MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith Diciembre 2007

MODELOS DE CONTROL
CONTENIDO

PANORMICA DE MODELOS DE CONTROL COSO CADBURY COCO COBIT TURNBULL AEC

PANORMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control segn Philip L. Campbell ( An Introduction to Information Control Models): Objetivos de Control Principios Madurez de la Capacidad

PANORMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control Se basan en el concepto de objetivo de control: Control: Las polticas, procedimientos, prcticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarn y que los eventos no deseados se evitarn o detectarn y corregirn.

Objetivo de control: una declaracin de que el resultado o propsito deseado se alcanzar al implantar mecanismos de control en una actividad particular de tecnologa de informacin
4

PANORMICA DE MODELOS DE CONTROL

Comunidad de Principios Se basan en la nocin de principios como rendicin de cuentas, concientizacin, equidad y tica. Comunidad de Madurez de la Capacidad Se basa en la nocin del modelo de madurez, cuyo nico miembro es el Systems Security Engineering Capability Maturity Model (SSECMM). La teora es que una organizacin cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y slo en forma secundaria en el producto.

DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information Control Models, Philip L. Campbell

6

COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information Control Models, Philip L. Campbell

7

SIGNIFICADO DE SIGLAS UTILIZADAS

OECD
GAPP BS 7799 SAC COSO

Organization for Economic Cooperation and Development

Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST) British Standard Institute Security Auditability and Control. The Inst. of Internal Audit. Internal Control Integrated Framework. Committee of Sponsoring Organizations National Security Agency (NSA) Defense- Canada.

SSE CMM Systems Security Engineering Capability Maturity Model CoCo ITCG GASSP Cobit FISCAM SSAG Criteria of Control Board of The Canadian Institute of Chartered Accountants. Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA) Generaly Accepted System Security Principles. International Information Security Foundation (IISF) Control Objectives for Information and Related Technologies Federal Information Systems Controls Audit Manual. GAO System Self-Assessment Guide for Information Technology Systems. NIST

SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability

CONTROL SEGN COSO

CP, CIA y Mtro Fernando Vera Smith Diciembre 2007

9

COSO - ANTECEDENTES

Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.

10

COSO - CONTROL
Cualquier medida que tome la direccin, el Consejo y otros,

para mejorar la gestin de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La direccin planifica, organiza y dirige la realizacin de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarn los objetivos y metas.

11

COSO - CONCEPTO DE CONTROL INTERNO

Proceso llevado a cabo por el Consejo de Administracin, la Gerencia y otro personal de la Organizacin, diseado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organizacin clasificados en: Efectividad y eficiencia de las operaciones Confiabilidad de la informacin financiera Cumplimiento con las leyes, reglamentos, normas y polticas.
12

COSO - CARACTERSTICAS
Medio para alcanzar un fin, no un fin en si mismo. No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organizacin. Forma parte de los procesos bsicos de la administracin-planeacin ejecucin y monitoreo y se encuentra integrado en ellos. Los controles deben construirse Dentro de la infraestructura de la organizacin y no Sobre ella.
13

COSO - CARACTERSTICAS...

Es efectuado por personas. No es solamente un conjunto

de manuales de polticas y procedimientos, sino son personas en cada nivel de la organizacin. Es ejecutado por la gente de una organizacin a travs de lo que hace y dice. La gente disea los objetivos de la Entidad y establece los mecanismos de control.

14

COSO - CARACTERSTICAS...
Afecta las acciones del personal, sealndole sus responsabilidades y lmites de autoridad, as como la vinculacin entre sus deberes y la forma en que los desempean. La alta direccin es responsable de la existencia de un eficiente sistema de control. Los Directores tienen la obligacin de la vigilancia del control adems de que proporcionan directrices y aprueban ciertas transacciones y polticas. Cada individuo dentro de la organizacin tiene algn rol respecto al control interno.
15

COSO - CARACTERSTICAS...

No existe sistema infalible. Ningn sistema har por siempre lo que se espera que haga. No importa lo bien diseado y operado que sea un sistema de control; lo ms que puede esperarse es que proporcione seguridad razonable. El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos.

16

COSO - CARACTERSTICAS...
Limitaciones del control :
Errores por falta de capacidad para ejecutar las instrucciones Errores de juicio en la toma de decisiones. Errores por mala interpretacin, negligencia,

distraccin o fatiga.
Inobservancia gerencial a las polticas o

procedimientos prescritos. Colusin. Costo - beneficio.

