You are on page 1of 117

MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith Diciembre 2007

MODELOS DE CONTROL
CONTENIDO PANORÁMICA DE MODELOS DE CONTROL COSO CADBURY COCO COBIT TURNBULL AEC
2

PANORÁMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control según Philip L. Campbell ( An Introduction to Information Control Models): Objetivos de Control Principios Madurez de la Capacidad

3

prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán. procedimientos. Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información 4 .PANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”: Control: Las políticas.

concientización. La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. Comunidad de Madurez de la Capacidad Se basa en la noción del modelo de madurez. cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSECMM). 5 . equidad y ética. El enfoque se centra en el proceso y sólo en forma secundaria en el producto.PANORÁMICA DE MODELOS DE CONTROL Comunidad de Principios Se basan en la noción de principios como rendición de cuentas.

Campbell 6 . Philip L.DIAGRAMA DE INFLUENCIA FUENTE: An Introduction to Information Control Models.

Campbell 7 .COMUNIDADES DE MODELOS FUENTE: An Introduction to Information Control Models. Philip L.

GAO System Self-Assessment Guide for Information Technology Systems. of Internal Audit. National Institute of Standards and Technology (NIST) British Standard Institute Security Auditability and Control.SIGNIFICADO DE SIGLAS UTILIZADAS OECD GAPP BS 7799 SAC COSO Organization for Economic Cooperation and Development Generaly Accepted Principles and Practices. NIST SSE CMM Systems Security Engineering Capability Maturity Model SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability 8 . Information Technology Control Guidelines. CoCo ITCG GASSP Cobit FISCAM SSAG Criteria of Control Board of The Canadian Institute of Chartered Accountants.Canada. International Information Security Foundation (IISF) Control Objectives for Information and Related Technologies Federal Information Systems Controls Audit Manual. Internal Control Integrated Framework. Canadian Institute of Chartered Accountants (CICA) Generaly Accepted System Security Principles. The Inst. Committee of Sponsoring Organizations National Security Agency (NSA) Defense.

CONTROL SEGÚN COSO CP. CIA y Mtro Fernando Vera Smith Diciembre 2007 9 .

COSO .ANTECEDENTES Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision. septiembre 1992. November1995. 10 . CICA. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados. USA.

para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. el Consejo y otros. 11 .COSO . organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas. La dirección planifica.CONTROL Cualquier medida que tome la dirección.

normas y políticas. 12 . reglamentos.COSO . la Gerencia y otro personal de la Organización.CONCEPTO DE CONTROL INTERNO Proceso llevado a cabo por el Consejo de Administración. diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:  Efectividad y eficiencia de las operaciones  Confiabilidad de la información financiera  Cumplimiento con las leyes.

CARACTERÍSTICAS  Medio para alcanzar un fin.  No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización. no un fin en si mismo. 13 .COSO .  Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos.  Los controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”.

14 .. La gente diseña los objetivos de la Entidad y establece los mecanismos de control. sino son personas en cada nivel de la organización.COSO CARACTERÍSTICAS.  Es ejecutado por la gente de una organización a través de lo que hace y dice.  Es efectuado por personas.. No es solamente un conjunto de manuales de políticas y procedimientos.

COSO CARACTERÍSTICAS..  Cada individuo dentro de la organización tiene algún rol respecto al control interno. 15 ..  Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y aprueban ciertas transacciones y políticas.  Afecta las acciones del personal. así como la vinculación entre sus deberes y la forma en que los desempeñan.  La alta dirección es responsable de la existencia de un eficiente sistema de control. señalándole sus responsabilidades y límites de autoridad.

