MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007

MODELOS DE CONTROL
CONTENIDO
PANORMICA DE MODELOS DE CONTROL
COSO
CADBURY
COCO
COBIT
TURNBULL
AEC

PANORMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para
clasificar los modelos de control segn Philip L.
Campbell ( An Introduction to Information
Control Models):
Objetivos de Control
Principios
Madurez de la Capacidad

PANORMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control
Se basan en el concepto de objetivo de control:
Control: Las polticas, procedimientos, prcticas y
estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarn y que los eventos no
deseados se evitarn o detectarn y corregirn.
Objetivo de control: una declaracin de que el resultado
o propsito deseado se alcanzar al implantar
mecanismos de control en una actividad particular de
tecnologa de informacin
4

PANORMICA DE MODELOS DE CONTROL

Comunidad de Principios
Se basan en la nocin de principios como rendicin de cuentas,
concientizacin, equidad y tica.
Comunidad de Madurez de la Capacidad
Se basa en la nocin del modelo de madurez, cuyo nico miembro
es el Systems Security Engineering Capability Maturity Model (SSECMM).
La teora es que una organizacin cuyo nivel de madurez es mayor
que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y slo en forma secundaria en el
producto.

DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell
6

COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell
7

SIGNIFICADO DE SIGLAS UTILIZADAS

OECD

Organization for Economic Cooperation and Development

GAPP

Generaly Accepted Principles and Practices. National Institute of Standards

and Technology (NIST)

BS 7799

British Standard Institute

SAC

Security Auditability and Control. The Inst. of Internal Audit.

COSO

Internal Control Integrated Framework. Committee of Sponsoring Organizations

SSE CMM Systems Security Engineering Capability Maturity Model

National Security Agency (NSA) Defense- Canada.
CoCo

Criteria of Control Board of The Canadian Institute of Chartered Accountants.

ITCG

Information Technology Control Guidelines. Canadian Institute

of Chartered Accountants (CICA)

GASSP

Generaly Accepted System Security Principles. International

Information Security Foundation (IISF)

Cobit

Control Objectives for Information and Related Technologies

FISCAM

Federal Information Systems Controls Audit Manual. GAO

SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability

SSAG

System Self-Assessment Guide for Information Technology Systems. NIST

CONTROL SEGN COSO

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
9

COSO ANTECEDENTES

Modelo de Control COSO: Committee of

Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.
Modelo de Control COCO: Criteria of Control
Committee
(Instituto
Canadiense
de
Contadores
Certificados,
CICA,
November1995.

10

COSO - CONTROL
Cualquier medida que tome la direccin, el Consejo y otros,
para mejorar la gestin de riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas establecidos.
La direccin planifica, organiza y dirige la realizacin de las
acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarn los objetivos y metas.

11

COSO - CONCEPTO DE CONTROL INTERNO

Proceso llevado a cabo por el Consejo de Administracin, la
Gerencia y otro personal de la Organizacin, diseado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organizacin clasificados en:
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento con las leyes, reglamentos, normas y
polticas.
12

COSO - CARACTERSTICAS
Medio para alcanzar un fin, no un fin en si mismo.
No es un evento o circunstancia sino una serie de
acciones que permean en las actividades de la
organizacin.
Forma parte de los procesos bsicos de la
administracin-planeacin ejecucin y monitoreo y se
encuentra integrado en ellos.
Los controles deben construirse Dentro de la
infraestructura de la organizacin y no Sobre ella.
13

COSO - CARACTERSTICAS...

Es efectuado por personas. No es solamente un conjunto

de manuales de polticas y procedimientos, sino son
personas en cada nivel de la organizacin.
Es ejecutado por la gente de una organizacin a travs de
lo que hace y dice. La gente disea los objetivos de la
Entidad y establece los mecanismos de control.

14

COSO - CARACTERSTICAS...
Afecta las acciones del personal, sealndole sus
responsabilidades y lmites de autoridad, as como la
vinculacin entre sus deberes y la forma en que los
desempean.
La alta direccin es responsable de la existencia de un
eficiente sistema de control.

Los Directores tienen la obligacin de la vigilancia del

control adems de que proporcionan directrices y
aprueban ciertas transacciones y polticas.

