MODELOS DE CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
 MODELOS DE CONTROL
CONTENIDO

PANORÁMICA DE MODELOS DE CONTROL

COSO
CADBURY
COCO
COBIT
TURNBULL
AEC

2
PANORÁMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para

clasificar los modelos de control según Philip L.
Campbell ( An Introduction to Information
Control Models):

Objetivos de Control
Principios
Madurez de la Capacidad

3
 PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control

Se basan en el concepto de “objetivo de control”:

Control: Las políticas, procedimientos, prácticas y

estructuras organizacionales para proporcionar
seguridad razonable de que los objetivos
organizacionales se alcanzarán y que los eventos no
deseados se evitarán o detectarán y corregirán.

Objetivo de control: una declaración de que el resultado

o propósito deseado se alcanzará al implantar
mecanismos de control en una actividad particular de
tecnología de información
4
 PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Principios

Se basan en la noción de principios como rendición de cuentas,

concientización, equidad y ética.

Comunidad de Madurez de la Capacidad

Se basa en la noción del modelo de madurez, cuyo único miembro

es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).

La teoría es que una organización cuyo nivel de madurez es mayor

que otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y sólo en forma secundaria en el
producto.

5
DIAGRAMA DE INFLUENCIA

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell

6
COMUNIDADES DE MODELOS

FUENTE: An Introduction to Information

Control Models, Philip L. Campbell

7
 SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST

8
CONTROL SEGÚN COSO

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
9
COSO - ANTECEDENTES

Modelo de Control COSO: Committee of

Sponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.

Modelo de Control COCO: Criteria of Control

Committee (Instituto Canadiense de Contadores
Certificados, CICA, November1995.

10
COSO - CONTROL

Cualquier medida que tome la dirección, el Consejo y otros,

para mejorar la gestión de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La dirección planifica, organiza y dirige la realización de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarán los objetivos y metas.

11
 COSO - CONCEPTO DE CONTROL INTERNO

Proceso llevado a cabo por el Consejo de Administración, la

Gerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:

 Efectividad y eficiencia de las operaciones

 Confiabilidad de la información financiera

 Cumplimiento con las leyes, reglamentos, normas y

políticas.
12
 COSO - CARACTERÍSTICAS

 Medio para alcanzar un fin, no un fin en si mismo.

 No es un evento o circunstancia sino una serie de

acciones que permean en las actividades de la
organización.
 Forma parte de los procesos básicos de la
administración-planeación ejecución y monitoreo y se
encuentra integrado en ellos.
 Los controles deben construirse ”Dentro¨” de la
infraestructura de la organización y no “Sobre ella”.
13
 COSO - CARACTERÍSTICAS...

 Es efectuado por personas. No es solamente un conjunto

de manuales de políticas y procedimientos, sino son
personas en cada nivel de la organización.

 Es ejecutado por la gente de una organización a través de

lo que hace y dice. La gente diseña los objetivos de la
Entidad y establece los mecanismos de control.

14
 COSO - CARACTERÍSTICAS...

 Afecta las acciones del personal, señalándole sus

responsabilidades y límites de autoridad, así como la
vinculación entre sus deberes y la forma en que los
desempeñan.
 La alta dirección es responsable de la existencia de un
eficiente sistema de control.
 Los Directores tienen la obligación de la vigilancia del
control además de que proporcionan directrices y
aprueban ciertas transacciones y políticas.
 Cada individuo dentro de la organización tiene algún rol
respecto al control interno.
15
 COSO - CARACTERÍSTICAS...

 No existe sistema infalible. Ningún sistema hará por

siempre lo que se espera que haga.
 No importa lo bien diseñado y operado que sea un
sistema de control; lo más que puede esperarse es que
proporcione seguridad razonable.
 El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.

16
 COSO - CARACTERÍSTICAS...
 Limitaciones del control :

 Errores por falta de capacidad para ejecutar las

instrucciones

 Errores de juicio en la toma de decisiones.

 Errores por mala interpretación, negligencia,

distracción o fatiga.

 Inobservancia gerencial a las políticas o

procedimientos prescritos.

 Colusión.

 Costo - beneficio. 17
 COSO - CARACTERÍSTICAS...

 Características de los objetivos de una organización:

 Operacionales: Relacionados con el uso eficiente y

eficaz de los recursos.

 Información financiera: Relacionados con la

preparación de reportes financieros confiables.

