1 Modelos de Control

MODELOS DE CONTROL
CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007

2
MODELOS DE CONTROL
CONTENIDO

PANORMICA DE MODELOS DE CONTROL
COSO
CADBURY
COCO
COBIT
TURNBULL
AEC
3
Marcos de referencia (comunidades) para
clasificar los modelos de control segn Philip L.
Campbell ( An Introduction to Information
Control Models):

Objetivos de Control
Principios
Madurez de la Capacidad
4
Comunidad de Objetivos de Control

Se basan en el concepto de objetivo de control:

Control: Las polticas, procedimientos, prcticas y
estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarn y que los eventos no
deseados se evitarn o detectarn y corregirn.

Objetivo de control: una declaracin de que el resultado
o propsito deseado se alcanzar al implantar
mecanismos de control en una actividad particular de
tecnologa de informacin
5
Comunidad de Principios

Se basan en la nocin de principios como rendicin de cuentas,
concientizacin, equidad y tica.

Comunidad de Madurez de la Capacidad

Se basa en la nocin del modelo de madurez, cuyo nico miembro
es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).

La teora es que una organizacin cuyo nivel de madurez es mayor
que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y slo en forma secundaria en el
producto.

6
DIAGRAMA DE INFLUENCIA
FUENTE: An Introduction to Information
Control Models, Philip L. Campbell
7
COMUNIDADES DE MODELOS
FUENTE: An Introduction to Information
Control Models, Philip L. Campbell
8
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST

9
Diciembre 2007

CONTROL SEGN COSO
10
COSO - ANTECEDENTES
Modelo de Control COSO: Committee of
Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.

Modelo de Control COCO: Criteria of Control
Committee (Instituto Canadiense de Contadores
Certificados, CICA, November1995.
11
Cualquier medida que tome la direccin, el Consejo y otros,
para mejorar la gestin de riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas establecidos.
La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarn los objetivos y metas.
COSO - CONTROL
12
Proceso llevado a cabo por el Consejo de Administracin, la
Gerencia y otro personal de la Organizacin, diseado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organizacin clasificados en:

Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento con las leyes, reglamentos, normas y
polticas.
COSO - CONCEPTO DE CONTROL INTERNO
13
COSO - CARACTERSTICAS
Medio para alcanzar un fin, no un fin en si mismo.
No es un evento o circunstancia sino una serie de
acciones que permean en las actividades de la
organizacin.
Forma parte de los procesos bsicos de la
administracin-planeacin ejecucin y monitoreo y se
encuentra integrado en ellos.
Los controles deben construirse Dentro de la
infraestructura de la organizacin y no Sobre ella.
14
Es efectuado por personas. No es solamente un conjunto
de manuales de polticas y procedimientos, sino son
personas en cada nivel de la organizacin.
Es ejecutado por la gente de una organizacin a travs de
lo que hace y dice. La gente disea los objetivos de la
Entidad y establece los mecanismos de control.

