SlideShare une entreprise Scribd logo

1 modelos de control

Télécharger en tant que PPT, PDF
C
Claudia Cárdenas
1  sur  117
MODELOS DE CONTROLMODELOS DE CONTROL CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
22 MODELOS DE CONTROLMODELOS DE CONTROL CONTENIDOCONTENIDO PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL COSOCOSO CADBURYCADBURY COCOCOCO COBITCOBIT TURNBULLTURNBULL AECAEC
33 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) paraMarcos de referencia (comunidades) para clasificar los modelos de control según Philip L.clasificar los modelos de control según Philip L. Campbell ( An Introduction to InformationCampbell ( An Introduction to Information Control Models):Control Models): Objetivos de ControlObjetivos de Control PrincipiosPrincipios Madurez de la CapacidadMadurez de la Capacidad
44 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de ControlComunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”:Se basan en el concepto de “objetivo de control”: Control: Las políticas, procedimientos, prácticas yControl: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionarestructuras organizacionales para proporcionar seguridad razonable de que los objetivosseguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos noorganizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.deseados se evitarán o detectarán y corregirán. Objetivo de control: una declaración de que el resultadoObjetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantaro propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular demecanismos de control en una actividad particular de tecnología de informacióntecnología de información
55 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Comunidad de PrincipiosComunidad de Principios Se basan en la noción de principios como rendición de cuentas,Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.concientización, equidad y ética. Comunidad de Madurez de la CapacidadComunidad de Madurez de la Capacidad Se basa en la noción del modelo de madurez, cuyo único miembroSe basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE-es el Systems Security Engineering Capability Maturity Model (SSE- CMM).CMM). La teoría es que una organización cuyo nivel de madurez es mayorLa teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. Elque otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en elenfoque se centra en el proceso y sólo en forma secundaria en el producto.producto.
66 DIAGRAMA DE INFLUENCIA FUENTE: An Introduction to Information Control Models, Philip L. Campbell
77 COMUNIDADES DE MODELOS FUENTE: An Introduction to Information Control Models, Philip L. Campbell
88 SIGNIFICADO DE SIGLAS UTILIZADASSIGNIFICADO DE SIGLAS UTILIZADAS OECD Organization for Economic Cooperation and DevelopmentOECD Organization for Economic Cooperation and Development GAPP Generaly Accepted Principles and Practices. National Institute of StandardsGAPP Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST)and Technology (NIST) BS 7799 British Standard InstituteBS 7799 British Standard Institute SAC Security Auditability and Control. The Inst. of Internal Audit.SAC Security Auditability and Control. The Inst. of Internal Audit. COSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsCOSO Internal Control Integrated Framework. Committee of Sponsoring Organizations SSE CMM Systems Security Engineering Capability Maturity ModelSSE CMM Systems Security Engineering Capability Maturity Model National Security Agency (NSA) Defense- Canada.National Security Agency (NSA) Defense- Canada. CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants. ITCG Information Technology Control Guidelines. Canadian InstituteITCG Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA)of Chartered Accountants (CICA) GASSP Generaly Accepted System Security Principles. InternationalGASSP Generaly Accepted System Security Principles. International Information Security Foundation (IISF)Information Security Foundation (IISF) Cobit Control Objectives for Information and Related TechnologiesCobit Control Objectives for Information and Related Technologies FISCAM Federal Information Systems Controls Audit Manual. GAOFISCAM Federal Information Systems Controls Audit Manual. GAO SysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability SSAG System Self-Assessment Guide for Information Technology Systems. NISTSSAG System Self-Assessment Guide for Information Technology Systems. NIST
99 CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007 CONTROL SEGÚN COSOCONTROL SEGÚN COSO
1010 COSO -COSO - ANTECEDENTESANTECEDENTES Modelo de Control COSOModelo de Control COSO:: Committee ofCommittee of Sponsoring Organizations of the TradewaySponsoring Organizations of the Tradeway Commision, USA, septiembre 1992.Commision, USA, septiembre 1992. Modelo de Control COCOModelo de Control COCO:: Criteria of ControlCriteria of Control Committee (Instituto Canadiense de ContadoresCommittee (Instituto Canadiense de Contadores Certificados, CICA,Certificados, CICA, November1995November1995..
1111 Cualquier medida que tome la dirección, el Consejo y otros,Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar lapara mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de lasLa dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridadacciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metasrazonable de que se alcanzarán los objetivos y metas.. COSO - CONTROLCOSO - CONTROL
1212 Proceso llevado a cabo por el Consejo de Administración, laProceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado paraGerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de losproporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:objetivos de la organización clasificados en:  Efectividad y eficiencia de las operacionesEfectividad y eficiencia de las operaciones  Confiabilidad de la información financieraConfiabilidad de la información financiera  Cumplimiento con las leyes, reglamentos, normas yCumplimiento con las leyes, reglamentos, normas y políticas.políticas. COSO - CONCEPTO DE CONTROL INTERNOCOSO - CONCEPTO DE CONTROL INTERNO
1313 COSO - CARACTERÍSTICASCOSO - CARACTERÍSTICAS  Medio para alcanzar un fin, no un fin en si mismo.Medio para alcanzar un fin, no un fin en si mismo.  No es un evento o circunstancia sino una serie deNo es un evento o circunstancia sino una serie de acciones que permean en las actividades de laacciones que permean en las actividades de la organización.organización.  Forma parte de los procesos básicos de laForma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y seadministración-planeación ejecución y monitoreo y se encuentra integrado en ellos.encuentra integrado en ellos.  Los controles deben construirse ”Dentro¨” de laLos controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”.infraestructura de la organización y no “Sobre ella”.
1414  Es efectuado por personas. No es solamente un conjuntoEs efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino sonde manuales de políticas y procedimientos, sino son personas en cada nivel de la organización.personas en cada nivel de la organización.  Es ejecutado por la gente de una organización a través deEs ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de lalo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.Entidad y establece los mecanismos de control. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1515  Afecta las acciones del personal, señalándole susAfecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como laresponsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que losvinculación entre sus deberes y la forma en que los desempeñan.desempeñan.  La alta dirección es responsable de la existencia de unLa alta dirección es responsable de la existencia de un eficiente sistema de control.eficiente sistema de control.  Los Directores tienen la obligación de la vigilancia delLos Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices ycontrol además de que proporcionan directrices y aprueban ciertas transacciones y políticas.aprueban ciertas transacciones y políticas.  Cada individuo dentro de la organización tiene algún rolCada individuo dentro de la organización tiene algún rol respecto al control interno.respecto al control interno. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1616  No existe sistema infalible. Ningún sistema hará porNo existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga.siempre lo que se espera que haga.  No importa lo bien diseñado y operado que sea unNo importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es quesistema de control; lo más que puede esperarse es que proporcione seguridad razonable.proporcione seguridad razonable.  El efecto acumulado de controles y su naturalezaEl efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarsediversa, reducen el riesgo de que no puedan alcanzarse los objetivos.los objetivos. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1717  Limitaciones del control :Limitaciones del control :  Errores por falta de capacidad para ejecutar lasErrores por falta de capacidad para ejecutar las instruccionesinstrucciones  Errores de juicio en la toma de decisiones.Errores de juicio en la toma de decisiones.  Errores por mala interpretación, negligencia,Errores por mala interpretación, negligencia, distracción o fatiga.distracción o fatiga.  Inobservancia gerencial a las políticas oInobservancia gerencial a las políticas o procedimientos prescritos.procedimientos prescritos.  Colusión.Colusión.  Costo - beneficio.Costo - beneficio. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1818  Características de los objetivos de una organización:Características de los objetivos de una organización:  OperacionalesOperacionales:: Relacionados con el uso eficiente yRelacionados con el uso eficiente y eficaz de los recursos.eficaz de los recursos.  Información financieraInformación financiera:: Relacionados con laRelacionados con la preparación de reportes financieros confiables.preparación de reportes financieros confiables.  CumplimientoCumplimiento:: Relacionados con el cumplimientoRelacionados con el cumplimiento con leyes y reglamentos aplicables.con leyes y reglamentos aplicables. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1919 COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