Cada individuo dentro de la organizacin tiene algn rol

respecto al control interno.
15

COSO - CARACTERSTICAS...
No existe sistema infalible. Ningn sistema har por
siempre lo que se espera que haga.
No importa lo bien diseado y operado que sea un
sistema de control; lo ms que puede esperarse es que
proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.

16

COSO - CARACTERSTICAS...
Limitaciones del control :
Errores por falta de capacidad para ejecutar las
instrucciones
Errores de juicio en la toma de decisiones.
Errores por mala interpretacin, negligencia,
distraccin o fatiga.
Inobservancia

gerencial

las

polticas

procedimientos prescritos.
Colusin.
Costo - beneficio.
17

COSO - CARACTERSTICAS...
Caractersticas de los objetivos de una organizacin:
Operacionales: Relacionados con el uso eficiente y
eficaz de los recursos.
Informacin

financiera:

Relacionados

con

la

preparacin de reportes financieros confiables.

Cumplimiento: Relacionados con el cumplimiento
con leyes y reglamentos aplicables.
18

COSO - MARCO INTEGRADO DE CONTROL

19

COSO - RELACIN DE OBJETIVOS Y COMPONENTES

Existe

una relacin

directa entre objetivos

que la organizacin
busca

los

componentes

que

representan
necesario

lo
para

alcanzar los objetivos

20

COSO - MARCO INTEGRADO DE CONTROL

21

RE
FI POR
NA
T
NC ES
IE
RO
S
CU
M
PL
IM
IE
NT
O

MONITOREO
INFORMACION Y
COMUNICACION
ACTIVIDADES DE
CONTROL
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL

ACTIVIDAD 2
ACTIVIDAD 1
UNIDAD B
UNIDAD A

OP
ER
AC
IO

NE
S

COSO - Relaciones de Componentes y Objetivos

ACTIVIDAD

COMPONENTE

22

COSO - AMBIENTE DE CONTROL

Integridad y Valores Eticos
Comit de Auditora
Filosofa Admva. y Estilo de
Direccin
Estructura Organizacional
Asignacin de Autoridad y
Responsabilidad
Poltica de Recursos
Humanos
Competencia
23

COSO - EVALUACIN DE RIESGOS

Objetivos Institucionales
Objetivos Especficos
Operativos
Informacin Financiera
Cumplimiento
Anlisis de Riesgos
Organizacin (Externos /
Internos)
Actividad
Anlisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Polticas /
Sistemas y Procedimientos)
24

COSO - ACTIVIDADES DE CONTROL

Actividades de control
sobre:

Las operaciones
La informacin
financiera
El acatamiento

Tipos de Control:

Preventivos /
Correctivos
Manuales /
Automatizados
Gerenciales
25

COSO - INFORMACIN Y COMUNICACIN

Sistemas de Informacin :

Apoyo Actividades
Estratgicas

Integracin con las

Operaciones

Calidad

Comunicacin :

Interna / Externa

Medios
26

COSO - SUPERVISIN Y SEGUIMIENTO

Supervisin Concurrente
Evaluaciones Independientes

Alcance y frecuencia
Quines evalan
Proceso de evaluacin
Metodologa /
documentacin
Plan de accin

Reportes de Deficiencias
27

COSO - RESPONSABILIDADES SOBRE EL CONTROL

Consejo de Administracin.- Es la instancia
responsable de establecer gua, supervisin general y
gobernabilidad a la organizacin
Gerencia.- El Director General es el ltimo responsable
y asume la propiedad del sistema de control
Auditores Internos.- Evala la efectividad del sistema
de control
Personal.- es responsable todo el personal dependiendo
de su nivel y ubicacin funcional

28

COSO - TIPOS DE CONTROL

- Preventivos

- De actividades
(repetitivas)
-

- Detectivos
Concurrentes (sobre
la marcha)

- DePosteriores
resultados
(actividades creativas)

- De operaciones
De recursos
- De procesos - De salidas
De insumos
- De seguridad (resguardo)
De acceso
De investigacin y desarrollo
De proyectos
29

MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007

MODELO CADBURY
Desarrollado por el llamado Comit
Cadbury (UK Cadbury Committee).
Adopta una interpretacin amplia del
control.
Mayores
especificaciones
en
la
definicin de su enfoque sobre el
sistema de control en su conjuntofinanciero y de cualquier tipo.

