You are on page 1of 117

MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith


Diciembre 2007
MODELOS DE CONTROL
CONTENIDO

PANORÁMICA DE MODELOS DE CONTROL


COSO
CADBURY
COCO
COBIT
TURNBULL
AEC

2
PANORÁMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para


clasificar los modelos de control según Philip L.
Campbell ( An Introduction to Information
Control Models):

Objetivos de Control
Principios
Madurez de la Capacidad

3
PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control

Se basan en el concepto de “objetivo de control”:

Control: Las políticas, procedimientos, prácticas y


estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarán y que los eventos no
deseados se evitarán o detectarán y corregirán.

Objetivo de control: una declaración de que el resultado


o propósito deseado se alcanzará al implantar
mecanismos de control en una actividad particular de
tecnología de información
4
PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Principios

Se basan en la noción de principios como rendición de cuentas,


concientización, equidad y ética.

Comunidad de Madurez de la Capacidad

Se basa en la noción del modelo de madurez, cuyo único miembro


es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).

La teoría es que una organización cuyo nivel de madurez es mayor


que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y sólo en forma secundaria en el
producto.

5
DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information


Control Models, Philip L. Campbell

6
COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information


Control Models, Philip L. Campbell

7
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST

8
CONTROL SEGÚN COSO

CP, CIA y Mtro Fernando Vera Smith


Diciembre 2007
9
COSO -
ANTECEDENTES

Modelo de Control COSO: Committee of


Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.

Modelo de Control COCO: Criteria of Control


Committee (Instituto Canadiense de
Contadores Certificados, CICA,
November1995.

10
COSO - CONTROL

Cualquier medida que tome la dirección, el Consejo y otros,

para mejorar la gestión de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La dirección planifica, organiza y dirige la realización de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarán los objetivos y metas.

11
COSO - CONCEPTO DE
CONTROL INTERNO

Proceso llevado a cabo por el Consejo de Administración, la


Gerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:

 Efectividad y eficiencia de las operaciones

 Confiabilidad de la información financiera

 Cumplimiento con las leyes, reglamentos, normas y


políticas.
12
COSO - CARACTERÍSTICAS

 Medio para alcanzar un fin, no un fin en si mismo.

 No es un evento o circunstancia sino una serie de


acciones que permean en las actividades de la
organización.
 Forma parte de los procesos básicos de la
administración-planeación ejecución y monitoreo y se
encuentra integrado en ellos.
 Los controles deben construirse ”Dentro¨” de la
infraestructura de la organización y no “Sobre ella”.
13
COSO -
CARACTERÍSTICAS...

 Es efectuado por personas. No es solamente un conjunto


de manuales de políticas y procedimientos, sino son
personas en cada nivel de la organización.

 Es ejecutado por la gente de una organización a través de


lo que hace y dice. La gente diseña los objetivos de la
Entidad y establece los mecanismos de control.

14
COSO -
CARACTERÍSTICAS...
 Afecta las acciones del personal, señalándole sus
responsabilidades y límites de autoridad, así como la
vinculación entre sus deberes y la forma en que los
desempeñan.
 La alta dirección es responsable de la existencia de un
eficiente sistema de control.
 Los Directores tienen la obligación de la vigilancia del
control además de que proporcionan directrices y
aprueban ciertas transacciones y políticas.
 Cada individuo dentro de la organización tiene algún rol
respecto al control interno.
15
COSO -
CARACTERÍSTICAS...

 No existe sistema infalible. Ningún sistema hará por


siempre lo que se espera que haga.
 No importa lo bien diseñado y operado que sea un
sistema de control; lo más que puede esperarse es que
proporcione seguridad razonable.
 El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.

16
COSO -
CARACTERÍSTICAS...
 Limitaciones del control :

 Errores por falta de capacidad para ejecutar las


instrucciones

 Errores de juicio en la toma de decisiones.

 Errores por mala interpretación, negligencia,


distracción o fatiga.

 Inobservancia gerencial a las políticas o


procedimientos prescritos.

 Colusión.

 Costo - beneficio. 17
COSO -
CARACTERÍSTICAS...