17

COSO - CARACTERSTICAS...
Caractersticas de los objetivos de una organizacin: Operacionales: Relacionados con el uso eficiente y eficaz de los recursos. Informacin financiera: Relacionados con la

preparacin de reportes financieros confiables.

Cumplimiento: Relacionados con el cumplimiento

con leyes y reglamentos aplicables.
18

COSO - MARCO INTEGRADO DE CONTROL

19

COSO - RELACIN DE OBJETIVOS Y COMPONENTES

Existe una relacin

directa entre objetivos que la organizacin busca y los

componentes
representan necesario

que
lo para

alcanzar los objetivos

20

COSO - MARCO INTEGRADO DE CONTROL

21

COSO - Relaciones de Componentes y Objetivos

MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL COMPONENTE ACTIVIDAD

22

COSO - AMBIENTE DE CONTROL

Integridad y Valores Eticos Comit de Auditora Filosofa Admva. y Estilo de Direccin Estructura Organizacional Asignacin de Autoridad y Responsabilidad Poltica de Recursos Humanos Competencia
23

COSO - EVALUACIN DE RIESGOS

Objetivos Institucionales Objetivos Especficos Operativos Informacin Financiera Cumplimiento Anlisis de Riesgos Organizacin (Externos / Internos) Actividad Anlisis (Trascendencia / Probabilidad / Control) Manejo de Cambios (Reorganizaciones/Polticas / Sistemas y Procedimientos) 24

COSO - ACTIVIDADES DE CONTROL

Actividades de control sobre:

Las operaciones La informacin financiera El acatamiento

Tipos de Control:

Preventivos / Correctivos Manuales / Automatizados Gerenciales

25

COSO - INFORMACIN Y COMUNICACIN

Sistemas de Informacin :

Apoyo Actividades Estratgicas

Integracin con las Operaciones Calidad

Comunicacin :

Interna / Externa Medios

26

COSO - SUPERVISIN Y SEGUIMIENTO

Supervisin Concurrente

Evaluaciones Independientes

Alcance y frecuencia Quines evalan

Proceso de evaluacin
Metodologa / documentacin Plan de accin

Reportes de Deficiencias
27

COSO - RESPONSABILIDADES SOBRE EL CONTROL

Consejo de Administracin.- Es la instancia responsable de establecer gua, supervisin general y gobernabilidad a la organizacin Gerencia.- El Director General es el ltimo responsable y asume la propiedad del sistema de control Auditores Internos.- Evala la efectividad del sistema de control Personal.- es responsable todo el personal dependiendo de su nivel y ubicacin funcional

28

COSO - TIPOS DE CONTROL

- Preventivos - Detectivos Concurrentes (sobre la marcha) Posteriores - De resultados (actividades creativas) - De operaciones - De procesos - De salidas

- De actividades (repetitivas) - De recursos - De insumos

- De acceso
- De investigacin y desarrollo - De proyectos

- De seguridad (resguardo)

29

MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007

MODELO CADBURY
Desarrollado por el llamado Comit Cadbury (UK Cadbury Committee). Adopta una interpretacin amplia del control. Mayores especificaciones en la definicin de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo.

31

MODELO CADBURY
Objetivos orientados a razonable seguridad de: proporcionar una

a) Efectividad y eficiencia de las operaciones.

b) Confiabilidad de la informacin y reportes financieros.

c) Cumplimiento con leyes y reglamentos Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideracin de los sistemas de informacin integrados en los otros componentes y un mayor nfasis respecto a riesgos. Limitacin en la responsabilidad de los reportes de control a la confiabilidad de los financieros

32

MODELO COCO

CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007

MODELO COCO
CONCEPTO DE CONTROL INTERNO

- Incluye aquellos elementos de una organizacin (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organizacin:
Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, as como con las polticas internas.
34

MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)

Servicio al cliente
Salvaguarda y uso eficiente de los recursos

Obtencin de beneficios
Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados
35

MODELO COCO
Confiabilidad de los reportes internos y externos
Mantenimiento de registros contables adecuados.

Confiabilidad de la informacin utilizada.

Informacin publicada para terceros interesados.

36

MODELO COCO

Cumplimiento con la normatividad y polticas internas aplicables Aseguramiento de que las actividades de la organizacin se conducen en total concordancia con el marco legal y con las polticas internas.

