MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
 MODELOS DE CONTROL
CONTENIDO

PANORMICA DE MODELOS DE CONTROL

COSO
CADBURY
COCO
COBIT
TURNBULL
AEC

2
PANORMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para

clasificar los modelos de control segn Philip L.
Campbell ( An Introduction to Information
Control Models):

Objetivos de Control
Principios
Madurez de la Capacidad

3
 PANORMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control

Se basan en el concepto de objetivo de control:

Control: Las polticas, procedimientos, prcticas y

estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarn y que los eventos no
deseados se evitarn o detectarn y corregirn.

Objetivo de control: una declaracin de que el resultado

o propsito deseado se alcanzar al implantar
mecanismos de control en una actividad particular de
tecnologa de informacin
4
 PANORMICA DE MODELOS DE CONTROL

Comunidad de Principios

Se basan en la nocin de principios como rendicin de cuentas,

concientizacin, equidad y tica.

Comunidad de Madurez de la Capacidad

Se basa en la nocin del modelo de madurez, cuyo nico miembro

es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).

La teora es que una organizacin cuyo nivel de madurez es mayor

que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y slo en forma secundaria en el
producto.

5
DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell

6
COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell

7
 SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST

8
CONTROL SEGN COSO

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
9
 COSO -
ANTECEDENTES

Modelo de Control COSO: Committee of

Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.

Modelo de Control COCO: Criteria of Control

Committee (Instituto Canadiense de
Contadores Certificados, CICA,
November1995.

10
COSO - CONTROL

Cualquier medida que tome la direccin, el Consejo y otros,

para mejorar la gestin de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La direccin planifica, organiza y dirige la realizacin de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarn los objetivos y metas.

11
 COSO - CONCEPTO DE CONTROL INTERNO

Proceso llevado a cabo por el Consejo de Administracin, la

Gerencia y otro personal de la Organizacin, diseado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organizacin clasificados en:

Efectividad y eficiencia de las operaciones

Confiabilidad de la informacin financiera

Cumplimiento con las leyes, reglamentos, normas y

polticas.
12
 COSO - CARACTERSTICAS

Medio para alcanzar un fin, no un fin en si mismo.

No es un evento o circunstancia sino una serie de

acciones que permean en las actividades de la
organizacin.
Forma parte de los procesos bsicos de la
administracin-planeacin ejecucin y monitoreo y se
encuentra integrado en ellos.
Los controles deben construirse Dentro de la
infraestructura de la organizacin y no Sobre ella.
13
 COSO - CARACTERSTICAS...

Es efectuado por personas. No es solamente un conjunto

de manuales de polticas y procedimientos, sino son
personas en cada nivel de la organizacin.

Es ejecutado por la gente de una organizacin a travs de

lo que hace y dice. La gente disea los objetivos de la
Entidad y establece los mecanismos de control.

14
 COSO - CARACTERSTICAS...
Afecta las acciones del personal, sealndole sus
responsabilidades y lmites de autoridad, as como la
vinculacin entre sus deberes y la forma en que los
desempean.
La alta direccin es responsable de la existencia de un
eficiente sistema de control.
Los Directores tienen la obligacin de la vigilancia del
control adems de que proporcionan directrices y
aprueban ciertas transacciones y polticas.
Cada individuo dentro de la organizacin tiene algn rol
respecto al control interno.
15
 COSO - CARACTERSTICAS...

No existe sistema infalible. Ningn sistema har por

siempre lo que se espera que haga.
No importa lo bien diseado y operado que sea un
sistema de control; lo ms que puede esperarse es que
proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.

16
 COSO - CARACTERSTICAS...
Limitaciones del control :

Errores por falta de capacidad para ejecutar las

instrucciones

Errores de juicio en la toma de decisiones.

Errores por mala interpretacin, negligencia,

distraccin o fatiga.

Inobservancia gerencial a las polticas o

procedimientos prescritos.

Colusin.

Costo - beneficio. 17
 COSO - CARACTERSTICAS...

Caractersticas de los objetivos de una organizacin:

Operacionales: Relacionados con el uso eficiente y

eficaz de los recursos.

Informacin financiera: Relacionados con la

preparacin de reportes financieros confiables.