Ningún sistema hará por siempre lo que se espera que haga.COSO CARACTERÍSTICAS.. 16 ..  El efecto acumulado de controles y su naturaleza diversa.  No existe sistema infalible. reducen el riesgo de que no puedan alcanzarse los objetivos. lo más que puede esperarse es que proporcione seguridad razonable.  No importa lo bien diseñado y operado que sea un sistema de control.

negligencia.beneficio.  Errores por mala interpretación. distracción o fatiga.  Limitaciones del control :  Errores por falta de capacidad para ejecutar las instrucciones  Errores de juicio en la toma de decisiones. 17 .  Inobservancia gerencial a las políticas o procedimientos prescritos..  Colusión.  Costo ..COSO CARACTERÍSTICAS.

 Cumplimiento: Relacionados con el cumplimiento con leyes y reglamentos aplicables.COSO CARACTERÍSTICAS... 18 .  Características de los objetivos de una organización:  Operacionales: Relacionados con el uso eficiente y eficaz de los recursos.  Información financiera: Relacionados con la preparación de reportes financieros confiables.

COSO .MARCO INTEGRADO DE CONTROL 19 .

RELACIÓN DE OBJETIVOS Y COMPONENTES  Existe una relación directa entre objetivos que la organización busca y los que lo para componentes representan necesario alcanzar los objetivos 20 .COSO .

MARCO INTEGRADO DE CONTROL 21 .COSO .

Relaciones de Componentes y Objetivos ACTIVIDAD ACTIVIDAD 2 1 ACTIVID ACTIVIDAD 1 UNIDAD B UNIDAD B DAD A UNI UNIDAD A MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL COMPONENTE ACTIVIDAD 22 .OP ER AC IO NE S RE PO FI RT NA NC ES IE RO S CU M PL IM IE NT O COSO .

COSO . y Estilo de Dirección Estructura Organizacional Asignación de Autoridad y Responsabilidad Política de Recursos Humanos Competencia 23 .AMBIENTE DE CONTROL Integridad y Valores Eticos Comité de Auditoría Filosofía Admva.

EVALUACIÓN DE RIESGOS Objetivos Institucionales Objetivos Específicos  Operativos  Información Financiera  Cumplimiento Análisis de Riesgos  Organización (Externos / Internos)  Actividad  Análisis (Trascendencia / Probabilidad / Control) Manejo de Cambios (Reorganizaciones/Políticas / Sistemas y Procedimientos) 24 .COSO .

COSO .ACTIVIDADES DE CONTROL Actividades de control sobre:    Las operaciones La información financiera El acatamiento Tipos de Control:    Preventivos / Correctivos Manuales / Automatizados Gerenciales 25 .

COSO .INFORMACIÓN Y COMUNICACIÓN Sistemas de Información :  Apoyo Actividades Estratégicas Integración con las Operaciones Calidad   Comunicación :   Interna / Externa Medios 26 .

COSO .SUPERVISIÓN Y SEGUIMIENTO Supervisión Concurrente Evaluaciones Independientes     Alcance y frecuencia Quiénes evalúan Proceso de evaluación Metodología / documentación Plan de acción  Reportes de Deficiencias 27 .

supervisión general y gobernabilidad a la organización  Gerencia...Es la instancia responsable de establecer guía.RESPONSABILIDADES SOBRE EL CONTROL  Consejo de Administración.es responsable todo el personal dependiendo de su nivel y ubicación funcional 28 .El Director General es el último responsable y asume la propiedad del sistema de control  Auditores Internos...Evalúa la efectividad del sistema de control  Personal.COSO .

De insumos .De procesos .TIPOS DE CONTROL .De actividades (repetitivas) .De proyectos 29 .Detectivos • Concurrentes (sobre la marcha) • Posteriores .De investigación y desarrollo .De seguridad (resguardo) .Preventivos .De salidas .De resultados (actividades creativas) .De recursos .COSO .De operaciones .De acceso .

2007 . Fernando Vera Smith Diciembre.MODELO CADBURY CP. CIA y Mtro.

MODELO CADBURY • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee). interpretación amplia del Mayores especificaciones en la definición de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo. 31 . Adopta una control.

