1 modelos de control

MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith Diciembre 2007

2

MODELOS DE CONTROL

CONTENIDO

PANORÁMICA DE MODELOS DE CONTROLCOSOCADBURYCOCOCOBIT TURNBULLAEC

3

PANORÁMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para clasificar los modelos de control según Philip L. Campbell ( An Introduction to Information Control Models):

Objetivos de Control

Principios

Madurez de la Capacidad

4


Comunidad de Objetivos de Control

Se basan en el concepto de “objetivo de control”:

Control: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.

Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información

5


Comunidad de Principios

Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.

Comunidad de Madurez de la Capacidad

Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM).

La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en el producto.

6

DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information Control Models, Philip L. Campbell

7

COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information Control Models, Philip L. Campbell

8

SIGNIFICADO DE SIGLAS UTILIZADAS

OECD Organization for Economic Cooperation and Development

GAPP Generaly Accepted Principles and Practices. National Institute of Standards

and Technology (NIST)

BS 7799 British Standard Institute

SAC Security Auditability and Control. The Inst. of Internal Audit.

COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations

SSE CMM Systems Security Engineering Capability Maturity Model

National Security Agency (NSA) Defense- Canada.

CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.

ITCG Information Technology Control Guidelines. Canadian Institute

of Chartered Accountants (CICA)

GASSP Generaly Accepted System Security Principles. International

Information Security Foundation (IISF)

Cobit Control Objectives for Information and Related Technologies

FISCAM Federal Information Systems Controls Audit Manual. GAO

SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability

SSAG System Self-Assessment Guide for Information Technology Systems. NIST

9


CONTROL SEGÚN COSO

10

COSO -

ANTECEDENTES

Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992.

Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.

11

Cualquier medida que tome la dirección, el Consejo y otros,

para mejorar la gestión de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La dirección planifica, organiza y dirige la realización de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarán los objetivos y metas.

COSO - CONTROL

12

Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:

Efectividad y eficiencia de las operaciones

Confiabilidad de la información financiera

Cumplimiento con las leyes, reglamentos, normas y políticas.

COSO - CONCEPTO DE CONTROL INTERNO

13

COSO - CARACTERÍSTICAS

Medio para alcanzar un fin, no un fin en si mismo.

No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización.

Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos.

Los controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”.

14

Es efectuado por personas. No es solamente un conjunto

de manuales de políticas y procedimientos, sino son

personas en cada nivel de la organización.

Es ejecutado por la gente de una organización a través de

lo que hace y dice. La gente diseña los objetivos de la

Entidad y establece los mecanismos de control.

COSO - CARACTERÍSTICAS...

15

Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan.

La alta dirección es responsable de la existencia de un eficiente sistema de control.

Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y aprueban ciertas transacciones y políticas.

Cada individuo dentro de la organización tiene algún rol respecto al control interno.


16

No existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga.

No importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es que proporcione seguridad razonable.

El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos.


17

Limitaciones del control :

Errores por falta de capacidad para ejecutar las

instrucciones

Errores de juicio en la toma de decisiones.

Errores por mala interpretación, negligencia,

distracción o fatiga.

Inobservancia gerencial a las políticas o

procedimientos prescritos.

Colusión.

Costo - beneficio.


18

Características de los objetivos de una organización:

Operacionales: Relacionados con el uso eficiente y

eficaz de los recursos.

Información financiera: Relacionados con la

preparación de reportes financieros confiables.

Cumplimiento: Relacionados con el cumplimiento

con leyes y reglamentos aplicables.