Cumplimiento: Relacionados con el cumplimiento

con leyes y reglamentos aplicables.
18
COSO - MARCO INTEGRADO DE CONTROL

19
 COSO - RELACIN DE OBJETIVOS Y COMPONENTES

Existe una relacin

directa entre objetivos

que la organizacin
busca y los
componentes que
representan lo
necesario para
alcanzar los objetivos

20
COSO - MARCO INTEGRADO DE CONTROL

21
COSO - Relaciones de Componentes y Objetivos

O
S

NC ES

S
NE

NT
RO
RT

IE
IO

IE

IM
AC

PO

PL
ER

RE

ACTIVIDAD 2
NA

M
OP

CU
FI
MONITOREO

ACTIVIDAD 1
INFORMACION Y
COMUNICACION

UNIDAD B
ACTIVIDAD
ACTIVIDADES DE
CONTROL

UNIDAD A
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL

COMPONENTE

22
COSO - AMBIENTE DE CONTROL
Integridad y Valores Eticos
Comit de Auditora
Filosofa Admva. y Estilo de
Direccin
Estructura Organizacional
Asignacin de Autoridad y
Responsabilidad
Poltica de Recursos
Humanos
Competencia
23
COSO - EVALUACIN DE RIESGOS
Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento

Anlisis de Riesgos
Organizacin (Externos /

Internos)
Actividad
Anlisis (Trascendencia /

Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Polticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL

Actividades de control
sobre:

Las operaciones
La informacin
financiera
El acatamiento

Tipos de Control:

Preventivos /
Correctivos
Manuales /
Automatizados
25
Gerenciales
COSO - INFORMACIN Y COMUNICACIN
Sistemas de Informacin :

Apoyo Actividades
Estratgicas
Integracin con las
Operaciones
Calidad

Comunicacin :

Interna / Externa
Medios 26
COSO - SUPERVISIN Y SEGUIMIENTO
Supervisin Concurrente

Evaluaciones Independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin

Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE EL CONTROL

Consejo de Administracin.- Es la instancia

responsable de establecer gua, supervisin general y
gobernabilidad a la organizacin
Gerencia.- El Director General es el ltimo responsable
y asume la propiedad del sistema de control
Auditores Internos.- Evala la efectividad del sistema
de control
Personal.- es responsable todo el personal dependiendo
de su nivel y ubicacin funcional

28
COSO - TIPOS DE CONTROL
- Preventivos - Detectivos
Concurrentes (sobre
la marcha)
Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)

- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)

- De investigacin y desarrollo
- De proyectos
29
MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
MODELO CADBURY

Desarrollado por el llamado Comit

Cadbury (UK Cadbury Committee).

Adopta una interpretacin amplia del

control.

Mayores especificaciones en la
definicin de su enfoque sobre el
sistema de control en su conjunto-
financiero y de cualquier tipo.

31
MODELO CADBURY
Objetivos orientados a proporcionar
una razonable seguridad de:
a) Efectividad y eficiencia de las
operaciones.
b) Confiabilidad de la informacin y
reportes financieros.

c) Cumplimiento con leyes y

reglamentos
Los elementos clave de este modelo
son en esencia similares al modelo
COSO, salvo la consideracin de los
sistemas de informacin integrados en
los otros componentes y un mayor
nfasis respecto a riesgos.
32

MODELO COCO

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
MODELO COCO

CONCEPTO DE CONTROL INTERNO

- Incluye aquellos elementos de una

organizacin
(recursos, sistemas, procesos, cultura,
estructura y metas) que tomadas en
conjunto apoyan al personal en el logro de
los objetivos de la organizacin:
Efectividad y eficiencia de las operaciones.

Confiabilidad de los reportes internos o

externos.

Cumplimiento con las leyes y reglamentos

aplicables, as como con las polticas internas.
34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad
y eficiencia de las operaciones)

Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtencin de beneficios

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son

debidamente identificados y administrados

35
MODELO COCO

Confiabilidad de los reportes internos y

externos
Mantenimiento de registros contables adecuados.

Confiabilidad de la informacin utilizada.

Informacin publicada para terceros interesados .

36
MODELO COCO

Cumplimiento con la normatividad y

polticas internas aplicables

Aseguramiento de que las actividades de la

organizacin se conducen en total
concordancia con el marco legal y con las
polticas internas.

37
MODELO COCO

Naturaleza del control

El control debe ser realizado por el personal de

toda la organizacin, quien ser responsable
del diseo, establecimiento, supervisin y
mantenimiento del control.