COSO - CARACTERSTICAS...
15
Afecta las acciones del personal, sealndole sus
responsabilidades y lmites de autoridad, as como la
vinculacin entre sus deberes y la forma en que los
desempean.
La alta direccin es responsable de la existencia de un
eficiente sistema de control.
Los Directores tienen la obligacin de la vigilancia del
control adems de que proporcionan directrices y
aprueban ciertas transacciones y polticas.
Cada individuo dentro de la organizacin tiene algn rol
respecto al control interno.
16
No existe sistema infalible. Ningn sistema har por
siempre lo que se espera que haga.
No importa lo bien diseado y operado que sea un
sistema de control; lo ms que puede esperarse es que
proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.
17
Limitaciones del control :
Errores por falta de capacidad para ejecutar las
instrucciones
Errores de juicio en la toma de decisiones.
Errores por mala interpretacin, negligencia,
distraccin o fatiga.
Inobservancia gerencial a las polticas o
procedimientos prescritos.
Colusin.
Costo - beneficio.
18
Caractersticas de los objetivos de una organizacin:
Operacionales: Relacionados con el uso eficiente y
eficaz de los recursos.
I nformacin financiera: Relacionados con la
preparacin de reportes financieros confiables.
Cumplimiento: Relacionados con el cumplimiento
con leyes y reglamentos aplicables.
19
COSO - MARCO INTEGRADO DE CONTROL
20
COSO - RELACIN DE OBJETIVOS Y COMPONENTES
Existe una relacin
directa entre objetivos
que la organizacin
busca y los
componentes que
representan lo
necesario para
alcanzar los objetivos
21
COSO - MARCO INTEGRADO DE CONTROL
22
MONITOREO
INFORMACION Y
COMUNICACION
ACTIVIDADES DE
CONTROL
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL
COSO - Relaciones de Componentes y Objetivos
COMPONENTE
ACTIVIDAD
23
Integridad y Valores Eticos
Comit de Auditora
Filosofa Admva. y Estilo de
Direccin
Estructura Organizacional
Asignacin de Autoridad y
Responsabilidad
Poltica de Recursos
Humanos
Competencia
COSO - AMBIENTE DE CONTROL
24
Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento
Anlisis de Riesgos
Organizacin (Externos /
Internos)
Actividad
Anlisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Polticas /
Sistemas y Procedimientos)
COSO - EVALUACIN DE RIESGOS
25
Actividades de control
sobre:

Las operaciones
La informacin
financiera
El acatamiento

Tipos de Control:

Preventivos /
Correctivos
Manuales /
Automatizados
Gerenciales
COSO - ACTIVIDADES DE CONTROL
26
Sistemas de Informacin :

Apoyo Actividades
Estratgicas
Integracin con las
Operaciones
Calidad

Comunicacin :

Interna / Externa
Medios
COSO - INFORMACIN Y COMUNICACIN
27
Supervisin Concurrente

Evaluaciones Independientes
Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin

Reportes de Deficiencias
COSO - SUPERVISIN Y SEGUIMIENTO
28
COSO - RESPONSABILIDADES SOBRE EL CONTROL
Consejo de Administracin.- Es la instancia
responsable de establecer gua, supervisin general y
gobernabilidad a la organizacin
Gerencia.- El Director General es el ltimo responsable
y asume la propiedad del sistema de control
Auditores Internos.- Evala la efectividad del sistema
de control
Personal.- es responsable todo el personal dependiendo
de su nivel y ubicacin funcional
29

COSO - TIPOS DE CONTROL

- Preventivos
Concurrentes (sobre
la marcha)
- Detectivos
Posteriores
- De actividades
(repetitivas)
- De resultados
(actividades creativas)
- De recursos
- De insumos
- De acceso
- De investigacin y desarrollo
- De proyectos
- De operaciones
- De procesos - De salidas
- De seguridad (resguardo)
MODELO CADBURY
CP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007
31
MODELO CADBURY
Adopta una interpretacin amplia del control.

Mayores especificaciones en la definicin de
su enfoque sobre el sistema de control en su
conjunto-financiero y de cualquier tipo.

Desarrollado por el llamado Comit Cadbury
(UK Cadbury Committee).
32
Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la informacin y reportes
financieros.

c) Cumplimiento con leyes y reglamentos
Los elementos clave de este modelo son en
esencia similares al modelo COSO, salvo la
consideracin de los sistemas de informacin
integrados en los otros componentes y un
mayor nfasis respecto a riesgos.
Limitacin en la responsabilidad de los
reportes de control a la confiabilidad de los
financieros

MODELO CADBURY
MODELO COCO
Diciembre, 2007
34
CONCEPTO DE CONTROL INTERNO

Efectividad y eficiencia de las operaciones.

Confiabilidad de los reportes internos o externos.

