1 modelos de control

360 views
308 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
360
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

1 modelos de control

  1. 1. MODELOS DE CONTROLMODELOS DE CONTROLCP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera SmithDiciembre 2007Diciembre 2007
  2. 2. 22MODELOS DE CONTROLMODELOS DE CONTROLCONTENIDOCONTENIDOPANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROLCOSOCOSOCADBURYCADBURYCOCOCOCOCOBITCOBITTURNBULLTURNBULLAECAEC
  3. 3. 33PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROLMarcos de referencia (comunidades) paraMarcos de referencia (comunidades) paraclasificar los modelos de control según Philip L.clasificar los modelos de control según Philip L.Campbell ( An Introduction to InformationCampbell ( An Introduction to InformationControl Models):Control Models):Objetivos de ControlObjetivos de ControlPrincipiosPrincipiosMadurez de la CapacidadMadurez de la Capacidad
  4. 4. 44PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROLComunidad de Objetivos de ControlComunidad de Objetivos de ControlSe basan en el concepto de “objetivo de control”:Se basan en el concepto de “objetivo de control”:Control: Las políticas, procedimientos, prácticas yControl: Las políticas, procedimientos, prácticas yestructuras organizacionales para proporcionarestructuras organizacionales para proporcionarseguridad razonable de que los objetivosseguridad razonable de que los objetivosorganizacionales se alcanzarán y que los eventos noorganizacionales se alcanzarán y que los eventos nodeseados se evitarán o detectarán y corregirán.deseados se evitarán o detectarán y corregirán.Objetivo de control: una declaración de que el resultadoObjetivo de control: una declaración de que el resultadoo propósito deseado se alcanzará al implantaro propósito deseado se alcanzará al implantarmecanismos de control en una actividad particular demecanismos de control en una actividad particular detecnología de informacióntecnología de información
  5. 5. 55PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROLComunidad de PrincipiosComunidad de PrincipiosSe basan en la noción de principios como rendición de cuentas,Se basan en la noción de principios como rendición de cuentas,concientización, equidad y ética.concientización, equidad y ética.Comunidad de Madurez de la CapacidadComunidad de Madurez de la CapacidadSe basa en la noción del modelo de madurez, cuyo único miembroSe basa en la noción del modelo de madurez, cuyo único miembroes el Systems Security Engineering Capability Maturity Model (SSE-es el Systems Security Engineering Capability Maturity Model (SSE-CMM).CMM).La teoría es que una organización cuyo nivel de madurez es mayorLa teoría es que una organización cuyo nivel de madurez es mayorque otra es probable que produzca un mejor producto o servicio. Elque otra es probable que produzca un mejor producto o servicio. Elenfoque se centra en el proceso y sólo en forma secundaria en elenfoque se centra en el proceso y sólo en forma secundaria en elproducto.producto.
  6. 6. 66DIAGRAMA DE INFLUENCIAFUENTE: An Introduction to InformationControl Models, Philip L. Campbell
  7. 7. 77COMUNIDADES DE MODELOSFUENTE: An Introduction to InformationControl Models, Philip L. Campbell
  8. 8. 88SIGNIFICADO DE SIGLAS UTILIZADASSIGNIFICADO DE SIGLAS UTILIZADASOECD Organization for Economic Cooperation and DevelopmentOECD Organization for Economic Cooperation and DevelopmentGAPP Generaly Accepted Principles and Practices. National Institute of StandardsGAPP Generaly Accepted Principles and Practices. National Institute of Standardsand Technology (NIST)and Technology (NIST)BS 7799 British Standard InstituteBS 7799 British Standard InstituteSAC Security Auditability and Control. The Inst. of Internal Audit.SAC Security Auditability and Control. The Inst. of Internal Audit.COSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsCOSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsSSE CMM Systems Security Engineering Capability Maturity ModelSSE CMM Systems Security Engineering Capability Maturity ModelNational Security Agency (NSA) Defense- Canada.National Security Agency (NSA) Defense- Canada.CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.ITCG Information Technology Control Guidelines. Canadian InstituteITCG Information Technology Control Guidelines. Canadian Instituteof Chartered Accountants (CICA)of Chartered Accountants (CICA)GASSP Generaly Accepted System Security Principles. InternationalGASSP Generaly Accepted System Security Principles. InternationalInformation Security Foundation (IISF)Information Security Foundation (IISF)Cobit Control Objectives for Information and Related TechnologiesCobit Control Objectives for Information and Related TechnologiesFISCAM Federal Information Systems Controls Audit Manual. GAOFISCAM Federal Information Systems Controls Audit Manual. GAOSysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySSAG System Self-Assessment Guide for Information Technology Systems. NISTSSAG System Self-Assessment Guide for Information Technology Systems. NIST
  9. 9. 99CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera SmithDiciembre 2007Diciembre 2007CONTROL SEGÚN COSOCONTROL SEGÚN COSO
  10. 10. 1010COSO -COSO -ANTECEDENTESANTECEDENTESModelo de Control COSOModelo de Control COSO:: Committee ofCommittee ofSponsoring Organizations of the TradewaySponsoring Organizations of the TradewayCommision, USA, septiembre 1992.Commision, USA, septiembre 1992.Modelo de Control COCOModelo de Control COCO:: Criteria of ControlCriteria of ControlCommittee (Instituto Canadiense de ContadoresCommittee (Instituto Canadiense de ContadoresCertificados, CICA,Certificados, CICA, November1995November1995..
  11. 11. 1111Cualquier medida que tome la dirección, el Consejo y otros,Cualquier medida que tome la dirección, el Consejo y otros,para mejorar la gestión de riesgos y aumentar lapara mejorar la gestión de riesgos y aumentar laprobabilidad de alcanzar los objetivos y metas establecidos.probabilidad de alcanzar los objetivos y metas establecidos.La dirección planifica, organiza y dirige la realización de lasLa dirección planifica, organiza y dirige la realización de lasacciones suficientes para proporcionar una seguridadacciones suficientes para proporcionar una seguridadrazonable de que se alcanzarán los objetivos y metasrazonable de que se alcanzarán los objetivos y metas..COSO - CONTROLCOSO - CONTROL
  12. 12. 1212Proceso llevado a cabo por el Consejo de Administración, laProceso llevado a cabo por el Consejo de Administración, laGerencia y otro personal de la Organización, diseñado paraGerencia y otro personal de la Organización, diseñado paraproporcionar una seguridad razonable sobre el logro de losproporcionar una seguridad razonable sobre el logro de losobjetivos de la organización clasificados en:objetivos de la organización clasificados en: Efectividad y eficiencia de las operacionesEfectividad y eficiencia de las operaciones Confiabilidad de la información financieraConfiabilidad de la información financiera Cumplimiento con las leyes, reglamentos, normas yCumplimiento con las leyes, reglamentos, normas ypolíticas.políticas.COSO - CONCEPTO DE CONTROL INTERNOCOSO - CONCEPTO DE CONTROL INTERNO
  13. 13. 1313COSO - CARACTERÍSTICASCOSO - CARACTERÍSTICAS Medio para alcanzar un fin, no un fin en si mismo.Medio para alcanzar un fin, no un fin en si mismo. No es un evento o circunstancia sino una serie deNo es un evento o circunstancia sino una serie deacciones que permean en las actividades de laacciones que permean en las actividades de laorganización.organización. Forma parte de los procesos básicos de laForma parte de los procesos básicos de laadministración-planeación ejecución y monitoreo y seadministración-planeación ejecución y monitoreo y seencuentra integrado en ellos.encuentra integrado en ellos. Los controles deben construirse ”Dentro¨” de laLos controles deben construirse ”Dentro¨” de lainfraestructura de la organización y no “Sobre ella”.infraestructura de la organización y no “Sobre ella”.