2020 COSO - RELACIÓN DE OBJETIVOS Y COMPONENTESCOSO - RELACIÓN DE OBJETIVOS Y COMPONENTES  Existe una relaciónExiste una relación directa entre objetivosdirecta entre objetivos que la organizaciónque la organización busca y losbusca y los componentes quecomponentes que representan lorepresentan lo necesario paranecesario para alcanzar los objetivosalcanzar los objetivos
2121 COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
2222 OPERACIONES OPERACIONES REPORTES REPORTES FINANCIEROS FINANCIEROSCUM PLIM IENTO CUM PLIM IENTO MONITOREOMONITOREO INFORMACION YINFORMACION Y COMUNICACIONCOMUNICACION ACTIVIDADES DEACTIVIDADES DE CONTROLCONTROL EVALUACION DEEVALUACION DE RIESGOSRIESGOS AMBIENTE DEAMBIENTE DE CONTROLCONTROL ACTIVIDAD2ACTIVIDAD2 ACTIVIDAD1ACTIVIDAD1 UNIDADBUNIDADB UNIDADAUNIDADA COSO - Relaciones de Componentes y ObjetivosCOSO - Relaciones de Componentes y Objetivos COMPONENTECOMPONENTE ACTIVIDADACTIVIDAD
2323 Integridad y Valores EticosIntegridad y Valores Eticos Comité de AuditoríaComité de Auditoría Filosofía Admva. y EstiloFilosofía Admva. y Estilo de Direcciónde Dirección Estructura OrganizacionalEstructura Organizacional Asignación de Autoridad yAsignación de Autoridad y ResponsabilidadResponsabilidad Política de RecursosPolítica de Recursos HumanosHumanos CompetenciaCompetencia COSO -COSO - AMBIENTE DE CONTROLAMBIENTE DE CONTROL
2424 Objetivos InstitucionalesObjetivos Institucionales Objetivos EspecíficosObjetivos Específicos  OperativosOperativos  Información FinancieraInformación Financiera  CumplimientoCumplimiento Análisis de RiesgosAnálisis de Riesgos  Organización (Externos /Organización (Externos / Internos)Internos)  ActividadActividad  Análisis (Trascendencia /Análisis (Trascendencia / Probabilidad / Control)Probabilidad / Control) Manejo de CambiosManejo de Cambios (Reorganizaciones/Políticas /(Reorganizaciones/Políticas / Sistemas y Procedimientos)Sistemas y Procedimientos) COSO - EVALUACIÓN DE RIESGOSCOSO - EVALUACIÓN DE RIESGOS
2525 Actividades de controlActividades de control sobre:sobre:  Las operacionesLas operaciones  La informaciónLa información financierafinanciera  El acatamientoEl acatamiento Tipos de Control:Tipos de Control:  Preventivos /Preventivos / CorrectivosCorrectivos  Manuales /Manuales / AutomatizadosAutomatizados  GerencialesGerenciales COSO - ACTIVIDADES DE CONTROLCONTROL
2626 Sistemas de Información :Sistemas de Información :  Apoyo ActividadesApoyo Actividades EstratégicasEstratégicas  Integración con lasIntegración con las OperacionesOperaciones  CalidadCalidad Comunicación :Comunicación :  Interna / ExternaInterna / Externa  MediosMedios COSO - INFORMACIÓN Y COMUNICACIÓN
2727 Supervisión ConcurrenteSupervisión Concurrente Evaluaciones IndependientesEvaluaciones Independientes  Alcance y frecuenciaAlcance y frecuencia  Quiénes evalúanQuiénes evalúan  Proceso de evaluaciónProceso de evaluación  Metodología /Metodología / documentacióndocumentación  Plan de acciónPlan de acción Reportes de DeficienciasReportes de Deficiencias COSO - SUPERVISIÓN Y SEGUIMIENTO
2828 COSO -COSO - RESPONSABILIDADES SOBRE EL CONTROLRESPONSABILIDADES SOBRE EL CONTROL  Consejo de Administración.-Consejo de Administración.- Es la instanciaEs la instancia responsable de establecer guía, supervisión general yresponsable de establecer guía, supervisión general y gobernabilidad a la organizacióngobernabilidad a la organización  Gerencia.-Gerencia.- El Director General es el último responsableEl Director General es el último responsable y asume la propiedad del sistema de controly asume la propiedad del sistema de control  Auditores Internos.-Auditores Internos.- Evalúa la efectividad del sistemaEvalúa la efectividad del sistema de controlde control  Personal.-Personal.- es responsable todo el personal dependiendoes responsable todo el personal dependiendo de su nivel y ubicación funcionalde su nivel y ubicación funcional
2929 COSO - TIPOS DE CONTROLCOSO - TIPOS DE CONTROL - Preventivos • Concurrentes (sobre la marcha) - Detectivos • Posteriores - De actividades (repetitivas) - De resultados (actividades creativas) - De recursos - De insumos - De acceso - De investigación y desarrollo - De proyectos - De operaciones - De procesos - De salidas - De seguridad (resguardo)
MODELO CADBURYMODELO CADBURY CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
3131 MODELO CADBURYMODELO CADBURY Adopta una interpretación amplia del control.Adopta una interpretación amplia del control. Mayores especificaciones en la definición deMayores especificaciones en la definición de su enfoque sobre el sistema de control en susu enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipoconjunto-financiero y de cualquier tipo.. • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee).
3232 • Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la información y reportes financieros. c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros MODELO CADBURY
MODELO COCOMODELO COCO CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
3434 CONCEPTO DE CONTROL INTERNOCONCEPTO DE CONTROL INTERNO Efectividad y eficiencia de las operaciones.Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos.Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentosCumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.aplicables, así como con las políticas internas. MODELO COCO - Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:
3535 Servicio al clienteServicio al cliente Salvaguarda y uso eficiente de los recursosSalvaguarda y uso eficiente de los recursos Obtención de beneficiosObtención de beneficios Cumplimiento de obligaciones socialesCumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamenteSeguridad de que los riesgos son debidamente identificados y administradosidentificados y administrados OBJETIVOS ORGANIZACIONALES (efectividadOBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)y eficiencia de las operaciones) MODELO COCO
3636 Mantenimiento de registros contablesMantenimiento de registros contables adecuados.adecuados. Confiabilidad de la información utilizada.Confiabilidad de la información utilizada. Información publicada para tercerosInformación publicada para terceros interesadosinteresados.. Confiabilidad de los reportes internos yConfiabilidad de los reportes internos y externosexternos MODELO COCO
3737 Cumplimiento con la normatividad yCumplimiento con la normatividad y políticas internas aplicablespolíticas internas aplicables Aseguramiento de que las actividades de laAseguramiento de que las actividades de la organización se conducen en total concordanciaorganización se conducen en total concordancia con el marco legal y con las políticas internas.con el marco legal y con las políticas internas. MODELO COCO
3838 MODELO COCOMODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control. • El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.
3939 Naturaleza del controlNaturaleza del control El costo del control deberá ser proporcional a losEl costo del control deberá ser proporcional a los beneficios esperados.beneficios esperados. El control requiere de un equilibrio entreEl control requiere de un equilibrio entre autonomía e integración y entre consistencia yautonomía e integración y entre consistencia y adaptación al cambio.adaptación al cambio. MODELO COCO
4040 Ciclo del entendimiento básicoCiclo del entendimiento básico PropósitoPropósito CompromisoCompromiso AptitudAptitud AcciónAcción Evaluación (Auto) y AprendizajeEvaluación (Auto) y Aprendizaje MODELO COCO Criterios de control • Los criterios de control son la base para entender el control de una organización. • Están planteados como metas a cumplir permanentemente.
4141 A.- PROPÓSITO Sentido de Dirección a laA.- PROPÓSITO Sentido de Dirección a la OrganizaciónOrganización A1.-A1.- LosLos objetivos deben ser establecidos yobjetivos deben ser establecidos y comunicados.comunicados. A2.-A2.- Los riesgos internos y externos significativosLos riesgos internos y externos significativos deben ser identificados y evaluados.deben ser identificados y evaluados. A3.-A3.- Las políticas para apoyar el logro de losLas políticas para apoyar el logro de los objetivos de una organización y el manejo deobjetivos de una organización y el manejo de sus riesgos, deben ser establecidas,sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que elcomunicadas y practicadas, de manera que el personal entienda lo que depersonal entienda lo que de élél se esperase espera.. MODELO COCO