Cumplimiento con las leyes y reglamentos aplicables,
as como con las polticas internas.
MODELO COCO
- Incluye aquellos elementos de una organizacin
(recursos, sistemas, procesos, cultura, estructura y
metas) que tomadas en conjunto apoyan al
personal en el logro de los objetivos de la
organizacin:
35
Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtencin de beneficios

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son debidamente
identificados y administrados
OBJETIVOS ORGANIZACIONALES (efectividad y
eficiencia de las operaciones)
MODELO COCO
36
Mantenimiento de registros contables
adecuados.

Confiabilidad de la informacin utilizada.

Informacin publicada para terceros
interesados.

Confiabilidad de los reportes internos y externos
MODELO COCO
37
Cumplimiento con la normatividad y
polticas internas aplicables
Aseguramiento de que las actividades de la
organizacin se conducen en total concordancia
con el marco legal y con las polticas internas.

MODELO COCO

38
MODELO COCO
Naturaleza del control
El control debe ser realizado por el personal de toda la
organizacin, quien ser responsable del diseo,
establecimiento, supervisin y mantenimiento del
control.

El personal responsable de lograr determinados
objetivos tambin deber evaluar la efectividad del
control dentro de su esfera de competencia y de
reportar tal evaluacin ante quien l es responsable.

39
Naturaleza del control
El costo del control deber ser proporcional a los
beneficios esperados.

El control requiere de un equilibrio entre
autonoma e integracin y entre consistencia y
adaptacin al cambio.

MODELO COCO
40
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
MODELO COCO
Criterios de control
Los criterios de control son la base para entender el
control de una organizacin.
Estn planteados como metas a cumplir
permanentemente.

41
A.- PROPSITO Sentido de Direccin a la
Organizacin
A1.- Los objetivos deben ser establecidos y
comunicados.

A2.- Los riesgos internos y externos significativos
deben ser identificados y evaluados.

A3.- Las polticas para apoyar el logro de los
objetivos de una organizacin y el manejo de
sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que el
personal entienda lo que de l se espera.

MODELO COCO

42
A4.- Deben establecerse y comunicarse
planes para guiar los esfuerzos para
lograr los objetivos de la organizacin.

A5.- Los objetivos y los planes relativos
deben incluir metas, parmetros e
indicadores de medicin del
desempeo.
A.- PROPSITO
MODELO COCO
43
B.- COMPROMISO: Sentido de identidad y valores
de la organizacin.

B1. Deben establecerse, comunicarse y ponerse
en prctica valores ticos compartidos,
incluyendo la integridad.

B2. Las polticas y prcticas sobre recursos
humanos deben ser consistentes con los
valores ticos de la organizacin y con el
logro de sus objetivos.
MODELO COCO
44
B3. La autoridad, la responsabilidad y la
obligacin de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organizacin, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.

B4. Debe fomentarse una atmsfera de mutua
confianza para apoyar el flujo de la
informacin entre el personal y para su
efectivo desempeo hacia el logro de los
objetivos.

B.- COMPROMISO
MODELO COCO
45
MODELO COCO

C. APTITUD: sentido de competencia o aptitud
de la organizacin
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organizacin.

C2. El proceso de comunicacin debe apoyar los
valores de la organizacin y el logro de sus
objetivos.

C3. Debe ser identificada y comunicada informacin
suficiente y relevante de manera oportuna, para
posibilitar al personal a desempear las
responsabiIidades asignadas.

46
MODELO COCO
C. APTITUD
C4. Deben coordinarse las decisiones y acciones de
las diferentes partes de la organizacin.

C5. Las actividades de control deben disearse como
parte integral de la organizacin, tomando en
consideracin sus objetivos, los riesgos para su
cumplimiento y la interrelacin de los elementos
de control.

47
- Evaluacin y aprendizaje. Sentido de evolucin
de la organizacin:
D1.- El ambiente externo e interno debe ser
monitoreado para obtener informacin que
pueda sealar la necesidad de revaluar los
objetivos de la organizacin o el control.

