Modelo de riesgos y controles
2 recomendaciones5,407 vistas
El documento detalla la creación de la Ley Sarbanes-Oxley (SOX) en respuesta a escándalos corporativos como Enron y Worldcom, que exige la transparencia y la correcta evaluación de los controles internos en las organizaciones registradas en la SEC. Se enfatiza la necesidad de un modelo de gestión de riesgos y controles, así como el papel del software GRC en la colaboración y cumplimiento normativo. El objetivo es reducir riesgos financieros y operacionales, mejorar la efectividad de los procesos y asegurar el cumplimiento regulatorio.
Modelo de riesgos y controles
- 1. MODELO DE ADMINISTRACIÓN DE RIESGOS Y CONTROLES BASADOS EN GRC SOFTWARE
- 2. LEY SARBANES OXLEY - SOX Por que se creó la ley Sarbanes Oxley? La Ley Sarbanes-Oxley establece que el reporte sobre el control interno de las organizaciones sea un requerimiento para Enron – shock! todas las compañías registradas en la SEC. WorldCom !! Restituir la confianza de los inversionistas Sección 404. Establece para todas las Incrementar la transparencia compañías registradas en la SEC, la obligación de emitir un reporte que incluya la evaluación de la efectividad de sus controles internos sobre sus reportes financieros, ejecutado por un auditor independiente. Sección 302. Requiere que la alta dirección de las compañías registradas en la SEC, (CEO y CFO) Certifiquen la efectividad de sus controles internos en forma trimestral y en su reporte anual SABMiller desarrolló el proyecto ICU para alcanzar el “estado de alistamiento” a marzo 31, 2008, para listarse en un futuro en las bolsas de los Estados Unidos de America.
- 3. GESTIÓN DE RIESGOS: ANTES FALTA DE INTEGRACION PERDIDA DE DUPLICACION FUNCIONES Y PROCESOS POR VISIBILIDAD SILOS COMPLEJIDAD ALTOS CAIDAS Y FRAGMENTACION COSTOS DESLIZAMIENTOS PERDIDA DE INFORMACION “Reactivo” PERDIDA DE RECURSOS COMPLEJIDAD E VULNERABILIDAD INFLEXIBILIDAD INNECESARIA
- 4. Controles 85% de los controles internos en promedio de las organizaciones son manuales. Financial Executives Research Foundation
- 5. Controles …68% del personal operativo admiten el incumplimiento a los controles de seguridad de información con el objetivo de cumplir sus trabajos… ISACA - Symposium IT Security
- 6. GESTIÓN DE RIESGOS: FUTURA FACTORES DEL CAMBIO Exigencia de TRANSPARENCIA responsabilidad sobre Y VISIBILIDAD BAJOS COSTOS los niveles de la Alta INTEGRACION Gerencia PROCESOS Globalización e ESTANDARIZADO innovación tecnológica DIALOGO COMUN Regulación compleja y especializada USO EFICIENTE SEGURIDAD RECURSOS
- 7. TIPOS DE CONTROLES DETECTIVOS Que han hecho Cambios Patrones de ejecución Patrones de ejecución los usuarios realizados en el realizada realizada proceso ACCESO / MANUALES / SEGREGACION DE AUTOMATICOS SEMI - AUTOMATICOS POLÍTICAS FUNCIONES PREVENTIVOS e Ejecución de las Ejecución de las Que pueden Configuraciones hacer los propias del transacciones por parte transacciones por parte usuarios sistema de los usuarios sin de los usuarios a través intervención del sistema del sistema Key Controls: Ayudan a mitigar la presentación de informes material clave y los riesgos de fraude de la manera más eficiente y eficaz.
- 8. Segregación de funciones 1. Separar funciones incompatibles asignadas a un usuario. 2. Control preventivo 3. Reduce el riesgo, con la colusión puede eludirse la segregación de funciones 4. Tanto a nivel de sistemas como procesos manuales. Ejemplo: Se debe mantener separadas las Registro Custodia siguientes actividades: Crear pedidos vs aprobación y custodia de las mismas Autorización Registro Realizar el pago a proveedores y creación de proveedores
- 9. Beneficios del nuevo modelo de riesgos y controles Reduce el riesgo financiero, de fraude y operacional manteniendo un nivel aceptable para la administración Minimiza el costo en términos de tiempo y dinero con un nivel de riesgo aceptable Ayuda a integrar y mantener los procesos estandarizados Apoya el desarrollo de la información consistente, oportuna y confiable para la administración Ayuda a la dirección para cumplir con los requisitos reglamentarios y de cumplimiento en organismos de control Protege los intereses de todos los miembros directos e indirectos de la organización
- 10. Autoevaluación del control Propósito Monitoreo y aprendizaje Compromiso Acción Capacidad
- 11. Software GRC (Governance Risk Compliance) GRC no es nuevo…. GRC no es una función ….. GRC no es un único responsable…. C GRC no es solo un software…. ….significa múltiples funciones de colaboración y trabajo en conjunto con framework e infraestructura de tecnología común y visión integrada para las actividades de la organización….
- 12. Access Control Process Control Monitor exceptions PerformCAPA Remediate Issues Monitor Test Test Perform Automated Controls Manual Assessments Controls Evaluate Business Processes … IT Infrastructure Scope Doc Control Environment: Process-Control-Objective-Risk
- 13. PREGUNTAS? PREGUNTAS