Autovaloración o

Autoevaluación del Control

=
Autovaloración del
Control Concientización a los dueños de
los procesos de su
Self-Assessment – CSA
responsabilidad en la gestión de
sus objetivos, riesgos y controles
Paulino Angulo Cadena, MSc CIA CCSA CRMA

20 de marzo de 2012

Autovaloración o
Autoevaluación del Control

El Qué del Aseguramiento Interno

Entender la organización Desde el punto de vista laboral

MISIÓN
Para que existo

Describe el futuro que permitirá alcanzar la Misión

Taller 1 3. ¿Con qué frecuencia ha realizado la
VISIÓN
Cómo quiero ser METAS autoevaluación del Aseguramiento Interno de
Cómo mido
los procesos, procedimientos y actividades, en
Sus productos o servicios
permiten lograr las metas

mis logros

su área donde trabaja?

de la empresa

OBJETIVOS
Qué deseo
Permiten medir el logro o el avance en los objetivos.
lograr
Diaria ___ Semanal ___ Mensual ___
FCE Su logro incrementará las probabilidades de cumplir las PROCESO
Qué necesito metas y por ende, alcanzar los objetivos
cumplir
Qué debo hacer y
cómo debo hacerlo Anual ___ Nunca la realiza ____
Sus productos o servicios permiten lograr los FCE de la empresa
Fuente: Grupo Cynthus S.A. de C.V.

1
 Desde el punto de vista laboral Desde el punto de vista laboral

4. ¿En un periodo de un año, en que porcentaje 5. ¿Considera que al gestionar los objetivos,
ha logrado gestionar los objetivos, riesgos y riesgos y controles de su área, ha logrado
controles de los procesos, procedimientos y apoyar el logro de los objetivos,
actividades que realiza en su área? la misión y la visión de su compañía?

10% __ 20 % __ 30% __ 40% __ 50% __

60% __ 70% __ 80%__ 90%__ 100% __

Autovaloración o
Autoevaluación del Control
Gobierno de Objetivos,
Riesgos y Controles
Modelo CoCo
Propósito
Sentido de dirección
¿Para qué estamos aquí?
Monitoreo y Aprendizaje
Compromiso
Sentido de evolución
Sentido de identidad y valores
¿Cuál es el progreso?
¿Deseamos realizar un
¿Qué sigue?
buen trabajo?

Acciones Capacidad/Aptitud
Sentido de competencia
¿Qué acciones necesitamos
emprender?

CoCo
Modelo CoCo Participación del personal

Personas, equipos o grupos de trabajo que realizan una
El personal debe ejercitar su
tarea, deben:
juicio y creatividad a la vez

Ser guiados por una comprensión de su propósito (el
objetivo que debe lograrse) que controla riesgos.

Tener un sentido de compromiso para llevar a cabo
Impulsar cambios en la
bien la tarea con el tiempo.
organización

Ser apoyados por la capacidad/aptitud (información,
recursos, suministros y habilidades).

Usar la información en el

Monitorear
su desempeño y el entorno para obtener
más información sobre cómo hacer mejor la tarea y los
momento oportuno.
cambios que deben introducirse.

2
 Componentes de COSO II
Enterprise Risk Management- ERM

Fuente: Auditoría interna:

servicios de aseguramiento y
consultoría, FIIIA

Apetito de Riesgo
Ambiente interno
Nivel de Riesgo Aceptado
• Es una guía en el
“Cuando la filosofía de administración de
Excediendo establecimiento de la riesgos esté bien desarrollada, entendida y
el Apetito de
Alto

estrategia.
Riesgo aceptada por el personal,
• La gerencia lo expresa
como un balance entre: la entidad estará en posición de reconocer y
Impacto
Medio

crecimiento, riesgo y
retorno. gestionar los riesgos efectivamente.”
Dentro del
Apetito de • Sirve de base para la
Riesgo asignación de recursos .
• Alinea la organización,
Bajo

Bajo Medio Alto personal, procesos e

Probabilidad infraestructura.
Es el máximo nivel de riesgo que la gerencia está dispuesta a aceptar

Fuente: Coso ERM •Fuente: COSO: Enterprise Risk Management – ERM

Taller 2 Gobierno de Objetivos,

Ambiente Interno Riesgos y Controles
Abarca el talante de una organización y O Evaluación
establece la base de cómo el personal de la B del riesgo Admón
entidad percibe y trata los riesgos, riesgo Controles
J Riesgos Monitoreo
incluyendo la filosofía para su gestión, el E
Identificación antes de
medidas
Medidas
del riesgo
riesgo aceptado, la integridad y valores éticos I Evitar Preventivos
T N Riesgos
y el entorno en que se actúa. Medición H
E Reducir Detectivos
después de
I R
Controles