D2.- El desempeo debe ser evaluado o medido contra
las metas e indicadores en los planes u objetivos
de la organizacin.

D3.- Las premisas consideradas para los objetivos de la
organizacin deben cuestionarse peridicamente.

MODELO COCO
48
D4.- Las necesidades de informacin y los sistemas
de informacin relativos deben reevaluarse en la
medida que cambian los objetivos o al identificarse
deficiencias en la informacin reportada.

D5.- Debe establecerse y ejecutarse un seguimiento
de los procedimientos, para asegurar que se den los
cambios requeridos.

- Evaluacin y Aprendizaje

MODELO COCO
49
COBIT
Diciembre, 2007
50
Cobit - Definicin
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas)

Fuente: Control Objectives for Information and Related
Technology (CObIT) y presentacin de Fernando
Izquierdo Duarte 2002

51
Cobit - Definicin

Qu es?

Es un marco de control interno de TI.

Parte de la premisa de que la TI
requiere proporcionar informacin
para lograr los objetivos de la
organizacin.

Promueve el enfoque y la propiedad
de los procesos.
52
Cobit - Definicin
Apoya a la organizacin al proveer un marco que
asegura que:

La Tecnologa de Informacin (TI) est alineada con la
misin y visin.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.
53
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin
en TI y control sobre su rendimiento, as
como analizar el costo-beneficio del control.

Usuarios Finales: Garantizar seguridad y
control de los productos que adquieren
interna y externamente
54
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organizacin y el control
mnimo requerido.

Responsables de TI: Identificar los
controles que requieren.
55
Cobit - Principios
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
56
INFORMACIN

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

EVENTOS

Objetivos de
negocio
Oportunidades
de negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Cobit - Estructura
57
Procesos del
Negocio
Recursos de TI

Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Informacin
Lo que usted
Obtiene
Lo que Usted
Necesita
Criterios

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
Cobit - Estructura
58
P
r
o
c
e
s
o
s

T
I

Dominios
Procesos
Actividades
CUBO de CobiT
Relacin entre los
componentes
Criterios de la Informacin (7)
Cobit - Estructura
59
60
CobiT
Objetivos del
Negocio
Recursos de TI
Requerimientos
de Informacin
Seguimiento
Planeacin y
Organizacin
Adquisicin e
Implantacin
Servicios y Soporte
61
Cobit - Requerimientos
de la Informacin del Negocio
Requerimientos
de Calidad

Requerimientos
Financieros
(COSO)
Requerimientos
de Seguridad

Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad.
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
62
Efectividad: Informacin relevante y pertinente,
proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva
contra divulgacin no autorizada
Integridad: Informacin exacta y completa, as como vlida
de acuerdo con las expectativas de la organizacin.
Cobit - Requerimientos de la
Informacin del Negocio
63
Disponibilidad: accesibilidad a la
informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
Cobit - Requerimientos de la
Informacin del Negocio

64
Recursos de TI
Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos,
de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.

65
Procesos de TI
- Los Tres Niveles
Dominios
Agrupacin natural de procesos,
normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.
Actividades
o tareas
Acciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
4
34
318
66
Planeacin y Organizacin
Adquisicin e Implantacin
Prestacin de Servicios y Soporte
Seguimiento
COBIT DOMINIOS: 4

67
COBIT DOMINIOS - PROCESOS
Adquisicin e
Implantacin
Identificacin de soluciones automatizadas
Adquisicin y mantenimiento del software aplicativo
Adquisicin y mantenimiento de la infraestructura
tecnolgica
Desarrollo y mantenimiento de procedimientos
Instalacin y aceptacin de los sistemas
Administracin de los cambios

Planeacin y
Organizacin
Definicin de un plan estratgico
Definicin de la arquitectura de informacin
Determinacin de la direccin tecnolgica
Definicin de organizacin y relaciones
Administracin de la inversin
Comunicacin de las polticas
Administracin de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluacin de riesgos
Administracin de proyectos
Administracin de la calidad