4242 A4.-A4.- Deben establecerse y comunicarseDeben establecerse y comunicarse planes paraplanes para guiar los esfuerzosguiar los esfuerzos parapara lograr los objetivos de lalograr los objetivos de la organización.organización. A5.-A5.- Los objetivos y los planes relativosLos objetivos y los planes relativos deben incluirdeben incluir metas, parámetros emetas, parámetros e indicadores de medición delindicadores de medición del desempeñodesempeño.. A.- PROPÓSITO MODELO COCO
4343 B.-B.- COMPROMISO:COMPROMISO: SSentido de identidad yentido de identidad y valores de la organizaciónvalores de la organización .. B1.B1. Deben establecerse, comunicarse y ponerseDeben establecerse, comunicarse y ponerse en práctica valores éticos compartidos,en práctica valores éticos compartidos, incluyendo la integridad.incluyendo la integridad. B2. Las políticas y prácticas sobre recursosB2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con loshumanos deben ser consistentes con los valores éticos de la organización y con elvalores éticos de la organización y con el logro de sus objetivos.logro de sus objetivos. MODELO COCO
4444 B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado. B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos. B.- COMPROMISO MODELO COCO
4545 MODELO COCOMODELO COCO C. APTITUD: sentido de competencia o aptitud de la organización C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización. C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.
4646 MODELO COCO C. APTITUD C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización. C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.
4747 - Evaluación y aprendizaje. Sentido deEvaluación y aprendizaje. Sentido de evolución de la organización:evolución de la organización: D1.- El ambiente externo e interno debe serD1.- El ambiente externo e interno debe ser “monitoreado” para obtener información que“monitoreado” para obtener información que pueda señalar la necesidad de revaluar lospueda señalar la necesidad de revaluar los objetivos de la organización o el control.objetivos de la organización o el control. D2.-D2.- El desempeño debe ser evaluado o medido contraEl desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivoslas metas e indicadores en los planes u objetivos de la organización.de la organización. D3.-D3.- Las premisas consideradas para los objetivos deLas premisas consideradas para los objetivos de la organización deben cuestionarsela organización deben cuestionarse periódicamente.periódicamente. MODELO COCO
4848 D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada. D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos. - Evaluación y Aprendizaje MODELO COCO
4949 COBITCOBIT CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
5050 Cobit - DefiniciónCobit - Definición CControlontrol OBOBjectivesjectives forfor IInformationnformation aand Relatednd Related TTechnologyechnology (Objetivos de Control para Tecnología de(Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and RelatedFuente: Control Objectives for Information and Related Technology (CObIT) y presentación de FernandoTechnology (CObIT) y presentación de Fernando Izquierdo Duarte 2002Izquierdo Duarte 2002
5151 Cobit - DefiniciónCobit - Definición ¿Qué es?¿Qué es? Es un marco de control interno de TI.Es un marco de control interno de TI. Parte de la premisa de que la TIParte de la premisa de que la TI requiere proporcionar informaciónrequiere proporcionar información para lograr los objetivos de lapara lograr los objetivos de la organización.organización. Promueve el enfoque y la propiedadPromueve el enfoque y la propiedad de los procesos.de los procesos.
5252 Cobit - DefiniciónCobit - Definición Apoya a la organización al proveer un marco queApoya a la organización al proveer un marco que asegura que:asegura que: La Tecnología de Información (TI) esté alineada con laLa Tecnología de Información (TI) esté alineada con la misión y visión.misión y visión. LA TI capacite y maximice los beneficios.LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente.Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.Los riesgos de TI sean manejados apropiadamente.
5353 Cobit - UsuariosCobit - Usuarios GerenciaGerencia: Apoyar decisiones de inversión: Apoyar decisiones de inversión en TI y control sobre su rendimiento, asíen TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.como analizar el costo-beneficio del control. Usuarios FinalesUsuarios Finales: Garantizar seguridad y: Garantizar seguridad y control de los productos que adquierencontrol de los productos que adquieren interna y externamenteinterna y externamente
5454 Cobit - UsuariosCobit - Usuarios AuditoresAuditores :: Apoyar sus opiniones sobreApoyar sus opiniones sobre los controles de los proyectos de TI , sulos controles de los proyectos de TI , su impacto en la organización y el controlimpacto en la organización y el control mínimo requerido.mínimo requerido. Responsables de TIResponsables de TI:: Identificar losIdentificar los controles que requieren.controles que requieren.
5555 Cobit - PrincipiosCobit - Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI
5656 INFORMACIÓN Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos Datos Aplicaciones Tecnología Instalaciones Recurso Humano Cobit - EstructuraCobit - Estructura
5757 Procesos del Negocio Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Información Lo que usted Obtiene Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan Cobit - EstructuraCobit - Estructura
5858 ProcesosTI Dominios Procesos Actividades CUBO de CobiT Relación entre los componentes Datos Applicaciones Tecnología Instalaciones RecursoHumano Recursos de TI Calidad Confiabilidad Seguridad Criterios de la Información (7) Cobit - EstructuraCobit - Estructura
5959
6060 CobiT Objetivos del Negocio Recursos de TI Requerimientos de Información SeguimientoSeguimiento Planeación yPlaneación y OrganizaciónOrganización Adquisición eAdquisición e ImplantaciónImplantación Servicios y SoporteServicios y Soporte
6161 Cobit -Cobit - RequerimientosRequerimientos de la Información del Negociode la Información del Negocio Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad. Costo. Oportunidad. Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
6262 EfectividadEfectividad: Información relevante y pertinente,: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente yproporcionada en forma oportuna, correcta, consistente y utilizableutilizable EficienciaEficiencia: Empleo óptimo de los recursos.: Empleo óptimo de los recursos. ConfidencialidadConfidencialidad: Protección de la información sensitiva: Protección de la información sensitiva contra divulgación no autorizadacontra divulgación no autorizada IntegridadIntegridad: Información exacta y completa, así como válida: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.de acuerdo con las expectativas de la organización. Cobit - Requerimientos de laCobit - Requerimientos de la Información del NegocioInformación del Negocio
6363 DisponibilidadDisponibilidad: accesibilidad a la: accesibilidad a la información y la salvaguarda de losinformación y la salvaguarda de los recursos y sus capacidades.recursos y sus capacidades. CumplimientoCumplimiento: Leyes, regulaciones y: Leyes, regulaciones y compromisos contractuales.compromisos contractuales. ConfiabilidadConfiabilidad: Apropiada para la toma de: Apropiada para la toma de decisiones adecuadas y el cumplimientodecisiones adecuadas y el cumplimiento normativo.normativo. Cobit -Cobit - Requerimientos de laRequerimientos de la Información del NegocioInformación del Negocio
6464 Recursos de TIRecursos de TI DatosDatos: Todos los objetos de información interna y externa,: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.estructurada o no, gráficas, sonidos, etc. AplicacionesAplicaciones: Sistemas de información, que integran: Sistemas de información, que integran procedimientos manuales y sistematizados.procedimientos manuales y sistematizados. TecnologíaTecnología: Hardware y software básico, sistemas operativos,: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes,de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.telecomunicaciones, multimedia, etc. InstalacionesInstalaciones: Recursos necesarios para alojar y dar soporte a: Recursos necesarios para alojar y dar soporte a los sistemas.los sistemas. Recurso HumanoRecurso Humano :Habilidad, actitud y productividad del:Habilidad, actitud y productividad del personal.personal.
6565 Procesos de TIProcesos de TI - Los Tres Niveles- Los Tres Niveles Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 4 34 318
6666 Planeación y OrganizaciónPlaneación y Organización Adquisición e ImplantaciónAdquisición e Implantación Prestación de Servicios y SoportePrestación de Servicios y Soporte SeguimientoSeguimiento COBIT – DOMINIOS: 4COBIT – DOMINIOS: 4
