Beruflich Dokumente
Kultur Dokumente
2
PANORMICA DE MODELOS DE CONTROL
Objetivos de Control
Principios
Madurez de la Capacidad
3
PANORMICA DE MODELOS DE CONTROL
Comunidad de Principios
5
DIAGRAMA DE INFLUENCIA
6
COMUNIDADES DE MODELOS
7
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST
8
CONTROL SEGN COSO
10
COSO - CONTROL
11
COSO - CONCEPTO DE CONTROL INTERNO
14
COSO - CARACTERSTICAS...
Afecta las acciones del personal, sealndole sus
responsabilidades y lmites de autoridad, as como la
vinculacin entre sus deberes y la forma en que los
desempean.
La alta direccin es responsable de la existencia de un
eficiente sistema de control.
Los Directores tienen la obligacin de la vigilancia del
control adems de que proporcionan directrices y
aprueban ciertas transacciones y polticas.
Cada individuo dentro de la organizacin tiene algn rol
respecto al control interno.
15
COSO - CARACTERSTICAS...
16
COSO - CARACTERSTICAS...
Limitaciones del control :
Colusin.
Costo - beneficio. 17
COSO - CARACTERSTICAS...
19
COSO - RELACIN DE OBJETIVOS Y COMPONENTES
20
COSO - MARCO INTEGRADO DE CONTROL
21
COSO - Relaciones de Componentes y Objetivos
O
S
NC ES
S
NE
NT
RO
RT
IE
IO
IE
IM
AC
PO
PL
ER
RE
ACTIVIDAD 2
NA
M
OP
CU
FI
MONITOREO
ACTIVIDAD 1
INFORMACION Y
COMUNICACION
UNIDAD B
ACTIVIDAD
ACTIVIDADES DE
CONTROL
UNIDAD A
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL
COMPONENTE
22
COSO - AMBIENTE DE CONTROL
Integridad y Valores Eticos
Comit de Auditora
Filosofa Admva. y Estilo de
Direccin
Estructura Organizacional
Asignacin de Autoridad y
Responsabilidad
Poltica de Recursos
Humanos
Competencia
23
COSO - EVALUACIN DE RIESGOS
Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento
Anlisis de Riesgos
Organizacin (Externos /
Internos)
Actividad
Anlisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Polticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL
Actividades de control
sobre:
Las operaciones
La informacin
financiera
El acatamiento
Tipos de Control:
Preventivos /
Correctivos
Manuales /
Automatizados
25
Gerenciales
COSO - INFORMACIN Y COMUNICACIN
Sistemas de Informacin :
Apoyo Actividades
Estratgicas
Integracin con las
Operaciones
Calidad
Comunicacin :
Interna / Externa
Medios 26
COSO - SUPERVISIN Y SEGUIMIENTO
Supervisin Concurrente
Evaluaciones Independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin
Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE EL CONTROL
28
COSO - TIPOS DE CONTROL
- Preventivos - Detectivos
Concurrentes (sobre
la marcha)
Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)
- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigacin y desarrollo
- De proyectos
29
MODELO CADBURY
Mayores especificaciones en la
definicin de su enfoque sobre el
sistema de control en su conjunto-
financiero y de cualquier tipo.
31
MODELO CADBURY
Objetivos orientados a proporcionar
una razonable seguridad de:
a) Efectividad y eficiencia de las
operaciones.
b) Confiabilidad de la informacin y
reportes financieros.
Servicio al cliente
Obtencin de beneficios
35
MODELO COCO
36
MODELO COCO
37
MODELO COCO
38
MODELO COCO
39
MODELO COCO
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
Criterios de control
Los criterios de control son la base para
entender el control de una organizacin.
Estn planteados como metas a cumplir
permanentemente.
40
MODELO COCO
A.- PROPSITO Sentido de Direccin a la
Organizacin
A1.- Los objetivos deben ser establecidos y
comunicados.
41
MODELO COCO
A.- PROPSITO
A4.- Deben establecerse y comunicarse
planes para guiar los
esfuerzos para lograr los objetivos de
la organizacin.
A5.- Los objetivos y los planes relativos
deben incluir metas,
parmetros e indicadores de
medicin del desempeo.
42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y
valores de la organizacin.
43
MODELO COCO
B.- COMPROMISO
44
MODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organizacin
45
MODELO COCO
C. APTITUD
46
MODELO COCO
47
MODELO COCO
- Evaluacin y Aprendizaje
48
COBIT
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas)
Qu es?
52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin
en TI y control sobre su rendimiento, as
como analizar el costo-beneficio del control.
53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organizacin y el control
mnimo requerido.
54
Cobit - Principios
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
55
Cobit - Estructura
EVENTOS INFORMACIN
Criterios
Efectividad
Informacin Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnologa Concuerdan
Instalaciones
Recurso Humano
57
Cobit - Estructura
Criterios de la Informacin (7)
CUBO de CobiT
Relacin entre los ad
li d d
Recurso Humano
i a
componentes ad b rid
lid if a u
a on g
Instalaciones
C Se
C
Tecnologa
Applicaciones
Dominios
Procesos TI
Datos
Procesos
TI
de
o s
Actividades r s
u
R ec
58
59
Objetivos del
Negocio
CobiT
Requerimientos Planeacin y
de Informacin Organizacin
Seguimiento
Recursos de TI
Adquisicin e
Implantacin
Servicios y Soporte
60
Cobit - Requerimientos
de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad.
Costo.
de Calidad
Oportunidad.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
Cobit - Requerimientos de la
Informacin del Negocio
62
Cobit - Requerimientos de la
Informacin del Negocio
Disponibilidad: accesibilidad a la
informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
63
Recursos de TI
Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos,
de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.
64
Procesos de TI
- Los Tres Niveles
Agrupacin natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitacin o cortes de
control.