37

MODELO COCO
Naturaleza del control El control debe ser realizado por el personal de toda la organizacin, quien ser responsable del diseo, establecimiento, supervisin y mantenimiento del control.

El personal responsable de lograr determinados objetivos tambin deber evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluacin ante quien l es responsable.

38

MODELO COCO
Naturaleza del control

El costo del control deber ser proporcional a los beneficios esperados.

El control requiere de un equilibrio entre autonoma e integracin y entre consistencia y adaptacin al cambio.

39

MODELO COCO
Ciclo del entendimiento bsico Propsito Compromiso Aptitud Accin Evaluacin (Auto) y Aprendizaje

Criterios de control
Los criterios de control son la base para entender el control de una organizacin. Estn planteados como metas a cumplir permanentemente.
40

MODELO COCO
A.- PROPSITO Sentido de Direccin a la Organizacin

A1.- Los objetivos deben ser establecidos y comunicados.

A2.- Los riesgos internos y externos significativos deben ser identificados y evaluados. A3.- Las polticas para apoyar el logro de los objetivos de una organizacin y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de l se espera.
41

MODELO COCO
A.- PROPSITO A4.Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organizacin. Los objetivos y los planes relativos deben incluir metas, parmetros e indicadores de medicin del desempeo.

A5.-

42

MODELO COCO
B.- COMPROMISO: Sentido de identidad y valores de la organizacin.

B1.

Deben establecerse, comunicarse y ponerse en prctica valores ticos compartidos, incluyendo la integridad.

B2. Las polticas y prcticas sobre recursos humanos deben ser consistentes con los valores ticos de la organizacin y con el logro de sus objetivos.

43

MODELO COCO
B.- COMPROMISO B3. La autoridad, la responsabilidad y la obligacin de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organizacin, de tal forma se tomen las decisiones y acciones por el personal apropiado.

B4. Debe fomentarse una atmsfera de mutua confianza para apoyar el flujo de la informacin entre el personal y para su efectivo desempeo hacia el logro de los objetivos.

44

MODELO COCO
C. APTITUD: sentido de competencia o aptitud de la organizacin C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organizacin. C2. El proceso de comunicacin debe apoyar los valores de la organizacin y el logro de sus objetivos. C3. Debe ser identificada y comunicada informacin suficiente y relevante de manera oportuna, para posibilitar al personal a desempear las responsabiIidades asignadas.

45

MODELO COCO
C. APTITUD

C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organizacin.
C5. Las actividades de control deben disearse como parte integral de la organizacin, tomando en consideracin sus objetivos, los riesgos para su cumplimiento y la interrelacin de los elementos de control.

46

MODELO COCO - Evaluacin y aprendizaje. Sentido de evolucin de la organizacin:

D1.-

El ambiente externo e interno debe ser monitoreado para obtener informacin que pueda sealar la necesidad de revaluar los objetivos de la organizacin o el control.

D2.- El desempeo debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organizacin. D3.- Las premisas consideradas para los objetivos de la organizacin deben cuestionarse peridicamente.
47

MODELO COCO - Evaluacin y Aprendizaje D4.- Las necesidades de informacin y los sistemas de informacin relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la informacin reportada.

D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.

48

COBIT

CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007 49

Cobit - Definicin
Control OBjectives for Information and Related Technology
(Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
Fuente: Control Objectives for Information and Related Technology (CObIT) y presentacin de Fernando Izquierdo Duarte 2002
50

Cobit - Definicin
Qu es? Es un marco de control interno de TI.

Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin.
Promueve el enfoque y la propiedad de los procesos.
51

Cobit - Definicin
Apoya a la organizacin al proveer un marco que asegura que: La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.
52

Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin en TI y control sobre su rendimiento, as como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente
53

Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y el control mnimo requerido. Responsables de TI: Identificar los controles que requieren.