19

COSO - MARCO INTEGRADO DE CONTROL

20

COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES

Existe una relación

directa entre objetivos

que la organización

busca y los

componentes que

representan lo

necesario para

alcanzar los objetivos

21

COSO - MARCO INTEGRADO DE CONTROL

22

OPE

RA

CIO

NES

REP

OR

TES

FIN

AN

CIE

RO

SC

UM

PLIM

IEN

TO

MONITOREO

INFORMACION Y COMUNICACION

ACTIVIDADES DE CONTROL

EVALUACION DE RIESGOS

AMBIENTE DE CONTROL

AC

TIV

IDA

D 2

AC

TIV

IDA

D 1

UN

IDA

D BU

NID

AD

A

COSO - Relaciones de Componentes y Objetivos

COMPONENTE

ACTIVIDAD

23

Integridad y Valores Eticos

Comité de Auditoría

Filosofía Admva. y Estilo de Dirección

Estructura Organizacional

Asignación de Autoridad y Responsabilidad

Política de Recursos Humanos

Competencia

COSO - AMBIENTE DE CONTROL

24

Objetivos InstitucionalesObjetivos Específicos

Operativos Información Financiera Cumplimiento

Análisis de Riesgos Organización (Externos /

Internos) Actividad Análisis (Trascendencia /

Probabilidad / Control)Manejo de Cambios (Reorganizaciones/Políticas /

Sistemas y Procedimientos)

COSO - EVALUACIÓN DE RIESGOS

25

Actividades de control sobre:

Las operaciones La información

financiera El acatamiento

Tipos de Control:

Preventivos / Correctivos

Manuales / Automatizados

Gerenciales

COSO - ACTIVIDADES DE CONTROL

26

Sistemas de Información :

Apoyo Actividades Estratégicas

Integración con las Operaciones

Calidad

Comunicación :

Interna / Externa Medios

COSO - INFORMACIÓN Y COMUNICACIÓN

27

Supervisión Concurrente

Evaluaciones Independientes

Alcance y frecuencia Quiénes evalúan Proceso de evaluación Metodología /

documentación Plan de acción

Reportes de Deficiencias

COSO - SUPERVISIÓN Y SEGUIMIENTO

28

COSO - RESPONSABILIDADES SOBRE EL CONTROL

Consejo de Administración.- Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización

Gerencia.- El Director General es el último responsable y asume la propiedad del sistema de control

Auditores Internos.- Evalúa la efectividad del sistema de control

Personal.- es responsable todo el personal dependiendo de su nivel y ubicación funcional

29

COSO - TIPOS DE CONTROL

- Preventivos• Concurrentes (sobre

la marcha)

- Detectivos

• Posteriores- De actividades

(repetitivas)

- De resultados (actividades creativas)

- De recursos- De insumos- De acceso- De investigación y desarrollo- De proyectos

- De operaciones- De procesos - De salidas

- De seguridad (resguardo)

MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007

31

MODELO CADBURY

Adopta una interpretación amplia del control.

Mayores especificaciones en la definición de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo.

• Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee).

32

• Objetivos orientados a proporcionar una razonable seguridad de:

a) Efectividad y eficiencia de las operaciones.

b) Confiabilidad de la información y reportes financieros.

c) Cumplimiento con leyes y reglamentos

• Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos.

• Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros

MODELO CADBURY

MODELO COCO


34

CONCEPTO DE CONTROL INTERNO

Efectividad y eficiencia de las operaciones.

Confiabilidad de los reportes internos o externos.

Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.

MODELO COCO

- Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:

35

Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtención de beneficios

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son debidamente identificados y administrados

OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)

MODELO COCO

36

Mantenimiento de registros contables adecuados.

Confiabilidad de la información utilizada.

Información publicada para terceros interesados.

Confiabilidad de los reportes internos y externos

MODELO COCO

37

Cumplimiento con la normatividad y

políticas internas aplicables

Aseguramiento de que las actividades de la organización se conducen en total concordancia con el marco legal y con las políticas internas.

MODELO COCO

38

MODELO COCO

Naturaleza del control

• El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control.

• El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.

39

Naturaleza del control

El costo del control deberá ser proporcional a los beneficios esperados.

El control requiere de un equilibrio entre autonomía e integración y entre consistencia y adaptación al cambio.

MODELO COCO

40

Ciclo del entendimiento básico

PropósitoCompromisoAptitudAcciónEvaluación (Auto) y Aprendizaje

MODELO COCO

Criterios de control

• Los criterios de control son la base para entender el control de una organización.

• Están planteados como metas a cumplir

permanentemente.

41

A.- PROPÓSITO Sentido de Dirección a la Organización

A1.- Los objetivos deben ser establecidos y comunicados.

A2.- Los riesgos internos y externos significativos deben ser identificados y evaluados.

A3.- Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de él se espera.

MODELO COCO

42

A4.- Deben establecerse y comunicarse planes para guiar los

esfuerzos para lograr los objetivos de la organización.

A5.- Los objetivos y los planes relativos deben incluir metas,

parámetros e indicadores de medición del desempeño.