El personal responsable de lograr determinados

objetivos tambin deber evaluar la efectividad
del control dentro de su esfera de competencia
y de reportar tal evaluacin ante quien l es
responsable.

38
MODELO COCO

Naturaleza del control

El costo del control deber ser proporcional a

los beneficios esperados.

El control requiere de un equilibrio entre

autonoma e integracin y entre consistencia y
adaptacin al cambio.

39
MODELO COCO
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
Criterios de control
Los criterios de control son la base para
entender el control de una organizacin.
Estn planteados como metas a cumplir
permanentemente.

40
MODELO COCO
A.- PROPSITO Sentido de Direccin a la
Organizacin
A1.- Los objetivos deben ser establecidos y
comunicados.

A2.- Los riesgos internos y externos

significativos deben ser identificados y
evaluados.

A3.- Las polticas para apoyar el logro de los

objetivos de una organizacin y el manejo
de sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que
el personal entienda lo que de l se espera.

41
MODELO COCO

A.- PROPSITO
A4.- Deben establecerse y comunicarse
planes para guiar los
esfuerzos para lograr los objetivos de
la organizacin.
A5.- Los objetivos y los planes relativos
deben incluir metas,
parmetros e indicadores de
medicin del desempeo.

42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y
valores de la organizacin.

B1. Deben establecerse, comunicarse y

ponerse en prctica valores ticos
compartidos, incluyendo la integridad.

B2. Las polticas y prcticas sobre recursos

humanos deben ser consistentes con
los valores ticos de la organizacin y
con el logro de sus objetivos.

43
MODELO COCO

B.- COMPROMISO

B3. La autoridad, la responsabilidad y la

obligacin de rendir cuentas deben ser
claramente definidas y consistentes
con los objetivos de la organizacin,
de tal forma se tomen las decisiones y
acciones por el personal apropiado.

B4. Debe fomentarse una atmsfera de

mutua confianza para apoyar el flujo
de la informacin entre el personal y
para su efectivo desempeo hacia el
logro de los objetivos.

44
MODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organizacin

C1. El personal debe tener los conocimientos,

habilidades y herramientas para alcanzar
los objetivos de la organizacin.

C2. El proceso de comunicacin debe apoyar

los valores de la organizacin y el logro de
sus objetivos.

C3. Debe ser identificada y comunicada

informacin suficiente y relevante de
manera oportuna, para posibilitar al
personal a desempear las
responsabiIidades asignadas.

45
MODELO COCO

C. APTITUD

C4. Deben coordinarse las decisiones y

acciones de las diferentes partes de la
organizacin.

C5. Las actividades de control deben disearse

como parte integral de la organizacin,
tomando en consideracin sus objetivos, los
riesgos para su cumplimiento y la
interrelacin de los elementos de control.

46
MODELO COCO

- Evaluacin y aprendizaje. Sentido de

evolucin de la organizacin:
D1.- El ambiente externo e interno debe ser
monitoreado para obtener informacin que
pueda sealar la necesidad de revaluar los
objetivos de la organizacin o el control.

D2.- El desempeo debe ser evaluado o medido

contra las metas e indicadores en los planes
u objetivos de la organizacin.

D3.- Las premisas consideradas para los

objetivos de la organizacin deben
cuestionarse peridicamente.

47
MODELO COCO

- Evaluacin y Aprendizaje

D4.- Las necesidades de informacin y los

sistemas de informacin relativos deben
reevaluarse en la medida que cambian los
objetivos o al identificarse deficiencias en la
informacin reportada.

D5.- Debe establecerse y ejecutarse un

seguimiento de los procedimientos, para
asegurar que se den los cambios requeridos.

48
COBIT

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
49
 Cobit - Definicin

Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas)

Fuente: Control Objectives for Information and Related

Technology (CObIT) y presentacin de Fernando
Izquierdo Duarte 2002
50
 Cobit - Definicin

Qu es?

Es un marco de control interno de TI.

Parte de la premisa de que la TI

requiere proporcionar informacin
para lograr los objetivos de la
organizacin.

Promueve el enfoque y la propiedad

de los procesos.
51
 Cobit - Definicin
Apoya a la organizacin al proveer un marco que
asegura que:

La Tecnologa de Informacin (TI) est alineada con la

misin y visin.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

52
 Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin
en TI y control sobre su rendimiento, as
como analizar el costo-beneficio del control.