54

Cobit - Principios
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI RECURSOS DE TI
55

Cobit - Estructura
EVENTOS
Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos

INFORMACIN Datos Aplicaciones Tecnologa Instalaciones

Recurso Humano Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

56

Cobit - Estructura
Lo que usted Obtiene

Procesos del Negocio

Lo que Usted Necesita

Criterios

Informacin

Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Recurso Humano

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Concuerdan
57

Cobit - Estructura
CUBO de CobiT Relacin entre los componentes
Criterios de la Informacin (7)

Procesos TI

Dominios

Procesos
Actividades
58

59

Objetivos del Negocio

CobiT

Requerimientos de Informacin

Planeacin y Organizacin

Seguimiento
Recursos de TI

Adquisicin e Implantacin

Servicios y Soporte
60

Cobit - Requerimientos
de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Requerimientos de Calidad
Requerimientos Financieros (COSO) Requerimientos de Seguridad

Calidad. Costo. Oportunidad. Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.
61

Cobit - Requerimientos de la Informacin del Negocio

Efectividad: Informacin relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable
Eficiencia: Empleo ptimo de los recursos.

Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada

Integridad: Informacin exacta y completa, as como vlida de acuerdo con las expectativas de la organizacin.

62

Cobit - Requerimientos de la
Informacin del Negocio
Disponibilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.
63

Recursos de TI
Datos: Todos los objetos de informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Hardware y software bsico, sistemas operativos, de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano :Habilidad, actitud y productividad del personal.

64

Procesos de TI - Los Tres Niveles

Dominios Procesos
34 Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas.
65

Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Actividades o tareas

318

COBIT DOMINIOS: 4

Planeacin y Organizacin Adquisicin e Implantacin Prestacin de Servicios y Soporte Seguimiento

66

COBIT DOMINIOS - PROCESOS

Planeacin y Organizacin
Definicin de un plan estratgico Definicin de la arquitectura de informacin Determinacin de la direccin tecnolgica Definicin de organizacin y relaciones Administracin de la inversin Comunicacin de las polticas Administracin de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluacin de riesgos Administracin de proyectos Administracin de la calidad

Adquisicin e Implantacin

Identificacin de soluciones automatizadas Adquisicin y mantenimiento del software aplicativo Adquisicin y mantenimiento de la infraestructura tecnolgica Desarrollo y mantenimiento de procedimientos Instalacin y aceptacin de los sistemas Administracin de los cambios

67

COBIT DOMINIOS - PROCESOS

Servicios y Soporte
Definicin de los niveles de servicios Administracin de los servicios de terceros Administracin de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificacin y asignacin de los costos Asistencia y soporte a los clientes Administracin de la configuracin Administracin de los problemas Administracin de los datos Administracin de las instalaciones Administracin de la operacin Seguimiento de los procesos Evaluacin del control Interno Contratacin de un aseguramiento independiente
68

Seguimiento

COBIT COMO PRODUCTO

Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guas de Auditora Guas de Administracin Herramientas de Implementacin CD-ROM 2a Edicin disponible en espaol
69

COMPARACIN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998
Definicin de Control Interno Definicin de Objetivos de Control de T I

COSO 1992
Contribuciones al concepto de Control Interno

SAC 1991/1994
Conceptos de Control Interno Conceptos de Control Interno

SAS 78 - 1995

enmienda

SAS 55 - 1988
70

Comparacin de Conceptos de Control

COBIT
Dirigido a:

SAC

COSO
Administracin Procesos

SASs 55/78
Auditores Externos Procesos

Administracin, Usuarios, Auditores de Auditores Internos Sistemas Responsables de TI Conjunto de procesos, subsistemas y personas Efectividad y Eficiencia de las operaciones

El Control Interno es Visto Conjunto de procesos incluyendo como polticas, procedimientos, prcticas y estructura Organizacional Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la informacin Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeacin y Organizacin Adquisicin e implantacin Servicio y Soporte Seguimiento

Efectividad y Eficiencia de las operaciones

Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas

Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros Cumplimiento con leyes y normas Cumplimiento con leyes y normas

Componentes: Ambiente de Control Sistemas Manuales y Automatizados. Procedimientos de Control

Componentes: Ambiente de Control Evaluacin de Riesgo Actividades de Control Informacin y Comunicacin Seguimiento

Componentes: Ambiente de Control Evaluacin de Riesgo Actividades de Control Informacin y Comunicacin Seguimiento Estados Financieros Por un periodo de tiempo Administracin 63 pginas en 2 documentos

Enfocado a

Tecnologa de Informacin

Tecnologa de Informacin Por un periodo de tiempo Administracin

Toda la Organizacin En un punto en el tiempo Administracin

Evaluacin de la Por un periodo de tiempo Efectividad del Control I. Responsable por el Control Administracin Interno Tamao 187 pginas en 4 volmenes