68
COBIT DOMINIOS - PROCESOS
Servicios y
Soporte
Definicin de los niveles de servicios
Administracin de los servicios de terceros
Administracin de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificacin y asignacin de los costos
Asistencia y soporte a los clientes
Administracin de la configuracin
Administracin de los problemas
Administracin de los datos
Administracin de las instalaciones
Administracin de la operacin
Seguimiento
Seguimiento de los procesos
Evaluacin del control Interno
Contratacin de un aseguramiento independiente

69
COBIT COMO PRODUCTO
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guas de Auditora
Guas de Administracin
Herramientas de Implementacin
CD-ROM
2a Edicin disponible en espaol
70
COMPARACIN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992
SAC 1991/1994
SAS 55 - 1988
Definicin de
Control Interno
Definicin de Objetivos
de Control de T I
SAS 78 - 1995
Conceptos de
Control Interno
Conceptos de
Control Interno
enmienda
Contribuciones
al concepto de
Control Interno
71
Comparacin de Conceptos de Control

COBIT SAC COSO SASs 55/78
Dirigido a: Administracin, Usuarios, Auditores de
Sistemas Responsables de TI
Auditores Internos Administracin Auditores Externos
El Control Interno es Visto
como
Conjunto de procesos incluyendo
polticas, procedimientos, prcticas y
estructura Organizacional
Conjunto de procesos,
subsistemas y personas
Procesos Procesos
Los Objetivos
Organizacionales de
Control Interno
Efectividad y Eficiencia de las
operaciones
Confidencialidad, Integridad y
disponibilidad de la informacin
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de
las operaciones
financieros
Cumplimiento con leyes y
normas
operaciones
financieros
normas
operaciones
financieros
normas

Componentes o Dominios Dominios:
Planeacin y Organizacin
Adquisicin e implantacin
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y
Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluacin de Riesgo
Actividades de Control
Informacin y Comunicacin
Seguimiento
Componentes:
Ambiente de Control
Evaluacin de Riesgo
Actividades de Control
Informacin y Comunicacin
Seguimiento

Enfocado a Tecnologa de Informacin Tecnologa de Informacin Toda la Organizacin Estados Financieros
Evaluacin de la
Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control
Interno
Administracin Administracin Administracin Administracin
Tamao 187 pginas en 4 volmenes 1193 pginas en 12 mdulos 353 pginas en 4 volmenes 63 pginas en 2 documentos

72
GUA TURNBULL
Diciembre, 2007
QU ES LA GUA
TURNBULL?
Es la adopcin de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
74
CONTRIBUCIONES DE AUDITORA INTERNA
Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control
Apoyo para mejorar
el proceso de
Identificacin y
Administracin de
riesgos
Promocin de la
Concientizacin de
riesgos y controles
y los programas de
autoevaluacin
Desplazamiento
oportuno a otras
reas de negocios
Mayor
probabilidad
de lograr
objetivos
Mayor
cobertura a largo
plazo
Mejores bases
para establecer
estrategias
Disminucin de
sorpresas
desagradables
Menores costos
de capital
Mayor
probabilidad de
lograr cambios
Enfoque interno
en hacer bien
las cosas
Ventajas
competitivas
Reduccin de
tiempo para
emergencias
BENEFICIOS
POTENCIALES
76
ENFOQUE AL LOGRO DE
OBJETIVOS A TRAVS DE
UNA MEJOR ADMINISTRACIN
DE RIESGOS
Identificacin de cambios
Internos y externos
y reconsideracin y
negociacin de objetivos
Cambios en comportamiento
y enfoque en las bases
de una buena administracin
de riesgos y control
Revisin de riesgos
y controles anuales
Implantacin de
acciones de
mejora
Informes sucintos
Fuentes de
aseguramiento
Monitoreo de aspectos
significativos de
control interno
Mecanismos de
advertencia oportunos
Identificacin de
factores crticos
de xito
Identificacin y
priorizacin de
riesgos
Determinacin de
riesgos significativos
Negociacin de
estrategias de control y
administracin de riesgos
Negociacin sobre
rendicin de cuentas
Concientizacin
de los riesgos
crticos
IMPLANTACIN DEL TURNBULL
77
MANTENERSE SIMPLE
Y PROSPECTIVO
Enfocarse en riesgos
crticos y sus controles
Reorientar el
entrenamiento
hacia los riesgos crticos
Elaborar un plan
apropiado y
monitorear su avance
Evitar expedientes
voluminosos
Asignar
responsabilidades
en la administracin de
riesgos
Evitar duplicidades
Mantener los informes
al Consejo sucintos y
sencillos
Asegurar que los objetivos
se jerarquicen
SIMPLIFICACIN Y REDUCCIN DE COSTOS
78
Asignacin de responsabilidades para elaborar el plan individual o de equipos
Aceptacin del plan por parte de los directores
Consideracin del plan por el Consejo de Administracin
Reconsideracin y afinacin del plan por el Consejo
Implantacin del plan de desarrollo y de la poltica de administracin
de riesgos
Involucramiento de los distintos niveles de la
organizacin
Implantacin de mecanismos apropiados para
la informacin de avance
Enfoque a la mejora de negocios
PASOS SUGERIDOS
79
RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)

