El documento presenta una panorámica de diferentes modelos de control como COSO, Cadbury, COCO, COBIT y Turnbull. Explica que estos modelos se pueden clasificar según sus objetivos de control, principios o nivel de madurez. Luego describe brevemente los modelos COSO, Cadbury y COCO, resaltando sus objetivos, componentes y características clave como la responsabilidad sobre el control y los tipos de control.
2. MODELOS DE CONTROL
CONTENIDO
PANORÁMICA DE MODELOS DE CONTROL
COSO
CADBURY
COCO
COBIT
TURNBULL
AEC
2
3. PANORÁMICA DE MODELOS DE CONTROL
Marcos de referencia (comunidades) para
clasificar los modelos de control según Philip L.
Campbell ( An Introduction to Information
Control Models):
Objetivos de Control
Principios
Madurez de la Capacidad
3
4. PANORÁMICA DE MODELOS DE CONTROL
Comunidad de Objetivos de Control
Se basan en el concepto de “objetivo de control”:
Control: Las políticas, procedimientos, prácticas y
estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarán y que los eventos no
deseados se evitarán o detectarán y corregirán.
Objetivo de control: una declaración de que el resultado
o propósito deseado se alcanzará al implantar
mecanismos de control en una actividad particular de
tecnología de información
4
5. PANORÁMICA DE MODELOS DE CONTROL
Comunidad de Principios
Se basan en la noción de principios como rendición de cuentas,
concientización, equidad y ética.
Comunidad de Madurez de la Capacidad
Se basa en la noción del modelo de madurez, cuyo único miembro
es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).
La teoría es que una organización cuyo nivel de madurez es mayor
que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y sólo en forma secundaria en el
producto.
5
6. DIAGRAMA DE INFLUENCIA
FUENTE: An Introduction to Information
Control Models, Philip L. Campbell
6
7. COMUNIDADES DE MODELOS
FUENTE: An Introduction to Information
Control Models, Philip L. Campbell
7
8. SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST
8
10. COSO -
ANTECEDENTES
Modelo de Control COSO: Committee of
Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.
Modelo de Control COCO: Criteria of Control
Committee (Instituto Canadiense de Contadores
Certificados, CICA, November1995.
10
11. COSO - CONTROL
Cualquier medida que tome la dirección, el Consejo y otros,
para mejorar la gestión de riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas establecidos.
La dirección planifica, organiza y dirige la realización de las
acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos y metas.
11
12. COSO - CONCEPTO DE CONTROL INTERNO
Proceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:
Efectividad y eficiencia de las operaciones
Confiabilidad de la información financiera
Cumplimiento con las leyes, reglamentos, normas y
políticas.
12
13. COSO - CARACTERÍSTICAS
Medio para alcanzar un fin, no un fin en si mismo.
No es un evento o circunstancia sino una serie de
acciones que permean en las actividades de la
organización.
Forma parte de los procesos básicos de la
administración-planeación ejecución y monitoreo y se
encuentra integrado en ellos.
Los controles deben construirse ”Dentro¨” de la
infraestructura de la organización y no “Sobre ella”.
13
14. COSO - CARACTERÍSTICAS...
Es efectuado por personas. No es solamente un conjunto
de manuales de políticas y procedimientos, sino son
personas en cada nivel de la organización.
Es ejecutado por la gente de una organización a través de
lo que hace y dice. La gente diseña los objetivos de la
Entidad y establece los mecanismos de control.
14
15. COSO - CARACTERÍSTICAS...
Afecta las acciones del personal, señalándole sus
responsabilidades y límites de autoridad, así como la
vinculación entre sus deberes y la forma en que los
desempeñan.
La alta dirección es responsable de la existencia de un
eficiente sistema de control.
Los Directores tienen la obligación de la vigilancia del
control además de que proporcionan directrices y
aprueban ciertas transacciones y políticas.
Cada individuo dentro de la organización tiene algún rol
respecto al control interno.
15
16. COSO - CARACTERÍSTICAS...
No existe sistema infalible. Ningún sistema hará por
siempre lo que se espera que haga.
No importa lo bien diseñado y operado que sea un
sistema de control; lo más que puede esperarse es que
proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.
16
17. COSO - CARACTERÍSTICAS...
Limitaciones del control :
Errores por falta de capacidad para ejecutar las
instrucciones
Errores de juicio en la toma de decisiones.
