una variedad de temas
relacionados a nuestra investigación que creemos que son de fundamentales dentro de
nuestro estudio como futuros ingenieros.
4. Objetivos:
Objetivo General:
Objetivos Específicos:
COSO ERM es un facilitador del proceso de la gestión de riesgos que permite a los
administradores de las empresas operar más eficazmente en un ámbito pleno de riesgo,
aumentando la capacidad para:
RIESGOS Y OPORTUNIDADES
Las entidades operan en ambientes donde factores como la globalización, la
tecnología, las regulaciones de los organismos de control, los mercados cambiantes y la
competencia, crean incertidumbre. La mencionada incertidumbre está representada por
eventos, que a su vez implican riesgos u oportunidades para la entidad. Un evento con
impacto negativo será un riesgo que la dirección deberá acotar para permitir la
generación de valor. Por el contrario, un evento con impacto positivo, puede compensar
los impactos negativos y/o generar oportunidades que ayuden a crear valor.
Bajo
ILUSTRACIÓN 2 INCERTIDUMBRE
ERM - Beneficios
Todas las organizaciones deben establecer una estrategia y ajustarla periódicamente,
siendo conscientes siempre de las oportunidades en constante cambio para crear valor y
de los desafíos que se presentarán en la búsqueda de ese valor. Para ello, necesitan el
mejor marco posible para optimizar la estrategia y el desempeño. Y es ahí donde entra
en juego la gestión del riesgo empresarial.
ERM - Eficacia
La gestión de riesgos empresariales en una entidad es eficaz cuando los ocho
componentes están presentes y funcionan correctamente, en otras palabras, cuando no
existe ninguna debilidad significativa relacionada con los mismos y cuando los riesgos
se encuentran dentro de los niveles aceptados por la organización.
Cuando se determina que la gestión de riesgos empresariales es eficaz para cada una
de las cuatro categorías de objetivos, se intenta decir que:
La gestión del riesgo empresarial tiene que ver tanto con comprender las
consecuencias resultantes de la estrategia y la posibilidad de que la estrategia esté
desalineada como con gestionar los riesgos para establecer los objetivos. La siguiente
figura muestra estas consideraciones en el contexto de la misión, la visión, los valores
clave, y como motor de la dirección y el desempeño general de una entidad.
ILUSTRACIÓN 3 GESTIÓN DE RIESGO (PWC, 2017)
EL AMBIENTE INTERNO
Es la base de los demás componentes de ERM, puesto que provee disciplina y
estructura. Por involucra gran cantidad de elementos, desde los valores éticos de la
organización hasta la filosofía dominante en la gerencia para administrar los riesgos,
pasando por los mecanismos en que la entidad asigna autoridad y responsabilidad.
El apetito al riesgo
La gerencia debe decidir cuán bien deben cumplirse las tareas asignadas,
teniendo en cuenta la estrategia y los objetivos definidos oportunamente. Para lograr
esto, la gerencia debe especificar qué tipo de capacidades deben tener los individuos, es
decir qué niveles de conocimientos y habilidades son requeridas para cada puesto en
particular, los cuales están relacionados con el talento, el entrenamiento y la experiencia
de cada uno de los individuos.
La estructura organizacional
ROLES Y RESPONSABILIDADES
Consejo de Dirección
Alta gerencia
Oficial de riesgos
Gerente de Finanzas
Auditores internos
Auditores externos
• En el primero de los casos, una regulación puede proveer el impulso para que
una organización comience a asegurarse que la gestión de riesgos cumple con
los requisitos mínimos establecidos.
• Adicionalmente, la revisión en una entidad en particular por parte del regulador,
puede proveer información útil acerca del nivel de eficiencia en la gestión de
riesgos, e incluso a veces puede hasta generar recomendaciones para la solución
de las deficiencias detectadas.
Otros terceros
3. Desempeño
4. Revisión y monitorización
Factores Internos
• Fallos en los Sistemas Informáticos consolidados: Los fallos que surgen en los
sistemas informáticos cuando la información que se genera en ellos se consolida
al tener aplicaciones, funciones entrelazadas, originan una situación de riesgo
cuando por esta causa se paralizan total o parcialmente las operaciones de una
empresa, se pierde tiempo valioso, información valiosa, esto puede llegar a
ocurrir si no se tiene su debido plan de contingencia frente a esta situación
eminente de riesgo, causando daños operativos y también financieros como en el
caso de las entidades bancarias.
• Deficiencias en el Control Interno: La presencia de deficiencias en el control
interno es la principal causa de la existencia de los riesgos, por lo que
desemboca en una serie de situaciones que pueden ser desfavorables para una
compañía. Por ejemplo, que exista fallas en el diseño de un sistema de control
interno deja una brecha abierta para el cometimiento de errores no intencionales
y también de fraudes organizados al no funcionar cierta aplicación debidamente
permitiendo modificaciones, desvíos que causen perjuicios a la entidad, así
mismo la ausencia de limitantes de accesos, de segregación de funciones en los
servidores y demás acciones de control interno pueden contribuir a la emisión de
información errónea, o irreal ocasionando severos daños a corto o largo plazo.
