Beruflich Dokumente
Kultur Dokumente
2
PANORMICA DE MODELOS DE CONTROL
Objetivos de Control
Principios
Madurez de la Capacidad
3
PANORMICA DE MODELOS DE CONTROL
Comunidad de Principios
5
DIAGRAMA DE INFLUENCIA
6
COMUNIDADES DE MODELOS
7
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST
8
CONTROL SEGN COSO
10
COSO - CONTROL
11
COSO - CONCEPTO DE CONTROL INTERNO
14
COSO - CARACTERSTICAS...
16
COSO - CARACTERSTICAS...
Limitaciones del control :
Colusin.
Costo - beneficio. 17
COSO - CARACTERSTICAS...
19
COSO - RELACIN DE OBJETIVOS Y COMPONENTES
20
COSO - MARCO INTEGRADO DE CONTROL
21
COSO - Relaciones de Componentes y Objetivos
MONITOREO
INFORMACION Y
COMUNICACION
ACTIVIDAD
ACTIVIDADES DE
CONTROL
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL
COMPONENTE
22
COSO - AMBIENTE DE CONTROL
Integridad y Valores Eticos
Comit de Auditora
Filosofa Admva. y Estilo de
Direccin
Estructura Organizacional
Asignacin de Autoridad y
Responsabilidad
Poltica de Recursos
Humanos
Competencia
23
COSO - EVALUACIN DE RIESGOS
Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento
Anlisis de Riesgos
Organizacin (Externos /
Internos)
Actividad
Anlisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Polticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL
Actividades de control
sobre:
Las operaciones
La informacin
financiera
El acatamiento
Tipos de Control:
Preventivos /
Correctivos
Manuales /
Automatizados
Gerenciales 25
COSO - INFORMACIN Y COMUNICACIN
Sistemas de Informacin :
Apoyo Actividades
Estratgicas
Integracin con las
Operaciones
Calidad
Comunicacin :
Interna / Externa
Medios 26
COSO - SUPERVISIN Y SEGUIMIENTO
Supervisin Concurrente
Evaluaciones Independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin
Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE EL CONTROL
28
COSO - TIPOS DE CONTROL
- Preventivos - Detectivos
Concurrentes (sobre
la marcha)
Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)
- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigacin y desarrollo
- De proyectos
29
MODELO CADBURY
31
MODELO CADBURY
Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la informacin y reportes
financieros.
34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad y
eficiencia de las operaciones)
Servicio al cliente
Obtencin de beneficios
35
MODELO COCO
36
MODELO COCO
37
MODELO COCO
38
MODELO COCO
39
MODELO COCO
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
Criterios de control
40
MODELO COCO
A.- PROPSITO Sentido de Direccin a la
Organizacin
A1.- Los objetivos deben ser establecidos y
comunicados.
41
MODELO COCO
A.- PROPSITO
42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y valores
de la organizacin.
43
MODELO COCO
B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligacin de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organizacin, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.
44
MODELO COCO
C. APTITUD: sentido de competencia o aptitud
de la organizacin
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organizacin.
45
MODELO COCO
C. APTITUD
46
MODELO COCO
47
MODELO COCO
- Evaluacin y Aprendizaje
48
COBIT
Qu es?
52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin
en TI y control sobre su rendimiento, as
como analizar el costo-beneficio del control.
53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organizacin y el control
mnimo requerido.
54
Cobit - Principios
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
55
Cobit - Estructura
EVENTOS INFORMACIN
Criterios
Efectividad
Informacin Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnologa Concuerdan
Instalaciones
Recurso Humano
57
Cobit - Estructura
Criterios de la Informacin (7)
CUBO de CobiT
Relacin entre los
componentes
Dominios
Procesos TI
Procesos
Actividades
58
59
Objetivos del
Negocio
CobiT
Requerimientos Planeacin y
de Informacin Organizacin
Seguimiento
Recursos de TI Adquisicin e
Implantacin
Servicios y Soporte
60
Cobit - Requerimientos
de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad.
de Calidad Costo.
Oportunidad.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
Cobit - Requerimientos de la
Informacin del Negocio
62
Cobit - Requerimientos de la
Informacin del Negocio
Disponibilidad: accesibilidad a la
informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
63
Recursos de TI
Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos,
de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.
64
Procesos de TI
- Los Tres Niveles
Agrupacin natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitacin o cortes de
control.