Errores por mala interpretación, negligencia,
distracción o fatiga.
Inobservancia gerencial a las políticas o
procedimientos prescritos.
Colusión.
Costo - beneficio. 17
18. COSO - CARACTERÍSTICAS...
Características de los objetivos de una organización:
Operacionales: Relacionados con el uso eficiente y
eficaz de los recursos.
Información financiera: Relacionados con la
preparación de reportes financieros confiables.
Cumplimiento: Relacionados con el cumplimiento
con leyes y reglamentos aplicables.
18
20. COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES
Existe una relación
directa entre objetivos
que la organización
busca y los
componentes que
representan lo
necesario para
alcanzar los objetivos
20
22. COSO - Relaciones de Componentes y Objetivos
O
S
NC ES
S
NE
NT
RO
RT
IE
IO
IE
IM
AC
PO
PL
ER
RE
ACTIVIDAD 2
ACTIVIDAD
NA
M
OP
CU
FI
MONITOREO
ACTIVIDAD 1
ACTIVID
INFORMACION Y
COMUNICACION
UNIDAD B DAD A
UNIDAD B
ACTIVIDAD
ACTIVIDADES DE
1
CONTROL
UNIDAD A
UNI
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL
COMPONENTE
22
23. COSO - AMBIENTE DE CONTROL
Integridad y Valores Eticos
Comité de Auditoría
Filosofía Admva. y Estilo
de Dirección
Estructura Organizacional
Asignación de Autoridad y
Responsabilidad
Política de Recursos
Humanos
Competencia
23
24. COSO - EVALUACIÓN DE RIESGOS
Objetivos Institucionales
Objetivos Específicos
Operativos
Información Financiera
Cumplimiento
Análisis de Riesgos
Organización (Externos /
Internos)
Actividad
Análisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Políticas /
Sistemas y Procedimientos) 24
25. COSO - ACTIVIDADES DE CONTROL
Actividades de control
sobre:
Las operaciones
La información
financiera
El acatamiento
Tipos de Control:
Preventivos /
Correctivos
Manuales /
Automatizados
Gerenciales 25
26. COSO - INFORMACIÓN Y COMUNICACIÓN
Sistemas de Información :
Apoyo Actividades
Estratégicas
Integración con las
Operaciones
Calidad
Comunicación :
Interna / Externa
Medios 26
27. COSO - SUPERVISIÓN Y SEGUIMIENTO
Supervisión Concurrente
Evaluaciones Independientes
Alcance y frecuencia
Quiénes evalúan
Proceso de evaluación
Metodología /
documentación
Plan de acción
Reportes de Deficiencias
27
28. COSO - RESPONSABILIDADES SOBRE EL CONTROL
Consejo de Administración.- Es la instancia
responsable de establecer guía, supervisión general y
gobernabilidad a la organización
Gerencia.- El Director General es el último responsable
y asume la propiedad del sistema de control
Auditores Internos.- Evalúa la efectividad del sistema
de control
Personal.- es responsable todo el personal dependiendo
de su nivel y ubicación funcional
28
29. COSO - TIPOS DE CONTROL
- Preventivos - Detectivos
• Concurrentes (sobre
la marcha)
• Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)
- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigación y desarrollo
- De proyectos
29
30. MODELO CADBURY
CP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007
31. MODELO CADBURY
• Desarrollado por el llamado Comité Cadbury
(UK Cadbury Committee).
Adopta una interpretación amplia del control.
Mayores especificaciones en la definición de
su enfoque sobre el sistema de control en su
conjunto-financiero y de cualquier tipo.
31
33. MODELO CADBURY
• Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las
operaciones.
b) Confiabilidad de la información y reportes
financieros.
c) Cumplimiento con leyes y reglamentos
• Los elementos clave de este modelo son en
esencia similares al modelo COSO, salvo la
consideración de los sistemas de información
integrados en los otros componentes y un
mayor énfasis respecto a riesgos.
• Limitación en la responsabilidad de los
reportes de control a la confiabilidad de los 33
financieros
34. MODELO COCO
CP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007
35. MODELO COCO
CONCEPTO DE CONTROL INTERNO
- Incluye aquellos elementos de una organización
(recursos, sistemas, procesos, cultura, estructura y
metas) que tomadas en conjunto apoyan al
personal en el logro de los objetivos de la
organización:
Efectividad y eficiencia de las operaciones.
Confiabilidad de los reportes internos o externos.