31

MODELO CADBURY
Objetivos orientados a
proporcionar
una razonable seguridad de:
a) Efectividad
operaciones.

eficiencia

de

las

b) Confiabilidad de la informacin y
reportes financieros.
c)
Cumplimiento
reglamentos

con

leyes

Los elementos clave de este modelo

son en esencia similares al modelo
COSO, salvo la consideracin de los
sistemas de informacin integrados en
los otros componentes y un mayor
nfasis respecto a riesgos.
32
Limitacin en la responsabilidad de
los

MODELO COCO

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007

MODELO COCO
CONCEPTO DE CONTROL INTERNO
- Incluye
aquellos
elementos
de
una
organizacin
(recursos,
sistemas,
procesos,
cultura,
estructura y metas) que tomadas en
conjunto apoyan al personal en el logro de
los objetivos de la organizacin:
Efectividad y eficiencia de las operaciones.
Confiabilidad
externos.

de

los

reportes

internos

Cumplimiento con las leyes y reglamentos

aplicables, as como con las polticas internas.
34

MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad
y eficiencia de las operaciones)
Servicio al cliente
Salvaguarda y uso eficiente de los recursos
Obtencin de beneficios
Cumplimiento de obligaciones sociales
Seguridad de que los riesgos son
debidamente identificados y administrados
35

MODELO COCO
Confiabilidad de los reportes internos y
externos
Mantenimiento de registros contables
adecuados.
Confiabilidad de la informacin utilizada.
Informacin publicada para terceros
interesados.

36

MODELO COCO

Cumplimiento con la normatividad y

polticas internas aplicables
Aseguramiento de que las actividades de la
organizacin se conducen en total
concordancia con el marco legal y con las
polticas internas.

37

MODELO COCO
Naturaleza del control
El control debe ser realizado por el personal de
toda la organizacin, quien ser responsable
del diseo, establecimiento, supervisin y
mantenimiento del control.
El personal responsable de lograr determinados
objetivos tambin deber evaluar la efectividad
del control dentro de su esfera de competencia
y de reportar tal evaluacin ante quien l es
responsable.

38

MODELO COCO
Naturaleza del control

El costo del control deber ser proporcional

a los beneficios esperados.
El control requiere de un equilibrio entre
autonoma
e
integracin
y
entre
consistencia y adaptacin al cambio.

39

MODELO COCO
Ciclo del entendimiento bsico
Propsito
Compromiso
Aptitud
Accin
Evaluacin (Auto) y Aprendizaje
Criterios de control
Los criterios de control son la base para
entender el control de una organizacin.
Estn planteados como metas a cumplir
permanentemente.
40

MODELO COCO
A.-

PROPSITO Sentido de Direccin a la

Organizacin
A1.- Los objetivos deben ser establecidos y
comunicados.
A2.- Los riesgos internos y externos
significativos deben ser identificados y
evaluados.
A3.- Las polticas para apoyar el logro de los
objetivos de una organizacin y el
manejo de sus riesgos, deben ser
establecidas, comunicadas y
practicadas, de manera que el personal
entienda lo que de l se espera.
41

MODELO COCO
A.- PROPSITO
A4.- Deben establecerse y comunicarse
planes para
guiar los esfuerzos
para lograr los objetivos de la
organizacin.
A5.- Los objetivos y los planes relativos
deben incluir metas, parmetros e
indicadores de medicin del
desempeo.

42

MODELO COCO
B.- COMPROMISO: Sentido de identidad y
valores de la organizacin.
B1.

Deben establecerse, comunicarse y

ponerse
en prctica valores ticos
compartidos, incluyendo la integridad.

B2. Las polticas y prcticas sobre recursos

humanos deben ser consistentes con
los valores ticos de la organizacin y
con el logro de sus objetivos.

43

MODELO COCO
B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligacin de rendir cuentas deben ser
claramente definidas y consistentes
con los objetivos de la organizacin,
de tal forma se tomen las decisiones y
acciones por el personal apropiado.
B4.

Debe fomentarse una atmsfera de

mutua confianza para apoyar el flujo
de la informacin entre el personal y
para su efectivo desempeo hacia el
logro de los objetivos.

44

MODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organizacin
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar
los objetivos de la organizacin.
C2. El proceso de comunicacin debe apoyar
los valores de la organizacin y el logro de
sus objetivos.
C3.

Debe ser identificada y comunicada

informacin suficiente y relevante de
manera oportuna, para posibilitar al
personal
a
desempear
las
responsabiIidades asignadas.
45

MODELO COCO
C. APTITUD
C4.

