• No se han encontrado resultados

Ayer, hoy y mañana de los controles internos. La evolución

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Ayer, hoy y mañana de los controles internos. La evolución"

Copied!
29
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 29 página )

Texto completo

(1)

Ayer, hoy y mañana de los controles

internos

(2)

Agenda

• De lo local al exterior.

• Del papel individual a los nuevos estándares.

• Robos físicos a robos de electrónicos.

• Continuidad de operaciones.

• Algunas fallas administrativas comunes.

• ¿Qué hacer ante este entorno?

(3)

De lo local al exterior

(4)

Las 5 principales deficiencias TI por tipo de control

1.

Control de acceso (aplicaciones)

2.

Configuración administrativa (mínimos, máximos)

3.

Administración de la seguridad (servidores, base

de datos)

4.

Continuidad de operaciones (pérdida de datos y

cortes en el servicio)

5.

Segregación de funciones (perfiles de usuarios)

(5)

Escenario de redes locales interacciones al exterior

de forma manual

Comprador Recibo Requisitor Pagador Contador TI Orden de compra en papel Proveedor

1. Riesgos compras equivocadas 2. Proveedores intermediarios

(6)

Escenario con mala configuración de permisos

Comprador Recibo Requisitor Pagador Contador TI Orden de compra en papel Proveedor

1. Riesgos compras equivocadas 2. Proveedores intermediarios 3. Compras falsas

(7)

Escenario de inadecuada actualización de permisos

Nuevo promo Comprador y permiso anterior de recibo Recibo Requisitor Pagador Contador TI cambio de puesto Orden de compra en papel Proveedor

1. Riesgos compras equivocadas 2. Proveedores intermediarios 3. Compras falsas

(8)

Escenario de interacciones

Comprador Recibo Requisitor Pagador Contador TI Nube Proveedor Orden de compra electrónica y aceptación del proveedor Facturas Pagos

1. Riesgos compras equivocadas 2. Proveedores intermediarios 3. Compras falsas

4. Compras en colusión con proveedores

5. Robo de información

(9)

Del papel individual a los nuevos

estándares

Homologar los protocolos de comunicación mejora la explotación de la información

(10)

Evolución de los controles

Tax onomías validaciones

Servicios Idiom a

Conectividad de punto a punto

Mem os contratos fi rmados

fi rmas autógrafas para autorización

Control de accesos y procesos

Controles ex ternos sujetos a verifi cación

Controles manuales

Controles de aplicación

Controles generales y control sobre los controles

de terceros

Se sumaron

(11)

De robos físicos a robos de

electrónicos

(12)

Fraudes más populares

• Robo de identidades

• Robo de información bancaria

• Robo de información estratégica (fórmulas, clientes, proveedores

etc.)

• Autorizaciones de operaciones inexistentes

• Alteraciones de parámetros (mínimos, máximos, tablas)

• Intercepción de información

• Falsificación digital

• Destrucción de evidencia

(13)

Existen muchos cyber crimes diariamente

1. Engaño a un periódico haciéndolo creer que tenia buenas credenciales bancarias. 2. Inserto anuncios que llevaban a los clientes

a sitios para infectarlos con virus.

3. Vendía la solución antivirus en 48 dólares por persona.

(14)

Continuidad de operaciones

El asunto no es solo adquirir, es

mantener en control la tecnología.

(15)

Que pasa si….

• No hay internet.

• Se pierden mis bases de datos.

• Si requiero modificar o actualizar mis aplicaciones o equipo.

• Si se pierde el suministro eléctrico.

• Si personal clave de TI renuncia, fallece o enferma gravemente.

• Si quiero migrar a otra plataforma más moderna para estar en

posición competitiva.

• Si mis sistemas son atacados y tengo pérdida o fuga de datos

sumamente confidenciales.

• ¿Hay leyes que puedo estar infringiendo? ¿Puedo pagar las

multas?

(16)

Algunas fallas administrativas comunes

La tecnología responde a los

(17)

Proyectos que involucran tecnología

• Las empresas no se cercioran de que la tecnología es adecuada a

los procesos de la empresa, a veces intentan instaurar los

procesos de negocio por medio de la tecnología cuando realmente es al revés.

• Las empresas subestiman la inversión de tiempo y dinero para

terminar el proyecto. Salen muchos extras.

• El resultado no es el esperado y se hacen nuevos proyectos para

salvar la inversión inicial.

• No hacen la evaluación del proyecto para determinar el valor

(18)

Operar la tecnología

• Capacitación inadecuada del personal así como poco interés del

mismo.

• Falta de manuales y guías de consulta disponibles a usuarios y

técnicos.

• Uso parcial de las funcionalidades de aplicaciones o

infraestructura.

• Mantenimiento inadecuado a errores, disfuncionalidades o

solicitudes de usuarios.

(19)

¿Qué hacer ante este entorno?

(20)

Medidas básicas de control

• En cualquier inversión en tecnología pide

asesoría de un tercero sin conflicto de

interés, el que vende y el que sugiere la compra están en posición de conflicto de interés, el primero siempre el segundo a veces.

(21)

Implementar controles en base a riesgos

• Establecer los riesgos que implica la

adquisición de tecnologías de información por expertos en el tema, siempre

contestando cuatro preguntas básicas:

– ¿Cuál es el objetivo y de que eventos

negativos me puede impedir obtenerlo?

– ¿Qué impacto económico tiene el evento en la empresa?

– ¿Cuál es la probabilidad de que suceda?

– ¿Cómo responder adecuadamente riesgo?

(22)

Implementar controles en base a riesgos de fraude

• Investigar sobre fraudes utilizando

tecnologías (cambian, hay modas), tanto

internos como externos, y establecer los

riesgos de acceso, proceso, sabotaje entre otros. Después implementar las

medidas de control y seguridad

(23)

Aprende administrar el cambio e implementar por

proyectos

• Los proyectos de nuevas tecnologías, la

implementación de controles así como el monitoreo de controles, debe usarse

personal capacitado para planear e implementar en base a la técnica de

administración de proyectos, así como

administrar el cambio dentro de la

organización como factor de éxito para

(24)

Políticas y procedimientos y plan de cumplimiento

• Tener políticas y procedimientos formales

que dicten claramente las reglas de

operación. Los riesgos se fijan top-down

pero se administran bottom-up.

• Implementar en base a políticas y

procedimientos siempre es mejor y más

(25)

Tener un programa de continuidad de negocio

• Identificar eventos que pueden detener el

negocio en marcha y hacer un plan que

permita superarlos exitosamente al

(26)

Implementar un plan de monitoreo continuo

• Ningún programa de control interno

funciona exitosamente si no existe un

programa de monitoreo que lo mantenga vigente y en continua adaptación a las cambiantes realidades de la

(27)

¿Qué sigue?

(28)

Los controles emergentes en evolución

• Controles biométricos.

• Controles auto correctores de errores .

• Controles que vigilan acciones físicas (movimientos predefinidos).

• Reconocimiento de video inteligente.

• Alertas e indicadores que activan otros controles.

• Controles satelitales (ubicación, instalaciones).

• Tomadores de notas escritas y voz que se almacenan en bases de

(29)

¡Gracias!

C.P.C. Arturo Lara

[email protected]

Ave. Jose Vasconcelos 638 A Col Valle del

Campestre, San Pedro Garcia Nuevo Leon 66250 México. Telefonos:

 + 52 (81) 838 77428  + 52 (81) 838 74463

Referencias

Descargar ahora ( PDF - 29 página - 771.65 KB )

Documento similar