  14. 14. 1414 Es efectuado por personas. No es solamente un conjuntoEs efectuado por personas. No es solamente un conjuntode manuales de políticas y procedimientos, sino sonde manuales de políticas y procedimientos, sino sonpersonas en cada nivel de la organización.personas en cada nivel de la organización. Es ejecutado por la gente de una organización a través deEs ejecutado por la gente de una organización a través delo que hace y dice. La gente diseña los objetivos de lalo que hace y dice. La gente diseña los objetivos de laEntidad y establece los mecanismos de control.Entidad y establece los mecanismos de control.COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  15. 15. 1515 Afecta las acciones del personal, señalándole susAfecta las acciones del personal, señalándole susresponsabilidades y límites de autoridad, así como laresponsabilidades y límites de autoridad, así como lavinculación entre sus deberes y la forma en que losvinculación entre sus deberes y la forma en que losdesempeñan.desempeñan. La alta dirección es responsable de la existencia de unLa alta dirección es responsable de la existencia de uneficiente sistema de control.eficiente sistema de control. Los Directores tienen la obligación de la vigilancia delLos Directores tienen la obligación de la vigilancia delcontrol además de que proporcionan directrices ycontrol además de que proporcionan directrices yaprueban ciertas transacciones y políticas.aprueban ciertas transacciones y políticas. Cada individuo dentro de la organización tiene algún rolCada individuo dentro de la organización tiene algún rolrespecto al control interno.respecto al control interno.COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  16. 16. 1616 No existe sistema infalible. Ningún sistema hará porNo existe sistema infalible. Ningún sistema hará porsiempre lo que se espera que haga.siempre lo que se espera que haga. No importa lo bien diseñado y operado que sea unNo importa lo bien diseñado y operado que sea unsistema de control; lo más que puede esperarse es quesistema de control; lo más que puede esperarse es queproporcione seguridad razonable.proporcione seguridad razonable. El efecto acumulado de controles y su naturalezaEl efecto acumulado de controles y su naturalezadiversa, reducen el riesgo de que no puedan alcanzarsediversa, reducen el riesgo de que no puedan alcanzarselos objetivos.los objetivos.COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  17. 17. 1717 Limitaciones del control :Limitaciones del control : Errores por falta de capacidad para ejecutar lasErrores por falta de capacidad para ejecutar lasinstruccionesinstrucciones Errores de juicio en la toma de decisiones.Errores de juicio en la toma de decisiones. Errores por mala interpretación, negligencia,Errores por mala interpretación, negligencia,distracción o fatiga.distracción o fatiga. Inobservancia gerencial a las políticas oInobservancia gerencial a las políticas oprocedimientos prescritos.procedimientos prescritos. Colusión.Colusión. Costo - beneficio.Costo - beneficio.COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  18. 18. 1818 Características de los objetivos de una organización:Características de los objetivos de una organización: OperacionalesOperacionales:: Relacionados con el uso eficiente yRelacionados con el uso eficiente yeficaz de los recursos.eficaz de los recursos. Información financieraInformación financiera:: Relacionados con laRelacionados con lapreparación de reportes financieros confiables.preparación de reportes financieros confiables. CumplimientoCumplimiento:: Relacionados con el cumplimientoRelacionados con el cumplimientocon leyes y reglamentos aplicables.con leyes y reglamentos aplicables.COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  19. 19. 1919COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
  20. 20. 2020COSO - RELACIÓN DE OBJETIVOS Y COMPONENTESCOSO - RELACIÓN DE OBJETIVOS Y COMPONENTES Existe una relaciónExiste una relacióndirecta entre objetivosdirecta entre objetivosque la organizaciónque la organizaciónbusca y losbusca y loscomponentes quecomponentes querepresentan lorepresentan lonecesario paranecesario paraalcanzar los objetivosalcanzar los objetivos
  21. 21. 2121COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
  22. 22. 2222OPERACIONESOPERACIONESREPORTESREPORTESFINANCIEROSFINANCIEROSCUMPLIMIENTOCUMPLIMIENTOMONITOREOMONITOREOINFORMACION YINFORMACION YCOMUNICACIONCOMUNICACIONACTIVIDADES DEACTIVIDADES DECONTROLCONTROLEVALUACION DEEVALUACION DERIESGOSRIESGOSAMBIENTE DEAMBIENTE DECONTROLCONTROLACTIVIDAD2ACTIVIDAD2ACTIVIDAD1ACTIVIDAD1UNIDADBUNIDADBUNIDADAUNIDADACOSO - Relaciones de Componentes y ObjetivosCOSO - Relaciones de Componentes y ObjetivosCOMPONENTECOMPONENTEACTIVIDADACTIVIDAD
  23. 23. 2323Integridad y Valores EticosIntegridad y Valores EticosComité de AuditoríaComité de AuditoríaFilosofía Admva. y EstiloFilosofía Admva. y Estilode Direcciónde DirecciónEstructura OrganizacionalEstructura OrganizacionalAsignación de Autoridad yAsignación de Autoridad yResponsabilidadResponsabilidadPolítica de RecursosPolítica de RecursosHumanosHumanosCompetenciaCompetenciaCOSO -COSO - AMBIENTE DE CONTROLAMBIENTE DE CONTROL
  24. 24. 2424Objetivos InstitucionalesObjetivos InstitucionalesObjetivos EspecíficosObjetivos Específicos OperativosOperativos Información FinancieraInformación Financiera CumplimientoCumplimientoAnálisis de RiesgosAnálisis de Riesgos Organización (Externos /Organización (Externos /Internos)Internos) ActividadActividad Análisis (Trascendencia /Análisis (Trascendencia /Probabilidad / Control)Probabilidad / Control)Manejo de CambiosManejo de Cambios(Reorganizaciones/Políticas /(Reorganizaciones/Políticas /Sistemas y Procedimientos)Sistemas y Procedimientos)COSO - EVALUACIÓN DE RIESGOSCOSO - EVALUACIÓN DE RIESGOS
  25. 25. 2525Actividades de controlActividades de controlsobre:sobre: Las operacionesLas operaciones La informaciónLa informaciónfinancierafinanciera El acatamientoEl acatamientoTipos de Control:Tipos de Control: Preventivos /Preventivos /CorrectivosCorrectivos Manuales /Manuales /AutomatizadosAutomatizados GerencialesGerencialesCOSO - ACTIVIDADES DE CONTROLCONTROL
