Académique Documents
Professionnel Documents
Culture Documents
������ ������
No. 14 - 2008 ��������� ������ �������� �������� ���������
*connectedthinking
Boletín Digital // No. 11 - 2008
Contenido
Haga click en los enlaces para navegar
a través del documento
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
Años 60’s (continuación) cortes). Los riesgos asociados a la seguridad de Normalmente, el personal dentro de los departamentos
la información, eran vistos como aspectos de contabilidad se dividía por áreas de los estados
Pocos procesos básicos de negocio eran netamente técnicos, y la conciencia en seguridad financieros, y en ocasiones se les llamaba “custodios de
apoyados por la Función de Tecnología de de información, era inexistente o imperceptible. cuenta”. Era imprescindible que concentraran toda la
Información ya que el enfoque se encontraba documentación que se manejaba, porque con ella se
Para ampliar: haga click sobre la imagen qRetorno
orientado principalmente a la gestión de la preparaban los asientos contables.
infraestructura tecnológica. La Función de ��������
�������
Tecnología de Información era comúnmente un El desarrollo de la tecnología para los sistemas
departamento dentro de la Gerencia de �����������
�����������������
contables era muy básico, por lo que la
Administración y Finanzas, tal como se muestra
��������
intervención del personal para la contabilización
en la Figura N° 1. �������������
de operaciones era muy alta.
��������������
������ ������
��������� ������ �������� �������� ���������
Años 70’s Los administradores de bases de datos tenían la Para ampliar: haga click sobre la imagen qRetorno
responsabilidad de la seguridad de la información,
Tecnología y Seguridad de la Información: iniciándose la implantación de filtrado de tráfico ��������
�������
En esta época se inicia el uso de las de red en dispositivos como routers. En
microcomputadoras y los sistemas en línea. Venezuela, un banco desarrolla el primer manual ����������� �����������
Comienza a utilizarse los puntos de ventas (POS) de políticas de seguridad de la información. �����������������
��������
������������
������ ������
��������� ������ �������� �������� ���������
Años 70’s (continuación) Años 80’s electrónica entre las organizaciones, mediante
enlaces dedicados como EDI (Electronic Data
Normalmente, se requería una gran cantidad de Tecnología y Seguridad de la Información: Interchange) y SWIFT (Society for Worldwide
personas para mantener la contabilidad Continúa el desarrollo de los marcos teóricos de Interbank Financial Telecommunication). Ocurre un
actualizada. De hecho, las organizaciones podían seguridad: en 1985 se establece el primer criterio cambio de la orientación basada en la gestión y
tener acceso a los estados financieros entre de seguridad para sistemas en el “Trusted administración de la infraestructura tecnológica,
veinte (20) y treinta (30) días después del cierre Computer System Evaluation Criteria” conocido orientándose a la gestión del apoyo de la
contable de cada mes. también como libro naranja del Departamento de tecnología a los procesos y funciones de negocio
Defensa de los Estados Unidos, donde se apoyados por el surgimiento de los primeros
Los auditores internos empiezan a especializarse establecen clasificaciones de seguridad para los sistemas ERP (Enterprise Resource Planning).
en el análisis de los sistemas contables para sistemas con base en su modelo de control de
obtener evidencia del funcionamiento de la acceso y características de seguridad. Los riesgos presentes para esta época, afectaban
tecnología, en cuanto al registro de las principalmente en la legitimación de capitales,
transacciones. Adicionalmente, en 1987 se publica el modelo captura de datos en las redes y clonación de
Clark-Wilson, donde se establece por primera vez tarjetas de débito y crédito, incrementándose
A nivel internacional y para el sector financiero, en el concepto de “segregación de funciones”. En notablemente los fraudes en los POS. En esta
1974 fue establecido el Comité de Basilea, como agosto de 1981 IBM lanza al mercado su primera década, los riesgos asociados a la tecnología eran
el Comité de Regulación Bancaria y Prácticas computadora personal, llamada IBM PC. vistos como simples intentos de violar la
Supervisoras, por los bancos centrales del Grupo protección de los sistemas o del perímetro, por lo
de los Diez (G-10), como resultado de la En estos años, surgen las primeras versiones de tanto se le presta poca importancia y se deja la
turbulencia monetaria y bancaria internacional. servicios electrónicos, portales Web, y servicio IVR. seguridad en manos de los administradores de red,
Ocurren los primeros intercambios de información que entienden de los elementos más técnicos.