Deben coordinarse las decisiones y

acciones de las diferentes partes de la
organizacin.

C5. Las actividades de control deben disearse

como parte integral de la organizacin,
tomando en consideracin sus objetivos, los
riesgos para su cumplimiento y la
interrelacin de los elementos de control.

46

MODELO COCO
- Evaluacin y aprendizaje. Sentido de
evolucin de la organizacin:
D1.- El ambiente externo e interno debe ser
monitoreado para obtener informacin
que pueda sealar la necesidad de revaluar
los objetivos de la organizacin o el control.
D2.- El desempeo debe ser evaluado o medido
contra las metas e indicadores en los planes
u objetivos de la organizacin.
D3.-

Las premisas consideradas para los

objetivos
de
la
organizacin
deben
cuestionarse peridicamente.
47

MODELO COCO
-

Evaluacin y Aprendizaje
D4.- Las necesidades de informacin y los
sistemas de informacin relativos deben
reevaluarse en la medida que cambian los
objetivos o al identificarse deficiencias en la
informacin reportada.
D5.- Debe establecerse y ejecutarse un
seguimiento de los procedimientos, para
asegurar que se den los cambios requeridos.

48

COBIT

CP, CIA y Mtro. Fernando Vera Smith

49 Diciembre, 2007

Cobit - Definicin
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas)
Fuente: Control Objectives for Information and Related
Technology (CObIT) y presentacin de Fernando
Izquierdo Duarte 2002
50

Cobit - Definicin
Qu es?
Es un marco de control interno de TI.
Parte de la premisa de que la TI
requiere proporcionar informacin
para lograr los objetivos de la
organizacin.
Promueve el enfoque y la propiedad
de los procesos.
51

Cobit - Definicin
Apoya a la organizacin al proveer un marco que
asegura que:
La Tecnologa de Informacin (TI) est alineada con la
misin y visin.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
52

Cobit - Usuarios
Gerencia: Apoyar decisiones de inversin
en TI y control sobre su rendimiento, as
como analizar el costo-beneficio del
control.
Usuarios Finales: Garantizar seguridad y
control de los productos que adquieren
interna y externamente
53

Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organizacin y el control
mnimo requerido.
Responsables de TI: Identificar los
controles que requieren.

54

Cobit - Principios
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO

PROCESOS
DE TI
RECURSOS
DE TI
55

Cobit - Estructura
INFORMACIN

EVENTOS
Objetivos de
negocio
Oportunidades
de negocio
Requerimientos
externos
Regulacin
Riesgos

Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

56

Cobit - Estructura
Lo que usted
Obtiene

Procesos del
Negocio

Lo que Usted
Necesita

Criterios
Informacin

Recursos de TI

Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

Concuerdan
57

Cobit - Estructura

Procesos

Tecnologa

Dominios

Datos

Procesos TI

CUBO de CobiT
Relacin entre los
componentes

Criterios de la Informacin (7)

Actividades
R

ur
c
e
58

s
o
s

de

TI

59

Objetivos del
Negocio

CobiT

Requerimientos
de Informacin

Planeacin y
Organizacin

Seguimiento
Recursos de TI

Adquisicin e
Implantacin

Servicios y Soporte
60

Cobit - Requerimientos

de la Informacin del Negocio

CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos
de Calidad

Calidad.

Requerimientos
Financieros
(COSO)

Efectividad y eficiencia operacional.

Requerimientos
de Seguridad

Confidencialidad.

Costo.
Oportunidad.

Confiabilidad de los reportes financieros.

Cumplimiento de leyes y regulaciones.

Integridad.
Disponibilidad.
61

Cobit - Requerimientos de la
Informacin del Negocio
Efectividad: Informacin relevante y pertinente,
proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo ptimo de los recursos.
Confidencialidad: Proteccin de la informacin sensitiva
contra divulgacin no autorizada
Integridad: Informacin exacta y completa, as como vlida
de acuerdo con las expectativas de la organizacin.

62

Cobit - Requerimientos de la
Informacin del Negocio

Disponibilidad: accesibilidad a la
informacin y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
63

Recursos de TI
Datos: Todos los objetos de informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: Sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Hardware y software bsico, sistemas operativos,
de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.