E RESIDUAL
V N
Transferir Correctivos

Priorización T Aceptar
O E

S PROCESOS Indicadores
http://www.youtube.com/watch?v=JXoAmDDPZz4&feature=related
•Fuente: COSO: Enterprise Risk Management – ERM

3
 CSA
Establecimiento de Objetivos Objetivos
¿Cuáles son los Objetivos del flautista, del Specific Específicos
violinista y del pianista?
Measurable Medibles
¿Qué proceso se lleva a cabo? Attainable Alcanzables

Results oriented Orientados a resultados

Time bound Vinculados con un lapso de

Tiempo

McKeever – Sistema de Estudio para la CCSA

Identificación de Eventos Evaluación del Riesgo Inherente

¿Cuál es la causa, el riesgo y el efecto?
Oportunidades
Externos Naturales
Amenazas Potencial Accidentales ¿Cómo se midió el riesgo inherente?
Intencionales Probabilidad: A_ M_ B_
Impacto: A_ M_ B_
Fortalezas
Internos
Debilidades Real Vulnerabilidad ¿Cómo se priorizó el riesgo inherente?
Extremo_ Alto_ Moderado_ Bajo_

McKeever -Sistema de Estudio para la CCSA

Metalenguaje de riesgos Tabla A.1 – Aplicabilidad de las herramientas

(C+R+E) utilizadas para la evaluación de riesgos
ISO 31010/FDIS IEC
¿ Cómo separamos claramente riesgos de sus
causas y efectos?
“Debido a <una causa concreta>, puede
ocurrir <un acontecimiento incierto >, lo que
podría <afectar el sistema y su entorno>.”
Causa Riesgo Efecto
Por comprar trago en Podría Ingerir trago Lo que podría generar
sitios no reconocidos adulterado una Intoxicación
Debido a ingerir trago Puede ocurrir una Lo qué podría generar
adulterado Intoxicación Lesiones visuales o
hepáticas

http://www.risk-doctor.com/pdf-briefings/risk-doctor07s.pdf
Fuente: http://www.previ.be/pdf/31010_FDIS.pdf

4
 CSA
Gerencia del Riesgo
Modelo de

Primero identificar el riesgo
Evaluación
de Riesgos
El riesgo necesita ser medido y luego priorizado.

El paso final es determinar cómo disminuir el

riesgo y tomar ¡ACCIÓN!

Deben establecerse los controles apropiados en

la cantidad requerida y en el tiempo oportuno.

Fuente: Auditoría interna:

servicios de aseguramiento y
consultoría - FIIIA McKeever – Sistema de Estudio para la CCSA

Gerencia del Control

Actividades de Control
¿Qué controles existen? Compliance Conforme con leyes,
regulaciones, políticas y
procedimientos
¿La percepción del riesgo y su tratamiento es
igual para el flautista, el violinista y el pianista? Accomplishment Logro metas y objetivos.
Reliability Confiabilidad de la
¿Cómo es la eficacia del diseño y solidez del Información
control? Efficient Eficiente y Eficaz uso de
Fuerte_ Por mejorar_ Insatisfactorio_ los Resultados
Safeguardig Salvaguarda de activos
McKeever – Sistema de Estudio para la CCSA

Pregunta Controles
Usted está conduciendo un vehículo, cuando de Existencia
pronto se atraviesan en la vía una anciana, una
señora embarazada, un niño y un gato. Mecanismo o Dispositivo

¿Qué es lo primero que Usted haría? Actividades realizadas

________________________
Responsable de su ejecución
¿Por qué?
________________________

5
 Controles
Evaluación del Riesgo Residual
Operan efectivamente:
¿Quedó algún riesgo residual? ¿Cuál?
Capacidad de lograr
el máximo de resultados (eficacia) ¿Cómo se midió el riesgo residual?
al mínimo costo (eficiencia) Probabilidad: A_ M_ B_ Impacto: A_ M_ B_

Continuidad:
¿Cómo se priorizó el riesgo residual?
Extremo __ Alto __ Moderado __ Bajo __
Funciona durante todo el período

Monitoreo o Seguimiento
Flujos de
¿Se realizó monitoreo al riesgo residual? información en
la gestión del

Información y Comunicación
¿Cuál fue la señal de alerta? Información y Comunicación
riesgo
empresarial -
¿Se implementó algún control para tratar el
riesgo residual?
ERM

¿Cuál?
http://212.9.83.4/auditoria/home.nsf/Todos/03C8949A3EA3
E654C12571AC00827A40/$FILE/COSO+ERM.pdf

Mejores Prácticas
del Gobierno ¿Qué es Agregar Valor?
– Valores corporativos - Códigos de ética
Identificación de oportunidades
– Estrategía corporativa - Planeación de mejoramiento de los
– Políticas y procedimientos procesos operativos
– Risk Management
Reducción de la
– Control Self Assessment
exposición al riesgo
– Capability Maturity Model
– Auditoría Interna y externa Alcanzar los
– Selección apropiada de personal – objetivos
Competencias – segregación de funciones organizacionales