  26. 26. 2626Sistemas de Información :Sistemas de Información : Apoyo ActividadesApoyo ActividadesEstratégicasEstratégicas Integración con lasIntegración con lasOperacionesOperaciones CalidadCalidadComunicación :Comunicación : Interna / ExternaInterna / Externa MediosMediosCOSO - INFORMACIÓN Y COMUNICACIÓN
  27. 27. 2727Supervisión ConcurrenteSupervisión ConcurrenteEvaluaciones IndependientesEvaluaciones Independientes Alcance y frecuenciaAlcance y frecuencia Quiénes evalúanQuiénes evalúan Proceso de evaluaciónProceso de evaluación Metodología /Metodología /documentacióndocumentación Plan de acciónPlan de acciónReportes de DeficienciasReportes de DeficienciasCOSO - SUPERVISIÓN Y SEGUIMIENTO
  28. 28. 2828COSO -COSO - RESPONSABILIDADES SOBRE EL CONTROLRESPONSABILIDADES SOBRE EL CONTROL Consejo de Administración.-Consejo de Administración.- Es la instanciaEs la instanciaresponsable de establecer guía, supervisión general yresponsable de establecer guía, supervisión general ygobernabilidad a la organizacióngobernabilidad a la organización Gerencia.-Gerencia.- El Director General es el último responsableEl Director General es el último responsabley asume la propiedad del sistema de controly asume la propiedad del sistema de control Auditores Internos.-Auditores Internos.- Evalúa la efectividad del sistemaEvalúa la efectividad del sistemade controlde control Personal.-Personal.- es responsable todo el personal dependiendoes responsable todo el personal dependiendode su nivel y ubicación funcionalde su nivel y ubicación funcional
  29. 29. 2929COSO - TIPOS DE CONTROLCOSO - TIPOS DE CONTROL- Preventivos• Concurrentes (sobrela marcha)- Detectivos• Posteriores- De actividades(repetitivas)- De resultados(actividades creativas)- De recursos- De insumos- De acceso- De investigación y desarrollo- De proyectos- De operaciones- De procesos - De salidas- De seguridad (resguardo)
  30. 30. MODELO CADBURYMODELO CADBURYCP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera SmithDiciembre, 2007Diciembre, 2007
  31. 31. 3131MODELO CADBURYMODELO CADBURYAdopta una interpretación amplia del control.Adopta una interpretación amplia del control.Mayores especificaciones en la definición deMayores especificaciones en la definición desu enfoque sobre el sistema de control en susu enfoque sobre el sistema de control en suconjunto-financiero y de cualquier tipoconjunto-financiero y de cualquier tipo..• Desarrollado por el llamado Comité Cadbury(UK Cadbury Committee).
  32. 32. 3232• Objetivos orientados a proporcionar unarazonable seguridad de:a) Efectividad y eficiencia de lasoperaciones.b) Confiabilidad de la información y reportesfinancieros.c) Cumplimiento con leyes y reglamentos• Los elementos clave de este modelo son enesencia similares al modelo COSO, salvo laconsideración de los sistemas de informaciónintegrados en los otros componentes y unmayor énfasis respecto a riesgos.• Limitación en la responsabilidad de losreportes de control a la confiabilidad de losfinancierosMODELO CADBURY
  33. 33. MODELO COCOMODELO COCOCP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera SmithDiciembre, 2007Diciembre, 2007
  34. 34. 3434CONCEPTO DE CONTROL INTERNOCONCEPTO DE CONTROL INTERNOEfectividad y eficiencia de las operaciones.Efectividad y eficiencia de las operaciones.Confiabilidad de los reportes internos o externos.Confiabilidad de los reportes internos o externos.Cumplimiento con las leyes y reglamentosCumplimiento con las leyes y reglamentosaplicables, así como con las políticas internas.aplicables, así como con las políticas internas.MODELO COCO- Incluye aquellos elementos de una organización(recursos, sistemas, procesos, cultura, estructura ymetas) que tomadas en conjunto apoyan alpersonal en el logro de los objetivos de laorganización:
  35. 35. 3535Servicio al clienteServicio al clienteSalvaguarda y uso eficiente de los recursosSalvaguarda y uso eficiente de los recursosObtención de beneficiosObtención de beneficiosCumplimiento de obligaciones socialesCumplimiento de obligaciones socialesSeguridad de que los riesgos son debidamenteSeguridad de que los riesgos son debidamenteidentificados y administradosidentificados y administradosOBJETIVOS ORGANIZACIONALES (efectividadOBJETIVOS ORGANIZACIONALES (efectividady eficiencia de las operaciones)y eficiencia de las operaciones)MODELO COCO
  36. 36. 3636Mantenimiento de registros contablesMantenimiento de registros contablesadecuados.adecuados.Confiabilidad de la información utilizada.Confiabilidad de la información utilizada.Información publicada para tercerosInformación publicada para tercerosinteresadosinteresados..Confiabilidad de los reportes internos yConfiabilidad de los reportes internos yexternosexternosMODELO COCO
  37. 37. 3737Cumplimiento con la normatividad yCumplimiento con la normatividad ypolíticas internas aplicablespolíticas internas aplicablesAseguramiento de que las actividades de laAseguramiento de que las actividades de laorganización se conducen en total concordanciaorganización se conducen en total concordanciacon el marco legal y con las políticas internas.con el marco legal y con las políticas internas.MODELO COCO
  38. 38. 3838MODELO COCOMODELO COCONaturaleza del control• El control debe ser realizado por el personal de todala organización, quien será responsable del diseño,establecimiento, supervisión y mantenimiento delcontrol.• El personal responsable de lograr determinadosobjetivos también deberá evaluar la efectividad delcontrol dentro de su esfera de competencia y dereportar tal evaluación ante quien él es responsable.
  39. 39. 3939Naturaleza del controlNaturaleza del controlEl costo del control deberá ser proporcional a losEl costo del control deberá ser proporcional a losbeneficios esperados.beneficios esperados.El control requiere de un equilibrio entreEl control requiere de un equilibrio entreautonomía e integración y entre consistencia yautonomía e integración y entre consistencia yadaptación al cambio.adaptación al cambio.MODELO COCO
  40. 40. 4040Ciclo del entendimiento básicoCiclo del entendimiento básicoPropósitoPropósitoCompromisoCompromisoAptitudAptitudAcciónAcciónEvaluación (Auto) y AprendizajeEvaluación (Auto) y AprendizajeMODELO COCOCriterios de control• Los criterios de control son la base para entender elcontrol de una organización.• Están planteados como metas a cumplirpermanentemente.