6767 COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS Adquisición e Implantación Identificación de soluciones automatizadas Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios Planeación y Organización Definición de un plan estratégico Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad
6868 COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS Servicios y Soporte Definición de los niveles de servicios Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente
6969 COBIT COMOCOBIT COMO PRODUCTOPRODUCTO Resumen EjecutivoResumen Ejecutivo Marco de Referencia (Framework)Marco de Referencia (Framework) Objetivos de ControlObjetivos de Control Guías de AuditoríaGuías de Auditoría Guías de AdministraciónGuías de Administración Herramientas de ImplementaciónHerramientas de Implementación CD-ROMCD-ROM 2a Edición disponible en español2a Edición disponible en español
7070 COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCOMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO CobiT 1996/1998 COSO 1992 SAC 1991/1994 SAS 55 - 1988 Definición de Control Interno Definición de Objetivos de Control de T I SAS 78 - 1995 Conceptos de Control Interno Conceptos de Control Interno enmienda Contribuciones al concepto de Control Interno
7171 Comparación de Conceptos de Control COBIT SAC COSO SASs 55/78 Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI Auditores Internos Administración Auditores Externos El Control Interno es Visto como Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional Conjunto de procesos, subsistemas y personas Procesos Procesos Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la información Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeación y Organización Adquisición e implantación Servicio y Soporte Seguimiento Componentes: Ambiente de Control Sistemas Manuales y Automatizados. Procedimientos de Control Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros Evaluación de la Efectividad del Control I. Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo Responsable por el Control Interno Administración Administración Administración Administración Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
7272 GUÍA TURNBULLGUÍA TURNBULL CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
¿ QUÉ ES LA GUÍA¿ QUÉ ES LA GUÍA TURNBULL?TURNBULL? Es la adopción de un enfoqueEs la adopción de un enfoque basado en riesgos parabasado en riesgos para establecer un sistema de controlestablecer un sistema de control interno y revisar su efectividadinterno y revisar su efectividad
7474 CONTRIBUCIONES DE AUDITORÍA INTERNACONTRIBUCIONES DE AUDITORÍA INTERNA Aseguramiento de la adecuación y efectividad de la Administración de Riesgos y del sistema de control Apoyo para mejorar el proceso de Identificación y Administración de riesgos Promoción de la Concientización de riesgos y controles y los programas de autoevaluación
Desplazamiento oportuno a otras áreas de negocios Mayor probabilidad de lograr objetivos Mayor cobertura a largo plazo Mejores bases para establecer estrategias Disminución de sorpresas desagradables Menores costos de capital Mayor probabilidad de lograr cambios Enfoque interno en hacer bien las cosas Ventajas competitivas Reducción de tiempo para emergencias BENEFICIOS POTENCIALES
7676 ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE UNA MEJOR ADMINISTRACIÓN DE RIESGOS Identificación de cambios Internos y externos y reconsideración y negociación de objetivos Cambios en comportamiento y enfoque en las bases de una buena administración de riesgos y control Revisión de riesgos y controles anuales Implantación de acciones de mejora Informes sucintos Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos Identificación de factores críticos de éxito Identificación y priorización de riesgos Determinación de riesgos significativos Negociación de estrategias de control y administración de riesgos Negociación sobre rendición de cuentas Concientización de los riesgos críticos IMPLANTACIÓN DEL TURNBULL
7777 MANTENERSE SIMPLE Y PROSPECTIVO Enfocarse en riesgos críticos y sus controles Enfocarse en riesgos críticos y sus controles Reorientar el entrenamiento hacia los riesgos críticos Reorientar el entrenamiento hacia los riesgos críticos Elaborar un plan apropiado y monitorear su avance Elaborar un plan apropiado y monitorear su avance Evitar expedientes voluminosos Evitar expedientes voluminosos Asignar responsabilidades en la administración de riesgos Asignar responsabilidades en la administración de riesgos Evitar duplicidadesEvitar duplicidades Mantener los informes al Consejo sucintos y sencillos Mantener los informes al Consejo sucintos y sencillos Asegurar que los objetivos se jerarquicen Asegurar que los objetivos se jerarquicen SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
7878 Asignación de responsabilidades para elaborar el plan individual o de equipos Aceptación del plan por parte de los directores Consideración del plan por el Consejo de Administración Reconsideración y afinación del plan por el Consejo Implantación del plan de desarrollo y de la política de administració de riesgos Involucramiento de los distintos niveles de la organización Implantación de mecanismos apropiados para la información de avance Enfoque a la mejora de negocios PASOS SUGERIDOS
7979 RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOSRESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA)(EN INGLATERRA) TIPOS DE RIESGO PROMEDIO Fracaso en la administración de proyectos mayores Motivación y bajo desempeño del personal 7.05 6.67 6.32 6.30 6.00 Fracaso de estrategias Fracaso en innovación Mala reputación /administración - marca Fuente: Deloitte & Touche, 1990Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico
Enfasis en el cambio de comportamiento Sencillez Conciencia del riesgo Mecanismos de advertencia oportunos y respuesta rápida Información confiable Concientización de los objetivos organizacionales Asesoría a todos los niveles de la compañía Aplicación continua de Estrategias de control ADECUADA ADMINISTRACIÓN DE RIESGOS Y CONTROL Controles básicos
8181 PELIGROS POTENCIALESPELIGROS POTENCIALES Falta de Mecanismos de Advertencia Demasiados Riesgos identificados Abandonarlo Demasiado tarde Incremento de Burocracia Ignorar Controles Financieros básicos Sobrecarga del comité de Auditoría Incapacidad para obtener aceptación del gerente Inapropiada Orientación de riesgos Enfoque Insuficiente en Admón de Riesgos Peligros Potenciales
8282 AUTOEVALUACIÓN DELAUTOEVALUACIÓN DEL CONTROLCONTROL CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
8383 AEC - DEFINICIÓNAEC - DEFINICIÓN Proceso documentado en el que :Proceso documentado en el que :  La administración o el equipo de trabajo se involucraLa administración o el equipo de trabajo se involucra directamente en una función.directamente en una función.  Se juzga la efectividad del proceso de controlSe juzga la efectividad del proceso de control vigente.vigente.  Se define si se asegura razonablemente el lograrSe define si se asegura razonablemente el lograr alguno o todos los objetivos.alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de queEl objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organizaciónse alcanzarán los objetivos de la organización ..
8484 AEC - OTROS NOMBRES • Autoevaluación de riesgo- control. • Evaluación dinámica del control. • Co-evaluación del control. • Autoevaluación organizacional. • Autoevaluación de proceso. • Autoevaluación de riesgos. • Autoevaluación de riesgos de la organización. AEC - DEFINICIÓN
8585 AEC - ENTRENAMIENTO • Para desarrollar la AEC se requiere capacitación: . En metodología. . En modelos de control . En evaluación de riesgos . En talleres de autoevaluación de control . En redacción. . En tecnología.
8686 AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN 2/2 Mejora del control y sus riesgos, BENEFICIOS AL PROCESO OPERATIVO  Eficiencia de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general A E C Desarrollo de la Responsabilidad Instrumentación del Control Diseño de Mejores Controles Delegación de Facultades CPC y CIA JUAN MANUEL PORTAL M.
8787 - Generación de ideas y planes de acción implantados más allá del alcance original. - Facilidad de implantación de acciones de mejora. - Promoción de la unidad organizacional mediante la identificación y solución de problemas. - REALZA EL PAPEL DE AUDITORÍA INTERNA. • ADMINISTRACIÓN • PARTICIPANTES • AUDITORÍA INTERNA AEC - BENEFICIOS PARA LA ADMINISTRACIÓN - Mejora de la moral del personal. - Eliminación de atmósferas de desconfianza.
8888 AEC - FASES DE LA AUTOEVALUACIÓN Monitoreo y Reporte de Resultados Conducción de Reuniones Capacitación Planeación Involucramiento de la alta Gerencia
8989 AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA Adopción de la AEC • Conocimiento de la AEC en los niveles adecuados • Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC • Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC
9090 - Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control. - Entorno libre de riesgos (no represalias) - Reconocimiento de la complejidad de la implantación de la AEC. AEC – INVOLUCRAMIENTO DE……. Requisitos de la Organización