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
Años 80’s (continuación) Contraloría, Auditoría y Riesgo: comisión solicita realizar un estudio para
En cuanto a los aspectos de control y con el desarrollar una definición común del control
Con respecto a la estructura organizativa, se inicia avance de la tecnología, se producen cambios en interno y marco conceptual. Finalmente en 1988,
la separación entre las funciones de la Gerencia la forma de auditar ya que se incorporan técnicas el Comité de Organizaciones Patrocinantes de la
de Administración y Finanzas y la Gerencia de de revisión sobre la base de sistemas Comisión Treadway, conocido como COSO,
Programación y Estructuración de Datos, computarizados. Para los departamentos de seleccionó a Coopers & Lybrand para estudiar el
formalizándose las actividades relacionadas con contabilidad, se desarrollaron sistemas que cada control interno.
la administración de seguridad de la información vez más facilitaban las labores de registro contable.
(ver Figura N° 3). A nivel internacional y para el sector financiero, a
Es por ello que comienza a aparecer la figura de principios de los años 80, los coeficientes de
Para ampliar: haga click sobre la imagen qRetorno
Gerencia de Contabilidad, donde la revisión de los capital de los principales bancos internacionales
asuntos contables y la creación de reportes, se estaban deteriorándose y, al mismo tiempo, los
��������
������� convierte en las principales labores de esta riesgos asumidos aumentaban. Respaldado por el
gerencia, cuya línea de reporte seguía estando G-10, el Comité de Basilea decidió trabajar en una
����������� ����������� ����������� adscrita a la ya conocida Gerencia de medida de adecuación de capital hacia la cual
����������������� ��������������� ����������
�������� ����������������������� Administración y Finanzas. convergieran los países miembros, y en julio de
1988, fue aprobado por el G-10 un sistema de
�������������
������������
����������� Por otro lado, en 1985 se forma la Comisión medición del capital, conocido como el Acuerdo
Nacional para Emisión de Informes Fraudulentos, de Basilea. Dicho sistema, contemplaba un
������������������ conocida como la Treadway Commission, a fin de requerimiento mínimo de capital, así como
���������
identificar las causas en la proliferación de principios básicos de supervisión para el sector
emisión de informes fraudulentos; y en 1987 esta financiero.
Figura N° 3. Estructura de las organizaciones en los años 80’s
Boletín Digital // No. 11 - 2008
������ ������
��������� ������ �������� �������� ���������
Años 80’s (continuación) ¿Qué ha pasado desde los años 90’s? Empieza a masificarse el uso de Internet dentro
de las organizaciones. Asimismo, comienza a
Desde entonces, el Acuerdo ha sido adoptado no Tecnología y Seguridad de la Información: aparecer información especializada en seguridad
sólo en países miembros del G-10 sino en Los años 90´s inician con una nueva estructura de la información, así como el desarrollo de
prácticamente todos los países con bancos organizacional propuesta para la Función de herramientas y técnicas específicas para dicha
internacionalmente activos. Seguridad de la Información (ver Figura N° 4), en función.
donde ésta unidad se conforma como un área
especializada dentro de la Función de Tecnología de A la vez, comienza a escucharse en nuestro país,
Información y posee personal y recursos propios. organizaciones a nivel mundial, tales como:
Carnegie Mellon University, SANS, (ISC)² e ISACA,
Para ampliar: haga click sobre la imagen qRetorno quienes ofrecían entrenamiento y certificaciones
en tópicos relacionados con mejores prácticas,
seguridad de la información y objetivos de control
para la tecnología de información (tal es el caso
��������
������� de CobiT, Control OBjectives for Information and
����� ����������������
related Technology).