64

Procesos de TI
- Los Tres Niveles
Dominios

Procesos
34

Actividades
o tareas

318

Agrupacin natural de procesos,

normalmente corresponden a un
dominio o una responsabilidad
organizacional

Conjuntos o series de actividades

unidas con delimitacin o cortes de
control.
Acciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
65

COBIT DOMINIOS: 4

Planeacin y Organizacin
Adquisicin e Implantacin
Prestacin de Servicios y Soporte
Seguimiento

66

COBIT DOMINIOS - PROCESOS

Planeacin y

Organizacin

Adquisicin e
Implantacin

Definicin de un plan estratgico

Definicin de la arquitectura de informacin
Determinacin de la direccin tecnolgica
Definicin de organizacin y relaciones
Administracin de la inversin
Comunicacin de las polticas
Administracin de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluacin de riesgos
Administracin de proyectos
Administracin de la calidad
Identificacin de soluciones automatizadas
Adquisicin y mantenimiento del software aplicativo
Adquisicin y mantenimiento de la infraestructura
tecnolgica
Desarrollo y mantenimiento de procedimientos
Instalacin y aceptacin de los sistemas
Administracin de los cambios
67

COBIT DOMINIOS - PROCESOS

Servicios y
Soporte

Seguimiento

Definicin de los niveles de servicios

Administracin de los servicios de terceros
Administracin de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificacin y asignacin de los costos
Asistencia y soporte a los clientes
Administracin de la configuracin
Administracin de los problemas
Administracin de los datos
Administracin de las instalaciones
Administracin de la operacin
Seguimiento de los procesos
Evaluacin del control Interno
Contratacin de un aseguramiento independiente
68

COBIT COMO PRODUCTO

Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guas de Auditora
Guas de Administracin
Herramientas de Implementacin
CD-ROM
2a Edicin disponible en espaol

69

COMPARACIN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998
Definicin de
Control Interno

Definicin de Objetivos
de Control de T I

COSO 1992
Contribuciones
al concepto de
Control Interno

SAS 78 - 1995

SAC 1991/1994
Conceptos de
Control Interno

enmienda

Conceptos de
Control Interno

SAS 55 - 1988
70

71

GUA TURNBULL

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
72

 QU ES LA GUA
TURNBULL?
Es la adopcin de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad

CONTRIBUCIONES DE AUDITORA INTERNA

Aseguramiento de
la adecuacin y efectividad
de la Administracin de Riesgos
y del sistema de control

Promocin de la
Concientizacin de
riesgos y controles
y los programas de
autoevaluacin

Apoyo para mejorar

el proceso de
Identificacin y
Administracin de
riesgos

74

Desplazamiento
oportuno a otras
reas de negocios

Disminucin de
sorpresas
desagradables

Mayor
probabilidad
de lograr
objetivos

BENEFICIOS
POTENCIALES

Reduccin de
tiempo para
emergencias

Mejores bases
para establecer
estrategias

Mayor
cobertura a largo
plazo

Mayor
probabilidad de
lograr cambios

Ventajas
competitivas

Menores costos
de capital

Enfoque interno
en hacer bien
las cosas

IMPLANTACIN DEL TURNBULL

Implantacin de
acciones de
mejora

Revisin de riesgos
y controles anuales

Informes sucintos

Fuentes de
aseguramiento
Monitoreo de aspectos
significativos de
control interno
Mecanismos de
advertencia oportunos

Identificacin de
factores crticos
de xito

Identificacin de cambios
Internos y externos
y reconsideracin y
negociacin de objetivos

ENFOQUE AL LOGRO DE
OBJETIVOS A TRAVS DE
UNA MEJOR ADMINISTRACIN
DE RIESGOS

Identificacin y
priorizacin de
riesgos
Determinacin de
riesgos significativos

Negociacin de
estrategias de control y
administracin de riesgos
Negociacin sobre
rendicin de cuentas

Cambios en comportamiento
y enfoque en las bases
de una buena administracin
de riesgos y control
76

Concientizacin
de los riesgos
crticos

SIMPLIFICACIN Y REDUCCIN DE COSTOS

Enfocarse
Enfocarseen
enriesgos
riesgos
crticos
y
sus
controles
crticos y sus controles

Asegurar
Asegurarque
quelos
losobjetivos
objetivos
se
jerarquicen
se jerarquicen

Reorientar
Reorientarelel
entrenamiento
entrenamiento
hacia
hacialos
losriesgos
riesgoscrticos
crticos