 Características de los objetivos de una organización:

 Operacionales: Relacionados con el uso eficiente y


eficaz de los recursos.

 Información financiera: Relacionados con la


preparación de reportes financieros confiables.

 Cumplimiento: Relacionados con el cumplimiento


con leyes y reglamentos aplicables.
18
COSO - MARCO INTEGRADO DE
CONTROL

19
COSO - RELACIÓN DE OBJETIVOS Y
COMPONENTES

 Existe una relación

directa entre objetivos


que la organización
busca y los
componentes que
representan lo
necesario para
alcanzar los objetivos

20
COSO - MARCO INTEGRADO DE
CONTROL

21
COSO - Relaciones de Componentes
y Objetivos

O
S

NC E S

S
NE

NT
RO
RT

IE
IO

IE

IM
AC

PO

PL
ER

RE

ACTIVIDAD 2
NA

M
OP

CU
FI
MONITOREO

ACTIVIDAD 1
INFORMACION Y
COMUNICACION

UNIDAD B
ACTIVIDAD
ACTIVIDADES DE
CONTROL

UNIDAD A
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL

COMPONENTE

22
COSO - AMBIENTE DE
CONTROL
Integridad y Valores Eticos
Comité de Auditoría
Filosofía Admva. y Estilo
de Dirección
Estructura Organizacional
Asignación de Autoridad y
Responsabilidad
Política de Recursos
Humanos
Competencia
23
COSO - EVALUACIÓN DE
RIESGOS
Objetivos Institucionales
Objetivos Específicos
 Operativos
 Información Financiera
 Cumplimiento

Análisis de Riesgos
 Organización (Externos /

Internos)
 Actividad
 Análisis (Trascendencia /

Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Políticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE
CONTROL
Actividades de control
sobre:

 Las operaciones
 La información
financiera
 El acatamiento

Tipos de Control:

 Preventivos /
Correctivos
 Manuales /
Automatizados
 Gerenciales 25
COSO - INFORMACIÓN Y
COMUNICACIÓN
Sistemas de Información :

 Apoyo Actividades
Estratégicas
 Integración con las
Operaciones
 Calidad

Comunicación :

 Interna / Externa
 Medios 26
COSO - SUPERVISIÓN Y
SEGUIMIENTO
Supervisión Concurrente

Evaluaciones Independientes
 Alcance y frecuencia
 Quiénes evalúan
 Proceso de evaluación
 Metodología /
documentación
 Plan de acción

Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE
EL CONTROL
 Consejo de Administración.- Es la instancia
responsable de establecer guía, supervisión general y
gobernabilidad a la organización
 Gerencia.- El Director General es el último responsable
y asume la propiedad del sistema de control
 Auditores Internos.- Evalúa la efectividad del sistema
de control
 Personal.- es responsable todo el personal dependiendo
de su nivel y ubicación funcional

28
COSO - TIPOS DE CONTROL

- Preventivos - Detectivos
• Concurrentes (sobre
la marcha)
• Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)

- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigación y desarrollo
- De proyectos
29
MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith


Diciembre, 2007
MODELO CADBURY

• Desarrollado por el llamado Comité


Cadbury (UK Cadbury Committee).

Adopta una interpretación amplia del


control.

Mayores especificaciones en la
definición de su enfoque sobre el
sistema de control en su conjunto-
financiero y de cualquier tipo.

31
MODELO CADBURY
• Objetivos orientados a proporcionar
una razonable seguridad de:
a) Efectividad y eficiencia de las
operaciones.
b) Confiabilidad de la información y
reportes financieros.

c) Cumplimiento con leyes y


reglamentos
• Los elementos clave de este modelo
son en esencia similares al modelo
COSO, salvo la consideración de los
sistemas de información integrados en
los otros componentes y un mayor
énfasis respecto a riesgos.
32
• Limitación en la responsabilidad de los
MODELO COCO

CP, CIA y Mtro. Fernando Vera Smith


Diciembre, 2007
MODELO COCO

CONCEPTO DE CONTROL INTERNO

- Incluye aquellos elementos de una


organización
(recursos, sistemas, procesos, cultura,
estructura y metas) que tomadas en
conjunto apoyan al personal en el logro de
los objetivos de la organización:
Efectividad y eficiencia de las operaciones.