1193 pginas en 12 mdulos 353 pginas en 4 volmenes

71

GUA TURNBULL

CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007

72

 QU ES LA GUA TURNBULL?
Es la adopcin de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad

CONTRIBUCIONES DE AUDITORA INTERNA

Aseguramiento de la adecuacin y efectividad de la Administracin de Riesgos y del sistema de control

Promocin de la Concientizacin de riesgos y controles y los programas de autoevaluacin

Apoyo para mejorar el proceso de Identificacin y Administracin de riesgos

74

Desplazamiento oportuno a otras reas de negocios

Mayor probabilidad de lograr objetivos

Mayor cobertura a largo plazo

Disminucin de sorpresas desagradables

BENEFICIOS POTENCIALES

Mayor probabilidad de lograr cambios

Reduccin de tiempo para emergencias

Ventajas competitivas

Mejores bases para establecer estrategias

Menores costos de capital

Enfoque interno en hacer bien las cosas

IMPLANTACIN DEL TURNBULL

Implantacin de acciones de mejora Identificacin de cambios Internos y externos y reconsideracin y negociacin de objetivos Identificacin de factores crticos de xito Identificacin y priorizacin de riesgos

Revisin de riesgos y controles anuales

Informes sucintos

Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos

ENFOQUE AL LOGRO DE OBJETIVOS A TRAVS DE UNA MEJOR ADMINISTRACIN DE RIESGOS

Determinacin de riesgos significativos

Negociacin de estrategias de control y administracin de riesgos

Cambios en comportamiento y enfoque en las bases de una buena administracin de riesgos y control

Negociacin sobre rendicin de cuentas

Concientizacin de los riesgos 76 crticos

SIMPLIFICACIN Y REDUCCIN DE COSTOS

Enfocarse en riesgos crticos y sus controles Asegurar que los objetivos se jerarquicen Evitar duplicidades

Reorientar el entrenamiento hacia los riesgos crticos

MANTENERSE SIMPLE Y PROSPECTIVO

Asignar responsabilidades en la administracin de riesgos

Elaborar un plan apropiado y monitorear su avance

Evitar expedientes voluminosos

Mantener los informes al Consejo sucintos y sencillos

77

PASOS SUGERIDOS
Enfoque a la mejora de negocios Implantacin de mecanismos apropiados para la informacin de avance

Involucramiento de los distintos niveles de la organizacin

Implantacin del plan de desarrollo y de la poltica de administraci de riesgos Reconsideracin y afinacin del plan por el Consejo Consideracin del plan por el Consejo de Administracin Aceptacin del plan por parte de los directores Asignacin de responsabilidades para elaborar el plan individual o de equipos 78

RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA)

PROMEDIO

TIPOS DE RIESGO Fracaso en la administracin de proyectos mayores Fracaso de estrategias

7.05 6.67

Fracaso en innovacin Mala reputacin /administracin - marca

6.32

6.30

Motivacin y bajo desempeo del personal 1= riesgo mnimo, 9 = crtico

6.00

Fuente: Deloitte & Touche, 1990 79

Enfasis en el cambio de comportamiento

Sencillez

Conciencia del riesgo

Informacin confiable

ADECUADA ADMINISTRACIN DE RIESGOS Y CONTROL

Asesora a todos los niveles de la compaa

Controles bsicos

Mecanismos de advertencia oportunos y respuesta rpida

Concientizacin de los objetivos organizacionales

Aplicacin continua de Estrategias de control

PELIGROS POTENCIALES
Enfoque Insuficiente en Admn de Riesgos

Falta de Mecanismos de Advertencia

Inapropiada Orientacin de riesgos

Demasiados Riesgos identificados

Peligros Potenciales

Incapacidad para obtener aceptacin del gerente

Abandonarlo Demasiado tarde

Incremento de Burocracia Ignorar Controles Financieros bsicos

Sobrecarga del comit de Auditora

81

AUTOEVALUACIN DEL CONTROL

CP, CIA y Mtro Fernando Vera Smith Diciembre 2007

82

AEC - DEFINICIN

Proceso documentado en el que : La administracin o el equipo de trabajo se involucra directamente en una funcin. Se juzga la efectividad del proceso de control vigente.

Se define si se asegura razonablemente el lograr alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se alcanzarn los objetivos de la organizacin.

83

AEC - OTROS NOMBRES

AEC - DEFINICIN

Autoevaluacin de riesgocontrol.
Evaluacin dinmica del control. Co-evaluacin del control.