MANTENERSE SIMPLE
Y PROSPECTIVO

Elaborar
Elaborarun
unplan
plan
apropiado
apropiadoyy
monitorear
monitorearsu
suavance
avance

Evitar
Evitarexpedientes
expedientes
voluminosos
voluminosos

Evitar
Evitarduplicidades
duplicidades

Asignar
Asignar
responsabilidades
responsabilidades
en
la
en laadministracin
administracinde
de
riesgos
riesgos

Mantener
Mantenerlos
losinformes
informes
alalConsejo
sucintos
Consejo sucintosyy
sencillos
sencillos
77

PASOS SUGERIDOS
Enfoque a la mejora de negocios
Implantacin de mecanismos apropiados para
la informacin de avance
Involucramiento de los distintos niveles de la
organizacin

Implantacin del plan de desarrollo y de la poltica de administraci

de riesgos
Reconsideracin y afinacin del plan por el Consejo
Consideracin del plan por el Consejo de Administracin
Aceptacin del plan por parte de los directores
Asignacin de responsabilidades para elaborar el plan individual
o de equipos
78

RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS

(EN INGLATERRA)
TIPOS DE RIESGO
Fracaso en la
administracin de
proyectos mayores
Fracaso de estrategias

PROMEDIO

7.05
6.67

Fracaso en innovacin

6.32

Mala reputacin
/administracin - marca

6.30

Motivacin y bajo desempeo

del personal

6.00

1= riesgo mnimo, 9 = crtico

Fuente: Deloitte
& Touche, 1990
79

Enfasis en el cambio
de comportamiento

Informacin
confiable

Sencillez
Conciencia
del riesgo

ADECUADA
ADMINISTRACIN DE
RIESGOS Y
CONTROL

Asesora a
todos los niveles de
la compaa

Controles bsicos

Mecanismos de
advertencia oportunos
y respuesta rpida

Concientizacin
de los objetivos
organizacionales

Aplicacin
continua
de
Estrategias de
control

PELIGROS POTENCIALES

Falta de
Mecanismos
de Advertencia

Demasiados
Riesgos
identificados

Enfoque
Insuficiente
en
Admn de
Riesgos

Inapropiada
Orientacin
de riesgos

Peligros
Potenciales

Incapacidad
para obtener
aceptacin
del gerente

Sobrecarga
del comit
de
Auditora

Abandonarlo
Demasiado
tarde
Incremento
de
Burocracia

Ignorar
Controles
Financieros
bsicos

81

AUTOEVALUACIN DEL
CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
82

AEC

DEFINICIN

Proceso documentado en el que :

La administracin o el equipo de trabajo se
involucra directamente en una funcin.
Se juzga la efectividad del proceso de control
vigente.
Se define si se asegura razonablemente el lograr
alguno o todos los objetivos.
El objetivo es proporcionar seguridad razonable de
que se alcanzarn los objetivos de la organizacin.
83

AEC - OTROS NOMBRES

AEC

DEFINICIN

Autoevaluacin de riesgocontrol.

Autoevaluacin de
proceso.

Evaluacin dinmica del

control.

Autoevaluacin de riesgos.

Co-evaluacin del control.

Autoevaluacin de riesgos
de la organizacin.

Autoevaluacin
organizacional.

84

AEC - ENTRENAMIENTO
Para desarrollar la AEC se requiere
capacitacin:
. En metodologa.
. En modelos de control
. En evaluacin de riesgos
. En talleres de autoevaluacin de
control
. En redaccin.
. En tecnologa.

85

AEC - FACTORES QUE PROMUEVEN SU ADOPCIN

2/2

BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos,
Delegacin de
Facultades
Desarrollo de la
Responsabilidad

Instrumentacin
del Control

AE C

Diseo de Mejores
Controles

Eficiencia

de Procesos - Satisfaccin del cliente Mejora de la calidad - Examen de los procesos

organizacionales en general
86

CPC y CIA JUAN MANUEL PORTAL M.

AEC - BENEFICIOS PARA LA ADMINISTRACIN

ADMINISTRACIN
PARTICIPANTES
AUDITORA INTERNA

- Mejora de la moral del personal.