 Cumplimiento: Relacionados con el cumplimiento

con leyes y reglamentos aplicables.
18
COSO - MARCO INTEGRADO DE CONTROL

19
 COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES

 Existe una relación

directa entre objetivos
que la organización
busca y los
componentes que
representan lo
necesario para
alcanzar los objetivos

20
COSO - MARCO INTEGRADO DE CONTROL

21
COSO - Relaciones de Componentes y Objetivos

O
S

NC E S

S
NE

NT
RO
RT

IE
IO

IE

IM
AC

PO

PL
ER

RE

ACT
ACTIV
NA

M
OP

CU
FI

IVID
MONITOREO

IDA
ACT
ACTIV
AD
INFORMACION Y

D2
IVID
COMUNICACION

IDA
UN
UNIIDA
ACTIVIDAD

AD
ACTIVIDADES DE

D1
DAD
CONTROL

DB
UNIDAD A
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL

COMPONENTE

22
COSO - AMBIENTE DE CONTROL
 Integridad y Valores Eticos
 Comité de Auditoría
 Filosofía Admva. y Estilo
de Dirección
 Estructura Organizacional
 Asignación de Autoridad y
Responsabilidad
 Política de Recursos
Humanos
 Competencia
23
COSO - EVALUACIÓN DE RIESGOS
 Objetivos Institucionales
 Objetivos Específicos
 Operativos
 Información Financiera
 Cumplimiento

 Análisis de Riesgos
 Organización (Externos /
Internos)
 Actividad
 Análisis (Trascendencia /
Probabilidad / Control)
 Manejo de Cambios
(Reorganizaciones/Políticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL

 Actividades de control
sobre:

 Las operaciones
 La información
financiera
 El acatamiento

 Tipos de Control:

 Preventivos /
Correctivos
 Manuales /
Automatizados
 Gerenciales 25
COSO - INFORMACIÓN Y COMUNICACIÓN

 Sistemas de Información :

 Apoyo Actividades
Estratégicas
 Integración con las
Operaciones
 Calidad

 Comunicación :

 Interna / Externa
 Medios 26
COSO - SUPERVISIÓN Y SEGUIMIENTO
 Supervisión Concurrente

 Evaluaciones Independientes
 Alcance y frecuencia
 Quiénes evalúan
 Proceso de evaluación
 Metodología /
documentación
 Plan de acción

 Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE EL CONTROL

 Consejo de Administración.- Es la instancia

responsable de establecer guía, supervisión general y
gobernabilidad a la organización
 Gerencia.- El Director General es el último responsable
y asume la propiedad del sistema de control
 Auditores Internos.- Evalúa la efectividad del sistema
de control
 Personal.- es responsable todo el personal dependiendo
de su nivel y ubicación funcional

28
COSO - TIPOS DE CONTROL

- Preventivos - Detectivos
• Concurrentes (sobre
la marcha)
• Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)

- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigación y desarrollo
- De proyectos
29
MODELO CADBURY

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
MODELO CADBURY

• Desarrollado por el llamado Comité Cadbury

(UK Cadbury Committee).

Adopta una interpretación amplia del

control.

Mayores especificaciones en la definición de

su enfoque sobre el sistema de control en su
conjunto-financiero y de cualquier tipo.

31
MODELO CADBURY
• Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la información y reportes
financieros.

c) Cumplimiento con leyes y reglamentos

• Los elementos clave de este modelo son en
esencia similares al modelo COSO, salvo la
consideración de los sistemas de información
integrados en los otros componentes y un
mayor énfasis respecto a riesgos.
• Limitación en la responsabilidad de los
reportes de control a la confiabilidad de los
financieros 32
MODELO COCO

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
MODELO COCO

CONCEPTO DE CONTROL INTERNO

- Incluye aquellos elementos de una organización

(recursos, sistemas, procesos, cultura, estructura y
metas) que tomadas en conjunto apoyan al
personal en el logro de los objetivos de la
organización:

Efectividad y eficiencia de las operaciones.

Confiabilidad de los reportes internos o externos.

Cumplimiento con las leyes y reglamentos aplicables,

así como con las políticas internas.

34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad y
eficiencia de las operaciones)

Servicio al cliente

Salvaguarda y uso eficiente de los recursos

Obtención de beneficios

Cumplimiento de obligaciones sociales

Seguridad de que los riesgos son debidamente

identificados y administrados

35
MODELO COCO

Confiabilidad de los reportes internos y externos

Mantenimiento de registros contables adecuados.