MODELO CADBURY • Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO. b) Confiabilidad de la información y reportes financieros. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros 32 . salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos.

MODELO COCO CP. Fernando Vera Smith Diciembre. CIA y Mtro. 2007 .

Confiabilidad de los reportes internos o externos. estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización: Efectividad y eficiencia de las operaciones. 34 . procesos. sistemas. cultura. Cumplimiento con las leyes y reglamentos aplicables.Incluye aquellos elementos de una organización (recursos.MODELO COCO CONCEPTO DE CONTROL INTERNO . así como con las políticas internas.

MODELO COCO OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones) Servicio al cliente Salvaguarda y uso eficiente de los recursos Obtención de beneficios Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados 35 .

MODELO COCO Confiabilidad de los reportes internos y externos Mantenimiento de registros contables adecuados. 36 . Confiabilidad de la información utilizada. Información publicada para terceros interesados.

MODELO COCO Cumplimiento con la normatividad y políticas internas aplicables Aseguramiento de que las actividades de la organización se conducen en total concordancia con el marco legal y con las políticas internas. 37 .

• El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable. supervisión y mantenimiento del control. 38 .MODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización. establecimiento. quien será responsable del diseño.

39 .MODELO COCO Naturaleza del control El costo del control deberá ser proporcional a los beneficios esperados. El control requiere de un equilibrio entre autonomía e integración y entre consistencia y adaptación al cambio.

• Están planteados como metas a cumplir permanentemente. 40 .MODELO COCO Ciclo del entendimiento básico Propósito Compromiso Aptitud Acción Evaluación (Auto) y Aprendizaje Criterios de control • Los criterios de control son la base para entender el control de una organización.

PROPÓSITO Sentido de Dirección a la Organización A1. deben ser establecidas. A3.Los riesgos internos y externos significativos deben ser identificados y evaluados. de manera que el personal entienda lo que de él se espera. A2..Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos.. comunicadas y practicadas.MODELO COCO A..Los objetivos deben ser establecidos y comunicados. 41 .

. 42 .PROPÓSITO A4.- Los objetivos y los planes relativos deben incluir metas.MODELO COCO A. parámetros e indicadores de medición del desempeño.Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organización. A5.

Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. Deben establecerse. 43 .MODELO COCO B.COMPROMISO: Sentido de identidad y valores de la organización . incluyendo la integridad. B1.. comunicarse y ponerse en práctica valores éticos compartidos. B2.

44 .COMPROMISO B3. de tal forma se tomen las decisiones y acciones por el personal apropiado. B4. La autoridad..MODELO COCO B. la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos.

C3. habilidades y herramientas para alcanzar los objetivos de la organización. para posibilitar al personal a desempeñar las responsabiIidades asignadas. APTITUD: sentido de competencia o aptitud de la organización C1. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna. C2.MODELO COCO C. El personal debe tener los conocimientos. 45 .

los riesgos para su cumplimiento y la interrelación de los elementos de control. 46 . Deben coordinarse las decisiones y acciones de las diferentes partes de la organización.MODELO COCO C. Las actividades de control deben diseñarse como parte integral de la organización. APTITUD C4. C5. tomando en consideración sus objetivos.

. ser que los D2.El ambiente externo e interno debe “monitoreado” para obtener información pueda señalar la necesidad de revaluar objetivos de la organización o el control. D3.Las premisas consideradas para los objetivos de la organización deben cuestionarse periódicamente. Sentido de evolución de la organización: D1..Evaluación y aprendizaje.El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organización. 47 .MODELO COCO .

D5.Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada.Debe establecerse y ejecutarse un seguimiento de los procedimientos... 48 . para asegurar que se den los cambios requeridos.MODELO COCO Evaluación y Aprendizaje D4.

COBIT CP. CIA y Mtro. 2007 49 . Fernando Vera Smith Diciembre.