TIPOS DE RIESGO
PROMEDIO
Fracaso en la
administracin de
proyectos mayores
Motivacin y bajo desempeo
del personal
7.05

6.67
6.32

6.30

6.00

Fracaso de estrategias
Fracaso en innovacin
Mala reputacin
/administracin - marca
Fuente: Deloitte & Touche, 1990 1= riesgo mnimo, 9 = crtico
Enfasis en el cambio
de comportamiento
Sencillez
Conciencia
del riesgo
Mecanismos de
advertencia oportunos
y respuesta rpida
Informacin
confiable
Concientizacin
de los objetivos
organizacionales
Asesora a
todos los niveles de
la compaa
Aplicacin
continua
de
Estrategias de
control

ADECUADA
ADMINISTRACIN DE
RIESGOS Y
CONTROL

Controles bsicos
81
PELIGROS POTENCIALES
Falta de
Mecanismos
de Advertencia
Demasiados
Riesgos
identificados
Abandonarlo
Demasiado
tarde
Incremento
de
Burocracia
Ignorar
Controles
Financieros
bsicos
Sobrecarga
del comit
de
Auditora
Incapacidad
para obtener
aceptacin
del gerente
Inapropiada
Orientacin
de riesgos
Enfoque
Insuficiente
en
Admn de
Riesgos
Peligros
Potenciales
82
AUTOEVALUACIN DEL
CONTROL
Diciembre 2007
83
AEC - DEFINICIN
Proceso documentado en el que :

La administracin o el equipo de trabajo se involucra
directamente en una funcin.

Se juzga la efectividad del proceso de control vigente.

Se define si se asegura razonablemente el lograr alguno
o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se
alcanzarn los objetivos de la organizacin.
84
AEC - OTROS NOMBRES
Autoevaluacin de riesgo-
control.

Evaluacin dinmica del
control.

Co-evaluacin del control.

Autoevaluacin
organizacional.
Autoevaluacin de proceso.

Autoevaluacin de riesgos.

Autoevaluacin de riesgos de
la organizacin.