65
COBIT DOMINIOS: 4
Planeacin y Organizacin
Adquisicin e Implantacin
Prestacin de Servicios y Soporte
Seguimiento
66
COBIT DOMINIOS - PROCESOS
68
COBIT COMO PRODUCTO
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guas de Auditora
Guas de Administracin
Herramientas de Implementacin
CD-ROM
2a Edicin disponible en espaol
69
COMPARACIN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992
SAC 1991/1994
Contribuciones
al concepto de Conceptos de
Control Interno Conceptos de
Control Interno Control Interno
Es la adopcin de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORA INTERNA
Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control
74
Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
reas de negocios objetivos plazo
Disminucin de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios
Reduccin de
tiempo para Ventajas
emergencias competitivas
Determinacin de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVS DE
UNA MEJOR ADMINISTRACIN
Fuentes de Negociacin de
DE RIESGOS
aseguramiento estrategias de control y
administracin de riesgos
Monitoreo de aspectos
significativos de Negociacin sobre
control interno rendicin de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administracin
Concientizacin
advertencia oportunos de riesgos y control
de los riesgos
76
crticos
SIMPLIFICACIN Y REDUCCIN DE COSTOS
Enfocarse Asegurar
Asegurarque
quelos
losobjetivos
Enfocarseen enriesgos
riesgos se
objetivos
jerarquicen
Evitar
Evitarduplicidades
duplicidades
crticos y sus controles
crticos y sus controles se jerarquicen
Asignar
Asignar
Reorientar
Reorientarelel responsabilidades
responsabilidades
entrenamiento MANTENERSE SIMPLE en
entrenamiento en laadministracin
la administracinde
de
hacia
hacialos
losriesgos
riesgoscrticos
crticos Y PROSPECTIVO riesgos
riesgos
Elaborar
Elaborarun
unplan
plan Mantener
Mantenerloslosinformes
informes
Evitar
Evitarexpedientes
expedientes
apropiado
apropiadoyy alalConsejo
Consejo sucintosyy
sucintos
voluminosos
voluminosos
monitorear
monitorearsu
suavance
avance sencillos
sencillos
77
PASOS SUGERIDOS
Fracaso en la
7.05
administracin de
proyectos mayores
Fracaso de estrategias 6.67
ADECUADA
ADMINISTRACIN DE Asesora a
Informacin
confiable RIESGOS Y todos los niveles de
CONTROL la compaa
Controles bsicos
Aplicacin
Mecanismos de continua
advertencia oportunos Concientizacin de
y respuesta rpida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admn de Inapropiada
Mecanismos Riesgos Orientacin
de Advertencia de riesgos
Incapacidad
Demasiados
para obtener
Riesgos
aceptacin
identificados Peligros del gerente
Potenciales
Sobrecarga
Abandonarlo
del comit
Demasiado
de
tarde
Auditora
Ignorar
Incremento
Controles
de
Financieros
Burocracia
bsicos
81
AUTOEVALUACIN DEL
CONTROL
83
AEC - OTROS NOMBRES
AEC - DEFINICIN
Autoevaluacin de riesgos
Co-evaluacin del control. de la organizacin.
Autoevaluacin
organizacional.
84
AEC - ENTRENAMIENTO
85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIN
2/2
Delegacin de
Facultades
Desarrollo de la
Responsabilidad AE C
ADMINISTRACIN
PARTICIPANTES
AUDITORA INTERNA
- Mejora de la moral del personal.
- Eliminacin de atmsferas de desconfianza.
- Generacin de ideas y planes de accin
implantados ms all del alcance original.
- Facilidad de implantacin de acciones de
mejora.
- Promocin de la unidad organizacional
mediante la identificacin y solucin de
problemas.
- REALZA EL PAPEL DE AUDITORA INTERNA. 87
AEC - FASES DE LA AUTOEVALUACIN
Involucramiento
de la alta
Gerencia
Monitoreo y
Planeacin
Reporte de
Resultados
Conduccin Capacitacin
de Reuniones
88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopcin de la AEC
89
AEC INVOLUCRAMIENTO DE.
Requisitos de la Organizacin
90
AEC INVOLUCRAMIENTO DE.
Requisitos del Facilitador
91
AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.
92
AEC INVOLUCRAMIENTO DE.
93
AEC INVOLUCRAMIENTO DE.
Responsabilidades del Facilitador
Preparacin del taller:
94
AEC INVOLUCRAMIENTO DE.
Estrategias
96
AEC - P L A N E A C I N
97
AEC- C A P A C I T A C I O N
98
AEC - CONDUCCIN DE REUNIONES
6. Conducir la reunin
100
AEC - CONDUCCIN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche
No interrumpa
Logre consenso
101
AEC CONDUCCIN DE REUNIONES
103
AEC - PROBLEMTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna
104
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la
- Represalias por comentarios hechos en la sesin
tcnica.
de la AEC.
- Accin subsecuente con informacin confidencial.
Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad.
- Tecnologa de voto electrnico.
105
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la
resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
Salvaguardas.
107
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la
adecuacin.
- El desarrollo de la AEC no es adecuado en
caso de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con nicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108
AEC PROBLEMTICA
109
XITO PARA SU IMPLANTACIN
110
I. FACTORES CRTICOS DE XITO
3) Apoyo de la gerencia
5) Sealamiento de expectativas
111
I. FACTORES CRTICOS DE XITO
8) Beneficios tangibles
112
II. PASOS PARA ACELERAR SU IMPLANTACIN
113
III. RECOMENDACIONES PARA SU
IMPLANTACIN
114
III. RECOMENDACIONES PARA SU
IMPLANTACIN
4) Sobre-analizar la situacin.
116
AEC - POR QU FUNCIONA
117