  41. 41. 4141A.- PROPÓSITO Sentido de Dirección a laA.- PROPÓSITO Sentido de Dirección a laOrganizaciónOrganizaciónA1.-A1.- LosLos objetivos deben ser establecidos yobjetivos deben ser establecidos ycomunicados.comunicados.A2.-A2.- Los riesgos internos y externos significativosLos riesgos internos y externos significativosdeben ser identificados y evaluados.deben ser identificados y evaluados.A3.-A3.- Las políticas para apoyar el logro de losLas políticas para apoyar el logro de losobjetivos de una organización y el manejo deobjetivos de una organización y el manejo desus riesgos, deben ser establecidas,sus riesgos, deben ser establecidas,comunicadas y practicadas, de manera que elcomunicadas y practicadas, de manera que elpersonal entienda lo que depersonal entienda lo que de élél se esperase espera..MODELO COCO
  42. 42. 4242A4.-A4.- Deben establecerse y comunicarseDeben establecerse y comunicarseplanes paraplanes para guiar los esfuerzosguiar los esfuerzos paraparalograr los objetivos de lalograr los objetivos de laorganización.organización.A5.-A5.- Los objetivos y los planes relativosLos objetivos y los planes relativosdeben incluirdeben incluir metas, parámetros emetas, parámetros eindicadores de medición delindicadores de medición deldesempeñodesempeño..A.- PROPÓSITOMODELO COCO
  43. 43. 4343B.-B.- COMPROMISO:COMPROMISO: SSentido de identidad yentido de identidad yvalores de la organizaciónvalores de la organización ..B1.B1. Deben establecerse, comunicarse y ponerseDeben establecerse, comunicarse y ponerseen práctica valores éticos compartidos,en práctica valores éticos compartidos,incluyendo la integridad.incluyendo la integridad.B2. Las políticas y prácticas sobre recursosB2. Las políticas y prácticas sobre recursoshumanos deben ser consistentes con loshumanos deben ser consistentes con losvalores éticos de la organización y con elvalores éticos de la organización y con ellogro de sus objetivos.logro de sus objetivos.MODELO COCO
  44. 44. 4444B3. La autoridad, la responsabilidad y laobligación de rendir cuentas deben serclaramente definidas y consistentes con losobjetivos de la organización, de tal forma setomen las decisiones y acciones por elpersonal apropiado.B4. Debe fomentarse una atmósfera de mutuaconfianza para apoyar el flujo de lainformación entre el personal y para suefectivo desempeño hacia el logro de losobjetivos.B.- COMPROMISOMODELO COCO
  45. 45. 4545MODELO COCOMODELO COCOC. APTITUD: sentido de competencia oaptitud de la organizaciónC1. El personal debe tener los conocimientos,habilidades y herramientas para alcanzar losobjetivos de la organización.C2. El proceso de comunicación debe apoyar losvalores de la organización y el logro de susobjetivos.C3. Debe ser identificada y comunicada informaciónsuficiente y relevante de manera oportuna, paraposibilitar al personal a desempeñar lasresponsabiIidades asignadas.
  46. 46. 4646MODELO COCOC. APTITUDC4. Deben coordinarse las decisiones y acciones delas diferentes partes de la organización.C5. Las actividades de control deben diseñarse comoparte integral de la organización, tomando enconsideración sus objetivos, los riesgos para sucumplimiento y la interrelación de los elementosde control.
  47. 47. 4747- Evaluación y aprendizaje. Sentido deEvaluación y aprendizaje. Sentido deevolución de la organización:evolución de la organización:D1.- El ambiente externo e interno debe serD1.- El ambiente externo e interno debe ser“monitoreado” para obtener información que“monitoreado” para obtener información quepueda señalar la necesidad de revaluar lospueda señalar la necesidad de revaluar losobjetivos de la organización o el control.objetivos de la organización o el control.D2.-D2.- El desempeño debe ser evaluado o medido contraEl desempeño debe ser evaluado o medido contralas metas e indicadores en los planes u objetivoslas metas e indicadores en los planes u objetivosde la organización.de la organización.D3.-D3.- Las premisas consideradas para los objetivos deLas premisas consideradas para los objetivos dela organización deben cuestionarsela organización deben cuestionarseperiódicamente.periódicamente.MODELO COCO
  48. 48. 4848D4.- Las necesidades de información y los sistemasde información relativos deben reevaluarse en lamedida que cambian los objetivos o al identificarsedeficiencias en la información reportada.D5.- Debe establecerse y ejecutarse un seguimientode los procedimientos, para asegurar que se den loscambios requeridos.- Evaluación y AprendizajeMODELO COCO
  49. 49. 4949COBITCOBITCP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera SmithDiciembre, 2007Diciembre, 2007
  50. 50. 5050Cobit - DefiniciónCobit - DefiniciónCControlontrolOBOBjectivesjectivesforfor IInformationnformationaand Relatednd Related TTechnologyechnology(Objetivos de Control para Tecnología de(Objetivos de Control para Tecnología deInformación y Tecnologías relacionadas)Información y Tecnologías relacionadas)Fuente: Control Objectives for Information and RelatedFuente: Control Objectives for Information and RelatedTechnology (CObIT) y presentación de FernandoTechnology (CObIT) y presentación de FernandoIzquierdo Duarte 2002Izquierdo Duarte 2002
  51. 51. 5151Cobit - DefiniciónCobit - Definición¿Qué es?¿Qué es?Es un marco de control interno de TI.Es un marco de control interno de TI.Parte de la premisa de que la TIParte de la premisa de que la TIrequiere proporcionar informaciónrequiere proporcionar informaciónpara lograr los objetivos de lapara lograr los objetivos de laorganización.organización.Promueve el enfoque y la propiedadPromueve el enfoque y la propiedadde los procesos.de los procesos.
  52. 52. 5252Cobit - DefiniciónCobit - DefiniciónApoya a la organización al proveer un marco queApoya a la organización al proveer un marco queasegura que:asegura que:La Tecnología de Información (TI) esté alineada con laLa Tecnología de Información (TI) esté alineada con lamisión y visión.misión y visión.LA TI capacite y maximice los beneficios.LA TI capacite y maximice los beneficios.Los recursos de TI sean usados responsablemente.Los recursos de TI sean usados responsablemente.Los riesgos de TI sean manejados apropiadamente.Los riesgos de TI sean manejados apropiadamente.
  53. 53. 5353Cobit - UsuariosCobit - UsuariosGerenciaGerencia: Apoyar decisiones de inversión: Apoyar decisiones de inversiónen TI y control sobre su rendimiento, asíen TI y control sobre su rendimiento, asícomo analizar el costo-beneficio del control.como analizar el costo-beneficio del control.Usuarios FinalesUsuarios Finales: Garantizar seguridad y: Garantizar seguridad ycontrol de los productos que adquierencontrol de los productos que adquiereninterna y externamenteinterna y externamente
  54. 54. 5454Cobit - UsuariosCobit - UsuariosAuditoresAuditores :: Apoyar sus opiniones sobreApoyar sus opiniones sobrelos controles de los proyectos de TI , sulos controles de los proyectos de TI , suimpacto en la organización y el controlimpacto en la organización y el controlmínimo requerido.mínimo requerido.Responsables de TIResponsables de TI:: Identificar losIdentificar loscontroles que requieren.controles que requieren.