9191 Requisitos del Facilitador - Ser innovador y desear tomar riesgos - Saber escuchar, comunicarse y aprender de la gente - Saber qué alcanzar y qué herramientas se necesitan - Conocer la organización, su entorno y normatividad - Entender la cultura organizacional AEC – INVOLUCRAMIENTO DE…….
9292 AEC - INVOLUCRAMIENTO DE ……….. - Asegurarse que la administración sabe que es responsable de los controles - Explicar el proceso de AEC - Proporcionar información y conocimiento al taller - Utilizar enfoques y herramientas específicas - Desarrollar la dinámica del equipo - Asegurar la logística del taller. - Obtener acciones de mejora del taller. Responsabilidades del Facilitador
9393 AEC – INVOLUCRAMIENTO DE……. Preparación del tallerPreparación del taller:: Entrevistar a la Gerencia y al personal operativoEntrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacionalEvaluar la estructura organizacional Aprender sobre la organizaciónAprender sobre la organización Seleccionar los objetivos de la organizaciónSeleccionar los objetivos de la organización Seleccionar los participantes al TACSeleccionar los participantes al TAC Preparar la logística de la reuniónPreparar la logística de la reunión Enviar información previa a la reuniónEnviar información previa a la reunión.. Responsabilidades del Facilitador
9494 Preparación del taller: - Facilitar la identificación del proceso y obstáculos - Vigilar la logística - Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIÓN AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador
9595 AEC – INVOLUCRAMIENTO DE……. 1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo suficiente para la preparación del taller. 4. Definir los objetivos del Taller de Autoevaluación del Control (TAC) 5. Emitir pronunciamientos y criterios al inicio del proceso Estrategias
9696 6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentación a los participantes sobre los resultados 9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora Estrategias AEC – INVOLUCRAMIENTO DE …….
9797 AEC - P L A N E A C I Ó N 1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta. 4. Seleccionar los participantes del TAC 5. Elaborar el programa de actividades con responsables y tiempos 6. Planear reportes de avance y conclusión
9898 A E C - C A P A C I T A C I O N Capacitar en Control y Autocontrol: • Modelos de Control (COSO, COCO...) • Evaluación de riesgos • Autoevaluación en control y su metodología • Herramientas y tecnología especializada para su uso en el taller
9999 AEC - CONDUCCIÓN DE REUNIONES 1. Preparar la logística de las reuniones 2. Enviar información previa a las reuniones 3. Presentar los objetivos del TAC • Definición del producto final • Metodología del taller • Herramientas a utilizar • Método de registro y votación • Beneficios tangibles 4. Explicar el papel de los participantes y aclarar expectativas.
100100 AEC - CONDUCCIÓN DE REUNIONES 5. Presentar la agenda de la reunión 6. Conducir la reunión 7. Estructurar e inventariar el resultado de las evaluaciones 8. Levantar minuta de los acuerdos
101101 AEC - CONDUCCIÓN DE REUNIONESAEC - CONDUCCIÓN DE REUNIONES EscucheEscuche No interrumpaNo interrumpa Establezca un proceso de votoEstablezca un proceso de voto Asegúrese que todos apoyen las reglasAsegúrese que todos apoyen las reglas Todos deben ser facilitadores en algún momentoTodos deben ser facilitadores en algún momento Las ideas de otros fortalecen la decisión del grupoLas ideas de otros fortalecen la decisión del grupo Logre consensoLogre consenso REGLAS PARA LA TOMA DE DECISIONES DE GRUPOREGLAS PARA LA TOMA DE DECISIONES DE GRUPO
102102 AEC – CONDUCCIÓN DE REUNIONES - Definición y evaluación de objetivos, riesgos y controles. - Determinación de acciones de mejora. - Definición y realización de las acciones, tiempos, responsables y recursos para la implantación de las mejoras. - Establecimiento de puntos de control para la evaluación de los avances y la comunicación de las desviaciones DESARROLLO DE PLANES DE ACCIÓN
103103 AEC - MONITOREO Y REPORTE DE RESULTADOS - Establecer sistema de seguimiento y evaluación de los planes de acción - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua
104104 AEC - PROBLEMÁTICA - Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes - Costos de honorarios de profesionales, entrenamiento, equipo y software - Inversión fuerte en capacitación - Esfuerzo serio de venta interna
105105 AEC – PROBLEMÁTICA - Represalias por comentarios hechos en la sesión de la AEC. - Acción subsecuente con información confidencial. Obstáculos Para Su Adopción • Impedimentos derivados de la técnica. • Salvaguarda. - Garantía de no represalias. - Garantía sobre la confidencialidad. - Tecnología de voto electrónico.
106106 AEC – PROBLEMÁTICA - Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante • Impedimentos derivados de la resistencia. • Salvaguardas. - Selección de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar. Obstáculos Para Su Adopción
107107 - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Amenazas derivadas de la cultura. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
108108 - El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con únicamente una o dos personas. + Terceros vendedores o proveedores de servicios. • Amenazas derivadas de la adecuación. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
109109 - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Amenazas derivadas de la cultura. • Salvaguardas. - Evitar utilizar la AEC con estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
110110 ÉXITO PARA SU IMPLANTACIÓNÉXITO PARA SU IMPLANTACIÓN I.I. Factores críticos de éxitoFactores críticos de éxito II.II. Pasos para acelerar suPasos para acelerar su implantaciónimplantación III.III. Recomendaciones para suRecomendaciones para su implantaciónimplantación
111111 1)1) Determinación de objetivos clarosDeterminación de objetivos claros 2)2) Patrocinio de la alta gerenciaPatrocinio de la alta gerencia 3)3) Apoyo de la gerenciaApoyo de la gerencia 4)4) Entendimiento de por qué participa cada uno en laEntendimiento de por qué participa cada uno en la sesión de Autoevaluaciónsesión de Autoevaluación 5)5) Señalamiento de expectativasSeñalamiento de expectativas I. FACTORES CRÍTICOS DE ÉXITOI. FACTORES CRÍTICOS DE ÉXITO
112112 6)6) Cultura que apoya la AECCultura que apoya la AEC 7)7) Actitud gerencial orientada al facultamiento y elActitud gerencial orientada al facultamiento y el controlcontrol 8)8) Beneficios tangiblesBeneficios tangibles 9)9) Definición del producto finalDefinición del producto final 10)10) Entorno libre de riesgos (no represalias)Entorno libre de riesgos (no represalias) I. FACTORES CRÍTICOS DE ÉXITO
113113 II. PASOS PARA ACELERAR SU IMPLANTACIÓNII. PASOS PARA ACELERAR SU IMPLANTACIÓN 1)1) Reconocer la complejidad de su implantaciónReconocer la complejidad de su implantación 2)2) Conducir sesiones pilotoConducir sesiones piloto 3)3) Ser realistas acerca de la cobertura deSer realistas acerca de la cobertura de auditoríaauditoría 4)4) Dar los pronunciamientos y criterios al inicioDar los pronunciamientos y criterios al inicio del procesodel proceso 5)5) Permitir suficiente tiempo para su preparaciónPermitir suficiente tiempo para su preparación 6)6) Limitar el alcance a los temas de alta prioridadLimitar el alcance a los temas de alta prioridad
114114 III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN 1)1) Conocer cuál es el propósito y quéConocer cuál es el propósito y qué herramientas se necesitanherramientas se necesitan 2)2) Entender la cultura organizacionalEntender la cultura organizacional 3)3) Ser innovador y dispuesto a tomar riesgosSer innovador y dispuesto a tomar riesgos 4)4) Particularizar el marco estructurado de controlParticularizar el marco estructurado de control 5)5) Agregar valor a la organizaciónAgregar valor a la organización 6)6) Comentar con los demás y aprender de ellosComentar con los demás y aprender de ellos 7)7) Rotar facilitadores que procedan de otrasRotar facilitadores que procedan de otras áreasáreas
115115 III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN 8)8) Emplear grupos de trabajo interdisciplinariosEmplear grupos de trabajo interdisciplinarios 9)9) Mantener el proceso sencilloMantener el proceso sencillo 10)10) Reconocer que las habilidades de facilitaciónReconocer que las habilidades de facilitación son tan importantes como las pruebas deson tan importantes como las pruebas de cumplimiento o las habilidades tradicionalescumplimiento o las habilidades tradicionales de auditoríade auditoría 11)11) Mantener visible el apoyo de la gerenciaMantener visible el apoyo de la gerencia 12)12) Vender el concepto cada díaVender el concepto cada día
116116 AEC - ERRORES EN SU IMPLANTACIÓN 1) Fallar en explicar el por qué de la AEC. 2) Pilotear la AEC en un área problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situación.
117117 AEC - POR QUÉ FUNCIONA • Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones. • Se incrementa la conciencia entre objetivos, riesgos y controles. • Los equipos (grupos de AEC) funcionan mejor que los individuos. • La AEC promueve un entendimiento común de objetivos y metas. • Los talleres de AEC eliminan las barreras de comunicación.