Usuarios Finales: Garantizar seguridad y

control de los productos que adquieren
interna y externamente

53
 Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organizacin y el control
mnimo requerido.

Responsables de TI: Identificar los

controles que requieren.

54
 Cobit - Principios

REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI

55
 Cobit - Estructura

EVENTOS INFORMACIN

Objetivos de Datos Efectividad

negocio Eficiencia
Aplicaciones
Oportunidades Confidencialidad
Tecnologa
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulacin Confiabilidad
Riesgos
56
 Cobit - Estructura
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Informacin Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnologa Concuerdan
Instalaciones
Recurso Humano
57
 Cobit - Estructura
Criterios de la Informacin (7)
CUBO de CobiT
Relacin entre los ad
li d d

Recurso Humano
i a
componentes ad b rid
lid if a u
a on g

Instalaciones
C Se
C

Tecnologa
Applicaciones
Dominios
Procesos TI

Datos
Procesos
TI
de
o s
Actividades r s
u
R ec
58
59
 Objetivos del
Negocio

CobiT

Requerimientos Planeacin y
de Informacin Organizacin

Seguimiento

Recursos de TI
Adquisicin e
Implantacin
Servicios y Soporte
60
 Cobit - Requerimientos
de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos Calidad.
Costo.
de Calidad
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
 Cobit - Requerimientos de la
Informacin del Negocio

Efectividad: Informacin relevante y pertinente,

proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva
contra divulgacin no autorizada
Integridad: Informacin exacta y completa, as como vlida
de acuerdo con las expectativas de la organizacin.

62
Cobit - Requerimientos de la
Informacin del Negocio
Disponibilidad: accesibilidad a la
informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.

63
 Recursos de TI
Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos,
de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.

64
 Procesos de TI
- Los Tres Niveles
Agrupacin natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitacin o cortes de
control.

Actividades Acciones requeridas para lograr un

o tareas 318 resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.

65
 COBIT DOMINIOS: 4

Planeacin y Organizacin
Adquisicin e Implantacin
Prestacin de Servicios y Soporte
Seguimiento

66
 COBIT DOMINIOS - PROCESOS

Definicin de un plan estratgico

Planeacin y
Definicin de la arquitectura de informacin
Organizacin
Determinacin de la direccin tecnolgica
Definicin de organizacin y relaciones
Administracin de la inversin
Comunicacin de las polticas
Administracin de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluacin de riesgos
Administracin de proyectos
Administracin de la calidad

Adquisicin e Identificacin de soluciones automatizadas

Implantacin Adquisicin y mantenimiento del software aplicativo
Adquisicin y mantenimiento de la infraestructura
tecnolgica
Desarrollo y mantenimiento de procedimientos
Instalacin y aceptacin de los sistemas
Administracin de los cambios 67
 COBIT DOMINIOS - PROCESOS
Definicin de los niveles de servicios
Servicios y Administracin de los servicios de terceros
Soporte Administracin de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificacin y asignacin de los costos
Asistencia y soporte a los clientes
Administracin de la configuracin
Administracin de los problemas
Administracin de los datos
Administracin de las instalaciones
Administracin de la operacin
Seguimiento
Seguimiento de los procesos
Evaluacin del control Interno
Contratacin de un aseguramiento independiente

68
 COBIT COMO PRODUCTO

Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guas de Auditora
Guas de Administracin
Herramientas de Implementacin
CD-ROM
2a Edicin disponible en espaol

69
COMPARACIN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998

Definicin de Definicin de Objetivos

Control Interno de Control de T I

COSO 1992
SAC 1991/1994
Contribuciones
al concepto de Conceptos de
Control Interno Conceptos de
Control Interno Control Interno

SAS 78 - 1995 enmienda

SAS 55 - 1988
70
71
GUA TURNBULL

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
72
72
 QU ES LA GUA
TURNBULL?