Cobit .Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002 50 .

Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización.Definición ¿Qué es? Es un marco de control interno de TI. Promueve el enfoque y la propiedad de los procesos.Cobit . 51 .

Los riesgos de TI sean manejados apropiadamente.Definición Apoya a la organización al proveer un marco que asegura que: La Tecnología de Información (TI) esté alineada con la misión y visión.Cobit . Los recursos de TI sean usados responsablemente. 52 . LA TI capacite y maximice los beneficios.

Usuarios Gerencia: Apoyar decisiones de inversión en TI y control sobre su rendimiento. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente 53 . así como analizar el costo-beneficio del control.Cobit .

Responsables de TI: Identificar los controles que requieren. 54 .Cobit .Usuarios Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI . su impacto en la organización y el control mínimo requerido.

Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI 55 .Cobit .

Estructura EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos INFORMACIÓN Datos Aplicaciones Tecnología Instalaciones Recurso Humano Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad 56 .Cobit .

Cobit .Estructura Lo que usted Obtiene Procesos del Negocio Lo que Usted Necesita Criterios Información Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Concuerdan 57 .

Estructura id al C ad C Procesos TI Dominios Procesos Actividades Applicaciones Datos Tecnología Instalaciones os s gu Se de R r cu e Recurso Humano TI CUBO de CobiT Relación entre los componentes Criterios de la Información (7) ili b ia nf o ad d ad rid 58 .Cobit .

59 .

Objetivos del Negocio CobiT Requerimientos de Información Planeación y Organización Seguimiento Recursos de TI Adquisición e Implantación Servicios y Soporte 60 .

Disponibilidad.de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos. Costo. SAC y SAS Cobit . Oportunidad. 61 . Cumplimiento de leyes y regulaciones. Confidencialidad. como COSO.Requerimientos Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Calidad. Integridad. Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros.

consistente y utilizable Eficiencia: Empleo óptimo de los recursos. correcta. así como válida de acuerdo con las expectativas de la organización.Requerimientos de la Información del Negocio Efectividad: Información relevante y pertinente. 62 .Cobit . proporcionada en forma oportuna. Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Información exacta y completa.

63 .Cobit .Requerimientos de la Información del Negocio Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes. regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.

etc. Tecnología: Hardware y software básico. estructurada o no. Recurso Humano :Habilidad. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. telecomunicaciones. multimedia. 64 . de administración de bases de datos. que integran procedimientos manuales y sistematizados. Aplicaciones: Sistemas de información. gráficas. actitud y productividad del personal. etc. sonidos.Recursos de TI Datos: Todos los objetos de información interna y externa. de redes. sistemas operativos.

65 Actividades o tareas 318 . Acciones requeridas para lograr un resultado medible.Los Tres Niveles Dominios Procesos 34 4 Agrupación natural de procesos. normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.Procesos de TI .

COBIT – DOMINIOS: 4 Planeación y Organización Adquisición e Implantación Prestación de Servicios y Soporte Seguimiento 66 .

COBIT – DOMINIOS .PROCESOS Planeación y Organización Definición de un plan estratégico Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad Identificación de soluciones automatizadas Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios Adquisición e Implantación 67 .

COBIT – DOMINIOS .PROCESOS Servicios y Soporte Definición de los niveles de servicios Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente 68 Seguimiento .

COBIT COMO PRODUCTO Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoría Guías de Administración Herramientas de Implementación CD-ROM 2a Edición disponible en español 69 .

COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO CobiT 1996/1998 Definición de Control Interno Definición de Objetivos de Control de T I COSO 1992 Contribuciones al concepto de Control Interno SAC 1991/1994 Conceptos de Control Interno Conceptos de Control Interno SAS 78 .1995 enmienda SAS 55 .1988 70 .