Recommandé

1 modelos de control
1 modelos de control1 modelos de control
1 modelos de controlMOMONFUMA
 
1 modelos de control (1)
1 modelos de control (1)1 modelos de control (1)
1 modelos de control (1)acarolinareyes
 
Modelos de control
Modelos de controlModelos de control
Modelos de controlTATIGOBRU81
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009Ricardo Cañizares Sales
 
Teorias
TeoriasTeorias
Teorias95112306952
 
Nuevas tecnologías energéticas
Nuevas tecnologías energéticasNuevas tecnologías energéticas
Nuevas tecnologías energéticasdkt89
 
Die deutsche kriegslyrik_1914_1918
Die deutsche kriegslyrik_1914_1918Die deutsche kriegslyrik_1914_1918
Die deutsche kriegslyrik_1914_1918maryppopp
 

Recommandé

1 modelos de control
1 modelos de control1 modelos de control
1 modelos de controlMOMONFUMA
 
1 modelos de control (1)
1 modelos de control (1)1 modelos de control (1)
1 modelos de control (1)acarolinareyes
 
Modelos de control
Modelos de controlModelos de control
Modelos de controlTATIGOBRU81
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009
Sistema de Gestión de Seguridad Corporativa - SGSC - Dintel Marzo 2009Ricardo Cañizares Sales
 
Teorias
TeoriasTeorias
Teorias95112306952
 
Nuevas tecnologías energéticas
Nuevas tecnologías energéticasNuevas tecnologías energéticas
Nuevas tecnologías energéticasdkt89
 
Die deutsche kriegslyrik_1914_1918
Die deutsche kriegslyrik_1914_1918Die deutsche kriegslyrik_1914_1918
Die deutsche kriegslyrik_1914_1918maryppopp
 
Maniobra de heimlich
Maniobra de heimlichManiobra de heimlich
Maniobra de heimlichOscar Gonzalez Guzman
 
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01Angee López Gil
 
Drogas
DrogasDrogas
DrogasPaola Nina
 
Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-magalibraidot
 
C. & j. ltda.
C. & j. ltda.C. & j. ltda.
C. & j. ltda.cmarcebarreto
 
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...Liliana Guaitarilla
 
Movimiento de rotacion
Movimiento de rotacionMovimiento de rotacion
Movimiento de rotacionVirginia Garcia
 
Unidad educativa
Unidad educativaUnidad educativa
Unidad educativaGrace Moreno
 
Evaluacion practica
Evaluacion practicaEvaluacion practica
Evaluacion practicajuanandreserasojurado
 
Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien johnmarsh12
 
Ergebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen RollerumfrageErgebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen RollerumfrageKatharina Scichilone
 
Maravillas naturales
Maravillas naturalesMaravillas naturales
Maravillas naturalesAgostinhoGouveia
 
Agbg proyecto final.
Agbg proyecto final.Agbg proyecto final.
Agbg proyecto final.Ana Guillermina Bautista Gonzalez
 
Lice0 otilio ulate blanco
Lice0 otilio ulate blancoLice0 otilio ulate blanco
Lice0 otilio ulate blancoequipofernandomorera
 
Tecnologias inalambricas
Tecnologias inalambricasTecnologias inalambricas
Tecnologias inalambricas1048abcd
 
Derechos del autor.
Derechos del autor.Derechos del autor.
Derechos del autor.Orlando Diazgranados
 
Activismo Cibernetico
Activismo CiberneticoActivismo Cibernetico
Activismo CiberneticoNaniSmr
 
Naty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de roboticaNaty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de roboticajulinani269
 
Gebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für SchülerGebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für Schülervri
 
Instituto tecnologico superio1
Instituto tecnologico superio1Instituto tecnologico superio1
Instituto tecnologico superio1Erika Carrillo
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de controlAndrés Eduardo Labarca Solar
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cdAlexander Velasque Rimac
 

Contenu connexe

En vedette

Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01Angee López Gil
 
Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-magalibraidot
 
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...Liliana Guaitarilla
 
Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien johnmarsh12
 
Ergebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen RollerumfrageErgebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen RollerumfrageKatharina Scichilone
 
Tecnologias inalambricas
Tecnologias inalambricasTecnologias inalambricas
Tecnologias inalambricas1048abcd
 
Activismo Cibernetico
Activismo CiberneticoActivismo Cibernetico
Activismo CiberneticoNaniSmr
 
Naty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de roboticaNaty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de roboticajulinani269
 
Gebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für SchülerGebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für Schülervri
 
Instituto tecnologico superio1
Instituto tecnologico superio1Instituto tecnologico superio1
Instituto tecnologico superio1Erika Carrillo
 

En vedette (20)

Maniobra de heimlich
Maniobra de heimlichManiobra de heimlich
Maniobra de heimlich
 
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
Esextoaobelen gonzaloopowerpoint-090813151728-phpapp01
 
Drogas
DrogasDrogas
Drogas
 
Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-Braidot demaría -sor juana, alfonsina storni-
Braidot demaría -sor juana, alfonsina storni-
 
C. & j. ltda.
C. & j. ltda.C. & j. ltda.
C. & j. ltda.
 
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
Ute emprendimiento social como marco de analisis el liderazgo de los emprendi...
 
Movimiento de rotacion
Movimiento de rotacionMovimiento de rotacion
Movimiento de rotacion
 
Unidad educativa
Unidad educativaUnidad educativa
Unidad educativa
 
Evaluacion practica
Evaluacion practicaEvaluacion practica
Evaluacion practica
 
Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien Rückenfreundliche Bürostuhl Serien
Rückenfreundliche Bürostuhl Serien
 
Ergebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen RollerumfrageErgebnisse der ersten großen Rollerumfrage
Ergebnisse der ersten großen Rollerumfrage
 
Maravillas naturales
Maravillas naturalesMaravillas naturales
Maravillas naturales
 
Agbg proyecto final.
Agbg proyecto final.Agbg proyecto final.
Agbg proyecto final.
 