  55. 55. 5555Cobit - PrincipiosCobit - PrincipiosREQUERIMIENTOSDE INFORMACIÓNDEL NEGOCIORECURSOSDE TIPROCESOSDE TI
  56. 56. 5656INFORMACIÓNEfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidadEVENTOSObjetivos denegocioOportunidadesde negocioRequerimientosexternosRegulaciónRiesgosDatosAplicacionesTecnologíaInstalacionesRecurso HumanoCobit - EstructuraCobit - Estructura
  57. 57. 5757Procesos delNegocioRecursos de TIDatosAplicacionesTecnologíaInstalacionesRecurso HumanoInformaciónLo que ustedObtieneLo que UstedNecesitaCriteriosEfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidadConcuerdanCobit - EstructuraCobit - Estructura
  58. 58. 5858ProcesosTIDominiosProcesosActividadesCUBO de CobiTRelación entre loscomponentesDatosApplicacionesTecnologíaInstalacionesRecursoHumanoRecursosdeTICalidadConfiabilidadSeguridadCriterios de la Información (7)Cobit - EstructuraCobit - Estructura
  59. 59. 5959
  60. 60. 6060CobiTObjetivos delNegocioRecursos de TIRequerimientosde InformaciónSeguimientoSeguimientoPlaneación yPlaneación yOrganizaciónOrganizaciónAdquisición eAdquisición eImplantaciónImplantaciónServicios y SoporteServicios y Soporte
  61. 61. 6161Cobit -Cobit - RequerimientosRequerimientosde la Información del Negociode la Información del NegocioRequerimientosde CalidadRequerimientosFinancieros(COSO)Requerimientosde SeguridadEfectividad y eficiencia operacional.Confiabilidad de los reportes financieros.Cumplimiento de leyes y regulaciones.Calidad.Costo.Oportunidad.Confidencialidad.Integridad.Disponibilidad.CobiT combina los principios contenidos por modelos existentesy conocidos, como COSO, SAC y SAS
  62. 62. 6262EfectividadEfectividad: Información relevante y pertinente,: Información relevante y pertinente,proporcionada en forma oportuna, correcta, consistente yproporcionada en forma oportuna, correcta, consistente yutilizableutilizableEficienciaEficiencia: Empleo óptimo de los recursos.: Empleo óptimo de los recursos.ConfidencialidadConfidencialidad: Protección de la información sensitiva: Protección de la información sensitivacontra divulgación no autorizadacontra divulgación no autorizadaIntegridadIntegridad: Información exacta y completa, así como válida: Información exacta y completa, así como válidade acuerdo con las expectativas de la organización.de acuerdo con las expectativas de la organización.Cobit - Requerimientos de laCobit - Requerimientos de laInformación del NegocioInformación del Negocio
  63. 63. 6363DisponibilidadDisponibilidad: accesibilidad a la: accesibilidad a lainformación y la salvaguarda de losinformación y la salvaguarda de losrecursos y sus capacidades.recursos y sus capacidades.CumplimientoCumplimiento: Leyes, regulaciones y: Leyes, regulaciones ycompromisos contractuales.compromisos contractuales.ConfiabilidadConfiabilidad: Apropiada para la toma de: Apropiada para la toma dedecisiones adecuadas y el cumplimientodecisiones adecuadas y el cumplimientonormativo.normativo.Cobit -Cobit - Requerimientos de laRequerimientos de laInformación del NegocioInformación del Negocio
  64. 64. 6464Recursos de TIRecursos de TIDatosDatos: Todos los objetos de información interna y externa,: Todos los objetos de información interna y externa,estructurada o no, gráficas, sonidos, etc.estructurada o no, gráficas, sonidos, etc.AplicacionesAplicaciones: Sistemas de información, que integran: Sistemas de información, que integranprocedimientos manuales y sistematizados.procedimientos manuales y sistematizados.TecnologíaTecnología: Hardware y software básico, sistemas operativos,: Hardware y software básico, sistemas operativos,de administración de bases de datos, de redes,de administración de bases de datos, de redes,telecomunicaciones, multimedia, etc.telecomunicaciones, multimedia, etc.InstalacionesInstalaciones: Recursos necesarios para alojar y dar soporte a: Recursos necesarios para alojar y dar soporte alos sistemas.los sistemas.Recurso HumanoRecurso Humano :Habilidad, actitud y productividad del:Habilidad, actitud y productividad delpersonal.personal.
  65. 65. 6565Procesos de TIProcesos de TI- Los Tres Niveles- Los Tres NivelesDominiosAgrupación natural de procesos,normalmente corresponden a undominio o una responsabilidadorganizacionalProcesosConjuntos o series de actividadesunidas con delimitación o cortes decontrol.Actividadeso tareasAcciones requeridas para lograr unresultado medible. Las ActividadesTienen un ciclo de vida mientrasque las tareas son discretas.434318
  66. 66. 6666Planeación y OrganizaciónPlaneación y OrganizaciónAdquisición e ImplantaciónAdquisición e ImplantaciónPrestación de Servicios y SoportePrestación de Servicios y SoporteSeguimientoSeguimientoCOBIT – DOMINIOS: 4COBIT – DOMINIOS: 4
  67. 67. 6767COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOSAdquisición eImplantaciónIdentificación de soluciones automatizadasAdquisición y mantenimiento del software aplicativoAdquisición y mantenimiento de la infraestructuratecnológicaDesarrollo y mantenimiento de procedimientosInstalación y aceptación de los sistemasAdministración de los cambiosPlaneación yOrganizaciónDefinición de un plan estratégicoDefinición de la arquitectura de informaciónDeterminación de la dirección tecnológicaDefinición de organización y relacionesAdministración de la inversiónComunicación de las políticasAdministración de los recursos humanosAsegurar el cumplimiento con los requerimientosExternosEvaluación de riesgosAdministración de proyectosAdministración de la calidad
  68. 68. 6868COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOSServicios ySoporteDefinición de los niveles de serviciosAdministración de los servicios de tercerosAdministración de la capacidad y rendimientosAseguramiento del servicio continuoAseguramiento de la seguridad de los sistemasEntrenamiento a los usuariosIdentificación y asignación de los costosAsistencia y soporte a los clientesAdministración de la configuraciónAdministración de los problemasAdministración de los datosAdministración de las instalacionesAdministración de la operaciónSeguimientoSeguimiento de los procesosEvaluación del control InternoContratación de un aseguramiento independiente
  69. 69. 6969COBIT COMOCOBIT COMO PRODUCTOPRODUCTOResumen EjecutivoResumen EjecutivoMarco de Referencia (Framework)Marco de Referencia (Framework)Objetivos de ControlObjetivos de ControlGuías de AuditoríaGuías de AuditoríaGuías de AdministraciónGuías de AdministraciónHerramientas de ImplementaciónHerramientas de ImplementaciónCD-ROMCD-ROM2a Edición disponible en español2a Edición disponible en español
  70. 70. 7070COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCOMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCobiT 1996/1998COSO 1992SAC 1991/1994SAS 55 - 1988Definición deControl InternoDefinición de Objetivosde Control de T ISAS 78 - 1995Conceptos deControl InternoConceptos deControl InternoenmiendaContribucionesal concepto deControl Interno