Cumplimiento con las leyes y reglamentos
aplicables, así como con las políticas internas.
35
36. MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad
y eficiencia de las operaciones)
Servicio al cliente
Salvaguarda y uso eficiente de los recursos
Obtención de beneficios
Cumplimiento de obligaciones sociales
Seguridad de que los riesgos son debidamente
identificados y administrados
36
37. MODELO COCO
Confiabilidad de los reportes internos y
externos
Mantenimiento de registros contables
adecuados.
Confiabilidad de la información utilizada.
Información publicada para terceros
interesados.
37
38. MODELO COCO
Cumplimiento con la normatividad y
políticas internas aplicables
Aseguramiento de que las actividades de la
organización se conducen en total concordancia
con el marco legal y con las políticas internas.
38
39. MODELO COCO
Naturaleza del control
• El control debe ser realizado por el personal de toda
la organización, quien será responsable del diseño,
establecimiento, supervisión y mantenimiento del
control.
• El personal responsable de lograr determinados
objetivos también deberá evaluar la efectividad del
control dentro de su esfera de competencia y de
reportar tal evaluación ante quien él es responsable.
39
40. MODELO COCO
Naturaleza del control
El costo del control deberá ser proporcional a los
beneficios esperados.
El control requiere de un equilibrio entre
autonomía e integración y entre consistencia y
adaptación al cambio.
40
41. MODELO COCO
Ciclo del entendimiento básico
Propósito
Compromiso
Aptitud
Acción
Evaluación (Auto) y Aprendizaje
Criterios de control
• Los criterios de control son la base para entender el
control de una organización.
• Están planteados como metas a cumplir
permanentemente.
41
42. MODELO COCO
A.- PROPÓSITO Sentido de Dirección a la
Organización
A1.- Los objetivos deben ser establecidos y
comunicados.
A2.- Los riesgos internos y externos significativos
deben ser identificados y evaluados.
A3.- Las políticas para apoyar el logro de los
objetivos de una organización y el manejo de
sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que el
personal entienda lo que de él se espera.
42
43. MODELO COCO
A.- PROPÓSITO
A4.- Deben establecerse y comunicarse
planes para guiar los esfuerzos para
lograr los objetivos de la
organización.
A5.- Los objetivos y los planes relativos
deben incluir metas, parámetros e
indicadores de medición del
desempeño.
43
44. MODELO COCO
B.- COMPROMISO: Sentido de identidad y
valores de la organización .
B1. Deben establecerse, comunicarse y ponerse
en práctica valores éticos compartidos,
incluyendo la integridad.
B2. Las políticas y prácticas sobre recursos
humanos deben ser consistentes con los
valores éticos de la organización y con el
logro de sus objetivos.
44
45. MODELO COCO
B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligación de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organización, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.
B4. Debe fomentarse una atmósfera de mutua
confianza para apoyar el flujo de la
información entre el personal y para su
efectivo desempeño hacia el logro de los
objetivos.
45
46. MODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organización
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organización.
C2. El proceso de comunicación debe apoyar los
valores de la organización y el logro de sus
objetivos.
C3. Debe ser identificada y comunicada información
suficiente y relevante de manera oportuna, para
posibilitar al personal a desempeñar las
responsabiIidades asignadas.
46
47. MODELO COCO
C. APTITUD
C4. Deben coordinarse las decisiones y acciones de
las diferentes partes de la organización.
C5. Las actividades de control deben diseñarse como
parte integral de la organización, tomando en
consideración sus objetivos, los riesgos para su
cumplimiento y la interrelación de los elementos
de control.
47
48. MODELO COCO
- Evaluación y aprendizaje. Sentido de
evolución de la organización:
D1.- El ambiente externo e interno debe ser
“monitoreado” para obtener información que
pueda señalar la necesidad de revaluar los
objetivos de la organización o el control.
D2.- El desempeño debe ser evaluado o medido contra
las metas e indicadores en los planes u objetivos
de la organización.
D3.- Las premisas consideradas para los objetivos de
la organización deben cuestionarse
periódicamente.
48
49. MODELO COCO
- Evaluación y Aprendizaje
D4.- Las necesidades de información y los sistemas
de información relativos deben reevaluarse en la
medida que cambian los objetivos o al identificarse
deficiencias en la información reportada.
D5.- Debe establecerse y ejecutarse un seguimiento
de los procedimientos, para asegurar que se den los
cambios requeridos.