����������������� �������������� ��������������
��������
������ ������
��������� ������ �������� �������� ���������
¿Qué ha pasado desde los años ante el inminente cambio del milenio. Estas accesos no autorizados y hurto de información
actividades empezaron a permear lentamente al sensible, entre otros.
90’s? (continuación) resto de las unidades de negocio, a medida que
éstas comenzaron a reconocer la existencia de Ya para ese entonces, la seguridad de información
Tecnológicamente, existían múltiples canales de
los riesgos operacionales asociados a la deja de verse sólo como un conjunto de
atención y se procuraba la consolidación de
pérdida o interrupción de los sistemas. vulnerabilidades conocidas y se establece la
datos, equipos y sistemas de aunado con el uso
necesidad de un tratamiento constante y no de
de esquemas únicos de autenticación y de
Por otro lado, a finales de la década de los 90’s, manera eventual, incorporándose un nuevo reto
gestión de usuarios. Surgen estándares de
el fenómeno del Y2K comienza a forzar a las para las organizaciones: el cumplimiento.
intercambio de información como XBRL, OFX,
organizaciones a evaluar las vulnerabilidades en
XML y VPN e infraestructuras de claves públicas y
sus sistemas. Esto resultó en la definición de Con la aparición de nuevas regulaciones como
privadas. Existía además, una mayor utilización de
prácticas para el análisis de amenazas y Gramm-Leach-Bliley Act, (GLBA, 1999),
los niveles de servicio como herramienta de
vulnerabilidades, así como la evaluación y Sarbanes-Oxley (2002), Health Insurance
gestión entre las unidades usuarias y la Función
clasificación de riesgos. Portability and Accountability Act Security
de Tecnología de Información.
Provision (HIPAA, 2003), las cuales imponían
Las organizaciones empezaron a considerar el nuevos requerimientos en cuanto a seguridad y
En este década, comienzan a gestarse los
rol del “Chief Information Security Officer” privacidad de la información, las organizaciones
primeros planes de recuperación ante desastres
(CISO), y a reconocer su valor crítico para la se vieron forzadas a definir e implantar controles
(DRP, por sus siglas en inglés), y las prácticas
organización, en la mitigación de los riesgos de seguridad adicionales para garantizar el
relacionadas comenzaron su transición a la
informáticos, los cuales eran principalmente cumplimiento de las mismas, dándole más fuerza
gestión de riesgos y contingencias dentro de la
para ese entonces: páginas Web fraudulentas, al rol del CISO.
organización de TI, como medida de prevención
robo de sesiones y de identidad, sniffing,
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
¿Qué ha pasado desde los años Mientras tanto, el CISO continuó incrementando Sheldon Asociados, Firma miembro de
su entendimiento de los objetivos de negocio y PricewaterhouseCoopers durante los períodos
90’s? (continuación) 2005 - 2006 y 2006 -2007, se establece que el
aprendió una lección importante que le permitiría
reducir o eliminar la práctica de generar Miedo, presupuesto asignado para la Función de
La figura del CISO fue adquiriendo cada vez más Seguridad de la Información, en proporción con el
Incertidumbre y Duda (FUD, por sus siglas en
fuerza dentro de las organizaciones, a tal punto presupuesto de la Función de Tecnología de
inglés) para justificar sus presupuestos.
que comenzaron a surgir de forma natural, Información se encuentra entre el 2% y 10%, lo
Empezaron a tratar de utilizar el cálculo del
diversas modalidades de líneas de reporte, tal cual es un valor relativamente bajo si es
Retorno de Inversión (ROI, por sus siglas en
como se muestra en la Figura N° 5. comparado con la media mundial, que es de un
inglés), utilizando un cálculo derivado conocido
Para ampliar: haga click sobre la imagen como Retorno de Inversión en Seguridad de la 13% aproximadamente.
qRetorno
Información (ROSI, por sus siglas en inglés) a lo
largo de la cadena de administración de la Esto nos permite inferir, que la seguridad, pese a
infraestructura del negocio. la importancia adquirida, sigue presentando
��������
�������
����������
�������� ���� limitaciones para justificar su presupuesto, muy
Sin embargo, aún cuando es notable la probablemente como consecuencia de la
�����
�����������������
��������
��������������������
����������� ����
���������
importancia que ha venido adquiriendo la dificultad para demostrar el retorno de la
seguridad de la información en las organizaciones, inversión.