Es la adopcin de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORA INTERNA
Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control

Promocin de la Apoyo para mejorar

Concientizacin de el proceso de
riesgos y controles Identificacin y
y los programas de Administracin de
autoevaluacin riesgos

74
 Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
reas de negocios objetivos plazo

Disminucin de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios

Reduccin de
tiempo para Ventajas
emergencias competitivas

Mejores bases Enfoque interno

para establecer Menores costos en hacer bien
estrategias de capital las cosas
 IMPLANTACIN DEL TURNBULL
Identificacin de
Implantacin de
factores crticos
acciones de Identificacin de cambios de xito
mejora Internos y externos
y reconsideracin y
negociacin de objetivos Identificacin y
Revisin de riesgos priorizacin de
y controles anuales riesgos

Determinacin de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVS DE
UNA MEJOR ADMINISTRACIN
Fuentes de Negociacin de
DE RIESGOS
aseguramiento estrategias de control y
administracin de riesgos

Monitoreo de aspectos
significativos de Negociacin sobre
control interno rendicin de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administracin
Concientizacin
advertencia oportunos de riesgos y control
de los riesgos
76
crticos
 SIMPLIFICACIN Y REDUCCIN DE COSTOS

Enfocarse Asegurar
Asegurarque
quelos
losobjetivos
Enfocarseen enriesgos
riesgos se
objetivos
jerarquicen
Evitar
Evitarduplicidades
duplicidades
crticos y sus controles
crticos y sus controles se jerarquicen

Asignar
Asignar
Reorientar
Reorientarelel responsabilidades
responsabilidades
entrenamiento MANTENERSE SIMPLE en
entrenamiento en laadministracin
la administracinde
de
hacia
hacialos
losriesgos
riesgoscrticos
crticos Y PROSPECTIVO riesgos
riesgos

Elaborar
Elaborarun
unplan
plan Mantener
Mantenerloslosinformes
informes
Evitar
Evitarexpedientes
expedientes
apropiado
apropiadoyy alalConsejo
Consejo sucintosyy
sucintos
voluminosos
voluminosos
monitorear
monitorearsu
suavance
avance sencillos
sencillos
77
 PASOS SUGERIDOS

Enfoque a la mejora de negocios

Implantacin de mecanismos apropiados para

la informacin de avance
Involucramiento de los distintos niveles de la
organizacin

Implantacin del plan de desarrollo y de la poltica de administraci

de riesgos

Reconsideracin y afinacin del plan por el Consejo

Consideracin del plan por el Consejo de Administracin

Aceptacin del plan por parte de los directores

Asignacin de responsabilidades para elaborar el plan individual o de equipos78

 RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)

TIPOS DE RIESGO PROMEDIO

Fracaso en la
7.05
administracin de
proyectos mayores
Fracaso de estrategias 6.67

Fracaso en innovacin 6.32

Mala reputacin 6.30

/administracin - marca

Motivacin y bajo desempeo 6.00

del personal

1= riesgo mnimo, 9 = crtico Fuente: Deloitte & Touche, 1990

79
 Sencillez
Enfasis en el cambio
de comportamiento Conciencia
del riesgo

ADECUADA
ADMINISTRACIN DE Asesora a
Informacin
confiable RIESGOS Y todos los niveles de
CONTROL la compaa

Controles bsicos

Aplicacin
Mecanismos de continua
advertencia oportunos Concientizacin de
y respuesta rpida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES

Enfoque
Insuficiente
en
Falta de Admn de Inapropiada
Mecanismos Riesgos Orientacin
de Advertencia de riesgos

Incapacidad
Demasiados
para obtener
Riesgos
aceptacin
identificados Peligros del gerente
Potenciales

Sobrecarga
Abandonarlo
del comit
Demasiado
de
tarde
Auditora
Ignorar
Incremento
Controles
de
Financieros
Burocracia
bsicos

81
AUTOEVALUACIN DEL
CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
82
 AEC - DEFINICIN

Proceso documentado en el que :

La administracin o el equipo de trabajo se

involucra directamente en una funcin.

Se juzga la efectividad del proceso de control

vigente.

Se define si se asegura razonablemente el lograr

alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de

que se alcanzarn los objetivos de la organizacin .

83
 AEC - OTROS NOMBRES
AEC - DEFINICIN

Autoevaluacin de riesgo- Autoevaluacin de

control. proceso.

Evaluacin dinmica del Autoevaluacin de riesgos.

control.

Autoevaluacin de riesgos
Co-evaluacin del control. de la organizacin.

Autoevaluacin
organizacional.

84
 AEC - ENTRENAMIENTO

Para desarrollar la AEC se requiere

capacitacin:
. En metodologa.
. En modelos de control
. En evaluacin de riesgos
. En talleres de autoevaluacin de
control
. En redaccin.
. En tecnologa.