49
50. COBIT
CP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007
50
51. Cobit - Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
Fuente: Control Objectives for Information and Related
Technology (CObIT) y presentación de Fernando
Izquierdo Duarte 2002
51
52. Cobit - Definición
¿Qué es?
Es un marco de control interno de TI.
Parte de la premisa de que la TI
requiere proporcionar información
para lograr los objetivos de la
organización.
Promueve el enfoque y la propiedad
de los procesos.
52
53. Cobit - Definición
Apoya a la organización al proveer un marco que
asegura que:
La Tecnología de Información (TI) esté alineada con la
misión y visión.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
53
54. Cobit - Usuarios
Gerencia: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.
Usuarios Finales: Garantizar seguridad y
control de los productos que adquieren
interna y externamente
54
55. Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organización y el control
mínimo requerido.
Responsables de TI: Identificar los
controles que requieren.
55
56. Cobit - Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
56
57. Cobit - Estructura
EVENTOS INFORMACIÓN
Objetivos de Datos Efectividad
negocio Eficiencia
Aplicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
57
58. Cobit - Estructura
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita
Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
58
59. Cobit - Estructura
Criterios de la Información (7)
CUBO de CobiT
Relación entre los d ad
ili ad
Recurso Humano
componentes ad b rid
id ia
al nf gu
Instalaciones
C o Se
C
Tecnología
Applicaciones
Dominios
Procesos TI
Datos
Procesos
TI
de
Actividades s os
r
e cu
R
59
61. Objetivos del
Negocio
CobiT
Requerimientos Planeación y
de Información Organización
Seguimiento
Recursos de TI Adquisición e
Implantación
Servicios y Soporte
61
62. Cobit - Requerimientos
de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad.
de Calidad Costo.
Oportunidad.
Requerimientos Efectividad y eficiencia operacional.
Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
62
63. Cobit - Requerimientos de la
Información del Negocio
Efectividad: Información relevante y pertinente,
proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Información exacta y completa, así como válida
de acuerdo con las expectativas de la organización.
63
64. Cobit - Requerimientos de la
Información del Negocio
Disponibilidad: accesibilidad a la
información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
64
65. Recursos de TI
Datos: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.
65
66. Procesos de TI
- Los Tres Niveles
Agrupación natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitación o cortes de
control.
Actividades Acciones requeridas para lograr un
o tareas 318 resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
66
67. COBIT – DOMINIOS: 4
Planeación y Organización
Adquisición e Implantación
Prestación de Servicios y Soporte
Seguimiento
67
68. COBIT – DOMINIOS - PROCESOS
Planeación y Definición de un plan estratégico
Organización Definición de la arquitectura de información
Determinación de la dirección tecnológica
Definición de organización y relaciones
Administración de la inversión
Comunicación de las políticas
Administración de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluación de riesgos
Administración de proyectos
Administración de la calidad
Adquisición e Identificación de soluciones automatizadas
Implantación Adquisición y mantenimiento del software aplicativo
Adquisición y mantenimiento de la infraestructura
tecnológica
Desarrollo y mantenimiento de procedimientos
Instalación y aceptación de los sistemas
Administración de los cambios 68
69. COBIT – DOMINIOS - PROCESOS
Servicios y Definición de los niveles de servicios
Soporte Administración de los servicios de terceros
Administración de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificación y asignación de los costos
Asistencia y soporte a los clientes
Administración de la configuración
Administración de los problemas
Administración de los datos
Administración de las instalaciones
Administración de la operación
Seguimiento
Seguimiento de los procesos
Evaluación del control Interno
Contratación de un aseguramiento independiente
69
70. COBIT COMO PRODUCTO
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de Implementación
CD-ROM
2a Edición disponible en español
70
71. COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
Definición de Definición de Objetivos
Control Interno de Control de T I
COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno
SAS 78 - 1995 enmienda
SAS 55 - 1988
71
72. Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de Auditores Internos Administración Auditores Externos
Sistemas Responsables de TI
El Control Interno es Visto Conjunto de procesos incluyendo Conjunto de procesos, Procesos Procesos
como políticas, procedimientos, prácticas y subsistemas y personas
estructura Organizacional
Los Objetivos Efectividad y Eficiencia de las Efectividad y Eficiencia de Efectividad y Eficiencia de las Efectividad y Eficiencia de las
Organizacionales de operaciones las operaciones operaciones operaciones
Control Interno
Confidencialidad, Integridad y Confiabilidad en los reportes Confiabilidad en los reportes Confiabilidad en los reportes
disponibilidad de la información financieros financieros financieros
Confiabilidad en los reportes Cumplimiento con leyes y Cumplimiento con leyes y Cumplimiento con leyes y
financieros normas normas normas
Cumplimiento con leyes y normas
Componentes o Dominios Dominios: Componentes: Componentes: Componentes:
Planeación y Organización Ambiente de Control Ambiente de Control Ambiente de Control
Adquisición e implantación Sistemas Manuales y Evaluación de Riesgo Evaluación de Riesgo
Automatizados.