Confiabilidad de los reportes internos o


externos.

Cumplimiento con las leyes y reglamentos


aplicables, así como con las políticas internas.
34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad
y eficiencia de las operaciones)

Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtención de beneficios

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son


debidamente identificados y administrados

35
MODELO COCO

Confiabilidad de los reportes internos y


externos
Mantenimiento de registros contables adecuados.

Confiabilidad de la información utilizada.

Información publicada para terceros interesados.

36
MODELO COCO

Cumplimiento con la normatividad y


políticas internas aplicables

Aseguramiento de que las actividades de la


organización se conducen en total
concordancia con el marco legal y con las
políticas internas.

37
MODELO COCO

Naturaleza del control

• El control debe ser realizado por el personal de


toda la organización, quien será responsable
del diseño, establecimiento, supervisión y
mantenimiento del control.

• El personal responsable de lograr determinados


objetivos también deberá evaluar la efectividad
del control dentro de su esfera de competencia
y de reportar tal evaluación ante quien él es
responsable.

38
MODELO COCO

Naturaleza del control

El costo del control deberá ser proporcional a los


beneficios esperados.

El control requiere de un equilibrio entre autonomía e


integración y entre consistencia y adaptación al cambio.

39
MODELO COCO
Ciclo del entendimiento básico
Propósito
Compromiso
Aptitud
Acción
Evaluación (Auto) y Aprendizaje
Criterios de control
• Los criterios de control son la base para
entender el control de una organización.
• Están planteados como metas a cumplir
permanentemente.

40
MODELO COCO
A.- PROPÓSITO Sentido de Dirección a la
Organización
A1.- Los objetivos deben ser establecidos y
comunicados.

A2.- Los riesgos internos y externos significativos


deben ser identificados y evaluados.

A3.- Las políticas para apoyar el logro de los


objetivos de una organización y el manejo de
sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que el
personal entienda lo que de él se espera.

41
MODELO COCO

A.- PROPÓSITO
A4.- Deben establecerse y comunicarse
planes para guiar los
esfuerzos para lograr los objetivos de
la organización.
A5.- Los objetivos y los planes relativos
deben incluir metas,
parámetros e indicadores de
medición del desempeño.

42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y
valores de la organización.

B1. Deben establecerse, comunicarse y


ponerse en práctica valores éticos
compartidos, incluyendo la integridad.

B2. Las políticas y prácticas sobre recursos


humanos deben ser consistentes con
los valores éticos de la organización y
con el logro de sus objetivos.

43
MODELO COCO

B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligación de rendir cuentas deben ser
claramente definidas y consistentes
con los objetivos de la organización,
de tal forma se tomen las decisiones y
acciones por el personal apropiado.

B4. Debe fomentarse una atmósfera de


mutua confianza para apoyar el flujo
de la información entre el personal y
para su efectivo desempeño hacia el
logro de los objetivos.

44
MODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organización
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar
los objetivos de la organización.

C2. El proceso de comunicación debe apoyar


los valores de la organización y el logro de
sus objetivos.

C3. Debe ser identificada y comunicada


información suficiente y relevante de
manera oportuna, para posibilitar al
personal a desempeñar las
responsabiIidades asignadas.

45
MODELO COCO

C. APTITUD

C4. Deben coordinarse las decisiones y


acciones de las diferentes partes de la
organización.

C5. Las actividades de control deben diseñarse


como parte integral de la organización,
tomando en consideración sus objetivos, los
riesgos para su cumplimiento y la
interrelación de los elementos de control.

46
MODELO COCO

- Evaluación y aprendizaje. Sentido de


evolución de la organización:
D1.- El ambiente externo e interno debe ser
“monitoreado” para obtener información que
pueda señalar la necesidad de revaluar los
objetivos de la organización o el control.

D2.- El desempeño debe ser evaluado o medido contra


las metas e indicadores en los planes u objetivos
de la organización.