– Monitoreo continuo, etc. http://www.theiia.org/guidance/standards-and-guidance/

6
 Autovaloración o
Principales características Autoevaluación del Control

Procesos
Riesgos
Métodos y Herramientas
Proyectos Objetivos
claramente
definidos
Funciones

Unidades Controles
Negocio

Subproceso de procesamiento de facturas

Entendimiento del Proceso

Fuente: Auditoría Financiera de PYMES, IFAC Fuente: Auditoría interna: servicios de aseguramiento y consultoría FIIIA

Actores Relevantes Modelo ampliado del sistema Gestión de

Calidad basado en procesos – ISO 9004-2009
Intervinientes TASCOI
Organizadores

Objetivos Resultados
Qué se requiere Qué se logra
Transformación: (Cómo)
Insumos: Responsabilidades (quien)
Áreas Recursos (con qué) Bienes/Servicios:
Procesos Metodologías (cómo) Cumplimiento de
Sistemas Programas (cuando) Objetivos
Proyectos Mejoramiento del SCI
Etc.

Suministradores Actores Clientes

•Fuente: Aldana. Eduardo – Reyes. Alfonso - Disolver Problemas Fuente: Gestión de Calidad 2010 - Nora Meneces

7
 Tabla A.1. Descripción de los
niveles de madurez
Madurez Descripción
1 No es cierto, ocurre en un 0 %, la práctica no se encuentra o
no ha comenzado todavía, no ocurre nada.
2 Relativamente cierto, ocurre en un 25 % aproximadamente,
la práctica sólo se ve en algunas áreas.
3 Parcialmente cierto, ocurre en un 50 % aproximadamente, es
una práctica común, pero no en la mayoría de áreas.
4 Cierto en la mayor parte, ocurre en un 75 %
aproximadamente la práctica es muy típica, con algunas
excepciones.
5 Sí, cierto en todas partes, ocurre en el 100 % o casi. La
práctica se despliega en toda la organización, casi sin
excepciones.
Fuente: NTC-ISO 10014:2006
Tabla A.2. Cuestionario para la
autoevaluación inicial
Nivel de Media
1. Enfoque al cliente (véase el apartado 5.1) Madurez
a) ¿La organización ha identificado grupos de clientes
o mercados apropiados para obtener los mejores
beneficios financieros y económicos para la
organización?
b) ¿La organización ha comprendido totalmente las
necesidades y expectativas del cliente y de la cadena
de suministro relacionada, y ha identificado los
recursos necesarios para cumplir estos requisitos?
c) ¿La organización ha establecido mediciones de
satisfacción del cliente, y si surgen quejas, se
resuelven de forma justa y oportuna?
Fuente: NTC-ISO 10014:2006

Figura A.2 — ejemplo de resultados de Figura 1. Representación genérica

una autoevaluación del proceso global
ISO 9004:2009 NTC-ISO 10014:2006 NTC-ISO 10014:2006

Fuente: ISO 9004:2009 Fuente: NTC-ISO 10014:2006

Métodos y
herramientas
Aspectos del proceso de
5.1 ENFOQUE AL
CLIENTE auto-evaluación - CSA
“Las organizaciones
dependen de sus
clientes y por lo tanto 1.Tarea física de auto-evaluación,
deberían comprender
las necesidades 2. Entender los resultados y
actuales y futuras de
los clientes, satisfacer
3. Determinar que puede hacerse para
los requisitos de los controlar los resultados.
clientes y esforzarse
en exceder las
expectativas de los
clientes” (ISO
9000:2005).

Fuente: NTC-ISO 10014:2006

8
 Tareas Físicas
Auto-evaluación del Control - CSA Forma de las Preguntas

¿Es posible diseñar una estrategia de …?

Talleres de facilitación (CSA Team)

Cuestionarios de Autoevaluación

¿Cuál podría ser una estrategia de …?
Análisis desarrollado por la Gerencia

7w+2h 7w+2h
Identificación y Solución de Problemas Identificación y Solución de Problemas

What? ¿Qué medidas correctivas se van a Where? ¿Dónde se va a realizar? ¿En qué
ejecutar? parte/lugar del proceso?

When? ¿Cuándo se van a implementar?
Who? ¿Quién es el responsable (cargo y
área) de llevarlo a cabo?
Técnica 7w+2h
Why? ¿Por qué considera que se solucionaría
la causa (raíz) del problema con la solución
planteada?
How? ¿Cómo medimos el desempeño?
¿tenemos indicadores de gestión?
Técnica 7w+2h

7w+2h Autovaloración o
Identificación y Solución de Problemas Autoevaluación del Control

How Much? ¿Cuánto cuesta la solución que

se está planteando?