• Fallos en la Administración y Organización de una compañía: La falta de
organización, criterio al dirigir las acciones de una compañía también son causal
de la aparición de riesgos en la misma. Una mala toma de decisiones en
determinada situación puede convertirse en un escenario peligroso, aunque se
tenga un debido plan de acción si este no es implementado correctamente.
Debido a la causa de mala administración y organización, surge el mayor miedo
de toda empresa y la principal situación de riesgo que es la del negocio en
marcha, pues puede desembocar en daños irreversibles que conlleve a la
disolución de una compañía.
Factores Externos:
Las empresas deben identificar las amenazas que este mundo globalizado les
presenta como: La economía. el sistema político es estable, Si están al día con los
nuevos avances tecnológicos y, si la competencia es igual o más avanzada.
Evaluación de riesgos
En toda entidad sin perjuicio de su tamaño, condición, finalidad o tipo de
negocio, existe la posibilidad de enfrentarse ante riesgos, los mismos que son
acontecimientos impredecibles que pueden convertirse en circunstancias de peligro; por
otra parte, en algunas ocasiones dichos riesgos no son significativos y no llegan a
desembocar en situaciones adversas. ¿Pero cómo saber cuándo un riesgo puede
convertirse en una potencial situación de peligro? Para ello es de suma importancia
hacer una evaluación de estos riesgos, la que se realiza después de haber efectuado la
identificación de los mismos.
Como parte del control interno tenemos como aspecto relevante la elaboración
de un plan de acción frente a los riesgos que presenten en una empresa, la misma que
consiste en la identificación de los riesgos, la evaluación de los mismos y la aplicación
de los planes de contingencias que se tengan a disposición para enfrentarse a estos,
cuya finalidad es lograr mitigarlos o disminuir el impacto que puedan causar, de esta
manera se logra que los riesgos se reduzcan a un nivel bajo que sea aceptable. Para
realizar la evaluación de Riesgos como parte de un sistema de control interno integral,
se debe tener presente la estimación de la importancia de estos riesgos para la compañía,
así como también la probabilidad de que este evento negativo ocurra y el impacto que
cause en varios aspectos. La conducción de los riesgos, bajo un esquema de escenarios
es parte de los planes de contingencias que se desarrollan después de la identificación,
evaluación de los mismos que consiste en dar opciones de respuesta ante riesgos, bajo
diferentes escenarios lo mismo que abre camino a diversas posibles soluciones para
poder escoger el accionar adecuado frente a cada evento y así poder lograr una
magnitud de impacto relativamente baja para cada situación.
Riesgo Significativo
Para todo tipo de riesgo existe un debido plan de contingencias, pero en estos
casos cuando la presencia de un riesgo es expresamente significativa, las medidas que se
deberán tomar como precaución deben ser precisas, concretas, es decir, el mencionado
plan de acción debe ser más estricto y lograr la mitigación del mismo o en su efecto que
el impacto sea leve.
Para juzgar los riesgos que son significativos, el auditor considerará, al menos,
lo siguiente:
Riesgo no Significativo
Probabilidad de Ocurrencia
Nivel Alto
Nivel Medio
Nivel Bajo
Magnitud de Impacto
Nivel Alto
Nivel Medio
Nivel Bajo
RIESGOS DE AUDITORÍA
Riesgo de auditoria es la posibilidad de llegar a emitir el llamado informe de auditoría
de manera incorrecta por no haber detectado errores en las operaciones o irregularidades
significativas, así como también por fallos registrados en los procedimientos de
auditoría y en todas las transacciones, es por ello que como parte del control interno es
de suma importancia detectar dichos riesgos para tener un monitoreo constante.
Riesgo Inherente
El riesgo inherente no puede ser controlado por el auditor por su naturaleza, pero puede
ser manejado o monitoreado cuando existe una previa evaluación y una clara
identificación de los mismos.
Riesgo de control
Riesgo de Detección
Es muy importante poder contrarrestar este riesgo, ya que al no ser percibido causaría
problemas de irrealidad de las operaciones, estados financieros y demás componentes de
una compañía, puesto que se estaría aseverando algo que es ficticio o irreal al no
detectar fallos en presentación de información.
MATRIZ DE EVALUACIÓN DE RIESGOS
La gestión del riesgo empresarial será una pieza clave del enfoque que las
organizaciones adopten para gestionar estas circunstancias y prosperar en el tiempo.
Con independencia del tipo y tamaño de una entidad, las estrategias deben mantenerse
fieles a su misión.
De cara al futuro, vemos varias tendencias que influirán en la gestión del riesgo
empresarial. Las tendencias más destacadas son las siguientes:
A medida que se disponga de más y más datos y aumente la velocidad a la que estos
se puedan analizar, será necesario adaptar la gestión del riesgo empresarial. Los
datos provendrán tanto de dentro como de fuera de la entidad y se estructurarán de
nuevas formas. Las herramientas avanzadas de análisis y de visualización de datos
evolucionarán y serán muy útiles para comprender el riesgo y su impacto.