D3.- Las premisas consideradas para los objetivos de la


organización deben cuestionarse periódicamente.

47
MODELO COCO

- Evaluación y Aprendizaje

D4.- Las necesidades de información y los


sistemas de información relativos deben
reevaluarse en la medida que cambian los
objetivos o al identificarse deficiencias en la
información reportada.

D5.- Debe establecerse y ejecutarse un


seguimiento de los procedimientos, para
asegurar que se den los cambios requeridos.

48
COBIT

CP, CIA y Mtro. Fernando Vera Smith


Diciembre, 2007
49
Cobit - Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)

Fuente: Control Objectives for Information and Related


Technology (CObIT) y presentación de Fernando Izquierdo
Duarte 2002
50
Cobit - Definición

¿Qué es?

Es un marco de control interno de TI.

Parte de la premisa de que la TI


requiere proporcionar información
para lograr los objetivos de la
organización.

Promueve el enfoque y la propiedad


de los procesos.
51
Cobit - Definición
Apoya a la organización al proveer un marco que
asegura que:

La Tecnología de Información (TI) esté alineada con la


misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.

Usuarios Finales: Garantizar seguridad y


control de los productos que adquieren
interna y externamente

53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organización y el control
mínimo requerido.

Responsables de TI: Identificar los


controles que requieren.

54
Cobit - Principios

REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI

55
Cobit - Estructura

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad


negocio Eficiencia
Aplicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
56
Cobit - Estructura
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
57
Cobit - Estructura
Criterios de la Información (7)
CUBO de CobiT
Relación entre los ad
li d d

Recurso Humano
i a
componentes ad b rid
lid if a u
a on g

Instalaciones
C Se
C

Tecnología
Applicaciones
Dominios
Procesos TI

Datos
Procesos
TI
de
os
Actividades s
c ur
R e
58
59
Objetivos del
Negocio

CobiT

Requerimientos Planeación y
de Información Organización

Seguimiento

Recursos de TI Adquisición e
Implantación
Servicios y Soporte
60
Cobit - Requerimientos
de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos Calidad.
de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.


Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
Cobit - Requerimientos de la
Información del Negocio

Efectividad: Información relevante y pertinente,


proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Información exacta y completa, así como válida
de acuerdo con las expectativas de la organización.

62
Cobit - Requerimientos de la
Información del Negocio

Disponibilidad: accesibilidad a la
información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.

63
Recursos de TI
Datos: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.

64
Procesos de TI
- Los Tres Niveles
Agrupación natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitación o cortes de
control.

Actividades Acciones requeridas para lograr un


o tareas 318 resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.

65
COBIT – DOMINIOS: 4

Planeación y Organización
Adquisición e Implantación
Prestación de Servicios y Soporte
Seguimiento

66
COBIT – DOMINIOS - PROCESOS

Planeación y Definición de un plan estratégico


Organización Definición de la arquitectura de información
Determinación de la dirección tecnológica
Definición de organización y relaciones
Administración de la inversión
Comunicación de las políticas
Administración de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluación de riesgos
Administración de proyectos
Administración de la calidad

Adquisición e Identificación de soluciones automatizadas


Implantación Adquisición y mantenimiento del software aplicativo
Adquisición y mantenimiento de la infraestructura
tecnológica
Desarrollo y mantenimiento de procedimientos
Instalación y aceptación de los sistemas
Administración de los cambios 67
COBIT – DOMINIOS - PROCESOS
Servicios y Definición de los niveles de servicios
Soporte Administración de los servicios de terceros
Administración de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificación y asignación de los costos
Asistencia y soporte a los clientes
Administración de la configuración
Administración de los problemas
Administración de los datos
Administración de las instalaciones
Administración de la operación
Seguimiento
Seguimiento de los procesos
Evaluación del control Interno
Contratación de un aseguramiento independiente

68
COBIT COMO PRODUCTO

Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de Implementación
CD-ROM
2a Edición disponible en español

69
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998

Definición de Definición de Objetivos


Control Interno de Control de T I

COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno

SAS 78 - 1995 enmienda


SAS 55 - 1988
70
C
Dirigido a: Administración,
Sistemas Respon
El Control Interno es Visto Conjunto de pro
como políticas, proced
estructura Organ
Los Objetivos Efectividad y Efi
71
GUÍA TURNBULL

CP, CIA y Mtro. Fernando Vera Smith


Diciembre, 2007
72
¿ QUÉ ES LA GUÍA
TURNBULL?