A.- PROPÓSITO

MODELO COCO

43

B.- COMPROMISO: Sentido de identidad y valores de la organización.

B1. Deben establecerse, comunicarse y ponerse en práctica valores éticos compartidos, incluyendo la integridad.

B2. Las políticas y prácticas sobre recursos

humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos.

MODELO COCO

44

B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado.

B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos.

B.- COMPROMISO

MODELO COCO

45

MODELO COCO

C. APTITUD: sentido de competencia o aptitud de la organización

C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización.

C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos.

C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.

46

MODELO COCO

C. APTITUD

C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización.

C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.

47

- Evaluación y aprendizaje. Sentido de evolución de la organización:

D1.- El ambiente externo e interno debe ser “monitoreado” para obtener información que pueda señalar la necesidad de revaluar los objetivos de la organización o el control.

D2.- El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organización.

D3.- Las premisas consideradas para los objetivos de la organización deben cuestionarse periódicamente.

MODELO COCO

48

D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada.

D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.

- Evaluación y Aprendizaje

MODELO COCO

49

COBIT


50

Cobit - Definición

Control

OBjectives

for Information

and Related Technology (Objetivos de Control para Tecnología de

Información y Tecnologías relacionadas)

Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002

51

Cobit - Definición

¿Qué es?

Es un marco de control interno de TI.

Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización.

Promueve el enfoque y la propiedad de los procesos.

52

Cobit - Definición

Apoya a la organización al proveer un marco que asegura que:

La Tecnología de Información (TI) esté alineada con la misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

53

Cobit - Usuarios

Gerencia: Apoyar decisiones de inversión en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.

Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente

54

Cobit - Usuarios

Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y el control mínimo requerido.

Responsables de TI: Identificar los controles que requieren.

55

Cobit - Principios

REQUERIMIENTOS DE INFORMACIÓN

DEL NEGOCIO

RECURSOSDE TI

PROCESOS DE TI

56

INFORMACIÓN

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

EVENTOS

Objetivos de negocio

Oportunidades de negocio

Requerimientos externos

RegulaciónRiesgos

DatosAplicacionesTecnología

InstalacionesRecurso Humano

Cobit - Estructura

57

Procesos del Negocio

Recursos de TI

DatosAplicacionesTecnología

InstalacionesRecurso Humano

Información

Lo que usted Obtiene

Lo que Usted Necesita

Criterios

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

Concuerdan

Cobit - Estructura

58

Pro

ces

os

TI Dominios

Procesos

Actividades

CUBO de CobiTRelación entre loscomponentes

Da

tos

Ap

plic

aci

on

es

Tecn

olo

gía

Inst

ala

cio

ne

s

Re

cu

rso

Hu

ma

no

Recursos d

e TI

Calidad

Confiabilid

ad

Segurid

ad

Criterios de la Información (7)

Cobit - Estructura

60

CobiT

Objetivos del Negocio

Recursos de TI

Requerimientos de Información

Seguimiento

Planeación y Organización

Adquisición e Implantación

Servicios y Soporte

61

Cobit - Requerimientos de la Información del Negocio

Requerimientos de Calidad

Requerimientos Financieros

(COSO)

Requerimientos de Seguridad

Efectividad y eficiencia operacional.

Confiabilidad de los reportes financieros.

Cumplimiento de leyes y regulaciones.

Calidad.

Costo.

Oportunidad.

Confidencialidad.

Integridad.

Disponibilidad.

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

62

Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

Eficiencia: Empleo óptimo de los recursos.

Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada

Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.


63

Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.

Cumplimiento: Leyes, regulaciones y compromisos contractuales.

Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo.


64

Recursos de TIDatos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados.

Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas.

Recurso Humano :Habilidad, actitud y productividad del personal.

65

Procesos de TI - Los Tres Niveles

DominiosAgrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Procesos

Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividadeso tareas

Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.