AEC - DEFINICIN
85
AEC - ENTRENAMIENTO
Para desarrollar la AEC se requiere capacitacin:
. En metodologa.
. En modelos de control
. En evaluacin de riesgos
. En talleres de autoevaluacin de control
. En redaccin.
. En tecnologa.
86
AEC - FACTORES QUE PROMUEVEN SU ADOPCIN
2/2
Mejora del control y sus riesgos,
BENEFICIOS AL PROCESO OPERATIVO
Eficiencia de Procesos - Satisfaccin del cliente - Mejora
de la calidad - Examen de los procesos
organizacionales en general
A E C
Desarrollo de la
Responsabilidad
Instrumentacin
del Control
Diseo de Mejores
Controles
Delegacin de
Facultades
CPC y CIA JUAN MANUEL PORTAL M.
87
- Generacin de ideas y planes de accin
implantados ms all del alcance original.
- Facilidad de implantacin de acciones de
mejora.
- Promocin de la unidad organizacional
mediante la identificacin y solucin de
problemas.
- REALZA EL PAPEL DE AUDITORA INTERNA.

ADMINISTRACIN
PARTICIPANTES
AUDITORA INTERNA
AEC - BENEFICIOS PARA LA ADMINISTRACIN
- Mejora de la moral del personal.
- Eliminacin de atmsferas de desconfianza.
88
AEC - FASES DE LA AUTOEVALUACIN
Monitoreo y
Reporte de
Resultados
Conduccin
de Reuniones

Capacitacin
Planeacin
Involucramiento
de la alta
Gerencia
89
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopcin de la AEC
Conocimiento de la AEC en los niveles
adecuados
Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
Aceptacin, involucramiento y patrocinio de la
alta gerencia en la AEC
90
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantacin de la AEC.
AEC INVOLUCRAMIENTO DE.
Requisitos de la Organizacin
91
Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la
gente
- Saber qu alcanzar y qu herramientas se
necesitan
- Conocer la organizacin, su entorno y
normatividad
- Entender la cultura organizacional
92
AEC - INVOLUCRAMIENTO DE ..
- Asegurarse que la administracin sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.

Responsabilidades del Facilitador
93

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo
Evaluar la estructura organizacional
Aprender sobre la organizacin
Seleccionar los objetivos de la organizacin
Seleccionar los participantes al TAC
Preparar la logstica de la reunin
Enviar informacin previa a la reunin.

94
Preparacin del taller:

- Facilitar la identificacin del proceso y
obstculos
- Vigilar la logstica
- Obtener acciones de mejora del TAC

AGREGAR VALOR A LA ORGANIZACIN


95

1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparacin del taller.
4. Definir los objetivos del Taller de Autoevaluacin
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
Estrategias
96
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentacin a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora

Estrategias
AEC INVOLUCRAMIENTO DE .

97
AEC - P L A N E A C I N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusin

98
A E C - C A P A C I T A C I O N
Capacitar en Control y Autocontrol:
Modelos de Control (COSO, COCO...)
Evaluacin de riesgos
Autoevaluacin en control y su metodologa
Herramientas y tecnologa especializada para
su uso en el taller
99
AEC - CONDUCCIN DE REUNIONES
1. Preparar la logstica de las reuniones
2. Enviar informacin previa a las reuniones
3. Presentar los objetivos del TAC
Definicin del producto final
Metodologa del taller
Herramientas a utilizar
Mtodo de registro y votacin
Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.

100

5. Presentar la agenda de la reunin
6. Conducir la reunin
7. Estructurar e inventariar el resultado de las
evaluaciones
8. Levantar minuta de los acuerdos
101
Escuche

No interrumpa

Establezca un proceso de voto

Asegrese que todos apoyen las reglas

Todos deben ser facilitadores en algn momento

Las ideas de otros fortalecen la decisin del grupo

Logre consenso
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
102
AEC CONDUCCIN DE REUNIONES
- Definicin y evaluacin de objetivos, riesgos y
controles.
- Determinacin de acciones de mejora.
- Definicin y realizacin de las acciones, tiempos,
responsables y recursos para la implantacin de
las mejoras.
- Establecimiento de puntos de control para la
evaluacin de los avances y la comunicacin de
las desviaciones
DESARROLLO DE PLANES DE ACCIN

103
AEC - MONITOREO Y REPORTE DE
RESULTADOS
- Establecer sistema de seguimiento y evaluacin de
los planes de accin
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua
104
AEC - PROBLEMTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna
105
AEC PROBLEMTICA
- Represalias por comentarios hechos en la sesin de la
AEC.
- Accin subsecuente con informacin confidencial.