������������ �����������������������
������������������ ���������������
���� ����
en el tema presupuestario, según los resultados
obtenidos en la encuesta Nacional de las Contraloría, Auditoría y Riesgo:
Prácticas de Seguridad de Información de las Por su parte, las unidades de control también
Figura N° 5. Estructuras propuestas del CISO a principios del empresas en Venezuela, elaborada por Espiñeira, experimentaban algunos cambios con respecto a
milenio su alcance.
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
¿Qué ha pasado desde los años administración eficaz de los riesgos. Ello da
origen a la publicación oficial de COSO II – ERM – �
90’s? (continuación) � ��
GIR (ver Figura N° 8), en septiembre de 2004. �� ��� ��
�� � ��
��� � ��
Desde el punto de vista de estructura Para el sector financiero, en junio de 1999, el �� �� ��
organizativa, ya se cuenta con una unidad formal � �
Comité de Basilea emitió una propuesta para un
�����������
de Contraloría con exigencias en el nivel nuevo marco de adecuación de capital (que ���������
�����������
académico del personal, mucho mayor que en las reemplaza el Acuerdo de 1988), el cual incorpora
��������
décadas anteriores. Empiezan a notarse mayores elementos necesarios para enfrentar las ��������������������������
exigencias, hasta el punto que la mayoría de las
��������
condiciones cambiantes del mercado,
organizaciones exige la contratación de evolucionando hacia un esquema de ����������������������
contadores públicos colegiados. En cuanto a línea requerimientos de capital que refleja con mayor
de reporte, Contraloría continúa adscrita a la precisión y sensibilidad, los riesgos asumidos. �������������������������
Gerencia de Administración y Finanzas.
�������������������
Dicho Acuerdo lleva el nombre de Convergencia
A nivel mundial, en septiembre de 1992 se publica Internacional de Medidas y Normas de Capital:
el informe del Marco Conceptual Integrado de Marco Revisado – Basilea II.
Control Interno - Estudio COSO I (ver Figura N° 6),
y ante la ocurrencia de escándalos financieros Figura N° 6. COSO I - Control Interno
ocurridos en la segunda mitad de la década de
los noventa, la Comisión estudia la posibilidad de
ampliar el estudio COSO I y considerar la
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
Las organizaciones del presente y La premisa principal de la administración determinar cuanta incertidumbre está preparada
corporativa de riesgos es que cada entidad, con o para aceptar en la búsqueda de aumentar el valor
futuro - ¿Qué está pasando sin fines de lucro, existe para otorgar valor a sus (ver Figura N° 7). La incertidumbre proviene desde el
actualmente? grupos de interés. Todas las organizaciones entorno de las decisiones dentro de la organización y
encaran esta incertidumbre, es por ello que el se puede presentar como un riesgo o una
El fin último de las organizaciones es alcanzar un desafío para la administración del negocio es oportunidad, en función de destruir o crear valor.
equilibrio óptimo entre los objetivos de
crecimiento y rentabilidad, haciendo uso de la
������
tecnología y asegurando la seguridad de la �����������
información a lo largo de las operaciones. El valor �����������������
��������������������
obtenido es maximizado, cuando la dirección ���������
����� ��������
establece las estrategias y objetivos para alcanzar
�����������
un balance perfecto entre los objetivos de
crecimiento, retornos y riesgos relacionados, ������� ������������� �������
utilizando de manera eficiente los recursos.