Procedimientos de Control Cumplimiento con leyes y normas Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Tecnología de Información Por un periodo de tiempo Administración Toda la Organización En un punto en el tiempo Administración Evaluación de la Por un periodo de tiempo Efectividad del Control I. Usuarios. procedimientos. Integridad y disponibilidad de la información Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeación y Organización Adquisición e implantación Servicio y Soporte Seguimiento Enfocado a Tecnología de Información Efectividad y Eficiencia de las operaciones Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Estados Financieros Por un periodo de tiempo Administración 63 páginas en 2 documentos Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros Cumplimiento con leyes y normas Componentes: Ambiente de Control Sistemas Manuales y Automatizados. prácticas y estructura Organizacional Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad.Comparación de Conceptos de Control COBIT Dirigido a: SAC COSO Administración Procesos SASs 55/78 Auditores Externos Procesos Administración. Responsable por el Control Administración Interno Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 71 . Auditores de Auditores Internos Sistemas Responsables de TI Conjunto de procesos. subsistemas y personas Efectividad y Eficiencia de las operaciones El Control Interno es Visto Conjunto de procesos incluyendo como políticas.

2007 72 . Fernando Vera Smith Diciembre.GUÍA TURNBULL CP. CIA y Mtro.

¿ QUÉ ES LA GUÍA TURNBULL? Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad .

CONTRIBUCIONES DE AUDITORÍA INTERNA Aseguramiento de la adecuación y efectividad de la Administración de Riesgos y del sistema de control Promoción de la Concientización de riesgos y controles y los programas de autoevaluación Apoyo para mejorar el proceso de Identificación y Administración de riesgos 74 .

Desplazamiento oportuno a otras áreas de negocios Mayor probabilidad de lograr objetivos Mayor cobertura a largo plazo Disminución de sorpresas desagradables BENEFICIOS POTENCIALES Mayor probabilidad de lograr cambios Reducción de tiempo para emergencias Ventajas competitivas Mejores bases para establecer estrategias Menores costos de capital Enfoque interno en hacer bien las cosas .

IMPLANTACIÓN DEL TURNBULL Implantación de acciones de mejora Identificación de cambios Internos y externos y reconsideración y negociación de objetivos Identificación de factores críticos de éxito Identificación y priorización de riesgos Determinación de riesgos significativos Revisión de riesgos y controles anuales Informes sucintos Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE UNA MEJOR ADMINISTRACIÓN DE RIESGOS Negociación de estrategias de control y administración de riesgos Negociación sobre rendición de cuentas Concientización de los riesgos 76 críticos Cambios en comportamiento y enfoque en las bases de una buena administración de riesgos y control .

SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS Enfocarse en riesgos críticos y sus controles Asegurar que los objetivos se jerarquicen Evitar duplicidades Reorientar el entrenamiento hacia los riesgos críticos MANTENERSE SIMPLE Y PROSPECTIVO Asignar responsabilidades en la administración de riesgos Elaborar un plan apropiado y monitorear su avance Evitar expedientes voluminosos Mantener los informes al Consejo sucintos y sencillos 77 .

PASOS SUGERIDOS Enfoque a la mejora de negocios Implantación de mecanismos apropiados para la información de avance Involucramiento de los distintos niveles de la organización Implantación del plan de desarrollo y de la política de administració de riesgos Reconsideración y afinación del plan por el Consejo Consideración del plan por el Consejo de Administración Aceptación del plan por parte de los directores Asignación de responsabilidades para elaborar el plan individual o de equipos 78 .

67 6.32 6. 1990 79 . 9 = crítico PROMEDIO 7.00 Fuente: Deloitte & Touche.RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA) TIPOS DE RIESGO Fracaso en la administración de proyectos mayores Fracaso de estrategias Fracaso en innovación Mala reputación /administración .marca Motivación y bajo desempeño del personal 1= riesgo mínimo.30 6.05 6.