Confiabilidad de la información utilizada.

Información publicada para terceros interesados.

36
MODELO COCO

Cumplimiento con la normatividad y

políticas internas aplicables

Aseguramiento de que las actividades de la

organización se conducen en total concordancia
con el marco legal y con las políticas internas.

37
MODELO COCO

Naturaleza del control

• El control debe ser realizado por el personal de toda la

organización, quien será responsable del diseño,
establecimiento, supervisión y mantenimiento del
control.

• El personal responsable de lograr determinados

objetivos también deberá evaluar la efectividad del
control dentro de su esfera de competencia y de
reportar tal evaluación ante quien él es responsable.

38
MODELO COCO

Naturaleza del control

El costo del control deberá ser proporcional a los

beneficios esperados.

El control requiere de un equilibrio entre autonomía

e integración y entre consistencia y adaptación al
cambio.

39
MODELO COCO
Ciclo del entendimiento básico
Propósito
Compromiso
Aptitud
Acción
Evaluación (Auto) y Aprendizaje
Criterios de control
• Los criterios de control son la base para entender el
control de una organización.
• Están planteados como metas a cumplir
permanentemente.

40
MODELO COCO
A.- PROPÓSITO Sentido de Dirección a la
Organización
A1.- Los objetivos deben ser establecidos y
comunicados.

A2.- Los riesgos internos y externos significativos

deben ser identificados y evaluados.

A3.- Las políticas para apoyar el logro de los

objetivos de una organización y el manejo de
sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que el
personal entienda lo que de él se espera.

41
MODELO COCO
A.- PROPÓSITO

A4.- Deben establecerse y comunicarse

planes para guiar los esfuerzos para
lograr los objetivos de la organización.
A5.- Los objetivos y los planes relativos
deben incluir metas, parámetros e
indicadores de medición del
desempeño.

42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y valores
de la organización.

B1. Deben establecerse, comunicarse y ponerse

en práctica valores éticos compartidos,
incluyendo la integridad.

B2. Las políticas y prácticas sobre recursos

humanos deben ser consistentes con los
valores éticos de la organización y con el
logro de sus objetivos.

43
MODELO COCO
B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligación de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organización, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.

B4. Debe fomentarse una atmósfera de mutua

confianza para apoyar el flujo de la
información entre el personal y para su
efectivo desempeño hacia el logro de los
objetivos.

44
MODELO COCO
C. APTITUD: sentido de competencia o aptitud
de la organización
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organización.

C2. El proceso de comunicación debe apoyar los

valores de la organización y el logro de sus
objetivos.

C3. Debe ser identificada y comunicada información

suficiente y relevante de manera oportuna, para
posibilitar al personal a desempeñar las
responsabiIidades asignadas.

45
MODELO COCO
C. APTITUD

C4. Deben coordinarse las decisiones y acciones de

las diferentes partes de la organización.

C5. Las actividades de control deben diseñarse como

parte integral de la organización, tomando en
consideración sus objetivos, los riesgos para su
cumplimiento y la interrelación de los elementos
de control.

46
MODELO COCO

- Evaluación y aprendizaje. Sentido de evolución

de la organización:
D1.- El ambiente externo e interno debe ser
“monitoreado” para obtener información que
pueda señalar la necesidad de revaluar los
objetivos de la organización o el control.

D2.- El desempeño debe ser evaluado o medido contra

las metas e indicadores en los planes u objetivos
de la organización.

D3.- Las premisas consideradas para los objetivos de la

organización deben cuestionarse periódicamente.

47
MODELO COCO

- Evaluación y Aprendizaje

D4.- Las necesidades de información y los sistemas

de información relativos deben reevaluarse en la
medida que cambian los objetivos o al identificarse
deficiencias en la información reportada.

D5.- Debe establecerse y ejecutarse un seguimiento

de los procedimientos, para asegurar que se den los
cambios requeridos.

48
COBIT

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
49
 Cobit - Definición
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)

Fuente: Control Objectives for Information and Related

Technology (CObIT) y presentación de Fernando
Izquierdo Duarte 2002
50
 Cobit - Definición

¿Qué es?

Es un marco de control interno de TI.

Parte de la premisa de que la TI

requiere proporcionar información
para lograr los objetivos de la
organización.