4

34

318

66


Adquisición e Implantación

Prestación de Servicios y Soporte

Seguimiento

COBIT – DOMINIOS: 4

67

COBIT – DOMINIOS - PROCESOS

Adquisición eImplantación

Identificación de soluciones automatizadasAdquisición y mantenimiento del software aplicativoAdquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientosInstalación y aceptación de los sistemasAdministración de los cambios


Definición de un plan estratégicoDefinición de la arquitectura de informaciónDeterminación de la dirección tecnológicaDefinición de organización y relacionesAdministración de la inversiónComunicación de las políticasAdministración de los recursos humanosAsegurar el cumplimiento con los requerimientos ExternosEvaluación de riesgosAdministración de proyectosAdministración de la calidad

68

COBIT – DOMINIOS - PROCESOS

Servicios y Soporte

Definición de los niveles de serviciosAdministración de los servicios de tercerosAdministración de la capacidad y rendimientosAseguramiento del servicio continuoAseguramiento de la seguridad de los sistemasEntrenamiento a los usuariosIdentificación y asignación de los costosAsistencia y soporte a los clientesAdministración de la configuraciónAdministración de los problemasAdministración de los datosAdministración de las instalacionesAdministración de la operación

Seguimiento

Seguimiento de los procesosEvaluación del control InternoContratación de un aseguramiento independiente

69

COBIT COMO PRODUCTO

Resumen Ejecutivo

Marco de Referencia (Framework)

Objetivos de Control

Guías de Auditoría

Guías de Administración

Herramientas de Implementación

CD-ROM

2a Edición disponible en español

70

COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998

COSO 1992SAC 1991/1994

SAS 55 - 1988

Definición deControl Interno

Definición de Objetivos de Control de T I

SAS 78 - 1995

Conceptos de Control Interno

Conceptos de Control Interno

enmienda

Contribucionesal concepto de Control Interno

71

Comparación de Conceptos de Control

COBIT SAC COSO SASs 55/78

Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI

Auditores Internos Administración Auditores Externos

El Control Interno es Visto como

Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional

Conjunto de procesos, subsistemas y personas

Procesos Procesos

Los Objetivos Organizacionales de Control Interno

Efectividad y Eficiencia de las operaciones

Confidencialidad, Integridad y disponibilidad de la información

Confiabilidad en los reportes financieros

Cumplimiento con leyes y normas










Componentes o Dominios Dominios:


Adquisición e implantación

Servicio y Soporte

Seguimiento

Componentes:

Ambiente de Control

Sistemas Manuales y Automatizados.

Procedimientos de Control

Componentes:

Ambiente de Control

Evaluación de Riesgo

Actividades de Control

Información y Comunicación

Seguimiento

Componentes:

Ambiente de Control

Evaluación de Riesgo

Actividades de Control

Información y Comunicación

Seguimiento

Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros

Evaluación de la Efectividad del Control I.

Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo

Responsable por el Control Interno

Administración Administración Administración Administración

Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos

72

GUÍA TURNBULL


¿ QUÉ ES LA GUÍA TURNBULL?