Enfasis en el cambio de comportamiento Sencillez Conciencia del riesgo Información confiable ADECUADA ADMINISTRACIÓN DE RIESGOS Y CONTROL Asesoría a todos los niveles de la compañía Controles básicos Mecanismos de advertencia oportunos y respuesta rápida Concientización de los objetivos organizacionales Aplicación continua de Estrategias de control .

PELIGROS POTENCIALES Enfoque Insuficiente en Admón de Riesgos Falta de Mecanismos de Advertencia Inapropiada Orientación de riesgos Demasiados Riesgos identificados Peligros Potenciales Incapacidad para obtener aceptación del gerente Abandonarlo Demasiado tarde Incremento de Burocracia Ignorar Controles Financieros básicos Sobrecarga del comité de Auditoría 81 .

CIA y Mtro Fernando Vera Smith Diciembre 2007 82 .AUTOEVALUACIÓN DEL CONTROL CP.

 Se define si se asegura razonablemente el lograr alguno o todos los objetivos. 83 . El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización .  Se juzga la efectividad del proceso de control vigente.AEC - DEFINICIÓN Proceso documentado en el que :  La administración o el equipo de trabajo se involucra directamente en una función.

AEC - OTROS NOMBRES
AEC DEFINICIÓN

• Autoevaluación de riesgocontrol. • Evaluación dinámica del control. • Co-evaluación del control. • Autoevaluación organizacional.

• Autoevaluación de proceso. • Autoevaluación de riesgos. • Autoevaluación de riesgos de la organización.

84

AEC - ENTRENAMIENTO
• Para desarrollar la AEC se requiere capacitación: . En metodología. . En modelos de control . En evaluación de riesgos . En talleres de autoevaluación de control . En redacción. . En tecnología.

85

AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2

BENEFICIOS AL PROCESO OPERATIVO
Mejora del control y sus riesgos,
Delegación de Facultades Desarrollo de la Responsabilidad AEC

Instrumentación del Control

Diseño de Mejores Controles

 Eficiencia

de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general

86 CPC y CIA JUAN MANUEL PORTAL M.

Generación de ideas y planes de acción implantados más allá del alcance original.AEC .BENEFICIOS PARA LA ADMINISTRACIÓN • ADMINISTRACIÓN • PARTICIPANTES • AUDITORÍA INTERNA . . .Promoción de la unidad organizacional mediante la identificación y solución de problemas. 87 . .Eliminación de atmósferas de desconfianza. . .Facilidad de implantación de acciones de mejora.Mejora de la moral del personal.REALZA EL PAPEL DE AUDITORÍA INTERNA.

AEC .FASES DE LA AUTOEVALUACIÓN Involucramiento de la alta Gerencia Monitoreo y Reporte de Resultados Planeación Conducción de Reuniones Capacitación 88 .

• Entendimiento de la complejidad.AEC . involucramiento y patrocinio de la alta gerencia en la AEC 89 .INVOLUCRAMIENTO DE LA ALTA GERENCIA Adopción de la AEC • Conocimiento adecuados de la AEC en los niveles costos. beneficios y limitaciones de la AEC • Aceptación.

Entorno libre de riesgos (no represalias) .Reconocimiento de la implantación de la AEC.Actitud gerencial orientada al facultamiento y al control.AEC – INVOLUCRAMIENTO DE……. Requisitos de la Organización . .Cultura que apoye la AEC . complejidad de la 90 .

AEC – INVOLUCRAMIENTO DE…….Saber escuchar. Requisitos del Facilitador . .Ser innovador y desear tomar riesgos .Saber qué necesitan . comunicarse y aprender de la gente .Conocer la normatividad alcanzar y qué herramientas su entorno se y organización.Entender la cultura organizacional 91 .

Utilizar enfoques y herramientas específicas .Explicar el proceso de AEC . 92 .Desarrollar la dinámica del equipo .AEC .Asegurar la logística del taller..Proporcionar información y conocimiento al taller . . Responsabilidades del Facilitador .INVOLUCRAMIENTO DE ……….Asegurarse que la administración sabe que es responsable de los controles .Obtener acciones de mejora del taller.