������
������� ���������
Todas las organizaciones se enfrentan a la ��������
incertidumbre presente en el camino para
alcanzar sus metas. Esta incertidumbre �����������
incrementa los riesgos y oportunidades que �����������������
pueden ser manejadas en función de aumentar el ��������������������
valor ganado. Figura N° 7. Premisas fundamentales de la administración corporativa de riesgos
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
Las organizaciones del presente y Usualmente, varían según las opciones Necesidad de organizar la Gestión
adoptadas por la gerencia, en cuanto a
futuro - ¿Qué está pasando estructura y rendimiento.
Integral de Riesgo
actualmente? (continuación)
A continuación se describe una serie de
- Reporte o presentación de resultados:
Este Marco de Gestión de Riesgo Empresarial situaciones generales que han sido identificadas,
Relacionado con la confiabilidad y efectividad
(COSO II – ERM), se encuentra dirigido a lograr el en el comienzo de la evolución de las
de la estructura de líneas de reporte.
aumento y eficiencia en las operaciones, la organizaciones, relativas a los diagnósticos
confiabilidad en los reportes financieros y alcanzar efectuados en los diseños de la Gestión Integral
- Cumplimiento: Relacionado con el apego de la
el cumplimiento de las leyes y regulaciones, que de Riesgo:
organización a las leyes, regulaciones y
es hacia donde las organizaciones en el presente políticas.
se están orientando. Puede decirse entonces, que - Atomización de la Función de Gestión de
el marco COSO II – ERM, se encuentra enfocado Riesgo: en el enfoque tradicional de gestión de
a cubrir los siguientes objetivos: riesgo, era común encontrar funciones
dispersas a lo largo de la organización. Por
- Estratégico: Relacionado con las metas de alto ejemplo, la unidad de Tesorería gestionaba los
nivel; asimismo están alineados y dan apoyo a riesgos con enfoques y métodos diferentes a
la misión del negocio. otras áreas de la organización.
������ ������
��������� ������ �������� �������� ���������
Necesidad de organizar la Gestión la cual se ubicaba como función en la gestión indicadores por debajo del promedio estándar
de negocios. del sector donde pertenecen las organizaciones.
Integral de Riesgo (continuación)
Muchas veces, se entiende el riesgo y el control,
- Carencia de la Gestión de Riesgo Operacional: como la tradicional “alcabala” que frena el
- Estructuras organizativas con problemas de
Auditoría Interna, por tradición, detectaba cierta desarrollo del negocio y con una falta de
independencia: el líder de la Unidad de Riesgo,
categoría de riesgo operacional, utilizando relación con los objetivos estratégicos del
cuando existía, reportaba a la Gerencia General,
metodologías con base en el Control Interno. negocio. En general, no existe una cultura de
ocasionando posibles conflictos de intereses y
Generalmente, no se incluía la fase riesgo y control positiva.
potenciales riesgos éticos.
metodológica de identificación de los riesgos y
su ponderación. Más allá de las iniciativas de las organizaciones
- Ausencia de Comité de Riesgo: carencia de un
que de manera proactiva tomaron acciones en
grupo colegiado, delegado por la Junta
- Visión limitada de los riesgos: ninguna unidad función de formalizar la gestión de riesgos,
Directiva, para garantizar la gestión estratégica
en las organizaciones tenía como misión la gracias al surgimiento de mejores prácticas,
de los riesgos. Generalmente, este Comité se
creación de una cartera de riesgos de diferente normas y regulaciones internacionales y
confundía con el Comité de Auditoría.