Obstculos Para Su Adopcin
Impedimentos derivados de la tcnica.
Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad.
- Tecnologa de voto electrnico.
106
AEC PROBLEMTICA
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
Impedimentos derivados de la resistencia.
Salvaguardas.
- Seleccin de personal adecuado.
- Soporte y compromiso de alto nivel para la AEC
- Enfoque en los beneficios a alcanzar.
Obstculos Para Su Adopcin
107
- La cultura no valora la innovacin y la colaboracin.
- Organizaciones en medio de una reduccin de personal.
Amenazas derivadas de la cultura.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
108
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con nicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
Amenazas derivadas de la adecuacin.
Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
AEC PROBLEMTICA
109
- La cultura no valora la innovacin y la
colaboracin.
- Organizaciones en medio de una reduccin
de personal.
Amenazas derivadas de la cultura.
Salvaguardas.
- Evitar utilizar la AEC con estas situaciones.
AEC PROBLEMTICA

110
XITO PARA SU IMPLANTACIN
I. Factores crticos de xito

II. Pasos para acelerar su
implantacin

III. Recomendaciones para su
implantacin

111
1) Determinacin de objetivos claros

2) Patrocinio de la alta gerencia

3) Apoyo de la gerencia

4) Entendimiento de por qu participa cada uno en la
sesin de Autoevaluacin

5) Sealamiento de expectativas

I. FACTORES CRTICOS DE XITO
112
6) Cultura que apoya la AEC
7) Actitud gerencial orientada al facultamiento y el
control
8) Beneficios tangibles
9) Definicin del producto final
10) Entorno libre de riesgos (no represalias)

I. FACTORES CRTICOS DE XITO
113
II. PASOS PARA ACELERAR SU IMPLANTACIN
1) Reconocer la complejidad de su implantacin

2) Conducir sesiones piloto

3) Ser realistas acerca de la cobertura de
auditora

4) Dar los pronunciamientos y criterios al inicio
del proceso

5) Permitir suficiente tiempo para su preparacin

6) Limitar el alcance a los temas de alta prioridad

114
III. RECOMENDACIONES PARA SU
IMPLANTACIN
1) Conocer cul es el propsito y qu
herramientas se necesitan

2) Entender la cultura organizacional

3) Ser innovador y dispuesto a tomar riesgos

4) Particularizar el marco estructurado de control

5) Agregar valor a la organizacin

6) Comentar con los dems y aprender de ellos

7) Rotar facilitadores que procedan de otras
reas

115
III. RECOMENDACIONES PARA SU
IMPLANTACIN
8) Emplear grupos de trabajo interdisciplinarios

9) Mantener el proceso sencillo

10) Reconocer que las habilidades de facilitacin
son tan importantes como las pruebas de
cumplimiento o las habilidades tradicionales
de auditora

11) Mantener visible el apoyo de la gerencia

12) Vender el concepto cada da

116
AEC - ERRORES EN SU IMPLANTACIN
1) Fallar en explicar el por qu de la AEC.
2) Pilotear la AEC en un rea problema.
3) Escoger los objetivos equivocados.
4) Sobre-analizar la situacin.
117
AEC - POR QU FUNCIONA
Los empleados sienten que tienen un propsito, que sus
contribuciones son valiosas y que estn involucrados en
la toma de decisiones.
Se incrementa la conciencia entre objetivos, riesgos y
controles.
Los equipos (grupos de AEC) funcionan mejor que los
individuos.
La AEC promueve un entendimiento comn de objetivos
y metas.
Los talleres de AEC eliminan las barreras de
comunicacin.

1 Modelos de Control

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1 Modelos de Control

Cargado por

Copyright:

Formatos disponibles

MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith

También podría gustarte