Es la adopción de un enfoque basado en riesgos para

establecer un sistema de control interno y revisar su efectividad

74

CONTRIBUCIONES DE AUDITORÍA INTERNA

Desplazamientooportuno a otras

áreas de negocios

Mayor probabilidad

de lograrobjetivos

Mayorcobertura a largo

plazo

Mejores bases para establecer

estrategias

Disminución de sorpresas

desagradables

Menores costosde capital

Mayor probabilidad delograr cambios

Enfoque internoen hacer bien

las cosas

Ventajascompetitivas

Reducción de tiempo paraemergencias

BENEFICIOSPOTENCIALES

76

ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE

UNA MEJOR ADMINISTRACIÓN DE RIESGOS

Identificación de cambiosInternos y externosy reconsideración y

negociación de objetivos

Cambios en comportamientoy enfoque en las bases

de una buena administraciónde riesgos y control

Revisión de riesgos y controles anuales

Implantación deacciones de

mejora

Informes sucintos

Fuentes de aseguramiento

Monitoreo de aspectossignificativos decontrol interno

Mecanismos de advertencia oportunos

Identificación defactores críticos

de éxito

Identificación y priorización de

riesgos

Determinación de riesgos significativos

Negociación deestrategias de control y

administración de riesgos

Negociación sobrerendición de cuentas

Concientización de los riesgos

críticos

IMPLANTACIÓN DEL TURNBULL

77

MANTENERSE SIMPLEY PROSPECTIVO

Enfocarse en riesgos críticos y sus controles

Enfocarse en riesgos críticos y sus controles

Reorientar elentrenamiento

hacia los riesgos críticos

Reorientar elentrenamiento

hacia los riesgos críticos

Elaborar un plan apropiado y

monitorear su avance

Elaborar un plan apropiado y

monitorear su avance

Evitar expedientesvoluminosos

Evitar expedientesvoluminosos

Asignar responsabilidades

en la administración deriesgos

Asignar responsabilidades

en la administración deriesgos

Evitar duplicidadesEvitar duplicidades

Mantener los informesal Consejo sucintos y

sencillos

Mantener los informesal Consejo sucintos y

sencillos

Asegurar que los objetivosse jerarquicen

Asegurar que los objetivosse jerarquicen

SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS

78Asignación de responsabilidades para elaborar el plan individual o de equipos

Aceptación del plan por parte de los directores

Consideración del plan por el Consejo de Administración

Reconsideración y afinación del plan por el Consejo

Implantación del plan de desarrollo y de la política de administración de riesgos

Involucramiento de los distintos niveles de la organización

Implantación de mecanismos apropiados para la información de avance

Enfoque a la mejora de negocios

PASOS SUGERIDOS

79

RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS(EN INGLATERRA)

TIPOS DE RIESGO PROMEDIO

Fracaso en la administración de proyectos mayores

Motivación y bajo desempeño del personal

7.05

6.67

6.32

6.30

6.00

Fracaso de estrategias

Fracaso en innovación

Mala reputación /administración - marca

Fuente: Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico

Enfasis en el cambiode comportamiento

Sencillez

Conciencia del riesgo

Mecanismos deadvertencia oportunos

y respuesta rápida

Informaciónconfiable

Concientización de los objetivos

organizacionales

Asesoría atodos los niveles de

la compañía

Aplicación continua

deEstrategias de

control

ADECUADA ADMINISTRACIÓN DE

RIESGOS YCONTROL

Controles básicos

81

PELIGROS POTENCIALES

82

AUTOEVALUACIÓN DEL CONTROL


83

AEC - DEFINICIÓN

Proceso documentado en el que :

La administración o el equipo de trabajo se involucra directamente en una función.

Se juzga la efectividad del proceso de control vigente.

Se define si se asegura razonablemente el lograr alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización.

84

AEC - OTROS NOMBRES

• Autoevaluación de riesgo-control.

• Evaluación dinámica del control.

• Co-evaluación del control.

• Autoevaluación organizacional.

• Autoevaluación de proceso.

• Autoevaluación de riesgos.

• Autoevaluación de riesgos de la organización.

AEC - DEFINICIÓN

85

AEC - ENTRENAMIENTO

• Para desarrollar la AEC se requiere capacitación:

. En metodología.

. En modelos de control

. En evaluación de riesgos

. En talleres de autoevaluación de control

. En redacción.

. En tecnología.

86

AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN2/2

Mejora del control y sus riesgos,

BENEFICIOS AL PROCESO OPERATIVO

Eficiencia de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general

A E CDesarrollo de la Responsabilidad

Instrumentación del Control

Diseño de Mejores Controles

Delegación de Facultades

CPC y CIA JUAN MANUEL PORTAL M.

87

- Generación de ideas y planes de acción implantados más allá del alcance original.

- Facilidad de implantación de acciones de mejora.

- Promoción de la unidad organizacional mediante la identificación y solución de problemas.

- REALZA EL PAPEL DE AUDITORÍA INTERNA.

• ADMINISTRACIÓN• PARTICIPANTES

• AUDITORÍA INTERNA

AEC - BENEFICIOS PARA LA ADMINISTRACIÓN

- Mejora de la moral del personal.- Eliminación de atmósferas de desconfianza.

88

AEC - FASES DE LA AUTOEVALUACIÓN

Monitoreo y

Reporte de Resultados

Conducción de Reuniones

Capacitación

Planeación

Involucramiento de la alta Gerencia

89

AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopción de la AEC

• Conocimiento de la AEC en los niveles adecuados

• Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC

• Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC

90

- Cultura que apoye la AEC

- Actitud gerencial orientada al facultamiento y al control.

- Entorno libre de riesgos (no represalias)

- Reconocimiento de la complejidad de la implantación de la AEC.

AEC – INVOLUCRAMIENTO DE…….