naturaleza, con el fin de visualizar de forma nacionales (tales como: COSO I, COSO II, Basilea
integral y gerencial las respuestas de una forma I, Basilea II), para el caso de Venezuela, la
- Funciones de riesgo integradas en gestión de
eficiente. Resolución 136.03 de la SUDEBAN (2003), se
negocios: en la gestión de negocios era común
otorga un carácter institucional a la gestión de
encontrar funciones de Gestión de Riesgo cuya
- Poca cultura de riesgo y control: actualmente, riesgo en las organizaciones. Es por ello que
naturaleza era de control. Esto ocasionaba
cuando se realizan mediciones de la cultura de comienzan a surgir estructuras organizativas de la
conflictos de interés, como por ejemplo en la
riesgo y control, es frecuente encontrar Unidad de Riesgo bajo dos (2) esquemas:
función de “seguimiento de cartera de crédito”,
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
�
����
��������������
���� ��������
y monitorear los riesgos. El Gobierno Corporativo unidades de negocio. De esto se concluye que
�� �����
��
���
no es un departamento, no es una división, es una
����
debe existir una propuesta de entrega de valor a
����
pauta cultural. La ética y el buen Gobierno lo largo del ciclo de entrega, asegurando que las
��
�� �
���
Corporativo no se declaran, simplemente se Unidades de Negocio generen los beneficios
ejecutan. prometidos en la estrategia, concentrándose en la ��������������
optimización de los costos. �����������
Si analizamos el concepto de Gobierno
Corporativo, y haciendo una analogía con el
concepto de Gobernabilidad de TI, del IT
Governance Institute, se establece: “es el
conjunto de responsabilidades y prácticas
ejercidas por la Dirección y la alta gerencia con el
fin de proporcionar una dirección estratégica, Figura N° 11. Modelo de Gobernabilidad de TI
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
Gobernabilidad en las organizaciones Asimismo, deben ser definidas herramientas y Roles y responsabilidades
mecanismos para la medición del desempeño de
(continuación) la estrategia de implantación, terminación de Desde el punto de vista del control y gestión en
proyectos, uso de recursos, desempeño de los las organizaciones, es necesario definir los roles y
En este sentido, la administración de los recursos procesos y entrega de valor de las unidades de responsabilidades de los actores que deben
se refiere a la inversión óptima, así como la negocio. alcanzar el consenso para alinear los diversos
administración apropiada de los recursos críticos intereses involucrados para ejecutar el programa
de las unidades de negocio, tales como: las Sin embargo, podemos afirmar que entre las de negocio, logrando el balance óptimo entre los
aplicaciones, información, infraestructura y las primeras actividades para alcanzar la objetivos de crecimiento, retorno y riesgos
personas. gobernabilidad en las organizaciones, es relacionados, utilizando de manera eficiente los
requerida la definición de la estructura recursos (ver Figura N° 12). Entre los actores
Adicionalmente, también debe contemplarse la organizativa, líneas de reporte y la descripción de principales se encuentran:
administración integral de riesgos, logrando crear los roles y responsabilidades.
conciencia de los riesgos en la Alta Gerencia, un - Comité de Riesgo.
entendimiento claro del apetito de riesgo de la - Unidad de Riesgo Integral.
organización, requerimientos de cumplimiento y la - Unidad de Contraloría.
definición de una estructura organizativa de - Comité de Auditoría.
administración de riesgo. - Auditoría Interna.
- Función de Tecnología de Información.
- Función de Seguridad de la Información.
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
Comité de Riesgo: - Establecer políticas de riesgo para la - Diseñar, desarrollar, proponer modificaciones y
organización, de acuerdo con los lineamientos mantener actualizadas las políticas para la
El objetivo de este comité es la administración, fijados por la Junta Directiva. gestión integral de riesgo.
identificación, medición y mitigación de los
riesgos a los cuales se encuentran expuestas las - Informar periódicamente al Comité de Riesgo
organizaciones. Entre sus principales acerca del cumplimientote metas y objetivos en
responsabilidades están las siguientes: relación con la gestión integral de riesgo.
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
Roles y responsabilidades - Establecer o revisar los pasos dados por la trabajo que realiza y en la elaboración de sus
gerencia para las líneas de denuncias a las informes y conclusiones, las cuales deben estar
(continuación) faltas cometidas por los empleados presentadas con total imparcialidad y en forma
(whistleblowing), los procesos de investigación y objetiva. Dentro de las principales funciones del
- Asegurar que existan controles para asegurar
acciones tomadas. Auditor Interno, están las siguientes:
presentación razonable y revelaciones de la
información financiera.
- Establecer la coordinación de información con - Definir los objetivos, alcance y metodología para
los siguientes Comités: Riesgo, Gestión de Ética instrumentar la auditoría interna.