Es la adopción de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento de
la adecuación y efectividad
de la Administración de Riesgos
y del sistema de control

Promoción de la Apoyo para mejorar


Concientización de el proceso de
riesgos y controles Identificación y
y los programas de Administración de
autoevaluación riesgos

74
Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
áreas de negocios objetivos plazo

Disminución de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios

Reducción de
tiempo para Ventajas
emergencias competitivas

Mejores bases Enfoque interno


para establecer Menores costos en hacer bien
estrategias de capital las cosas
IMPLANTACIÓN DEL TURNBULL
Identificación de
Implantación de
factores críticos
acciones de Identificación de cambios de éxito
mejora Internos y externos
y reconsideración y
negociación de objetivos Identificación y
Revisión de riesgos priorización de
y controles anuales riesgos

Determinación de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN
Fuentes de Negociación de
DE RIESGOS
aseguramiento estrategias de control y
administración de riesgos

Monitoreo de aspectos
significativos de Negociación sobre
control interno rendición de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administración
Concientización
advertencia oportunos de riesgos y control
de los riesgos
76
críticos
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS

Enfocarse en riesgos Asegurar que los objetivos


Evitar duplicidades
críticos y sus controles se jerarquicen

Asignar
Reorientar el responsabilidades
entrenamiento MANTENERSE SIMPLE
en la administración de
hacia los riesgos críticos Y PROSPECTIVO riesgos

Elaborar un plan Mantener los informes


Evitar expedientes
apropiado y al Consejo sucintos y
voluminosos
monitorear su avance sencillos
77
PASOS SUGERIDOS

Enfoque a la mejora de negocios

Implantación de mecanismos apropiados para


la información de avance
Involucramiento de los distintos niveles de la
organización

Implantación del plan de desarrollo y de la política de administració


de riesgos

Reconsideración y afinación del plan por el Consejo

Consideración del plan por el Consejo de Administración

Aceptación del plan por parte de los directores

Asignación de responsabilidades para elaborar el plan individual o de equipos78


RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)

TIPOS DE RIESGO PROMEDIO

Fracaso en la
7.05
administración de
proyectos mayores
Fracaso de estrategias 6.67

Fracaso en innovación 6.32

Mala reputación 6.30


/administración - marca

Motivación y bajo desempeño 6.00


del personal

1= riesgo mínimo, 9 = crítico Fuente: Deloitte & Touche, 1990


79
Sencillez
Enfasis en el cambio
de comportamiento Conciencia
del riesgo

ADECUADA
ADMINISTRACIÓN DE Asesoría a
Información
confiable RIESGOS Y todos los niveles de
CONTROL la compañía

Controles básicos

Aplicación
Mecanismos de continua
advertencia oportunos Concientización de
y respuesta rápida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admón de Inapropiada
Mecanismos Riesgos Orientación
de Advertencia de riesgos

Incapacidad
Demasiados
para obtener
Riesgos
aceptación
identificados Peligros del gerente
Potenciales

Sobrecarga
Abandonarlo
del comité
Demasiado
de
tarde
Auditoría
Ignorar
Incremento
Controles
de
Financieros
Burocracia
básicos

81
AUTOEVALUACIÓN DEL
CONTROL

CP, CIA y Mtro Fernando Vera Smith


Diciembre 2007
82
AEC - DEFINICIÓN

Proceso documentado en el que :

 La administración o el equipo de trabajo se


involucra directamente en una función.

 Se juzga la efectividad del proceso de control


vigente.

 Se define si se asegura razonablemente el lograr


alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de


que se alcanzarán los objetivos de la organización.

83
AEC - OTROS NOMBRES
AEC - DEFINICIÓN

• Autoevaluación de riesgo- • Autoevaluación de


control. proceso.