- Eliminacin de atmsferas de desconfianza.
- Generacin de ideas y planes de accin
implantados ms all del alcance original.
- Facilidad de implantacin de acciones de
mejora.
- Promocin de la unidad organizacional
mediante la identificacin y solucin de
problemas.
- REALZA EL PAPEL DE AUDITORA87INTERNA.

AEC - FASES DE LA AUTOEVALUACIN

Involucramiento
de la alta
Gerencia

Monitoreo y
Reporte de
Resultados

Conduccin
de Reuniones

Planeacin

Capacitacin

88

AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopcin de la AEC
Conocimiento
adecuados

de

la

AEC

en

los

niveles

Entendimiento de la complejidad,
beneficios y limitaciones de la AEC

costos,

Aceptacin, involucramiento y patrocinio de la

alta gerencia en la AEC

89

AEC INVOLUCRAMIENTO DE.

Requisitos de la Organizacin
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la
implantacin de la AEC.

complejidad

de

90

la

AEC INVOLUCRAMIENTO DE.

Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la
gente
- Saber qu
necesitan
- Conocer
la
normatividad

alcanzar

qu

organizacin,

herramientas
su

entorno

- Entender la cultura organizacional

91

se
y

AEC - INVOLUCRAMIENTO DE ..
Responsabilidades del Facilitador
- Asegurarse que la administracin sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar informacin y conocimiento al taller
- Utilizar enfoques y herramientas especficas
- Desarrollar la dinmica del equipo
- Asegurar la logstica del taller.
- Obtener acciones de mejora del taller.
92

AEC INVOLUCRAMIENTO DE.

Responsabilidades del Facilitador

Preparacin del taller:

Entrevistar a la Gerencia y al personal operativo
Evaluar la estructura organizacional
Aprender sobre la organizacin
Seleccionar los objetivos de la organizacin
Seleccionar los participantes al TAC
Preparar la logstica de la reunin
Enviar informacin previa a la reunin.
93

AEC INVOLUCRAMIENTO DE.

Responsabilidades del Facilitador
Preparacin del taller:

- Facilitar la identificacin del proceso y

obstculos
- Vigilar la logstica
- Obtener acciones de mejora del TAC
AGREGAR VALOR A LA ORGANIZACIN

94

AEC INVOLUCRAMIENTO DE.

Estrategias
1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar
tiempo
preparacin del taller.

suficiente

para

la

4. Definir los objetivos del Taller de Autoevaluacin

del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
95

AEC INVOLUCRAMIENTO DE .
Estrategias
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar
retroalimentacin
participantes sobre los resultados

los

9. Implantar la AEC mediante prueba piloto, lo

mismo que las acciones de mejora

96

AEC - P L A N E A C I N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar
el
programa
responsables y tiempos

de

actividades

6. Planear reportes de avance y conclusin

97

con

AEC- C A P A C I T A C I O N
Capacitar en Control y Autocontrol:
Modelos de Control (COSO, COCO...)
Evaluacin de riesgos
Autoevaluacin en control y su metodologa
Herramientas y tecnologa especializada para
su uso en el taller

98

AEC - CONDUCCIN DE REUNIONES

1. Preparar la logstica de las reuniones
2. Enviar informacin previa a las reuniones
3. Presentar los objetivos del TAC
. Definicin del producto final
. Metodologa del taller
. Herramientas a utilizar
. Mtodo de registro y votacin
. Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
.

99

AEC - CONDUCCIN DE REUNIONES

5. Presentar la agenda de la reunin

6. Conducir la reunin
7. Estructurar e inventariar el resultado de las
evaluaciones
8. Levantar minuta de los acuerdos

100

AEC - CONDUCCIN DE REUNIONES

REGLAS PARA LA TOMA DE DECISIONES DE GRUPO

Escuche
No interrumpa
Establezca un proceso de voto
Asegrese que todos apoyen las reglas
Todos deben ser facilitadores en algn momento
Las ideas de otros fortalecen la decisin del grupo
Logre consenso
101

AEC CONDUCCIN DE REUNIONES

DESARROLLO DE PLANES DE ACCIN
- Definicin y evaluacin de objetivos, riesgos y
controles.
- Determinacin de acciones de mejora.
- Definicin y realizacin de las acciones, tiempos,
responsables y recursos para la implantacin de
las mejoras.
- Establecimiento de puntos de control para la
evaluacin de los avances y la comunicacin de
las desviaciones
102

AEC - MONITOREO Y REPORTE DE

RESULTADOS
- Establecer sistema de seguimiento y evaluacin de
los planes de accin
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua

103

AEC - PROBLEMTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos
de
honorarios
de
profesionales,
entrenamiento, equipo y software
- Inversin fuerte en capacitacin
- Esfuerzo serio de venta interna

104

AEC PROBLEMTICA

Obstculos Para Su Adopcin

Impedimentos derivados de la
tcnica.
- Represalias por comentarios hechos en la sesin
de la AEC.
- Accin subsecuente con informacin confidencial.