Autoevaluacin de proceso. Autoevaluacin de riesgos. Autoevaluacin de riesgos de la organizacin.

Autoevaluacin organizacional.

84

AEC - ENTRENAMIENTO
Para desarrollar la AEC se requiere capacitacin: . En metodologa. . En modelos de control

. En evaluacin de riesgos
. En talleres de autoevaluacin de control . En redaccin. . En tecnologa.

85

AEC - FACTORES QUE PROMUEVEN SU ADOPCIN

2/2

BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos,
Delegacin de Facultades Desarrollo de la Responsabilidad AEC

Instrumentacin del Control

Diseo de Mejores Controles

Eficiencia

de Procesos - Satisfaccin del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general

86 CPC y CIA JUAN MANUEL PORTAL M.

AEC - BENEFICIOS PARA LA ADMINISTRACIN

ADMINISTRACIN

PARTICIPANTES AUDITORA INTERNA

- Mejora de la moral del personal.

- Eliminacin de atmsferas de desconfianza.

- Generacin de ideas y planes de accin implantados ms all del alcance original.

- Facilidad de implantacin de acciones de mejora.

- Promocin de la unidad organizacional mediante la identificacin y solucin de problemas. - REALZA EL PAPEL DE AUDITORA INTERNA.
87

AEC - FASES DE LA AUTOEVALUACIN

Involucramiento de la alta Gerencia

Monitoreo y
Reporte de Resultados

Planeacin

Conduccin de Reuniones

Capacitacin

88

AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopcin de la AEC Conocimiento adecuados de la AEC en los niveles costos,

Entendimiento de la complejidad, beneficios y limitaciones de la AEC

Aceptacin, involucramiento y patrocinio de la alta gerencia en la AEC

89

AEC INVOLUCRAMIENTO DE.

Requisitos de la Organizacin
- Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control.

- Entorno libre de riesgos (no represalias)

- Reconocimiento de la implantacin de la AEC. complejidad de la

90

AEC INVOLUCRAMIENTO DE.

Requisitos del Facilitador

- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la gente - Saber qu necesitan - Conocer la normatividad alcanzar y qu herramientas su entorno se y

organizacin,

- Entender la cultura organizacional

91

AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es responsable de los controles
- Explicar el proceso de AEC

- Proporcionar informacin y conocimiento al taller

- Utilizar enfoques y herramientas especficas - Desarrollar la dinmica del equipo - Asegurar la logstica del taller. - Obtener acciones de mejora del taller.
92

AEC INVOLUCRAMIENTO DE.

Responsabilidades del Facilitador

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organizacin Seleccionar los objetivos de la organizacin Seleccionar los participantes al TAC Preparar la logstica de la reunin Enviar informacin previa a la reunin.
93

AEC INVOLUCRAMIENTO DE.

Responsabilidades del Facilitador
Preparacin del taller:

- Facilitar la identificacin del proceso y obstculos

- Vigilar la logstica - Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIN
94

AEC INVOLUCRAMIENTO DE.

Estrategias
1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo preparacin del taller. suficiente para la

4. Definir los objetivos del Taller de Autoevaluacin del Control (TAC)

5. Emitir pronunciamientos y criterios al inicio del proceso
95

AEC INVOLUCRAMIENTO DE .
Estrategias
6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentacin participantes sobre los resultados a los

9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora

96

AEC - P L A N E A C I N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta.

4. Seleccionar los participantes del TAC

5. Elaborar el programa responsables y tiempos de actividades con

6. Planear reportes de avance y conclusin

97

AEC- C A P A C I T A C I O N
Capacitar en Control y Autocontrol: Modelos de Control (COSO, COCO...) Evaluacin de riesgos Autoevaluacin en control y su metodologa Herramientas y tecnologa especializada para su uso en el taller

98

AEC - CONDUCCIN DE REUNIONES

1. Preparar la logstica de las reuniones 2. Enviar informacin previa a las reuniones 3. Presentar los objetivos del TAC Definicin del producto final