Lice0 otilio ulate blanco
Lice0 otilio ulate blancoLice0 otilio ulate blanco
Lice0 otilio ulate blanco
 
Tecnologias inalambricas
Tecnologias inalambricasTecnologias inalambricas
Tecnologias inalambricas
 
Derechos del autor.
Derechos del autor.Derechos del autor.
Derechos del autor.
 
Activismo Cibernetico
Activismo CiberneticoActivismo Cibernetico
Activismo Cibernetico
 
Naty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de roboticaNaty barrera padilla trabajo de robotica
Naty barrera padilla trabajo de robotica
 
Gebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für SchülerGebrauchsanleitung Voicemailboard für Schüler
Gebrauchsanleitung Voicemailboard für Schüler
 
Instituto tecnologico superio1
Instituto tecnologico superio1Instituto tecnologico superio1
Instituto tecnologico superio1
 

Similaire à 1 modelos de control

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Sistemas Tecnológicos Informáticos- Wilfredo Torres Pinto
Sistemas Tecnológicos Informáticos- Wilfredo Torres PintoSistemas Tecnológicos Informáticos- Wilfredo Torres Pinto
Sistemas Tecnológicos Informáticos- Wilfredo Torres PintoPrimeraDamaRD
 
Términos de Programación Distribuida 9
Términos de Programación Distribuida 9Términos de Programación Distribuida 9
Términos de Programación Distribuida 9RJ Manayay Chavez
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Pres.control int1(1)
Pres.control int1(1)Pres.control int1(1)
Pres.control int1(1)luis_edwin
 
Clase 2 Auditoría de Gestión (1).pdf
Clase 2 Auditoría de Gestión (1).pdfClase 2 Auditoría de Gestión (1).pdf
Clase 2 Auditoría de Gestión (1).pdfevelinzevalloscabrer
 
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDA
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDAING. SISTEM. TRABAJO IMPORTANTE QUE AYUDA
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDASharonNikoleGuerraSu
 
Informática Contable I
Informática Contable IInformática Contable I
Informática Contable ITeach for All
 

Similaire à 1 modelos de control (20)

1 modelos de control
1 modelos de control1 modelos de control
1 modelos de control
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Presentacion coso
Presentacion cosoPresentacion coso
Presentacion coso
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Audi infor
Audi inforAudi infor
Audi infor
 
Audi infor
Audi inforAudi infor
Audi infor
 
Sistemas Tecnológicos Informáticos- Wilfredo Torres Pinto
Sistemas Tecnológicos Informáticos- Wilfredo Torres PintoSistemas Tecnológicos Informáticos- Wilfredo Torres Pinto
Sistemas Tecnológicos Informáticos- Wilfredo Torres Pinto
 
Términos de Programación Distribuida 9
Términos de Programación Distribuida 9Términos de Programación Distribuida 9
Términos de Programación Distribuida 9
 
Auditoriainformatica2009
Auditoriainformatica2009Auditoriainformatica2009
Auditoriainformatica2009
 
El Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera GubernamentalEl Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera Gubernamental
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Pres.control int1(1)
Pres.control int1(1)Pres.control int1(1)
Pres.control int1(1)
 
Fundamentos De Auditoria
Fundamentos De AuditoriaFundamentos De Auditoria
Fundamentos De Auditoria
 
OCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdfOCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdf
 
El cadbury
El cadburyEl cadbury
El cadbury
 
Clase 2 Auditoría de Gestión (1).pdf
Clase 2 Auditoría de Gestión (1).pdfClase 2 Auditoría de Gestión (1).pdf
Clase 2 Auditoría de Gestión (1).pdf
 
Auditoria en sistemas
Auditoria en sistemasAuditoria en sistemas
Auditoria en sistemas
 
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDA
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDAING. SISTEM. TRABAJO IMPORTANTE QUE AYUDA
ING. SISTEM. TRABAJO IMPORTANTE QUE AYUDA
 
Informática Contable I
Informática Contable IInformática Contable I
Informática Contable I
 

