Professional Documents
Culture Documents
2
PANORÁMICA DE MODELOS DE CONTROL
Objetivos de Control
Principios
Madurez de la Capacidad
3
PANORÁMICA DE MODELOS DE CONTROL
Comunidad de Principios
5
DIAGRAMA DE INFLUENCIA
6
COMUNIDADES DE MODELOS
7
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)
BS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NIST
8
CONTROL SEGÚN COSO
10
COSO - CONTROL
11
COSO - CONCEPTO DE CONTROL INTERNO
14
COSO - CARACTERÍSTICAS...
16
COSO - CARACTERÍSTICAS...
Limitaciones del control :
Colusión.
Costo - beneficio. 17
COSO - CARACTERÍSTICAS...
19
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES
20
COSO - MARCO INTEGRADO DE CONTROL
21
COSO - Relaciones de Componentes y Objetivos
O
S
NC E S
S
NE
NT
RO
RT
IE
IO
IE
IM
AC
PO
PL
ER
RE
ACT
ACTIV
NA
M
OP
CU
FI
IVID
MONITOREO
IDA
ACT
ACTIV
AD
INFORMACION Y
D2
IVID
COMUNICACION
IDA
UN
UNIIDA
ACTIVIDAD
AD
ACTIVIDADES DE
D1
DAD
CONTROL
DB
UNIDAD A
EVALUACION DE
RIESGOS
AMBIENTE DE
CONTROL
COMPONENTE
22
COSO - AMBIENTE DE CONTROL
Integridad y Valores Eticos
Comité de Auditoría
Filosofía Admva. y Estilo
de Dirección
Estructura Organizacional
Asignación de Autoridad y
Responsabilidad
Política de Recursos
Humanos
Competencia
23
COSO - EVALUACIÓN DE RIESGOS
Objetivos Institucionales
Objetivos Específicos
Operativos
Información Financiera
Cumplimiento
Análisis de Riesgos
Organización (Externos /
Internos)
Actividad
Análisis (Trascendencia /
Probabilidad / Control)
Manejo de Cambios
(Reorganizaciones/Políticas /
Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL
Actividades de control
sobre:
Las operaciones
La información
financiera
El acatamiento
Tipos de Control:
Preventivos /
Correctivos
Manuales /
Automatizados
Gerenciales 25
COSO - INFORMACIÓN Y COMUNICACIÓN
Sistemas de Información :
Apoyo Actividades
Estratégicas
Integración con las
Operaciones
Calidad
Comunicación :
Interna / Externa
Medios 26
COSO - SUPERVISIÓN Y SEGUIMIENTO
Supervisión Concurrente
Evaluaciones Independientes
Alcance y frecuencia
Quiénes evalúan
Proceso de evaluación
Metodología /
documentación
Plan de acción
Reportes de Deficiencias
27
COSO - RESPONSABILIDADES SOBRE EL CONTROL
28
COSO - TIPOS DE CONTROL
- Preventivos - Detectivos
• Concurrentes (sobre
la marcha)
• Posteriores
- De actividades - De resultados
(repetitivas) (actividades creativas)
- De recursos - De operaciones
- De insumos - De procesos - De salidas
- De acceso - De seguridad (resguardo)
- De investigación y desarrollo
- De proyectos
29
MODELO CADBURY
31
MODELO CADBURY
• Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la información y reportes
financieros.
34
MODELO COCO
OBJETIVOS ORGANIZACIONALES (efectividad y
eficiencia de las operaciones)
Servicio al cliente
Obtención de beneficios
35
MODELO COCO
36
MODELO COCO
37
MODELO COCO
38
MODELO COCO
39
MODELO COCO
Ciclo del entendimiento básico
Propósito
Compromiso
Aptitud
Acción
Evaluación (Auto) y Aprendizaje
Criterios de control
• Los criterios de control son la base para entender el
control de una organización.
• Están planteados como metas a cumplir
permanentemente.