• Evaluación dinámica del • Autoevaluación de riesgos.


control.

• Autoevaluación de riesgos
• Co-evaluación del control. de la organización.

• Autoevaluación
organizacional.

84
AEC - ENTRENAMIENTO

• Para desarrollar la AEC se requiere


capacitación:
. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de
control
. En redacción.
. En tecnología.

85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2

BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos,

Delegación de
Facultades

Desarrollo de la
Responsabilidad AEC

Instrumentación Diseño de Mejores


del Control Controles

 Eficienciade Procesos - Satisfacción del cliente - Mejora


de la calidad - Examen de los procesos
organizacionales en general
86
CPC y CIA JUAN MANUEL PORTAL M.
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN
• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORÍA INTERNA
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
- Generación de ideas y planes de acción
implantados más allá del alcance original.
- Facilidad de implantación de acciones de
mejora.
- Promoción de la unidad organizacional
mediante la identificación y solución de
problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA. 87
AEC - FASES DE LA AUTOEVALUACIÓN

Involucramiento
de la alta
Gerencia

Monitoreo y
Reporte de Planeación
Resultados

Conducción Capacitación
de Reuniones

88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopción de la AEC

• Conocimiento de la AEC en los niveles


adecuados
• Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la
alta gerencia en la AEC

89
AEC – INVOLUCRAMIENTO DE…….

Requisitos de la Organización

- Cultura que apoye la AEC


- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantación de la AEC.

90
AEC – INVOLUCRAMIENTO DE…….
Requisitos del Facilitador

- Ser innovador y desear tomar riesgos


- Saber escuchar, comunicarse y aprender de la
gente
- Saber qué alcanzar y qué herramientas se
necesitan
- Conocer la organización, su entorno y
normatividad
- Entender la cultura organizacional

91
AEC - INVOLUCRAMIENTO DE ………..
Responsabilidades del Facilitador
- Asegurarse que la administración sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
92
AEC – INVOLUCRAMIENTO DE…….

Responsabilidades del Facilitador


Preparación del taller:

Entrevistar a la Gerencia y al personal operativo


Evaluar la estructura organizacional
Aprender sobre la organización
Seleccionar los objetivos de la organización
Seleccionar los participantes al TAC
Preparar la logística de la reunión
Enviar información previa a la reunión.

93
AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
Preparación del taller:

- Facilitar la identificación del proceso y


obstáculos
- Vigilar la logística
- Obtener acciones de mejora del TAC

AGREGAR VALOR A LA ORGANIZACIÓN

94
AEC – INVOLUCRAMIENTO DE…….
Estrategias

1. Limitar el alcance a asuntos de alta prioridad


2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparación del taller.
4. Definir los objetivos del Taller de Autoevaluación
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
95
AEC – INVOLUCRAMIENTO DE …….
Estrategias
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentación a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora

96
AEC - P L A N E A C I Ó N

1. Seleccionar el (los) objetivo (s) a analizar en el TAC


2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusión

97
AEC- C A P A C I T A C I O N

Capacitar en Control y Autocontrol:

• Modelos de Control (COSO, COCO...)


• Evaluación de riesgos
• Autoevaluación en control y su metodología
• Herramientas y tecnología especializada para
su uso en el taller

98
AEC - CONDUCCIÓN DE REUNIONES

1. Preparar la logística de las reuniones


2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
• Definición del producto final
• Metodología del taller
• Herramientas a utilizar
• Método de registro y votación
• Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
99
AEC - CONDUCCIÓN DE REUNIONES

5. Presentar la agenda de la reunión

6. Conducir la reunión

7. Estructurar e inventariar el resultado de las


evaluaciones

8. Levantar minuta de los acuerdos

100
AEC - CONDUCCIÓN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche

No interrumpa

Establezca un proceso de voto

Asegúrese que todos apoyen las reglas

Todos deben ser facilitadores en algún momento

Las ideas de otros fortalecen la decisión del grupo

Logre consenso

101
AEC – CONDUCCIÓN DE REUNIONES

DESARROLLO DE PLANES DE ACCIÓN

- Definición y evaluación de objetivos, riesgos y


controles.