Responsabilidades del Facilitador Preparación del taller: Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organización Seleccionar los objetivos de la organización Seleccionar los participantes al TAC Preparar la logística de la reunión Enviar información previa a la reunión. 93 .AEC – INVOLUCRAMIENTO DE…….

AEC – INVOLUCRAMIENTO DE…….Facilitar la identificación del proceso y obstáculos . Responsabilidades del Facilitador Preparación del taller: .Vigilar la logística .Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIÓN 94 .

Emitir pronunciamientos y criterios al inicio del proceso 95 . suficiente para la 4.AEC – INVOLUCRAMIENTO DE……. Estrategias 1. Definir los objetivos del Taller de Autoevaluación del Control (TAC) 5. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Limitar el alcance a asuntos de alta prioridad 2. Proporcionar tiempo preparación del taller.

Estrategias 6. lo mismo que las acciones de mejora 96 . Implantar la AEC mediante prueba piloto. Mantener visible el apoyo de la alta gerencia 7.AEC – INVOLUCRAMIENTO DE ……. Vender el concepto constantemente 8. Proporcionar retroalimentación participantes sobre los resultados a los 9.

4.AEC . Seleccionar al facilitador y al relator 3. Planear reportes de avance y conclusión 97 . Elaborar el programa responsables y tiempos de actividades con 6. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Definir la estructura del TAC: horizontal. Seleccionar los participantes del TAC 5.P L A N E A C I Ó N 1. vertical o mixta.

C A P A C I T A C I O N Capacitar en Control y Autocontrol: • Modelos de Control (COSO. COCO...AEC.) • Evaluación de riesgos • Autoevaluación en control y su metodología • Herramientas y tecnología especializada para su uso en el taller 98 .

Preparar la logística de las reuniones 2.AEC . Explicar el papel de los participantes y aclarar expectativas. Enviar información previa a las reuniones 3. Presentar los objetivos del TAC • • • • • Definición del producto final Metodología del taller Herramientas a utilizar Método de registro y votación Beneficios tangibles 4.CONDUCCIÓN DE REUNIONES 1. 99 .

Estructurar e inventariar el resultado de las evaluaciones 8.AEC . Presentar la agenda de la reunión 6. Levantar minuta de los acuerdos 100 .CONDUCCIÓN DE REUNIONES 5. Conducir la reunión 7.

CONDUCCIÓN DE REUNIONES REGLAS PARA LA TOMA DE DECISIONES DE GRUPO Escuche No interrumpa Establezca un proceso de voto Asegúrese que todos apoyen las reglas Todos deben ser facilitadores en algún momento Las ideas de otros fortalecen la decisión del grupo Logre consenso 101 .AEC .

. tiempos. .Establecimiento de puntos de control para la evaluación de los avances y la comunicación de las desviaciones 102 .AEC – CONDUCCIÓN DE REUNIONES DESARROLLO DE PLANES DE ACCIÓN . .Determinación de acciones de mejora. responsables y recursos para la implantación de las mejoras.Definición y evaluación de objetivos. riesgos y controles.Definición y realización de las acciones.

Establecer sistema de seguimiento y evaluación de los planes de acción .Implantar acciones correctivas y formular nuevos planes .Impulsar la mejora continua 103 .MONITOREO Y REPORTE DE RESULTADOS .Establecer y formular reportes de avance de los trabajos del taller .AEC .Evaluar los costos y beneficios de las mejoras implantadas .

PROBLEMÁTICA . 104 .Poco o mal entendimiento de los talleres .Habilidades poco aprovechadas .Curva de aprendizaje pronunciada . equipo y software .Resultados iniciales poco impactantes .Inversión fuerte en capacitación .AEC .Costos de honorarios de entrenamiento.Esfuerzo serio de venta interna profesionales.Arranque costoso .