40
MODELO COCO
A.- PROPÓSITO Sentido de Dirección a la
Organización
A1.- Los objetivos deben ser establecidos y
comunicados.
41
MODELO COCO
A.- PROPÓSITO
42
MODELO COCO
B.- COMPROMISO: Sentido de identidad y valores
de la organización.
43
MODELO COCO
B.- COMPROMISO
B3. La autoridad, la responsabilidad y la
obligación de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organización, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.
44
MODELO COCO
C. APTITUD: sentido de competencia o aptitud
de la organización
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organización.
45
MODELO COCO
C. APTITUD
46
MODELO COCO
47
MODELO COCO
- Evaluación y Aprendizaje
48
COBIT
¿Qué es?
52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.
53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organización y el control
mínimo requerido.
54
Cobit - Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
55
Cobit - Estructura
EVENTOS INFORMACIÓN
Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
57
Cobit - Estructura
Criterios de la Información (7)
CUBO de CobiT
Relación entre los ad
li d d
Recurso Humano
ad i a
componentes id if a
b rid
a l u
on g
Instalaciones
C Se
C
Tecnología
Applicaciones
Dominios
Procesos TI
Datos
Procesos
TI
de
os
Actividades s
cur
Re
58
59
Objetivos del
Negocio
CobiT
Requerimientos Planeación y
de Información Organización
Seguimiento
Recursos de TI Adquisición e
Implantación
Servicios y Soporte
60
Cobit - Requerimientos
de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad.
de Calidad Costo.
Oportunidad.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
61
Cobit - Requerimientos de la
Información del Negocio
62
Cobit - Requerimientos de la
Información del Negocio
Disponibilidad: accesibilidad a la
información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.
63
Recursos de TI
Datos: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.
64
Procesos de TI
- Los Tres Niveles
Agrupación natural de procesos,
4
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
34 unidas con delimitación o cortes de
control.
65
COBIT – DOMINIOS: 4
Planeación y Organización
Adquisición e Implantación
Prestación de Servicios y Soporte
Seguimiento
66
COBIT – DOMINIOS - PROCESOS
68
COBIT COMO PRODUCTO
Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de Implementación
CD-ROM
2a Edición disponible en español
69
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992
SAC 1991/1994
Contribuciones
Conceptos de
al concepto de Control Interno Conceptos de
Control Interno Control Interno
71
GUÍA TURNBULL
Es la adopción de un enfoque
basado en riesgos para
establecer un sistema de control
interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento de
la adecuación y efectividad
de la Administración de Riesgos
y del sistema de control
74
Mayor
Desplazamiento probabilidad Mayor
oportuno a otras de lograr cobertura a largo
áreas de negocios objetivos plazo
Disminución de Mayor
sorpresas BENEFICIOS probabilidad de
desagradables POTENCIALES lograr cambios
Reducción de
tiempo para Ventajas
emergencias competitivas
Determinación de
Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos
OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN
Fuentes de Negociación de
DE RIESGOS
aseguramiento estrategias de control y
administración de riesgos
Monitoreo de aspectos
significativos de Negociación sobre
control interno rendición de cuentas
Cambios en comportamiento
y enfoque en las bases
Mecanismos de de una buena administración
Concientización
advertencia oportunos de riesgos y control
de los riesgos
76
críticos
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
Enfocarse Asegurar
Asegurarque
quelos
losobjetivos
Enfocarseen enriesgos
riesgos se
objetivos
jerarquicen
Evitar
Evitarduplicidades
duplicidades
críticos y sus controles
críticos y sus controles se jerarquicen
Asignar
Asignar
Reorientar
Reorientarelel responsabilidades