85
 AEC - FACTORES QUE PROMUEVEN SU ADOPCIN
2/2

BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos,

Delegacin de
Facultades

Desarrollo de la
Responsabilidad AE C

Instrumentacin Diseo de Mejores

del Control Controles

Eficienciade Procesos - Satisfaccin del cliente - Mejora

de la calidad - Examen de los procesos
organizacionales en general 86
CPC y CIA JUAN MANUEL PORTAL M.
AEC - BENEFICIOS PARA LA ADMINISTRACIN

ADMINISTRACIN
PARTICIPANTES
AUDITORA INTERNA
- Mejora de la moral del personal.
- Eliminacin de atmsferas de desconfianza.
- Generacin de ideas y planes de accin
implantados ms all del alcance original.
- Facilidad de implantacin de acciones de
mejora.
- Promocin de la unidad organizacional
mediante la identificacin y solucin de
problemas.
- REALZA EL PAPEL DE AUDITORA INTERNA. 87
 AEC - FASES DE LA AUTOEVALUACIN

Involucramiento
de la alta
Gerencia

Monitoreo y
Planeacin
Reporte de
Resultados

Conduccin Capacitacin
de Reuniones

88
 AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopcin de la AEC

Conocimiento de la AEC en los niveles

adecuados
Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
Aceptacin, involucramiento y patrocinio de la
alta gerencia en la AEC

89
 AEC INVOLUCRAMIENTO DE.

Requisitos de la Organizacin

- Cultura que apoye la AEC

- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantacin de la AEC.

90
AEC INVOLUCRAMIENTO DE.
Requisitos del Facilitador

- Ser innovador y desear tomar riesgos

- Saber escuchar, comunicarse y aprender de la
gente
- Saber qu alcanzar y qu herramientas se
necesitan
- Conocer la organizacin, su entorno y
normatividad
- Entender la cultura organizacional

91
AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.

92
 AEC INVOLUCRAMIENTO DE.

Responsabilidades del Facilitador

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo

Evaluar la estructura organizacional
Aprender sobre la organizacin
Seleccionar los objetivos de la organizacin
Seleccionar los participantes al TAC
Preparar la logstica de la reunin
Enviar informacin previa a la reunin.

93
 AEC INVOLUCRAMIENTO DE.
Responsabilidades del Facilitador
Preparacin del taller:

- Facilitar la identificacin del proceso y

obstculos
- Vigilar la logstica
- Obtener acciones de mejora del TAC

AGREGAR VALOR A LA ORGANIZACIN

94
AEC INVOLUCRAMIENTO DE.
Estrategias

1. Limitar el alcance a asuntos de alta prioridad

2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparacin del taller.
4. Definir los objetivos del Taller de Autoevaluacin
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
95
AEC INVOLUCRAMIENTO DE .
Estrategias
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentacin a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora

96
 AEC - P L A N E A C I N

1. Seleccionar el (los) objetivo (s) a analizar en el TAC

2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusin

97
 AEC- C A P A C I T A C I O N

Capacitar en Control y Autocontrol:

Modelos de Control (COSO, COCO...)

Evaluacin de riesgos
Autoevaluacin en control y su metodologa
Herramientas y tecnologa especializada para
su uso en el taller

98
 AEC - CONDUCCIN DE REUNIONES

1. Preparar la logstica de las reuniones

2. Enviar informacin previa a las reuniones
3. Presentar los objetivos del TAC
Definicin del producto final
Metodologa del taller
Herramientas a utilizar
Mtodo de registro y votacin
Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
99
 AEC - CONDUCCIN DE REUNIONES

5. Presentar la agenda de la reunin

6. Conducir la reunin

7. Estructurar e inventariar el resultado de las

evaluaciones

8. Levantar minuta de los acuerdos

100
 AEC - CONDUCCIN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche

No interrumpa

Establezca un proceso de voto

Asegrese que todos apoyen las reglas

Todos deben ser facilitadores en algn momento

Las ideas de otros fortalecen la decisin del grupo

Logre consenso

101
 AEC CONDUCCIN DE REUNIONES

DESARROLLO DE PLANES DE ACCIN

- Definicin y evaluacin de objetivos, riesgos y
controles.

- Determinacin de acciones de mejora.