Actividades
Acciones requeridas para lograr un
o tareas 318 resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
65
COBIT DOMINIOS: 4
Planeacin y Organizacin
Adquisicin e Implantacin
Prestacin de Servicios y Soporte
Seguimiento
66
COBIT DOMINIOS - PROCESOS
68
COBIT COMO PRODUCTO
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guas de Auditora
Guas de Administracin
Herramientas de Implementacin
CD-ROM
2a Edicin disponible en espaol
69
COMPARACIN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno
71
GUA TURNBULL
Es la adopcin de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORA INTERNA
Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control
74
Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
reas de negocios objetivos plazo
Disminucin de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios
Reduccin de
tiempo para Ventajas
emergencias competitivas
Determinacin de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVS DE
UNA MEJOR ADMINISTRACIN
Fuentes de Negociacin de
DE RIESGOS
aseguramiento estrategias de control y
administracin de riesgos
Monitoreo de aspectos
significativos de Negociacin sobre
control interno rendicin de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administracin
Concientizacin
advertencia oportunos de riesgos y control
de los riesgos
76
crticos
SIMPLIFICACIN Y REDUCCIN DE COSTOS
Asignar
Reorientar el responsabilidades
entrenamiento MANTENERSE SIMPLE
en la administracin de
hacia los riesgos crticos Y PROSPECTIVO riesgos
Fracaso en la
7.05
administracin de
proyectos mayores
Fracaso de estrategias 6.67
ADECUADA
ADMINISTRACIN DE Asesora a
Informacin
confiable RIESGOS Y todos los niveles de
CONTROL la compaa
Controles bsicos
Aplicacin
Mecanismos de continua
advertencia oportunos Concientizacin de
y respuesta rpida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admn de Inapropiada
Mecanismos Riesgos Orientacin
de Advertencia de riesgos
Incapacidad
Demasiados
para obtener
Riesgos
aceptacin
identificados Peligros del gerente
Potenciales
Sobrecarga
Abandonarlo
del comit
Demasiado
de
tarde
Auditora
Ignorar
Incremento
Controles
de
Financieros
Burocracia
bsicos
81
AUTOEVALUACIN DEL
CONTROL
83
AEC - OTROS NOMBRES
AEC - DEFINICIN
Autoevaluacin de riesgos.
Evaluacin dinmica del
control.
Autoevaluacin de riesgos de
la organizacin.
Co-evaluacin del control.
Autoevaluacin
organizacional.
84
AEC - ENTRENAMIENTO
. En metodologa.
. En modelos de control
. En evaluacin de riesgos
. En talleres de autoevaluacin de control
. En redaccin.
. En tecnologa.
85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIN
2/2
Delegacin de
Facultades
Desarrollo de la
Responsabilidad AEC
ADMINISTRACIN
PARTICIPANTES
AUDITORA INTERNA
- Mejora de la moral del personal.
- Eliminacin de atmsferas de desconfianza.
- Generacin de ideas y planes de accin
implantados ms all del alcance original.
- Facilidad de implantacin de acciones de
mejora.
- Promocin de la unidad organizacional
mediante la identificacin y solucin de
problemas.
- REALZA EL PAPEL DE AUDITORA INTERNA. 87
AEC - FASES DE LA AUTOEVALUACIN
Involucramiento
de la alta
Gerencia
Monitoreo y
Reporte de Planeacin
Resultados
Conduccin Capacitacin
de Reuniones
88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopcin de la AEC
89
AEC INVOLUCRAMIENTO DE.
Requisitos de la Organizacin
90
AEC INVOLUCRAMIENTO DE.
Requisitos del Facilitador
91
AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.
92
AEC INVOLUCRAMIENTO DE.
93
AEC INVOLUCRAMIENTO DE.
Responsabilidades del Facilitador
Preparacin del taller:
94
AEC INVOLUCRAMIENTO DE.
Estrategias
96
AEC - P L A N E A C I N
97
AEC- C A P A C I T A C I O N
98
AEC - CONDUCCIN DE REUNIONES
6. Conducir la reunin
100
AEC - CONDUCCIN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche
No interrumpa
Logre consenso
101
AEC CONDUCCIN DE REUNIONES
103
AEC - PROBLEMTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna
104
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad.
- Tecnologa de voto electrnico.
105
AEC PROBLEMTICA
Obstculos Para Su Adopcin
Impedimentos derivados de la resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
Salvaguardas.
- Seleccin de personal adecuado.
- Soporte y compromiso de alto nivel para la AEC
- Enfoque en los beneficios a alcanzar.
106
AEC PROBLEMTICA
Salvaguardas.
107
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la adecuacin.
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con nicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108
AEC PROBLEMTICA
Salvaguardas.
109
XITO PARA SU IMPLANTACIN
110
I. FACTORES CRTICOS DE XITO
3) Apoyo de la gerencia
5) Sealamiento de expectativas
111
I. FACTORES CRTICOS DE XITO
112
II. PASOS PARA ACELERAR SU IMPLANTACIN
115
AEC - ERRORES EN SU IMPLANTACIN
4) Sobre-analizar la situacin.
116
AEC - POR QU FUNCIONA
117