Salvaguarda.
- Garanta de no represalias.
- Garanta sobre la confidencialidad.
- Tecnologa de voto electrnico.

105

AEC PROBLEMTICA

Obstculos Para Su Adopcin

Impedimentos derivados de la
resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante

Salvaguardas.
- Seleccin de personal adecuado.
- Soporte y compromiso de alto nivel para
la AEC
- Enfoque en los beneficios a alcanzar.
106

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
- La cultura no valora la innovacin y la
colaboracin.
- Organizaciones en medio de una reduccin de

Salvaguardas.
personal.
- Evitar utilizar la AEC en estas situaciones.

107

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la
adecuacin.
- El desarrollo de la AEC no es adecuado en
caso de:

+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con nicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.

Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108

AEC PROBLEMTICA
OBSTCULOS PARA SU ADOPCIN
Amenazas derivadas de la cultura.
-

La cultura no valora la innovacin y la

colaboracin.

- Organizaciones en medio de una reduccin

de personal.
Salvaguardas.
- Evitar utilizar la AEC con estas situaciones.
109

XITO PARA SU IMPLANTACIN

I.

Factores crticos de xito

II.

Pasos
para
implantacin

III.

Recomendaciones
implantacin

acelerar

su

para

su

110

I. FACTORES CRTICOS DE XITO

1)

Determinacin de objetivos claros

2)

Patrocinio de la alta gerencia

3)

Apoyo de la gerencia

4)

Entendimiento de por qu participa cada uno en la

sesin de Autoevaluacin

5)

Sealamiento de expectativas

111

I. FACTORES CRTICOS DE XITO

6)

Cultura que apoya la AEC

7)

Actitud gerencial orientada al facultamiento y el

control

8)

Beneficios tangibles

9)

Definicin del producto final

10)

Entorno libre de riesgos (no represalias)

112

II. PASOS PARA ACELERAR SU IMPLANTACIN

1)

Reconocer la complejidad de su implantacin

2)

Conducir sesiones piloto

3)

Ser realistas acerca de la cobertura de

auditora

4)

Dar los pronunciamientos y criterios al inicio

del proceso

5)

Permitir suficiente tiempo para su preparacin

6)

Limitar el alcance a los temas de alta prioridad

113

III. RECOMENDACIONES PARA SU

IMPLANTACIN
1)

Conocer cul es el propsito

herramientas se necesitan

2)

Entender la cultura organizacional

3)

Ser innovador y dispuesto a tomar riesgos

4)

Particularizar el marco estructurado de control

5)

Agregar valor a la organizacin

6)

Comentar con los dems y aprender de ellos

7)

Rotar facilitadores que procedan de otras

reas
114

qu

III. RECOMENDACIONES PARA SU

IMPLANTACIN
8)

Emplear grupos de trabajo interdisciplinarios

9)

Mantener el proceso sencillo

10)

Reconocer que las habilidades de facilitacin

son tan importantes como las pruebas de
cumplimiento o las habilidades tradicionales
de auditora

11)

Mantener visible el apoyo de la gerencia

12)

Vender el concepto cada da

115

AEC - ERRORES EN SU IMPLANTACIN

1) Fallar en explicar el por qu de la AEC.
2) Pilotear la AEC en un rea problema.
3) Escoger los objetivos equivocados.
4) Sobre-analizar la situacin.

116

AEC - POR QU FUNCIONA

Los empleados sienten que tienen un propsito,
que sus contribuciones son valiosas y que estn
involucrados en la toma de decisiones.
Se incrementa la conciencia entre objetivos,
riesgos y controles.
Los equipos (grupos de AEC) funcionan mejor que
los individuos.
La AEC promueve un entendimiento comn de
objetivos y metas.
Los talleres de AEC eliminan las barreras de
comunicacin.

117