Whom it may concern? ¿A quién se le Objetivos, Metas y Estrategias

reportará?

Which are the objectives? Con el plan de

acción propuesto ¿estamos asegurando el
logro de los objetivos?
Técnica 7w+2h

9
 Por qué una Visión Objetivos y Estrategias
Sin Visión Los objetivos de una organización definen qué
se desea alcanzar.
Con Visión
O
b La estrategia de la organización
j
e define cómo la dirección planea lograr los
t objetivos
i
v
o Meta = Objetivo + Fecha + Indicador
¿Cual es el objetivo?

•Fuente: COSO: Enterprise Risk Management – ERM

Metas y Estrategias Metas y Estrategias

¿Qué porcentaje de los empleados conocen
perfectamente las metas y prioridades más
importantes de su organización? _____ %
¿Qué porcentaje de los empleados se sienten
dueños, es decir, les apasionan las metas más
importantes de su organización? _____ %
¿Qué porcentaje del tiempo le dedican los
empleados a la gestión oportuna de sus metas:
más importantes? _______%,
y ¿cuanto a lo urgente? ________%
¿Qué porcentaje de las metas y estrategias son
traducidas en acciones, y ejecutadas dentro de
los tiempos presupuestados? ____ %

Taller 3 Autovaloración o
Metas y Estrategias Autoevaluación del Control

http://www.youtube.com/watch?v=9hsFfTTc3Wo&feature=related

¿Qué es?

McKeever -Sistema de Estudio para la CCSA

10
 ¿Qué es
Auto-evaluación?
Es el proceso por el cual
un individuo (o grupo de individuos)
se evalúa (n) a sí mismo (s).
¿Para qué sirve la
Auto-evaluación del Control?
•Empleados que llevan a cabo el trabajo evalúan
Ayuda a evaluar la precisión de la gerencia de
riesgos y controles,
relacionada con temas “blandos” (soft).
Incluyen aspectos como la actitud, la moral,
los valores éticos,
el fuerte compromiso de la alta gerencia y las
comunicaciones.
McKeever -Sistema de Estudio para la CCSA
CSA
Preparación
El primer elemento a considerar antes de
utilizar CSA es si las políticas y la cultura
organizacional son apropiadas.
La cultura, confianza, políticas y el personal
de la organización deben ser analizados
antes de iniciar un proceso CSA.
CSA es una herramienta y sólo una
herramienta, si no es la adecuada para el
trabajo, no debe utilizarse.
McKeever – Sistema de Estudio para la CCSA
¿Qué es la
Auto-evaluación del Control?
Es el método por el cuál
las personas responsables (dueños)
de los procesos del negocio evalúan
cuán adecuada es su gerencia de los
Objetivos, Riesgos y Controles, de sus
propios procesos para tomar las
acciones correctivas apropiadas.
CSA
Puntos Claves
riesgos y controles, y se involucran más con
CSA (asumen responsabilidades), que con
auditorías tradicionales.
• El rol del auditor pasa a ser de facilitador.
• CSA ayuda a evaluar los controles “blandos”.
• CSA puede ser un mecanismo de aprendizaje.
CSA
Preparación
Potenciar el grado de delegación a los
empleados (empowerment) es un tema
importante a considerar.
La delegación significa que se le ha otorgado
cierto poder a una persona sin autoridad.
No todo el mundo quiere renunciar al poder
y algunas personas no desean recibirlo.
Un ambiente con delegación crea un
ambiente de mayor participación.
McKeever – Sistema de Estudio para la CCSA
11
 CSA CSA
Preparación Áreas de Atención
 Los directivos deben comprometerse con el • Resistencia al cambio.
proceso, y con las acciones de mejora. • Personal de bajo nivel, con frecuencia, no es
 El facilitador debe conducir ordenada y adiestrado para dirigir sus controles.
metodológicamente el proceso y • Diferencias de experiencia, políticas internas
documentarlo, para focalizar los resultados y/o culturales.
del mismo. • La organización no es suficientemente franca
 El uso de COSO, CoCo, COBIT, ISO y
en revelar la causa raíz de sus problemas.
otros sistemas de control pueden ser vitales • Implicaciones legales.
para un efectivo proceso de CSA.
http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2002/segundo/control_.htm McKeever -Sistema de Estudio para la CCSA

¿Qué es
Autocontrol? Autocontrol
“Autocontrol, significa desarrollar al
“Es hacer todo aquello que contribuye al
logro de los objetivos”. personal,
desarrollar a cada uno de los miembros
¿Quién? de la organización
para que se hagan capaces de pensar
Cada Persona en el corto, mediano y largo plazo
por sí mismos.”

Raúl Espejo.

Responsabilidad y
compromiso de todos Paulino Angulo Cadena. MSc
angulos@javeriana.edu.co

12