- Hacer especial énfasis en los fraudes en cuanto
y Conducta, Ejecutivo, entre otros.
a: su prevención, monitoreo y mitigación.
- Captar la información necesaria para evaluar la
Auditoría Interna: funcionalidad y efectividad de los procesos,
- Recabar información del Oficial de
funciones, sistemas utilizados y controles
Cumplimiento, Consultor Jurídico o Gerente de
Auditoría Interna tiene como propósito examinar, implantados, la estructura y funcionamiento de
Impuestos para alertarlos de temas que afecten
evaluar y monitorear la adecuación y efectividad la organización en todos sus ámbitos y niveles,
a la organización.
del control interno de la organización. Siendo el así como los registros contables e información
Auditor Interno un empleado de la organización, financiera.
- Brindar apoyo a la Junta Directiva y la gerencia
es recomendable que su nivel de reporte sea al
en la adopción de Códigos de Ética y Conducta.
más alto nivel (Presidencia Ejecutiva o Junta - Preparar y desarrollar el plan de auditoría interna
Directiva) para que pueda ser lo más objetivo para ejecutar la revisión de las áreas o procesos
posible en sus evaluaciones y opiniones. El prioritarios según las evaluaciones realizadas.
Auditor debe tener el máximo cuidado en el
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
Roles y responsabilidades evaluaciones que se presenten y no - Definir plataformas tecnológicas que se ajusten
consideradas en el plan de auditoría. a las necesidades actuales y que sean
(continuación) escalables en un futuro.
Función de Tecnología de Información:
- Detectar los hallazgos y evidencias e
- Negociar con los proveedores la adquisición de
incorporarlos a los papeles de trabajo.
La Función de Tecnología de Información es la productos y servicios, así como, monitorear el
unidad encargada de proveer la visión tecnológica cumplimiento de los mismos.
- Diseñar y preparar los reportes de avance e
y el liderazgo necesario para el desarrollo y la
informes de auditoría interna.
implementación de iniciativas informáticas que - Desarrollar, coordinar y ajustar, de ser necesario,
permiten mantener las ventajas competitivas de las actividades asociadas a la planificación
- Proponer los sistemas administrativos y/o las
una organización, aplicando elementos de control estratégica en tecnología de información.
modificaciones que permitan elevar la
establecidos principalmente, por las unidades de
efectividad de la organización, así como
Auditoría Interna o Seguridad de la Información. - Dirigir, coordinar y evaluar los recursos
proponer los sistemas y la tecnología de
Entre sus principales funciones se encuentran: humanos, tecnológicos y financieros necesarios
información de punta requerida para impulsar el
para la ejecución de proyectos y mantenimiento
cambio organizacional.
- Coordinar y gestionar los requerimientos de las a programas.
áreas funcionales para diseñar una plataforma
- Presentar los informes de auditoría interna al
tecnológica que apoye los procesos del
Comité de Auditoría.
negocio.
- Apoyar al Comité de Auditoría en la ejecución
- Evaluar la factibilidad de implantación de
de las actividades asignadas como parte de las
sistemas de información y aplicativos.
Boletín Digital // No. 14 - 2008
������ ������
��������� ������ �������� �������� ���������
������ ������
��������� ������ �������� �������� ���������
��������
���������� �������� ��������
������
���������
��������� ������
��������� ����������
������������
����������� �����������������
������������������
�������� ����������
������� �����������
������������������
����������
��������� ����������
��������������
�������������
�����������
Boletín Digital // No. 14 - 2008
��������
���������� �������� ��������
������
���������
������������
��������� ����������������
�������������������������������
���������
������������
�����������
��������
�������
�����������
���������
����������
������������������
����������
��������������
������������������
���������� �������������
�����������
Boletín Digital // No. 14 - 2008
��������
���������� �������� ��������
��������������� ���������������
���������� �������������������
�������������������������
�������
���������������������������������������������������
������������������� ���������
������� �����������
�����������������
�����������
������������������� ��������������� �����������������������
�������������������� ����������������� �������������
����������������������� �������������� �����������������
��������� ����������� ����������������������
�������������������
����������