Requisitos de la Organización

91

Requisitos del Facilitador

- Ser innovador y desear tomar riesgos

- Saber escuchar, comunicarse y aprender de la gente

- Saber qué alcanzar y qué herramientas se necesitan

- Conocer la organización, su entorno y normatividad

- Entender la cultura organizacional


92

AEC - INVOLUCRAMIENTO DE ………..

- Asegurarse que la administración sabe que es responsable de los controles

- Explicar el proceso de AEC

- Proporcionar información y conocimiento al taller

- Utilizar enfoques y herramientas específicas

- Desarrollar la dinámica del equipo

- Asegurar la logística del taller.

- Obtener acciones de mejora del taller.

Responsabilidades del Facilitador

93


Preparación del taller:

Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacionalAprender sobre la organizaciónSeleccionar los objetivos de la organizaciónSeleccionar los participantes al TACPreparar la logística de la reuniónEnviar información previa a la reunión.


94

Preparación del taller:

- Facilitar la identificación del proceso y obstáculos

- Vigilar la logística- Obtener acciones de mejora del TAC

AGREGAR VALOR A LA ORGANIZACIÓN



95


1. Limitar el alcance a asuntos de alta prioridad

2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido

3. Proporcionar tiempo suficiente para la preparación del taller.

4. Definir los objetivos del Taller de Autoevaluación del Control (TAC)

5. Emitir pronunciamientos y criterios al inicio del proceso

Estrategias

96

6. Mantener visible el apoyo de la alta gerencia

7. Vender el concepto constantemente

8. Proporcionar retroalimentación a los participantes sobre los resultados

9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora

Estrategias

AEC – INVOLUCRAMIENTO DE …….

97

AEC - P L A N E A C I Ó N

1. Seleccionar el (los) objetivo (s) a analizar en el TAC

2. Seleccionar al facilitador y al relator

3. Definir la estructura del TAC: horizontal, vertical o mixta.

4. Seleccionar los participantes del TAC

5. Elaborar el programa de actividades con responsables y tiempos

6. Planear reportes de avance y conclusión

98

A E C - C A P A C I T A C I O N

Capacitar en Control y Autocontrol:

• Modelos de Control (COSO, COCO...)

• Evaluación de riesgos

• Autoevaluación en control y su metodología

• Herramientas y tecnología especializada para su uso en el taller

99

AEC - CONDUCCIÓN DE REUNIONES

1. Preparar la logística de las reuniones

2. Enviar información previa a las reuniones

3. Presentar los objetivos del TAC

• Definición del producto final

• Metodología del taller

• Herramientas a utilizar

• Método de registro y votación

• Beneficios tangibles

4. Explicar el papel de los participantes y aclarar expectativas.

•

100


5. Presentar la agenda de la reunión

6. Conducir la reunión

7. Estructurar e inventariar el resultado de las

evaluaciones

8. Levantar minuta de los acuerdos

101


Escuche

No interrumpa

Establezca un proceso de voto

Asegúrese que todos apoyen las reglas

Todos deben ser facilitadores en algún momento

Las ideas de otros fortalecen la decisión del grupo

Logre consenso

REGLAS PARA LA TOMA DE DECISIONES DE GRUPO

102

AEC – CONDUCCIÓN DE REUNIONES

- Definición y evaluación de objetivos, riesgos y

controles.

- Determinación de acciones de mejora.

- Definición y realización de las acciones, tiempos,

responsables y recursos para la implantación de

las mejoras.

- Establecimiento de puntos de control para la

evaluación de los avances y la comunicación de

las desviaciones

DESARROLLO DE PLANES DE ACCIÓN

103

AEC - MONITOREO Y REPORTE DE RESULTADOS

- Establecer sistema de seguimiento y evaluación de los planes de acción

- Implantar acciones correctivas y formular nuevos planes

- Establecer y formular reportes de avance de los trabajos del taller

- Evaluar los costos y beneficios de las mejoras implantadas

- Impulsar la mejora continua

104

AEC - PROBLEMÁTICA

- Arranque costoso

- Curva de aprendizaje pronunciada

- Habilidades poco aprovechadas

- Poco o mal entendimiento de los talleres

- Resultados iniciales poco impactantes

- Costos de honorarios de profesionales, entrenamiento, equipo y software

- Inversión fuerte en capacitación

- Esfuerzo serio de venta interna

105

AEC – PROBLEMÁTICA

- Represalias por comentarios hechos en la sesión de la AEC.