Promueve el enfoque y la propiedad

de los procesos.
51
 Cobit - Definición
Apoya a la organización al proveer un marco que
asegura que:

La Tecnología de Información (TI) esté alineada con la

misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

52
 Cobit - Usuarios
Gerencia: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.

Usuarios Finales: Garantizar seguridad y

control de los productos que adquieren
interna y externamente

53
 Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organización y el control
mínimo requerido.

Responsables de TI: Identificar los

controles que requieren.

54
 Cobit - Principios

REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI

55
 Cobit - Estructura

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad

negocio Eficiencia
Aplicaciones
Oportunidades Confidencialidad
Tecnología
de negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recurso Humano
externos Cumplimiento
Regulación Confiabilidad
Riesgos
56
 Cobit - Estructura
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
57
 Cobit - Estructura
Criterios de la Información (7)
CUBO de CobiT
Relación entre los ad
li d d

Recurso Humano
ad i a
componentes id if a
b rid
a l u
on g

Instalaciones
C Se
C

Tecnología
Applicaciones
Dominios
Procesos TI

Datos
Procesos
TI
de
os
Actividades s
cur
Re
58
59
 Objetivos del
Negocio

CobiT

Requerimientos Planeación y
de Información Organización

Seguimiento

Recursos de TI Adquisición e
Implantación
Servicios y Soporte
60
 Cobit - Requerimientos
de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS

Requerimientos Calidad.
de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
 Cobit - Requerimientos de la
Información del Negocio

Efectividad: Información relevante y pertinente,

proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Información exacta y completa, así como válida
de acuerdo con las expectativas de la organización.

62
Cobit - Requerimientos de la
Información del Negocio

Disponibilidad: accesibilidad a la
información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.

63
 Recursos de TI
Datos: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.

64
 Procesos de TI
- Los Tres Niveles
Agrupación natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitación o cortes de
control.

Actividades Acciones requeridas para lograr un

o tareas 318 resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.

65
 COBIT – DOMINIOS: 4

Planeación y Organización
Adquisición e Implantación
Prestación de Servicios y Soporte
Seguimiento

66
 COBIT – DOMINIOS - PROCESOS

Planeación y Definición de un plan estratégico

Organización Definición de la arquitectura de información
Determinación de la dirección tecnológica
Definición de organización y relaciones
Administración de la inversión
Comunicación de las políticas
Administración de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluación de riesgos
Administración de proyectos
Administración de la calidad

Adquisición e Identificación de soluciones automatizadas

Implantación Adquisición y mantenimiento del software aplicativo
Adquisición y mantenimiento de la infraestructura
tecnológica
Desarrollo y mantenimiento de procedimientos
Instalación y aceptación de los sistemas
Administración de los cambios 67
 COBIT – DOMINIOS - PROCESOS
Servicios y Definición de los niveles de servicios
Soporte Administración de los servicios de terceros
Administración de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificación y asignación de los costos
Asistencia y soporte a los clientes
Administración de la configuración
Administración de los problemas
Administración de los datos
Administración de las instalaciones
Administración de la operación
Seguimiento
Seguimiento de los procesos
Evaluación del control Interno
Contratación de un aseguramiento independiente

68
 COBIT COMO PRODUCTO

Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de Implementación
CD-ROM
2a Edición disponible en español

69
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO

CobiT 1996/1998

Definición de Definición de Objetivos

Control Interno de Control de T I

COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno

SAS 78 - 1995 enmienda

SAS 55 - 1988
70
 Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de Auditores Internos Administración Auditores Externos
Sistemas Responsables de TI
El Control Interno es Visto Conjunto de procesos incluyendo Conjunto de procesos, Procesos Procesos
como políticas, procedimientos, prácticas y subsistemas y personas
estructura Organizacional
Los Objetivos Efectividad y Eficiencia de las Efectividad y Eficiencia de Efectividad y Eficiencia de las Efectividad y Eficiencia de las
Organizacionales de operaciones las operaciones operaciones operaciones
Control Interno
Confidencialidad, Integridad y Confiabilidad en los reportes Confiabilidad en los reportes Confiabilidad en los reportes
disponibilidad de la información financieros financieros financieros
Confiabilidad en los reportes Cumplimiento con leyes y Cumplimiento con leyes y Cumplimiento con leyes y
financieros normas normas normas
Cumplimiento con leyes y normas
Componentes o Dominios Dominios: Componentes: Componentes: Componentes:
Planeación y Organización Ambiente de Control Ambiente de Control Ambiente de Control
Adquisición e implantación Sistemas Manuales y Evaluación de Riesgo Evaluación de Riesgo
Automatizados.
Servicio y Soporte Actividades de Control Actividades de Control
Procedimientos de Control
Seguimiento Información y Comunicación Información y Comunicación
Seguimiento Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Efectividad del Control I.
Responsable por el Control Administración Administración Administración Administración
Interno
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos

71
GUÍA TURNBULL

CP, CIA y Mtro. Fernando Vera Smith

Diciembre, 2007
72
 ¿ QUÉ ES LA GUÍA
TURNBULL?

Es la adopción de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento de
la adecuación y efectividad
de la Administración de Riesgos
y del sistema de control

Promoción de la Apoyo para mejorar

Concientización de el proceso de
riesgos y controles Identificación y
y los programas de Administración de
autoevaluación riesgos

74
 Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
áreas de negocios objetivos plazo

Disminución de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios

Reducción de
tiempo para Ventajas
emergencias competitivas

Mejores bases Enfoque interno

para establecer Menores costos en hacer bien
estrategias de capital las cosas
 IMPLANTACIÓN DEL TURNBULL
Identificación de
Implantación de
factores críticos
acciones de Identificación de cambios de éxito
mejora Internos y externos
y reconsideración y
negociación de objetivos Identificación y
Revisión de riesgos priorización de
y controles anuales riesgos

Determinación de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN
Fuentes de Negociación de
DE RIESGOS
aseguramiento estrategias de control y
administración de riesgos

Monitoreo de aspectos
significativos de Negociación sobre
control interno rendición de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administración
Concientización
advertencia oportunos de riesgos y control
de los riesgos
76
críticos
 SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS

Enfocarse Asegurar
Asegurarque
quelos
losobjetivos
Enfocarseen enriesgos
riesgos se
objetivos
jerarquicen
Evitar
Evitarduplicidades
duplicidades
críticos y sus controles
críticos y sus controles se jerarquicen

Asignar
Asignar
Reorientar
Reorientarelel responsabilidades
responsabilidades
entrenamiento MANTENERSE SIMPLE en
entrenamiento en laadministración
la administraciónde
de
hacia
hacialos
losriesgos
riesgoscríticos
críticos Y PROSPECTIVO riesgos
riesgos

Elaborar
Elaborarun
unplan
plan Mantener
Mantenerloslosinformes
informes
Evitar
Evitarexpedientes
expedientes
apropiado
apropiadoyy alalConsejo
Consejo sucintosyy
sucintos
voluminosos
voluminosos
monitorear
monitorearsu
suavance
avance sencillos
sencillos
77
 PASOS SUGERIDOS

Enfoque a la mejora de negocios

Implantación de mecanismos apropiados para

la información de avance
Involucramiento de los distintos niveles de la
organización

Implantación del plan de desarrollo y de la política de administració

de riesgos

Reconsideración y afinación del plan por el Consejo

Consideración del plan por el Consejo de Administración

Aceptación del plan por parte de los directores

Asignación de responsabilidades para elaborar el plan individual o de equipos78

 RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)

TIPOS DE RIESGO PROMEDIO

Fracaso en la
7.05
administración de
proyectos mayores
Fracaso de estrategias 6.67

Fracaso en innovación 6.32

Mala reputación 6.30

/administración - marca

Motivación y bajo desempeño 6.00

del personal

1= riesgo mínimo, 9 = crítico Fuente: Deloitte & Touche, 1990

79
 Sencillez
Enfasis en el cambio
de comportamiento Conciencia
del riesgo

ADECUADA
ADMINISTRACIÓN DE Asesoría a
Información
confiable RIESGOS Y todos los niveles de
CONTROL la compañía

Controles básicos

Aplicación
Mecanismos de continua
advertencia oportunos Concientización de
y respuesta rápida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admón de Inapropiada
Mecanismos Riesgos Orientación
de Advertencia de riesgos

Incapacidad
Demasiados
para obtener
Riesgos
aceptación
identificados Peligros del gerente
Potenciales

Sobrecarga
Abandonarlo
del comité
Demasiado
de
tarde
Auditoría
Ignorar
Incremento
Controles
de
Financieros
Burocracia
básicos

81
AUTOEVALUACIÓN DEL
CONTROL

CP, CIA y Mtro Fernando Vera Smith

Diciembre 2007
82
 AEC - DEFINICIÓN

Proceso documentado en el que :

 La administración o el equipo de trabajo se involucra

directamente en una función.