Servicio y Soporte Actividades de Control Actividades de Control
Procedimientos de Control
Seguimiento Información y Comunicación Información y Comunicación
Seguimiento Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Efectividad del Control I.
Responsable por el Control Administración Administración Administración Administración
Interno
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
72
73. GUÍA TURNBULL
CP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007
73
74. ¿ QUÉ ES LA GUÍA
TURNBULL?
Es la adopción de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
75. CONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento de
la adecuación y efectividad
de la Administración de Riesgos
y del sistema de control
Promoción de la Apoyo para mejorar
Concientización de el proceso de
riesgos y controles Identificación y
y los programas de Administración de
autoevaluación riesgos
75
76. Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
áreas de negocios objetivos plazo
Disminución de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios
Reducción de
tiempo para Ventajas
emergencias competitivas
Mejores bases Enfoque interno
para establecer Menores costos en hacer bien
estrategias de capital las cosas
77. IMPLANTACIÓN DEL TURNBULL
Identificación de
Implantación de
factores críticos
acciones de Identificación de cambios de éxito
mejora Internos y externos
y reconsideración y
negociación de objetivos Identificación y
Revisión de riesgos priorización de
y controles anuales riesgos
Determinación de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN
Fuentes de Negociación de
DE RIESGOS
aseguramiento estrategias de control y
administración de riesgos
Monitoreo de aspectos
significativos de Negociación sobre
control interno rendición de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administración
Concientización
advertencia oportunos de riesgos y control
de los riesgos
77
críticos
78. SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
Enfocarse en riesgos Asegurar que los objetivos
Asegurar que los objetivos
Enfocarse en riesgos Evitar duplicidades
Evitar duplicidades
críticos yysus controles se jerarquicen
se jerarquicen
críticos sus controles
Asignar
Asignar
Reorientar el
Reorientar el responsabilidades
responsabilidades
entrenamiento
entrenamiento MANTENERSE SIMPLE en la administración de
en la administración de
hacia los riesgos críticos
hacia los riesgos críticos Y PROSPECTIVO riesgos
riesgos
Elaborar un plan
Elaborar un plan Mantener los informes
Mantener los informes
Evitar expedientes
Evitar expedientes
apropiado yy
apropiado al Consejo sucintos yy
al Consejo sucintos
voluminosos
voluminosos
monitorear su avance
monitorear su avance sencillos
sencillos
78
79. PASOS SUGERIDOS
Enfoque a la mejora de negocios
Implantación de mecanismos apropiados para
la información de avance
Involucramiento de los distintos niveles de la
organización
Implantación del plan de desarrollo y de la política de administració
de riesgos
Reconsideración y afinación del plan por el Consejo
Consideración del plan por el Consejo de Administración
Aceptación del plan por parte de los directores
Asignación de responsabilidades para elaborar el plan individual o de equipos79
80. RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)
TIPOS DE RIESGO PROMEDIO
Fracaso en la
7.05
administración de
proyectos mayores
Fracaso de estrategias 6.67
Fracaso en innovación 6.32
Mala reputación 6.30
/administración - marca
Motivación y bajo desempeño 6.00
del personal
1= riesgo mínimo, 9 = crítico Fuente: Deloitte & Touche, 1990
80
81. Sencillez
Enfasis en el cambio
de comportamiento Conciencia
del riesgo
ADECUADA
ADMINISTRACIÓN DE Asesoría a
Información
confiable RIESGOS Y todos los niveles de
CONTROL la compañía
Controles básicos
Aplicación
Mecanismos de continua
advertencia oportunos Concientización de
y respuesta rápida de los objetivos Estrategias de
organizacionales control
82. PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admón de Inapropiada
Mecanismos Riesgos Orientación
de Advertencia de riesgos
Incapacidad
Demasiados
para obtener
Riesgos
aceptación
identificados Peligros del gerente
Potenciales
Sobrecarga
Abandonarlo
del comité
Demasiado
de
tarde
Auditoría
Ignorar
Incremento
Controles
de
Financieros
Burocracia
básicos
82
83. AUTOEVALUACIÓN DEL
CONTROL
CP, CIA y Mtro Fernando Vera Smith
Diciembre 2007
83
84. AEC - DEFINICIÓN
Proceso documentado en el que :
La administración o el equipo de trabajo se involucra
directamente en una función.