- Acción subsecuente con información confidencial.

Obstáculos Para Su Adopción

• Impedimentos derivados de la

técnica.

• Salvaguarda.

- Garantía de no represalias.

- Garantía sobre la confidencialidad.

- Tecnología de voto electrónico.

106


- Inflexibilidad de quienes llevan a cabo la AEC

- La AEC trae cambios que a la gente no le gustan.

- El compromiso de tiempo puede ser visto como agobiante

• Impedimentos derivados de la

resistencia.

• Salvaguardas.

- Selección de personal adecuado.

- Soporte y compromiso de alto nivel para la AEC

- Enfoque en los beneficios a alcanzar.

Obstáculos Para Su Adopción

107

- La cultura no valora la innovación y la

colaboración.

- Organizaciones en medio de una reducción de

personal.

• Amenazas derivadas de la cultura.

• Salvaguardas.

- Evitar utilizar la AEC en estas situaciones.


OBSTÁCULOS PARA SU ADOPCIÓN

108

- El desarrollo de la AEC no es adecuado en caso de:

+ Fraude.

+ Litigio.

+ Paticipantes con objetivos opuestos.

+ Funciones con únicamente una o dos personas.

+ Terceros vendedores o proveedores de servicios.

• Amenazas derivadas de la

adecuación.

• Salvaguardas.- Evitar utilizar la AEC en estas situaciones.



109

- La cultura no valora la innovación y la

colaboración.

- Organizaciones en medio de una reducción

de personal.

• Amenazas derivadas de la cultura.

• Salvaguardas.

- Evitar utilizar la AEC con estas situaciones.



110

ÉXITO PARA SU IMPLANTACIÓN

I. Factores críticos de éxito

II. Pasos para acelerar su implantación

III. Recomendaciones para su implantación

111

1) Determinación de objetivos claros

2) Patrocinio de la alta gerencia

3) Apoyo de la gerencia

4) Entendimiento de por qué participa cada uno en la sesión de Autoevaluación

5) Señalamiento de expectativas

I. FACTORES CRÍTICOS DE ÉXITO

112

6) Cultura que apoya la AEC

7) Actitud gerencial orientada al facultamiento y el control

8) Beneficios tangibles

9) Definición del producto final

10) Entorno libre de riesgos (no represalias)

I. FACTORES CRÍTICOS DE ÉXITO

113

II. PASOS PARA ACELERAR SU IMPLANTACIÓN

1) Reconocer la complejidad de su implantación

2) Conducir sesiones piloto

3) Ser realistas acerca de la cobertura de auditoría

4) Dar los pronunciamientos y criterios al inicio del proceso

5) Permitir suficiente tiempo para su preparación

6) Limitar el alcance a los temas de alta prioridad

114

III. RECOMENDACIONES PARA SU IMPLANTACIÓN

1) Conocer cuál es el propósito y qué herramientas se necesitan

2) Entender la cultura organizacional

3) Ser innovador y dispuesto a tomar riesgos

4) Particularizar el marco estructurado de control

5) Agregar valor a la organización

6) Comentar con los demás y aprender de ellos

7) Rotar facilitadores que procedan de otras áreas

115

III. RECOMENDACIONES PARA SU IMPLANTACIÓN

8) Emplear grupos de trabajo interdisciplinarios

9) Mantener el proceso sencillo

10) Reconocer que las habilidades de facilitación son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditoría

11) Mantener visible el apoyo de la gerencia

12) Vender el concepto cada día

116

AEC - ERRORES EN SU IMPLANTACIÓN

1) Fallar en explicar el por qué de la AEC.

2) Pilotear la AEC en un área problema.

3) Escoger los objetivos equivocados.

4) Sobre-analizar la situación.

117

AEC - POR QUÉ FUNCIONA

• Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones.

• Se incrementa la conciencia entre objetivos, riesgos y controles.

• Los equipos (grupos de AEC) funcionan mejor que los individuos.

• La AEC promueve un entendimiento común de objetivos y metas.

• Los talleres de AEC eliminan las barreras de comunicación.

1 modelos de control

Documents

Transcript of 1 modelos de control