responsabilidades
entrenamiento MANTENERSE SIMPLE en
entrenamiento en laadministración
la administraciónde
de
hacia
hacialos
losriesgos
riesgoscríticos
críticos Y PROSPECTIVO riesgos
riesgos
Elaborar
Elaborarun
unplan
plan Mantener
Mantenerloslosinformes
informes
Evitar
Evitarexpedientes
expedientes
apropiado
apropiadoyy alalConsejo
Consejo sucintosyy
sucintos
voluminosos
voluminosos
monitorear
monitorearsu
suavance
avance sencillos
sencillos
77
PASOS SUGERIDOS
Fracaso en la
7.05
administración de
proyectos mayores
Fracaso de estrategias 6.67
ADECUADA
ADMINISTRACIÓN DE Asesoría a
Información
confiable RIESGOS Y todos los niveles de
CONTROL la compañía
Controles básicos
Aplicación
Mecanismos de continua
advertencia oportunos Concientización de
y respuesta rápida de los objetivos Estrategias de
organizacionales control
PELIGROS POTENCIALES
Enfoque
Insuficiente
en
Falta de Admón de Inapropiada
Mecanismos Riesgos Orientación
de Advertencia de riesgos
Incapacidad
Demasiados
para obtener
Riesgos
aceptación
identificados Peligros del gerente
Potenciales
Sobrecarga
Abandonarlo
del comité
Demasiado
de
tarde
Auditoría
Ignorar
Incremento
Controles
de
Financieros
Burocracia
básicos
81
AUTOEVALUACIÓN DEL
CONTROL
83
AEC - OTROS NOMBRES
AEC - DEFINICIÓN
• Autoevaluación de riesgos.
• Evaluación dinámica del
control.
• Autoevaluación de riesgos de
la organización.
• Co-evaluación del control.
• Autoevaluación
organizacional.
84
AEC - ENTRENAMIENTO
. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de control
. En redacción.
. En tecnología.
85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2
Delegación de
Facultades
Desarrollo de la
Responsabilidad AEC
• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORÍA INTERNA
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
- Generación de ideas y planes de acción
implantados más allá del alcance original.
- Facilidad de implantación de acciones de
mejora.
- Promoción de la unidad organizacional
mediante la identificación y solución de
problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA. 87
AEC - FASES DE LA AUTOEVALUACIÓN
Involucramiento
de la alta
Gerencia
Monitoreo y
Reporte de Planeación
Resultados
Conducción Capacitación
de Reuniones
88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopción de la AEC
89
AEC – INVOLUCRAMIENTO DE…….
Requisitos de la Organización
90
AEC – INVOLUCRAMIENTO DE…….
Requisitos del Facilitador
91
AEC - INVOLUCRAMIENTO DE ………..
Responsabilidades del Facilitador
- Asegurarse que la administración sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
92
AEC – INVOLUCRAMIENTO DE…….
93
AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
Preparación del taller:
94
AEC – INVOLUCRAMIENTO DE…….
Estrategias
96
AEC - P L A N E A C I Ó N
97
AEC- C A P A C I T A C I O N
98
AEC - CONDUCCIÓN DE REUNIONES
6. Conducir la reunión
100
AEC - CONDUCCIÓN DE REUNIONES
REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche
No interrumpa
Logre consenso
101
AEC – CONDUCCIÓN DE REUNIONES
103
AEC - PROBLEMÁTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna
104
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.
105
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la resistencia.
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para la AEC
- Enfoque en los beneficios a alcanzar.
106
AEC – PROBLEMÁTICA
• Salvaguardas.
107
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la adecuación.
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
108
AEC – PROBLEMÁTICA
• Salvaguardas.
109
ÉXITO PARA SU IMPLANTACIÓN
110
I. FACTORES CRÍTICOS DE ÉXITO
3) Apoyo de la gerencia
5) Señalamiento de expectativas
111
I. FACTORES CRÍTICOS DE ÉXITO
8) Beneficios tangibles
112
II. PASOS PARA ACELERAR SU IMPLANTACIÓN
114
III. RECOMENDACIONES PARA SU
IMPLANTACIÓN
115
AEC - ERRORES EN SU IMPLANTACIÓN
4) Sobre-analizar la situación.
116
AEC - POR QUÉ FUNCIONA
117