- Definicin y realizacin de las acciones, tiempos,

responsables y recursos para la implantacin de
las mejoras.

- Establecimiento de puntos de control para la

evaluacin de los avances y la comunicacin de
las desviaciones 102
 AEC - MONITOREO Y REPORTE DE
RESULTADOS

- Establecer sistema de seguimiento y evaluacin de

los planes de accin
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua

103
 AEC - PROBLEMTICA

- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna

104
 AEC PROBLEMTICA
Obstculos Para Su Adopcin

Impedimentos derivados de la
- Represalias por comentarios hechos en la sesin
tcnica.
de la AEC.
- Accin subsecuente con informacin confidencial.

Salvaguarda.

- Garanta de no represalias.
- Garanta sobre la confidencialidad.
- Tecnologa de voto electrnico.

105
 AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la

resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
Salvaguardas.

- Seleccin de personal adecuado.

- Soporte y compromiso de alto nivel para
la AEC
- Enfoque en los beneficios a alcanzar.
106
 AEC PROBLEMTICA

OBSTCULOS PARA SU ADOPCIN

Amenazas derivadas de la cultura.

- La cultura no valora la innovacin y la

colaboracin.

- Organizaciones en medio de una reduccin de

Salvaguardas.
personal.

- Evitar utilizar la AEC en estas situaciones.

107
 AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la

adecuacin.
- El desarrollo de la AEC no es adecuado en
caso de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con nicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.

108
 AEC PROBLEMTICA

OBSTCULOS PARA SU ADOPCIN

Amenazas derivadas de la cultura.

- La cultura no valora la innovacin y la

colaboracin.

- Organizaciones en medio de una reduccin

de personal.
Salvaguardas.

- Evitar utilizar la AEC con estas situaciones.

109
 XITO PARA SU IMPLANTACIN

I. Factores crticos de xito

II. Pasos para acelerar su

implantacin

III. Recomendaciones para su

implantacin

110
 I. FACTORES CRTICOS DE XITO

1) Determinacin de objetivos claros

2) Patrocinio de la alta gerencia

3) Apoyo de la gerencia

4) Entendimiento de por qu participa cada uno en la

sesin de Autoevaluacin

5) Sealamiento de expectativas

111
 I. FACTORES CRTICOS DE XITO

6) Cultura que apoya la AEC

7) Actitud gerencial orientada al facultamiento y el control

8) Beneficios tangibles

9) Definicin del producto final

10) Entorno libre de riesgos (no represalias)

112
 II. PASOS PARA ACELERAR SU IMPLANTACIN

1) Reconocer la complejidad de su implantacin

2) Conducir sesiones piloto
3) Ser realistas acerca de la cobertura de auditora

4) Dar los pronunciamientos y criterios al inicio

del proceso
5) Permitir suficiente tiempo para su preparacin

6) Limitar el alcance a los temas de alta prioridad

113
 III. RECOMENDACIONES PARA SU
IMPLANTACIN

1) Conocer cul es el propsito y qu

herramientas se necesitan
2) Entender la cultura organizacional
3) Ser innovador y dispuesto a tomar riesgos
4) Particularizar el marco estructurado de control
5) Agregar valor a la organizacin
6) Comentar con los dems y aprender de ellos
7) Rotar facilitadores que procedan de otras reas

114
 III. RECOMENDACIONES PARA SU
IMPLANTACIN

8) Emplear grupos de trabajo interdisciplinarios

9) Mantener el proceso sencillo
10) Reconocer que las habilidades de facilitacin
son tan importantes como las pruebas de
cumplimiento o las habilidades tradicionales
de auditora
11) Mantener visible el apoyo de la gerencia
12) Vender el concepto cada da
115
AEC - ERRORES EN SU IMPLANTACIN

1) Fallar en explicar el por qu de la AEC.

2) Pilotear la AEC en un rea problema.

3) Escoger los objetivos equivocados.

4) Sobre-analizar la situacin.

116
 AEC - POR QU FUNCIONA

Los empleados sienten que tienen un propsito,

que sus contribuciones son valiosas y que estn
involucrados en la toma de decisiones.

Se incrementa la conciencia entre objetivos,

riesgos y controles.

Los equipos (grupos de AEC) funcionan mejor que

los individuos.
La AEC promueve un entendimiento comn de
objetivos y metas.

Los talleres de AEC eliminan las barreras de

comunicacin.

117