Metodologa del taller

Herramientas a utilizar Mtodo de registro y votacin

Beneficios tangibles

4. Explicar el papel de los participantes y aclarar expectativas.

99

AEC - CONDUCCIN DE REUNIONES

5. Presentar la agenda de la reunin

6. Conducir la reunin
7. Estructurar e inventariar el resultado de las evaluaciones

8. Levantar minuta de los acuerdos

100

AEC - CONDUCCIN DE REUNIONES

REGLAS PARA LA TOMA DE DECISIONES DE GRUPO

Escuche No interrumpa Establezca un proceso de voto Asegrese que todos apoyen las reglas Todos deben ser facilitadores en algn momento Las ideas de otros fortalecen la decisin del grupo Logre consenso
101

AEC CONDUCCIN DE REUNIONES

DESARROLLO DE PLANES DE ACCIN - Definicin y evaluacin de objetivos, riesgos y controles. - Determinacin de acciones de mejora. - Definicin y realizacin de las acciones, tiempos, responsables y recursos para la implantacin de las mejoras. - Establecimiento de puntos de control para la evaluacin de los avances y la comunicacin de las desviaciones

102

AEC - MONITOREO Y REPORTE DE RESULTADOS

- Establecer sistema de seguimiento y evaluacin de los planes de accin - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua

103

AEC - PROBLEMTICA
- Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes

- Costos de honorarios de entrenamiento, equipo y software

- Inversin fuerte en capacitacin - Esfuerzo serio de venta interna

profesionales,

104

AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la tcnica.
- Represalias por comentarios hechos en la sesin de la AEC.
- Accin subsecuente con informacin confidencial.

Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad. - Tecnologa de voto electrnico.

105

AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante

Salvaguardas.
- Seleccin de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar.
106

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
- La cultura no valora la innovacin y la colaboracin.
- Organizaciones en medio de una reduccin de personal.

Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.

107

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la adecuacin.
- El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con nicamente una o dos personas. + Terceros vendedores o proveedores de servicios.

Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
-

La cultura no valora la innovacin y la colaboracin.

- Organizaciones en medio de una reduccin de personal. Salvaguardas. - Evitar utilizar la AEC con estas situaciones.
109

XITO PARA SU IMPLANTACIN

I.

Factores crticos de xito Pasos para implantacin Recomendaciones implantacin acelerar su

II.

III.

para

su

110

I. FACTORES CRTICOS DE XITO

Determinacin de objetivos claros Patrocinio de la alta gerencia

1) 2)

3)
4)

Apoyo de la gerencia
Entendimiento de por qu participa cada uno en la sesin de Autoevaluacin Sealamiento de expectativas

5)

111

I. FACTORES CRTICOS DE XITO

6) 7)

Cultura que apoya la AEC Actitud gerencial orientada al facultamiento y el control Beneficios tangibles Definicin del producto final Entorno libre de riesgos (no represalias)

8) 9) 10)

112

II. PASOS PARA ACELERAR SU IMPLANTACIN

1) 2)

Reconocer la complejidad de su implantacin Conducir sesiones piloto

3)

Ser realistas acerca de la cobertura de auditora

Dar los pronunciamientos y criterios al inicio del proceso Permitir suficiente tiempo para su preparacin

4)

5)

6)

Limitar el alcance a los temas de alta prioridad

113

III. RECOMENDACIONES PARA SU IMPLANTACIN

1)

Conocer cul es el propsito herramientas se necesitan Entender la cultura organizacional

qu

2) 3) 4) 5)

Ser innovador y dispuesto a tomar riesgos Particularizar el marco estructurado de control Agregar valor a la organizacin

6)
7)

Comentar con los dems y aprender de ellos

Rotar facilitadores que procedan de otras reas
114

III. RECOMENDACIONES PARA SU IMPLANTACIN

8) 9)

Emplear grupos de trabajo interdisciplinarios Mantener el proceso sencillo

10)

Reconocer que las habilidades de facilitacin son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditora
Mantener visible el apoyo de la gerencia

11)

12)

Vender el concepto cada da

115

AEC - ERRORES EN SU IMPLANTACIN

1) Fallar en explicar el por qu de la AEC. 2) Pilotear la AEC en un rea problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situacin.

116

AEC - POR QU FUNCIONA

Los empleados sienten que tienen un propsito, que sus contribuciones son valiosas y que estn involucrados en la toma de decisiones. Se incrementa la conciencia entre objetivos, riesgos y controles. Los equipos (grupos de AEC) funcionan mejor que los individuos. La AEC promueve un entendimiento comn de objetivos y metas. Los talleres de AEC eliminan las barreras de comunicacin.
117