Se juzga la efectividad del proceso de control
vigente.
Se define si se asegura razonablemente el lograr
alguno o todos los objetivos.
El objetivo es proporcionar seguridad razonable de que
se alcanzarán los objetivos de la organización .
84
85. AEC - OTROS NOMBRES
AEC - DEFINICIÓN
• Autoevaluación de riesgo- • Autoevaluación de proceso.
control.
• Autoevaluación de riesgos.
• Evaluación dinámica del
control.
• Autoevaluación de riesgos de
la organización.
• Co-evaluación del control.
• Autoevaluación
organizacional.
85
86. AEC - ENTRENAMIENTO
• Para desarrollar la AEC se requiere
capacitación:
. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de control
. En redacción.
. En tecnología.
86
87. AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2
BENEFICIOS AL PROCESO OPERATIVO
Mejora del control y sus riesgos,
Delegación de
Facultades
Desarrollo de la
Responsabilidad AEC
Instrumentación Diseño de Mejores
del Control Controles
Eficienciade Procesos - Satisfacción del cliente - Mejora
de la calidad - Examen de los procesos
organizacionales en general
87
CPC y CIA JUAN MANUEL PORTAL M.
88. AEC - BENEFICIOS PARA LA ADMINISTRACIÓN
• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORÍA INTERNA
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
- Generación de ideas y planes de acción
implantados más allá del alcance original.
- Facilidad de implantación de acciones de
mejora.
- Promoción de la unidad organizacional
mediante la identificación y solución de
problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA. 88
89. AEC - FASES DE LA AUTOEVALUACIÓN
Involucramiento
de la alta
Gerencia
Monitoreo y
Reporte de Planeación
Resultados
Conducción Capacitación
de Reuniones
89
90. AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopción de la AEC
• Conocimiento de la AEC en los niveles
adecuados
• Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la
alta gerencia en la AEC
90
91. AEC – INVOLUCRAMIENTO DE…….
Requisitos de la Organización
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantación de la AEC.
91
92. AEC – INVOLUCRAMIENTO DE…….
Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la
gente
- Saber qué alcanzar y qué herramientas se
necesitan
- Conocer la organización, su entorno y
normatividad
- Entender la cultura organizacional
92
93. AEC - INVOLUCRAMIENTO DE ………..
Responsabilidades del Facilitador
- Asegurarse que la administración sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
93
94. AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
Preparación del taller:
Entrevistar a la Gerencia y al personal operativo
Evaluar la estructura organizacional
Aprender sobre la organización
Seleccionar los objetivos de la organización
Seleccionar los participantes al TAC
Preparar la logística de la reunión
Enviar información previa a la reunión.
94
95. AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
Preparación del taller:
- Facilitar la identificación del proceso y
obstáculos
- Vigilar la logística
- Obtener acciones de mejora del TAC
AGREGAR VALOR A LA ORGANIZACIÓN
95
96. AEC – INVOLUCRAMIENTO DE…….
Estrategias
1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparación del taller.
4. Definir los objetivos del Taller de Autoevaluación
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
96
97. AEC – INVOLUCRAMIENTO DE …….
Estrategias
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentación a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora
97
98. AEC - P L A N E A C I Ó N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusión
98
99. AEC- C A P A C I T A C I O N
Capacitar en Control y Autocontrol:
• Modelos de Control (COSO, COCO...)