 Se juzga la efectividad del proceso de control vigente.

 Se define si se asegura razonablemente el lograr

alguno o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se

alcanzarán los objetivos de la organización.

83
 AEC - OTROS NOMBRES
AEC - DEFINICIÓN

• Autoevaluación de riesgo- • Autoevaluación de proceso.

control.

• Autoevaluación de riesgos.
• Evaluación dinámica del
control.
• Autoevaluación de riesgos de
la organización.
• Co-evaluación del control.

• Autoevaluación
organizacional.

84
 AEC - ENTRENAMIENTO

• Para desarrollar la AEC se requiere capacitación:

. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de control
. En redacción.
. En tecnología.

85
 AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2

BENEFICIOS AL PROCESO OPERATIVO

Mejora del control y sus riesgos,

Delegación de
Facultades

Desarrollo de la
Responsabilidad AEC

Instrumentación Diseño de Mejores

del Control Controles

 Eficienciade Procesos - Satisfacción del cliente - Mejora

de la calidad - Examen de los procesos
organizacionales en general
86
CPC y CIA JUAN MANUEL PORTAL M.
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN

• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORÍA INTERNA
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
- Generación de ideas y planes de acción
implantados más allá del alcance original.
- Facilidad de implantación de acciones de
mejora.
- Promoción de la unidad organizacional
mediante la identificación y solución de
problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA. 87
 AEC - FASES DE LA AUTOEVALUACIÓN

Involucramiento
de la alta
Gerencia

Monitoreo y
Reporte de Planeación
Resultados

Conducción Capacitación
de Reuniones

88
 AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA

Adopción de la AEC

• Conocimiento de la AEC en los niveles

adecuados
• Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la
alta gerencia en la AEC

89
 AEC – INVOLUCRAMIENTO DE…….

Requisitos de la Organización

- Cultura que apoye la AEC

- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantación de la AEC.

90
AEC – INVOLUCRAMIENTO DE…….
Requisitos del Facilitador

- Ser innovador y desear tomar riesgos

- Saber escuchar, comunicarse y aprender de la
gente
- Saber qué alcanzar y qué herramientas se
necesitan
- Conocer la organización, su entorno y
normatividad
- Entender la cultura organizacional

91
AEC - INVOLUCRAMIENTO DE ………..
Responsabilidades del Facilitador
- Asegurarse que la administración sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
92
 AEC – INVOLUCRAMIENTO DE…….

Responsabilidades del Facilitador

Preparación del taller:

Entrevistar a la Gerencia y al personal operativo

Evaluar la estructura organizacional
Aprender sobre la organización
Seleccionar los objetivos de la organización
Seleccionar los participantes al TAC
Preparar la logística de la reunión
Enviar información previa a la reunión.

93
 AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
Preparación del taller:

- Facilitar la identificación del proceso y

obstáculos
- Vigilar la logística
- Obtener acciones de mejora del TAC

AGREGAR VALOR A LA ORGANIZACIÓN

94
AEC – INVOLUCRAMIENTO DE…….
Estrategias

1. Limitar el alcance a asuntos de alta prioridad

2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparación del taller.
4. Definir los objetivos del Taller de Autoevaluación
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
95
AEC – INVOLUCRAMIENTO DE …….
Estrategias
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentación a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora

96
 AEC - P L A N E A C I Ó N

1. Seleccionar el (los) objetivo (s) a analizar en el TAC

2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusión

97
 AEC- C A P A C I T A C I O N

Capacitar en Control y Autocontrol:

• Modelos de Control (COSO, COCO...)

• Evaluación de riesgos
• Autoevaluación en control y su metodología
• Herramientas y tecnología especializada para
su uso en el taller

98
 AEC - CONDUCCIÓN DE REUNIONES

1. Preparar la logística de las reuniones

2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
• Definición del producto final
• Metodología del taller
• Herramientas a utilizar
• Método de registro y votación
• Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
99
 AEC - CONDUCCIÓN DE REUNIONES

5. Presentar la agenda de la reunión

6. Conducir la reunión

7. Estructurar e inventariar el resultado de las

evaluaciones

8. Levantar minuta de los acuerdos

100
 AEC - CONDUCCIÓN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche

No interrumpa

Establezca un proceso de voto

Asegúrese que todos apoyen las reglas

Todos deben ser facilitadores en algún momento

Las ideas de otros fortalecen la decisión del grupo

Logre consenso

101
 AEC – CONDUCCIÓN DE REUNIONES

DESARROLLO DE PLANES DE ACCIÓN

- Definición y evaluación de objetivos, riesgos y

controles.