- Determinación de acciones de mejora.

- Definición y realización de las acciones, tiempos,


responsables y recursos para la implantación de
las mejoras.

- Establecimiento de puntos de control para la


evaluación de los avances y la comunicación de
las desviaciones 102
AEC - MONITOREO Y REPORTE DE
RESULTADOS

- Establecer sistema de seguimiento y evaluación de


los planes de acción
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua

103
AEC - PROBLEMÁTICA

- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna

104
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción

• Impedimentos derivados de la
- Represalias por comentarios hechos en la sesión
técnica.
de la AEC.
- Acción subsecuente con información confidencial.

• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.

105
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la
- Inflexibilidad de quienes llevan a cabo la AEC
resistencia.
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante

• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para
la AEC
- Enfoque en los beneficios a alcanzar.
106
AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN

• Amenazas derivadas de la cultura.

- La cultura no valora la innovación y la


colaboración.

- Organizaciones en medio de una reducción de


• Salvaguardas.
personal.

- Evitar utilizar la AEC en estas situaciones.

107
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la
- El desarrollo de la AEC no es adecuado en
adecuación.
caso de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.

108
AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN

• Amenazas derivadas de la cultura.

- La cultura no valora la innovación y la


colaboración.

- Organizaciones en medio de una reducción


de personal.

• Salvaguardas.

- Evitar utilizar la AEC con estas situaciones.

109
ÉXITO PARA SU IMPLANTACIÓN

I. Factores críticos de éxito

II. Pasos para acelerar su implantación

III. Recomendaciones para su implantación

110
I. FACTORES CRÍTICOS DE ÉXITO

1) Determinación de objetivos claros

2) Patrocinio de la alta gerencia

3) Apoyo de la gerencia

4) Entendimiento de por qué participa cada uno en la sesión de


Autoevaluación

5) Señalamiento de expectativas

111
I. FACTORES CRÍTICOS DE ÉXITO

6) Cultura que apoya la AEC

7) Actitud gerencial orientada al facultamiento y el control

8) Beneficios tangibles

9) Definición del producto final

10) Entorno libre de riesgos (no represalias)

112
II. PASOS PARA ACELERAR SU IMPLANTACIÓN

1) Reconocer la complejidad de su implantación


2) Conducir sesiones piloto
3) Ser realistas acerca de la cobertura de auditoría
4) Dar los pronunciamientos y criterios al inicio
del proceso
5) Permitir suficiente tiempo para su preparación
6) Limitar el alcance a los temas de alta prioridad

113
III. RECOMENDACIONES PARA SU
IMPLANTACIÓN

1) Conocer cuál es el propósito y qué herramientas


se necesitan
2) Entender la cultura organizacional
3) Ser innovador y dispuesto a tomar riesgos
4) Particularizar el marco estructurado de control
5) Agregar valor a la organización
6) Comentar con los demás y aprender de ellos
7) Rotar facilitadores que procedan de otras áreas

114
III. RECOMENDACIONES PARA SU
IMPLANTACIÓN

8) Emplear grupos de trabajo interdisciplinarios


9) Mantener el proceso sencillo
10) Reconocer que las habilidades de facilitación son tan
importantes como las pruebas de cumplimiento o las
habilidades tradicionales de auditoría
11) Mantener visible el apoyo de la gerencia
12) Vender el concepto cada día

115
AEC - ERRORES EN SU IMPLANTACIÓN

1) Fallar en explicar el por qué de la AEC.

2) Pilotear la AEC en un área problema.

3) Escoger los objetivos equivocados.

4) Sobre-analizar la situación.

116
AEC - POR QUÉ FUNCIONA

• Los empleados sienten que tienen un propósito,


que sus contribuciones son valiosas y que están
involucrados en la toma de decisiones.

• Se incrementa la conciencia entre objetivos,


riesgos y controles.

• Los equipos (grupos de AEC) funcionan mejor que


los individuos.
• La AEC promueve un entendimiento común de
objetivos y metas.

• Los talleres de AEC eliminan las barreras de


comunicación.

117