Es importante que las prácticas de gestión del riesgo empresarial tengan en cuenta el
impacto de estas y otras futuras tecnologías, y aprovechen sus capacidades. Se
pueden identificar relaciones, tendencias y patrones previamente irreconocibles, los
cuales pueden proporcionar una rica fuente de información crítica para la gestión del
riesgo.
A medida que las organizaciones vayan integrando mejor la gestión del riesgo
empresarial con la estrategia y el desempeño, se presentará una oportunidad para
fortalecer la resiliencia. Al conocer los riesgos que tendrán un mayor impacto en la
entidad, las organizaciones pueden utilizar la gestión del riesgo empresarial para
ayudar a poner en marcha capacidades que les permitan actuar con prontitud.
En resumen, la gestión del riesgo empresarial tendrá que cambiar y adaptarse al futuro
para proporcionar sistemáticamente los beneficios señalados en el Marco. Con el
enfoque adecuado, los beneficios derivados de la gestión del riesgo empresarial
superarán con creces las inversiones y proporcionarán a las organizaciones confianza en
su capacidad para gestionar el futuro.
Intrusiones
La integridad de los datos y la privacidad puede quedar en peligro ante la
actividad de los piratas informáticos, que buscan vulnerabilidades en las aplicaciones
para poder robar contraseñas y acceder a ordenadores y servidores de forma remota.
Programas maliciosos
Hablamos de software ideado para instalarse en el ordenador del usuario y
causarle perjuicios, en beneficio de su creador: virus, gusanos, troyanos y todo tipo de
programas espía que puedan afectar a la privacidad del usuario son un riesgo que la
empresa debe prevenir, utilizando las mejores herramientas en seguridad informática
más recomendadas para las características de su negocio.
6. Conclusiones:
• La gestión del riesgo empresarial no es una función ni un departamento. Es la
cultura, las capacidades y las prácticas que las organizaciones integran con el
proceso de definición de la estrategia y aplican cuando la llevan a la práctica con
el propósito.
• Para algunas organizaciones, el verdadero desafío no tiene tanto que ver con las
sorpresas y las pérdidas, sino más bien con la variabilidad del desempeño. Unos
resultados que superen las expectativas o se adelanten a los calendarios previstos
pueden causar tanta preocupación como unos resultados inferiores a las
expectativas o retrasos en los calendarios. La gestión del riesgo empresarial
permite que las organizaciones se anticipen a los riesgos que afectarían al
desempeño e implanten las medidas necesarias para minimizar los trastornos y
maximizar las oportunidades. de gestionar el riesgo a la hora de crear,
preservar, materializar el valor.
• La viabilidad a medio y largo plazo de una entidad depende de su capacidad para
anticiparse y responder al cambio, no sólo para sobrevivir sino también para
evolucionar y prosperar. Esto es posible, en parte, gracias a una gestión eficaz del
riesgo empresarial. Es cada vez más importante a medida que se acelera el ritmo
de cambio y aumenta la complejidad en el entorno empresarial
• La gestión del riesgo empresarial tendrá que cambiar y adaptarse al futuro para
proporcionar sistemáticamente los beneficios señalados en el presente trabajo.
Con el enfoque adecuado, los beneficios derivados de la gestión del riesgo
empresarial superarán con creces las inversiones y proporcionarán a las
organizaciones confianza en su capacidad para gestionar el futuro.
• La implementación de esta metodología avanzada de control trae beneficios a toda
aquella organización que la aplique en su totalidad y de manera integral. A lo largo
del desarrollo del presente trabajo observamos la importancia de la presencia de
los controles internos en una compañía; la etapa de evaluación de riesgos es la que
arroja ventajas sobre una organización en materia de prevención, mediante el
análisis y apreciación de riesgos para un oportuno manejo de ellos.
7. Recomendaciones
• La utilización de una metodología como COSO es esencial para el correcto
funcionamiento del control interno en las organizaciones, independientemente
de su tamaño o finalidad, debido a que este sirve de apoyo y supervisión de cada
una de las actividades de control que existan en el sistema de una compañía.
• Como parte del proceso de control interno de toda entidad se debe realizar
planificaciones y programas de auditoria de gestión que permitan evaluar los
procedimientos de cada departamento, áreas y unidades, con la finalidad de
establecer estrategias y mejoras en la calidad.
• Correcta capacitación sobre la teoría, el proceso, y, muy bien definidos los
criterios de evaluación, la suma de todos estos factores y la permanencia y
maduración del sistema generará cada vez mejores resultados, los cuales, se
revertirán en un apoyo fundamental en la consecución de los objetivos de la
empresa.
• Se debe desarrollar auditorias de gestión continuas que permitan validar y
evaluar la calidad de los procesos y los servicios.
8. Bibliografía:
9. Anexos
“Análisis del COSO ERM y la gestión integral de riesgo en el sector cooperativista del
sistema financiero CACPECO - CCCA - 29 de Octubre periodo 2014”
https://drive.google.com/open?id=1kMaViE8e_X8-A_VSBwvbp5uw8JmkBh8b