- Determinación de acciones de mejora.

- Definición y realización de las acciones, tiempos,

responsables y recursos para la implantación de
las mejoras.

- Establecimiento de puntos de control para la

evaluación de los avances y la comunicación de
las desviaciones 102
 AEC - MONITOREO Y REPORTE DE
RESULTADOS

- Establecer sistema de seguimiento y evaluación de

los planes de acción
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua

103
 AEC - PROBLEMÁTICA

- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna

104
 AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción

• Impedimentos derivados de la técnica.

- Represalias por comentarios hechos en la sesión de la
AEC.
- Acción subsecuente con información confidencial.

• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.

105
 AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante

• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para la AEC
- Enfoque en los beneficios a alcanzar.
106
 AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN

• Amenazas derivadas de la cultura.

- La cultura no valora la innovación y la colaboración.

- Organizaciones en medio de una reducción de personal.

• Salvaguardas.

- Evitar utilizar la AEC en estas situaciones.

107
 AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la adecuación.
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.

108
 AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN

• Amenazas derivadas de la cultura.

- La cultura no valora la innovación y la

colaboración.

- Organizaciones en medio de una reducción

de personal.

• Salvaguardas.

- Evitar utilizar la AEC con estas situaciones.

109
 ÉXITO PARA SU IMPLANTACIÓN

I. Factores críticos de éxito

II. Pasos para acelerar su

implantación

III. Recomendaciones para su

implantación

110
 I. FACTORES CRÍTICOS DE ÉXITO

1) Determinación de objetivos claros

2) Patrocinio de la alta gerencia

3) Apoyo de la gerencia

4) Entendimiento de por qué participa cada uno en la

sesión de Autoevaluación

5) Señalamiento de expectativas

111
 I. FACTORES CRÍTICOS DE ÉXITO

6) Cultura que apoya la AEC

7) Actitud gerencial orientada al facultamiento y el control

8) Beneficios tangibles

9) Definición del producto final

10) Entorno libre de riesgos (no represalias)

112
 II. PASOS PARA ACELERAR SU IMPLANTACIÓN

1) Reconocer la complejidad de su implantación

2) Conducir sesiones piloto
3) Ser realistas acerca de la cobertura de
auditoría
4) Dar los pronunciamientos y criterios al inicio
del proceso
5) Permitir suficiente tiempo para su preparación
6) Limitar el alcance a los temas de alta prioridad
113
 III. RECOMENDACIONES PARA SU
IMPLANTACIÓN

1) Conocer cuál es el propósito y qué

herramientas se necesitan
2) Entender la cultura organizacional
3) Ser innovador y dispuesto a tomar riesgos
4) Particularizar el marco estructurado de control
5) Agregar valor a la organización
6) Comentar con los demás y aprender de ellos
7) Rotar facilitadores que procedan de otras áreas

114
 III. RECOMENDACIONES PARA SU
IMPLANTACIÓN

8) Emplear grupos de trabajo interdisciplinarios

9) Mantener el proceso sencillo
10) Reconocer que las habilidades de facilitación
son tan importantes como las pruebas de
cumplimiento o las habilidades tradicionales
de auditoría
11) Mantener visible el apoyo de la gerencia
12) Vender el concepto cada día

115
 AEC - ERRORES EN SU IMPLANTACIÓN

1) Fallar en explicar el por qué de la AEC.

2) Pilotear la AEC en un área problema.

3) Escoger los objetivos equivocados.

4) Sobre-analizar la situación.

116
 AEC - POR QUÉ FUNCIONA

• Los empleados sienten que tienen un propósito, que sus

contribuciones son valiosas y que están involucrados en
la toma de decisiones.

• Se incrementa la conciencia entre objetivos, riesgos y

controles.

• Los equipos (grupos de AEC) funcionan mejor que los

individuos.
• La AEC promueve un entendimiento común de objetivos
y metas.

• Los talleres de AEC eliminan las barreras de

comunicación.

117