  71. 71. 7171Comparación de Conceptos de ControlCOBIT SAC COSO SASs 55/78Dirigido a: Administración, Usuarios, Auditores deSistemas Responsables de TIAuditores Internos Administración Auditores ExternosEl Control Interno es VistocomoConjunto de procesos incluyendopolíticas, procedimientos, prácticas yestructura OrganizacionalConjunto de procesos,subsistemas y personasProcesos ProcesosLos ObjetivosOrganizacionales deControl InternoEfectividad y Eficiencia de lasoperacionesConfidencialidad, Integridad ydisponibilidad de la informaciónConfiabilidad en los reportesfinancierosCumplimiento con leyes y normasEfectividad y Eficiencia delas operacionesConfiabilidad en los reportesfinancierosCumplimiento con leyes ynormasEfectividad y Eficiencia de lasoperacionesConfiabilidad en los reportesfinancierosCumplimiento con leyes ynormasEfectividad y Eficiencia de lasoperacionesConfiabilidad en los reportesfinancierosCumplimiento con leyes ynormasComponentes o Dominios Dominios:Planeación y OrganizaciónAdquisición e implantaciónServicio y SoporteSeguimientoComponentes:Ambiente de ControlSistemas Manuales yAutomatizados.Procedimientos de ControlComponentes:Ambiente de ControlEvaluación de RiesgoActividades de ControlInformación y ComunicaciónSeguimientoComponentes:Ambiente de ControlEvaluación de RiesgoActividades de ControlInformación y ComunicaciónSeguimientoEnfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados FinancierosEvaluación de laEfectividad del Control I.Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempoResponsable por el ControlInternoAdministración Administración Administración AdministraciónTamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
  72. 72. 7272GUÍA TURNBULLGUÍA TURNBULLCP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera SmithDiciembre, 2007Diciembre, 2007
  73. 73. ¿ QUÉ ES LA GUÍA¿ QUÉ ES LA GUÍATURNBULL?TURNBULL?Es la adopción de un enfoqueEs la adopción de un enfoquebasado en riesgos parabasado en riesgos paraestablecer un sistema de controlestablecer un sistema de controlinterno y revisar su efectividadinterno y revisar su efectividad
  74. 74. 7474CONTRIBUCIONES DE AUDITORÍA INTERNACONTRIBUCIONES DE AUDITORÍA INTERNAAseguramiento dela adecuación y efectividadde la Administración de Riesgosy del sistema de controlApoyo para mejorarel proceso deIdentificación yAdministración deriesgosPromoción de laConcientización deriesgos y controlesy los programas deautoevaluación
  75. 75. Desplazamientooportuno a otrasáreas de negociosMayorprobabilidadde lograrobjetivosMayorcobertura a largoplazoMejores basespara establecerestrategiasDisminución desorpresasdesagradablesMenores costosde capitalMayorprobabilidad delograr cambiosEnfoque internoen hacer bienlas cosasVentajascompetitivasReducción detiempo paraemergenciasBENEFICIOSPOTENCIALES
  76. 76. 7676ENFOQUE AL LOGRO DEOBJETIVOS A TRAVÉS DEUNA MEJOR ADMINISTRACIÓNDE RIESGOSIdentificación de cambiosInternos y externosy reconsideración ynegociación de objetivosCambios en comportamientoy enfoque en las basesde una buena administraciónde riesgos y controlRevisión de riesgosy controles anualesImplantación deacciones demejoraInformes sucintosFuentes deaseguramientoMonitoreo de aspectossignificativos decontrol internoMecanismos deadvertencia oportunosIdentificación defactores críticosde éxitoIdentificación ypriorización deriesgosDeterminación deriesgos significativosNegociación deestrategias de control yadministración de riesgosNegociación sobrerendición de cuentasConcientizaciónde los riesgoscríticosIMPLANTACIÓN DEL TURNBULL
  77. 77. 7777MANTENERSE SIMPLEY PROSPECTIVOEnfocarse en riesgoscríticos y sus controlesEnfocarse en riesgoscríticos y sus controlesReorientar elentrenamientohacia los riesgos críticosReorientar elentrenamientohacia los riesgos críticosElaborar un planapropiado ymonitorear su avanceElaborar un planapropiado ymonitorear su avanceEvitar expedientesvoluminososEvitar expedientesvoluminososAsignarresponsabilidadesen la administración deriesgosAsignarresponsabilidadesen la administración deriesgosEvitar duplicidadesEvitar duplicidadesMantener los informesal Consejo sucintos ysencillosMantener los informesal Consejo sucintos ysencillosAsegurar que los objetivosse jerarquicenAsegurar que los objetivosse jerarquicenSIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
  78. 78. 7878Asignación de responsabilidades para elaborar el plan individual o de equiposAceptación del plan por parte de los directoresConsideración del plan por el Consejo de AdministraciónReconsideración y afinación del plan por el ConsejoImplantación del plan de desarrollo y de la política de administracióde riesgosInvolucramiento de los distintos niveles de laorganizaciónImplantación de mecanismos apropiados parala información de avanceEnfoque a la mejora de negociosPASOS SUGERIDOS
  79. 79. 7979RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOSRESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS(EN INGLATERRA)(EN INGLATERRA)TIPOS DE RIESGO PROMEDIOFracaso en laadministración deproyectos mayoresMotivación y bajo desempeñodel personal7.056.676.326.306.00Fracaso de estrategiasFracaso en innovaciónMala reputación/administración - marcaFuente: Deloitte & Touche, 1990Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico
  80. 80. Enfasis en el cambiode comportamientoSencillezConcienciadel riesgoMecanismos deadvertencia oportunosy respuesta rápidaInformaciónconfiableConcientizaciónde los objetivosorganizacionalesAsesoría atodos los niveles dela compañíaAplicacióncontinuadeEstrategias decontrolADECUADAADMINISTRACIÓN DERIESGOS YCONTROLControles básicos
  81. 81. 8181PELIGROS POTENCIALESPELIGROS POTENCIALESFalta deMecanismosde AdvertenciaDemasiadosRiesgosidentificadosAbandonarloDemasiadotardeIncrementodeBurocraciaIgnorarControlesFinancierosbásicosSobrecargadel comitédeAuditoríaIncapacidadpara obteneraceptacióndel gerenteInapropiadaOrientaciónde riesgosEnfoqueInsuficienteenAdmón deRiesgosPeligrosPotenciales
  82. 82. 8282AUTOEVALUACIÓN DELAUTOEVALUACIÓN DELCONTROLCONTROLCP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera SmithDiciembre 2007Diciembre 2007
  83. 83. 8383AEC - DEFINICIÓNAEC - DEFINICIÓNProceso documentado en el que :Proceso documentado en el que : La administración o el equipo de trabajo se involucraLa administración o el equipo de trabajo se involucradirectamente en una función.directamente en una función. Se juzga la efectividad del proceso de controlSe juzga la efectividad del proceso de controlvigente.vigente. Se define si se asegura razonablemente el lograrSe define si se asegura razonablemente el lograralguno o todos los objetivos.alguno o todos los objetivos.El objetivo es proporcionar seguridad razonable de queEl objetivo es proporcionar seguridad razonable de quese alcanzarán los objetivos de la organizaciónse alcanzarán los objetivos de la organización ..