. • Salvaguarda. .AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la técnica.Represalias por comentarios hechos en la sesión de la AEC.Garantía de no represalias.Tecnología de voto electrónico. 105 . . .Acción subsecuente con información confidencial.Garantía sobre la confidencialidad. .

Inflexibilidad de quienes llevan a cabo la AEC .AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la resistencia. 106 . .Enfoque en los beneficios a alcanzar.Soporte y compromiso de alto nivel para la AEC .Selección de personal adecuado. . .El compromiso de tiempo puede ser visto como agobiante • Salvaguardas. .La AEC trae cambios que a la gente no le gustan.

107 . . • Salvaguardas.Organizaciones en medio de una reducción de personal.AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura.Evitar utilizar la AEC en estas situaciones. . .La cultura no valora la innovación y la colaboración.

+ Paticipantes con objetivos opuestos. • Salvaguardas. . 108 . + Funciones con únicamente una o dos personas.AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la adecuación.El desarrollo de la AEC no es adecuado en caso de: + Fraude. . + Terceros vendedores o proveedores de servicios. + Litigio.Evitar utilizar la AEC en estas situaciones.

. - La cultura no valora la innovación y la colaboración. • Salvaguardas.AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura.Organizaciones en medio de una reducción de personal. 109 . .Evitar utilizar la AEC con estas situaciones.

para su 110 . Factores críticos de éxito Pasos para implantación Recomendaciones implantación acelerar su III. II.ÉXITO PARA SU IMPLANTACIÓN I.

I. FACTORES CRÍTICOS DE ÉXITO 1) 2) 3) 4) Determinación de objetivos claros Patrocinio de la alta gerencia Apoyo de la gerencia Entendimiento de por qué participa cada uno en la sesión de Autoevaluación Señalamiento de expectativas 111 5) .

I. FACTORES CRÍTICOS DE ÉXITO 6) 7) Cultura que apoya la AEC Actitud gerencial orientada al facultamiento y el control Beneficios tangibles Definición del producto final Entorno libre de riesgos (no represalias) 112 8) 9) 10) .

PASOS PARA ACELERAR SU IMPLANTACIÓN 1) 2) 3) Reconocer la complejidad de su implantación Conducir sesiones piloto Ser realistas acerca de la cobertura de auditoría Dar los pronunciamientos y criterios al inicio del proceso Permitir suficiente tiempo para su preparación Limitar el alcance a los temas de alta prioridad 113 4) 5) 6) .II.

III. RECOMENDACIONES PARA SU IMPLANTACIÓN
1) 2) 3) 4) 5) 6) 7)

Conocer cuál es el propósito herramientas se necesitan Entender la cultura organizacional

y

qué

Ser innovador y dispuesto a tomar riesgos Particularizar el marco estructurado de control Agregar valor a la organización Comentar con los demás y aprender de ellos Rotar facilitadores que procedan de otras áreas
114

III. RECOMENDACIONES PARA SU IMPLANTACIÓN
8) 9) 10)

Emplear grupos de trabajo interdisciplinarios Mantener el proceso sencillo Reconocer que las habilidades de facilitación son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditoría Mantener visible el apoyo de la gerencia Vender el concepto cada día
115

11) 12)

AEC - ERRORES EN SU IMPLANTACIÓN

1) Fallar en explicar el por qué de la AEC. 2) Pilotear la AEC en un área problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situación.

116

• Se incrementa la conciencia entre objetivos. • Los equipos (grupos de AEC) funcionan mejor que los individuos. 117 . que sus contribuciones son valiosas y que están involucrados en la toma de decisiones. riesgos y controles.POR QUÉ FUNCIONA • Los empleados sienten que tienen un propósito. • La AEC promueve un entendimiento común de objetivos y metas.AEC . • Los talleres de AEC eliminan las barreras de comunicación.