• Evaluación de riesgos
• Autoevaluación en control y su metodología
• Herramientas y tecnología especializada para
su uso en el taller
99
100. AEC - CONDUCCIÓN DE REUNIONES
1. Preparar la logística de las reuniones
2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
• Definición del producto final
• Metodología del taller
• Herramientas a utilizar
• Método de registro y votación
• Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
100
101. AEC - CONDUCCIÓN DE REUNIONES
5. Presentar la agenda de la reunión
6. Conducir la reunión
7. Estructurar e inventariar el resultado de las
evaluaciones
8. Levantar minuta de los acuerdos
101
102. AEC - CONDUCCIÓN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche
No interrumpa
Establezca un proceso de voto
Asegúrese que todos apoyen las reglas
Todos deben ser facilitadores en algún momento
Las ideas de otros fortalecen la decisión del grupo
Logre consenso
102
103. AEC – CONDUCCIÓN DE REUNIONES
DESARROLLO DE PLANES DE ACCIÓN
- Definición y evaluación de objetivos, riesgos y
controles.
- Determinación de acciones de mejora.
- Definición y realización de las acciones, tiempos,
responsables y recursos para la implantación de
las mejoras.
- Establecimiento de puntos de control para la
evaluación de los avances y la comunicación de
las desviaciones 103
104. AEC - MONITOREO Y REPORTE DE
RESULTADOS
- Establecer sistema de seguimiento y evaluación de
los planes de acción
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua
104
105. AEC - PROBLEMÁTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna
105
106. AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la técnica.
- Represalias por comentarios hechos en la sesión de la
AEC.
- Acción subsecuente con información confidencial.
• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.
106
107. AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la
resistencia. de quienes llevan a cabo la AEC
- Inflexibilidad
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para la
AEC
- Enfoque en los beneficios a alcanzar.
107
108. AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la cultura.
- La cultura no valora la innovación y la colaboración.
- Organizaciones en medio de una reducción de personal.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108
109. AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la adecuación.
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
109
110. AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la cultura.
- La cultura no valora la innovación y la
colaboración.
- Organizaciones en medio de una reducción
de personal.
• Salvaguardas.
- Evitar utilizar la AEC con estas situaciones.
110
111. ÉXITO PARA SU IMPLANTACIÓN
I. Factores críticos de éxito
II. Pasos para acelerar su
implantación
III. Recomendaciones para su
implantación
111
112. I. FACTORES CRÍTICOS DE ÉXITO
1) Determinación de objetivos claros
2) Patrocinio de la alta gerencia
3) Apoyo de la gerencia
4) Entendimiento de por qué participa cada uno en la
sesión de Autoevaluación
5) Señalamiento de expectativas
112
113. I. FACTORES CRÍTICOS DE ÉXITO
6) Cultura que apoya la AEC
7) Actitud gerencial orientada al facultamiento y el
control
8) Beneficios tangibles
9) Definición del producto final
10) Entorno libre de riesgos (no represalias)
113
114. II. PASOS PARA ACELERAR SU IMPLANTACIÓN
1) Reconocer la complejidad de su implantación
2) Conducir sesiones piloto
3) Ser realistas acerca de la cobertura de
auditoría
4) Dar los pronunciamientos y criterios al inicio
del proceso
5) Permitir suficiente tiempo para su preparación
6) Limitar el alcance a los temas de alta prioridad
114
115. III. RECOMENDACIONES PARA SU
IMPLANTACIÓN
1) Conocer cuál es el propósito y qué
herramientas se necesitan
2) Entender la cultura organizacional
3) Ser innovador y dispuesto a tomar riesgos
4) Particularizar el marco estructurado de control
5) Agregar valor a la organización
6) Comentar con los demás y aprender de ellos
7) Rotar facilitadores que procedan de otras
áreas
115
116. III. RECOMENDACIONES PARA SU
IMPLANTACIÓN
8) Emplear grupos de trabajo interdisciplinarios
9) Mantener el proceso sencillo
10) Reconocer que las habilidades de facilitación
son tan importantes como las pruebas de
cumplimiento o las habilidades tradicionales
de auditoría
11) Mantener visible el apoyo de la gerencia
12) Vender el concepto cada día
116
117. AEC - ERRORES EN SU IMPLANTACIÓN
1) Fallar en explicar el por qué de la AEC.
2) Pilotear la AEC en un área problema.
3) Escoger los objetivos equivocados.
4) Sobre-analizar la situación.
117
118. AEC - POR QUÉ FUNCIONA
• Los empleados sienten que tienen un propósito, que
sus contribuciones son valiosas y que están
involucrados en la toma de decisiones.
• Se incrementa la conciencia entre objetivos, riesgos y
controles.
• Los equipos (grupos de AEC) funcionan mejor que los
individuos.
• La AEC promueve un entendimiento común de
objetivos y metas.
• Los talleres de AEC eliminan las barreras de
comunicación.
118