  84. 84. 8484AEC - OTROS NOMBRES• Autoevaluación de riesgo-control.• Evaluación dinámica delcontrol.• Co-evaluación del control.• Autoevaluaciónorganizacional.• Autoevaluación de proceso.• Autoevaluación de riesgos.• Autoevaluación de riesgos dela organización.AEC - DEFINICIÓN
  85. 85. 8585AEC - ENTRENAMIENTO• Para desarrollar la AEC se requierecapacitación:. En metodología.. En modelos de control. En evaluación de riesgos. En talleres de autoevaluación de control. En redacción.. En tecnología.
  86. 86. 8686AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN2/2Mejora del control y sus riesgos,BENEFICIOS AL PROCESO OPERATIVO Eficiencia de Procesos - Satisfacción del cliente - Mejorade la calidad - Examen de los procesosorganizacionales en generalA E CDesarrollo de laResponsabilidadInstrumentacióndel ControlDiseño de MejoresControlesDelegación deFacultadesCPC y CIA JUAN MANUEL PORTAL M.
  87. 87. 8787- Generación de ideas y planes de acciónimplantados más allá del alcance original.- Facilidad de implantación de acciones demejora.- Promoción de la unidad organizacionalmediante la identificación y solución deproblemas.- REALZA EL PAPEL DE AUDITORÍA INTERNA.• ADMINISTRACIÓN• PARTICIPANTES• AUDITORÍA INTERNAAEC - BENEFICIOS PARA LA ADMINISTRACIÓN- Mejora de la moral del personal.- Eliminación de atmósferas de desconfianza.
  88. 88. 8888AEC - FASES DE LA AUTOEVALUACIÓNMonitoreo yReporte deResultadosConducciónde ReunionesCapacitaciónPlaneaciónInvolucramientode la altaGerencia
  89. 89. 8989AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIAAdopción de la AEC• Conocimiento de la AEC en los nivelesadecuados• Entendimiento de la complejidad, costos,beneficios y limitaciones de la AEC• Aceptación, involucramiento y patrocinio de laalta gerencia en la AEC
  90. 90. 9090- Cultura que apoye la AEC- Actitud gerencial orientada al facultamiento y alcontrol.- Entorno libre de riesgos (no represalias)- Reconocimiento de la complejidad de laimplantación de la AEC.AEC – INVOLUCRAMIENTO DE…….Requisitos de la Organización
  91. 91. 9191Requisitos del Facilitador- Ser innovador y desear tomar riesgos- Saber escuchar, comunicarse y aprender de lagente- Saber qué alcanzar y qué herramientas senecesitan- Conocer la organización, su entorno ynormatividad- Entender la cultura organizacionalAEC – INVOLUCRAMIENTO DE…….
  92. 92. 9292AEC - INVOLUCRAMIENTO DE ………..- Asegurarse que la administración sabe que esresponsable de los controles- Explicar el proceso de AEC- Proporcionar información y conocimiento al taller- Utilizar enfoques y herramientas específicas- Desarrollar la dinámica del equipo- Asegurar la logística del taller.- Obtener acciones de mejora del taller.Responsabilidades del Facilitador
  93. 93. 9393AEC – INVOLUCRAMIENTO DE…….Preparación del tallerPreparación del taller::Entrevistar a la Gerencia y al personal operativoEntrevistar a la Gerencia y al personal operativoEvaluar la estructura organizacionalEvaluar la estructura organizacionalAprender sobre la organizaciónAprender sobre la organizaciónSeleccionar los objetivos de la organizaciónSeleccionar los objetivos de la organizaciónSeleccionar los participantes al TACSeleccionar los participantes al TACPreparar la logística de la reuniónPreparar la logística de la reuniónEnviar información previa a la reuniónEnviar información previa a la reunión..Responsabilidades del Facilitador
  94. 94. 9494Preparación del taller:- Facilitar la identificación del proceso yobstáculos- Vigilar la logística- Obtener acciones de mejora del TACAGREGAR VALOR A LA ORGANIZACIÓNAEC – INVOLUCRAMIENTO DE…….Responsabilidades del Facilitador
  95. 95. 9595AEC – INVOLUCRAMIENTO DE…….1. Limitar el alcance a asuntos de alta prioridad2. Emplear grupos de trabajo interdisciplinarios ycon personal comprometido3. Proporcionar tiempo suficiente para lapreparación del taller.4. Definir los objetivos del Taller de Autoevaluacióndel Control (TAC)5. Emitir pronunciamientos y criterios al inicio delprocesoEstrategias
  96. 96. 96966. Mantener visible el apoyo de la alta gerencia7. Vender el concepto constantemente8. Proporcionar retroalimentación a losparticipantes sobre los resultados9. Implantar la AEC mediante prueba piloto, lomismo que las acciones de mejoraEstrategiasAEC – INVOLUCRAMIENTO DE …….
  97. 97. 9797AEC - P L A N E A C I Ó N1. Seleccionar el (los) objetivo (s) a analizar en el TAC2. Seleccionar al facilitador y al relator3. Definir la estructura del TAC: horizontal, vertical omixta.4. Seleccionar los participantes del TAC5. Elaborar el programa de actividades conresponsables y tiempos6. Planear reportes de avance y conclusión
  98. 98. 9898A E C - C A P A C I T A C I O NCapacitar en Control y Autocontrol:• Modelos de Control (COSO, COCO...)• Evaluación de riesgos• Autoevaluación en control y su metodología• Herramientas y tecnología especializada parasu uso en el taller
  99. 99. 9999AEC - CONDUCCIÓN DE REUNIONES1. Preparar la logística de las reuniones2. Enviar información previa a las reuniones3. Presentar los objetivos del TAC• Definición del producto final• Metodología del taller• Herramientas a utilizar• Método de registro y votación• Beneficios tangibles4. Explicar el papel de los participantes y aclararexpectativas.
  100. 100. 100100AEC - CONDUCCIÓN DE REUNIONES5. Presentar la agenda de la reunión6. Conducir la reunión7. Estructurar e inventariar el resultado de lasevaluaciones8. Levantar minuta de los acuerdos
  101. 101. 101101AEC - CONDUCCIÓN DE REUNIONESAEC - CONDUCCIÓN DE REUNIONESEscucheEscucheNo interrumpaNo interrumpaEstablezca un proceso de votoEstablezca un proceso de votoAsegúrese que todos apoyen las reglasAsegúrese que todos apoyen las reglasTodos deben ser facilitadores en algún momentoTodos deben ser facilitadores en algún momentoLas ideas de otros fortalecen la decisión del grupoLas ideas de otros fortalecen la decisión del grupoLogre consensoLogre consensoREGLAS PARA LA TOMA DE DECISIONES DE GRUPOREGLAS PARA LA TOMA DE DECISIONES DE GRUPO
  102. 102. 102102AEC – CONDUCCIÓN DE REUNIONES- Definición y evaluación de objetivos, riesgos ycontroles.- Determinación de acciones de mejora.- Definición y realización de las acciones, tiempos,responsables y recursos para la implantación delas mejoras.- Establecimiento de puntos de control para laevaluación de los avances y la comunicación delas desviacionesDESARROLLO DE PLANES DE ACCIÓN
  103. 103. 103103AEC - MONITOREO Y REPORTE DERESULTADOS- Establecer sistema de seguimiento y evaluación delos planes de acción- Implantar acciones correctivas y formular nuevosplanes- Establecer y formular reportes de avance de lostrabajos del taller- Evaluar los costos y beneficios de las mejorasimplantadas- Impulsar la mejora continua
  104. 104. 104104AEC - PROBLEMÁTICA- Arranque costoso- Curva de aprendizaje pronunciada- Habilidades poco aprovechadas- Poco o mal entendimiento de los talleres- Resultados iniciales poco impactantes- Costos de honorarios de profesionales,entrenamiento, equipo y software- Inversión fuerte en capacitación- Esfuerzo serio de venta interna
  105. 105. 105105AEC – PROBLEMÁTICA- Represalias por comentarios hechos en la sesión de laAEC.- Acción subsecuente con información confidencial.Obstáculos Para Su Adopción• Impedimentos derivados de la técnica.• Salvaguarda.- Garantía de no represalias.- Garantía sobre la confidencialidad.- Tecnología de voto electrónico.
  106. 106. 106106AEC – PROBLEMÁTICA- Inflexibilidad de quienes llevan a cabo la AEC- La AEC trae cambios que a la gente no le gustan.- El compromiso de tiempo puede ser visto comoagobiante• Impedimentos derivados de laresistencia.• Salvaguardas.- Selección de personal adecuado.- Soporte y compromiso de alto nivel para laAEC- Enfoque en los beneficios a alcanzar.Obstáculos Para Su Adopción
  107. 107. 107107- La cultura no valora la innovación y la colaboración.- Organizaciones en medio de una reducción de personal.• Amenazas derivadas de la cultura.• Salvaguardas.- Evitar utilizar la AEC en estas situaciones.AEC – PROBLEMÁTICAOBSTÁCULOS PARA SU ADOPCIÓN
  108. 108. 108108- El desarrollo de la AEC no es adecuado en casode:+ Fraude.+ Litigio.+ Paticipantes con objetivos opuestos.+ Funciones con únicamente una o dospersonas.+ Terceros vendedores o proveedores deservicios.• Amenazas derivadas de la adecuación.• Salvaguardas.- Evitar utilizar la AEC en estas situaciones.AEC – PROBLEMÁTICAOBSTÁCULOS PARA SU ADOPCIÓN
  109. 109. 109109- La cultura no valora la innovación y lacolaboración.- Organizaciones en medio de una reducciónde personal.• Amenazas derivadas de la cultura.• Salvaguardas.- Evitar utilizar la AEC con estas situaciones.AEC – PROBLEMÁTICAOBSTÁCULOS PARA SU ADOPCIÓN
  110. 110. 110110ÉXITO PARA SU IMPLANTACIÓNÉXITO PARA SU IMPLANTACIÓNI.I. Factores críticos de éxitoFactores críticos de éxitoII.II. Pasos para acelerar suPasos para acelerar suimplantaciónimplantaciónIII.III. Recomendaciones para suRecomendaciones para suimplantaciónimplantación
  111. 111. 1111111)1) Determinación de objetivos clarosDeterminación de objetivos claros2)2) Patrocinio de la alta gerenciaPatrocinio de la alta gerencia3)3) Apoyo de la gerenciaApoyo de la gerencia4)4) Entendimiento de por qué participa cada uno en laEntendimiento de por qué participa cada uno en lasesión de Autoevaluaciónsesión de Autoevaluación5)5) Señalamiento de expectativasSeñalamiento de expectativasI. FACTORES CRÍTICOS DE ÉXITOI. FACTORES CRÍTICOS DE ÉXITO
  112. 112. 1121126)6) Cultura que apoya la AECCultura que apoya la AEC7)7) Actitud gerencial orientada al facultamiento y elActitud gerencial orientada al facultamiento y elcontrolcontrol8)8) Beneficios tangiblesBeneficios tangibles9)9) Definición del producto finalDefinición del producto final10)10) Entorno libre de riesgos (no represalias)Entorno libre de riesgos (no represalias)I. FACTORES CRÍTICOS DE ÉXITO
  113. 113. 113113II. PASOS PARA ACELERAR SU IMPLANTACIÓNII. PASOS PARA ACELERAR SU IMPLANTACIÓN1)1) Reconocer la complejidad de su implantaciónReconocer la complejidad de su implantación2)2) Conducir sesiones pilotoConducir sesiones piloto3)3) Ser realistas acerca de la cobertura deSer realistas acerca de la cobertura deauditoríaauditoría4)4) Dar los pronunciamientos y criterios al inicioDar los pronunciamientos y criterios al iniciodel procesodel proceso5)5) Permitir suficiente tiempo para su preparaciónPermitir suficiente tiempo para su preparación6)6) Limitar el alcance a los temas de alta prioridadLimitar el alcance a los temas de alta prioridad
  114. 114. 114114III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SUIMPLANTACIÓNIMPLANTACIÓN1)1) Conocer cuál es el propósito y quéConocer cuál es el propósito y quéherramientas se necesitanherramientas se necesitan2)2) Entender la cultura organizacionalEntender la cultura organizacional3)3) Ser innovador y dispuesto a tomar riesgosSer innovador y dispuesto a tomar riesgos4)4) Particularizar el marco estructurado de controlParticularizar el marco estructurado de control5)5) Agregar valor a la organizaciónAgregar valor a la organización6)6) Comentar con los demás y aprender de ellosComentar con los demás y aprender de ellos7)7) Rotar facilitadores que procedan de otrasRotar facilitadores que procedan de otrasáreasáreas
  115. 115. 115115III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SUIMPLANTACIÓNIMPLANTACIÓN8)8) Emplear grupos de trabajo interdisciplinariosEmplear grupos de trabajo interdisciplinarios9)9) Mantener el proceso sencilloMantener el proceso sencillo10)10) Reconocer que las habilidades de facilitaciónReconocer que las habilidades de facilitaciónson tan importantes como las pruebas deson tan importantes como las pruebas decumplimiento o las habilidades tradicionalescumplimiento o las habilidades tradicionalesde auditoríade auditoría11)11) Mantener visible el apoyo de la gerenciaMantener visible el apoyo de la gerencia12)12) Vender el concepto cada díaVender el concepto cada día
  116. 116. 116116AEC - ERRORES EN SU IMPLANTACIÓN1) Fallar en explicar el por qué de la AEC.2) Pilotear la AEC en un área problema.3) Escoger los objetivos equivocados.4) Sobre-analizar la situación.
  117. 117. 117117AEC - POR QUÉ FUNCIONA• Los empleados sienten que tienen un propósito, quesus contribuciones son valiosas y que estáninvolucrados en la toma de decisiones.• Se incrementa la conciencia entre objetivos, riesgos ycontroles.• Los equipos (grupos de AEC) funcionan mejor que losindividuos.• La AEC promueve un entendimiento común deobjetivos y metas.• Los talleres de AEC eliminan las barreras decomunicación.

×