1 modelos de control

  • 1. MODELOS DE CONTROLMODELOS DE CONTROL CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
  • 2. 22 MODELOS DE CONTROLMODELOS DE CONTROL CONTENIDOCONTENIDO PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL COSOCOSO CADBURYCADBURY COCOCOCO COBITCOBIT TURNBULLTURNBULL AECAEC
  • 3. 33 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) paraMarcos de referencia (comunidades) para clasificar los modelos de control según Philip L.clasificar los modelos de control según Philip L. Campbell ( An Introduction to InformationCampbell ( An Introduction to Information Control Models):Control Models): Objetivos de ControlObjetivos de Control PrincipiosPrincipios Madurez de la CapacidadMadurez de la Capacidad
  • 4. 44 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de ControlComunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”:Se basan en el concepto de “objetivo de control”: Control: Las políticas, procedimientos, prácticas yControl: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionarestructuras organizacionales para proporcionar seguridad razonable de que los objetivosseguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos noorganizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.deseados se evitarán o detectarán y corregirán. Objetivo de control: una declaración de que el resultadoObjetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantaro propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular demecanismos de control en una actividad particular de tecnología de informacióntecnología de información
  • 5. 55 PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL Comunidad de PrincipiosComunidad de Principios Se basan en la noción de principios como rendición de cuentas,Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.concientización, equidad y ética. Comunidad de Madurez de la CapacidadComunidad de Madurez de la Capacidad Se basa en la noción del modelo de madurez, cuyo único miembroSe basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE-es el Systems Security Engineering Capability Maturity Model (SSE- CMM).CMM). La teoría es que una organización cuyo nivel de madurez es mayorLa teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. Elque otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en elenfoque se centra en el proceso y sólo en forma secundaria en el producto.producto.
  • 6. 66 DIAGRAMA DE INFLUENCIA FUENTE: An Introduction to Information Control Models, Philip L. Campbell
  • 7. 77 COMUNIDADES DE MODELOS FUENTE: An Introduction to Information Control Models, Philip L. Campbell
  • 8. 88 SIGNIFICADO DE SIGLAS UTILIZADASSIGNIFICADO DE SIGLAS UTILIZADAS OECD Organization for Economic Cooperation and DevelopmentOECD Organization for Economic Cooperation and Development GAPP Generaly Accepted Principles and Practices. National Institute of StandardsGAPP Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST)and Technology (NIST) BS 7799 British Standard InstituteBS 7799 British Standard Institute SAC Security Auditability and Control. The Inst. of Internal Audit.SAC Security Auditability and Control. The Inst. of Internal Audit. COSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsCOSO Internal Control Integrated Framework. Committee of Sponsoring Organizations SSE CMM Systems Security Engineering Capability Maturity ModelSSE CMM Systems Security Engineering Capability Maturity Model National Security Agency (NSA) Defense- Canada.National Security Agency (NSA) Defense- Canada. CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants. ITCG Information Technology Control Guidelines. Canadian InstituteITCG Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA)of Chartered Accountants (CICA) GASSP Generaly Accepted System Security Principles. InternationalGASSP Generaly Accepted System Security Principles. International Information Security Foundation (IISF)Information Security Foundation (IISF) Cobit Control Objectives for Information and Related TechnologiesCobit Control Objectives for Information and Related Technologies FISCAM Federal Information Systems Controls Audit Manual. GAOFISCAM Federal Information Systems Controls Audit Manual. GAO SysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability SSAG System Self-Assessment Guide for Information Technology Systems. NISTSSAG System Self-Assessment Guide for Information Technology Systems. NIST
  • 9. 99 CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007 CONTROL SEGÚN COSOCONTROL SEGÚN COSO
  • 10. 1010 COSO -COSO - ANTECEDENTESANTECEDENTES Modelo de Control COSOModelo de Control COSO:: Committee ofCommittee of Sponsoring Organizations of the TradewaySponsoring Organizations of the Tradeway Commision, USA, septiembre 1992.Commision, USA, septiembre 1992. Modelo de Control COCOModelo de Control COCO:: Criteria of ControlCriteria of Control Committee (Instituto Canadiense de ContadoresCommittee (Instituto Canadiense de Contadores Certificados, CICA,Certificados, CICA, November1995November1995..
  • 11. 1111 Cualquier medida que tome la dirección, el Consejo y otros,Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar lapara mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de lasLa dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridadacciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metasrazonable de que se alcanzarán los objetivos y metas.. COSO - CONTROLCOSO - CONTROL
  • 12. 1212 Proceso llevado a cabo por el Consejo de Administración, laProceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado paraGerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de losproporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:objetivos de la organización clasificados en:  Efectividad y eficiencia de las operacionesEfectividad y eficiencia de las operaciones  Confiabilidad de la información financieraConfiabilidad de la información financiera  Cumplimiento con las leyes, reglamentos, normas yCumplimiento con las leyes, reglamentos, normas y políticas.políticas. COSO - CONCEPTO DE CONTROL INTERNOCOSO - CONCEPTO DE CONTROL INTERNO
  • 13. 1313 COSO - CARACTERÍSTICASCOSO - CARACTERÍSTICAS  Medio para alcanzar un fin, no un fin en si mismo.Medio para alcanzar un fin, no un fin en si mismo.  No es un evento o circunstancia sino una serie deNo es un evento o circunstancia sino una serie de acciones que permean en las actividades de laacciones que permean en las actividades de la organización.organización.  Forma parte de los procesos básicos de laForma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y seadministración-planeación ejecución y monitoreo y se encuentra integrado en ellos.encuentra integrado en ellos.  Los controles deben construirse ”Dentro¨” de laLos controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”.infraestructura de la organización y no “Sobre ella”.
  • 14. 1414  Es efectuado por personas. No es solamente un conjuntoEs efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino sonde manuales de políticas y procedimientos, sino son personas en cada nivel de la organización.personas en cada nivel de la organización.  Es ejecutado por la gente de una organización a través deEs ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de lalo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.Entidad y establece los mecanismos de control. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  • 15. 1515  Afecta las acciones del personal, señalándole susAfecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como laresponsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que losvinculación entre sus deberes y la forma en que los desempeñan.desempeñan.  La alta dirección es responsable de la existencia de unLa alta dirección es responsable de la existencia de un eficiente sistema de control.eficiente sistema de control.  Los Directores tienen la obligación de la vigilancia delLos Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices ycontrol además de que proporcionan directrices y aprueban ciertas transacciones y políticas.aprueban ciertas transacciones y políticas.  Cada individuo dentro de la organización tiene algún rolCada individuo dentro de la organización tiene algún rol respecto al control interno.respecto al control interno. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  • 16. 1616  No existe sistema infalible. Ningún sistema hará porNo existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga.siempre lo que se espera que haga.  No importa lo bien diseñado y operado que sea unNo importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es quesistema de control; lo más que puede esperarse es que proporcione seguridad razonable.proporcione seguridad razonable.  El efecto acumulado de controles y su naturalezaEl efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarsediversa, reducen el riesgo de que no puedan alcanzarse los objetivos.los objetivos. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  • 17. 1717  Limitaciones del control :Limitaciones del control :  Errores por falta de capacidad para ejecutar lasErrores por falta de capacidad para ejecutar las instruccionesinstrucciones  Errores de juicio en la toma de decisiones.Errores de juicio en la toma de decisiones.  Errores por mala interpretación, negligencia,Errores por mala interpretación, negligencia, distracción o fatiga.distracción o fatiga.  Inobservancia gerencial a las políticas oInobservancia gerencial a las políticas o procedimientos prescritos.procedimientos prescritos.  Colusión.Colusión.  Costo - beneficio.Costo - beneficio. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  • 18. 1818  Características de los objetivos de una organización:Características de los objetivos de una organización:  OperacionalesOperacionales:: Relacionados con el uso eficiente yRelacionados con el uso eficiente y eficaz de los recursos.eficaz de los recursos.  Información financieraInformación financiera:: Relacionados con laRelacionados con la preparación de reportes financieros confiables.preparación de reportes financieros confiables.  CumplimientoCumplimiento:: Relacionados con el cumplimientoRelacionados con el cumplimiento con leyes y reglamentos aplicables.con leyes y reglamentos aplicables. COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
  • 19. 1919 COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
  • 20. 2020 COSO - RELACIÓN DE OBJETIVOS Y COMPONENTESCOSO - RELACIÓN DE OBJETIVOS Y COMPONENTES  Existe una relaciónExiste una relación directa entre objetivosdirecta entre objetivos que la organizaciónque la organización busca y losbusca y los componentes quecomponentes que representan lorepresentan lo necesario paranecesario para alcanzar los objetivosalcanzar los objetivos
  • 21. 2121 COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
  • 22. 2222 OPERACIONES OPERACIONES REPORTES REPORTES FINANCIEROS FINANCIEROSCUM PLIM IENTO CUM PLIM IENTO MONITOREOMONITOREO INFORMACION YINFORMACION Y COMUNICACIONCOMUNICACION ACTIVIDADES DEACTIVIDADES DE CONTROLCONTROL EVALUACION DEEVALUACION DE RIESGOSRIESGOS AMBIENTE DEAMBIENTE DE CONTROLCONTROL ACTIVIDAD2ACTIVIDAD2 ACTIVIDAD1ACTIVIDAD1 UNIDADBUNIDADB UNIDADAUNIDADA COSO - Relaciones de Componentes y ObjetivosCOSO - Relaciones de Componentes y Objetivos COMPONENTECOMPONENTE ACTIVIDADACTIVIDAD
  • 23. 2323 Integridad y Valores EticosIntegridad y Valores Eticos Comité de AuditoríaComité de Auditoría Filosofía Admva. y EstiloFilosofía Admva. y Estilo de Direcciónde Dirección Estructura OrganizacionalEstructura Organizacional Asignación de Autoridad yAsignación de Autoridad y ResponsabilidadResponsabilidad Política de RecursosPolítica de Recursos HumanosHumanos CompetenciaCompetencia COSO -COSO - AMBIENTE DE CONTROLAMBIENTE DE CONTROL
  • 24. 2424 Objetivos InstitucionalesObjetivos Institucionales Objetivos EspecíficosObjetivos Específicos  OperativosOperativos  Información FinancieraInformación Financiera  CumplimientoCumplimiento Análisis de RiesgosAnálisis de Riesgos  Organización (Externos /Organización (Externos / Internos)Internos)  ActividadActividad  Análisis (Trascendencia /Análisis (Trascendencia / Probabilidad / Control)Probabilidad / Control) Manejo de CambiosManejo de Cambios (Reorganizaciones/Políticas /(Reorganizaciones/Políticas / Sistemas y Procedimientos)Sistemas y Procedimientos) COSO - EVALUACIÓN DE RIESGOSCOSO - EVALUACIÓN DE RIESGOS
  • 25. 2525 Actividades de controlActividades de control sobre:sobre:  Las operacionesLas operaciones  La informaciónLa información financierafinanciera  El acatamientoEl acatamiento Tipos de Control:Tipos de Control:  Preventivos /Preventivos / CorrectivosCorrectivos  Manuales /Manuales / AutomatizadosAutomatizados  GerencialesGerenciales COSO - ACTIVIDADES DE CONTROLCONTROL
  • 26. 2626 Sistemas de Información :Sistemas de Información :  Apoyo ActividadesApoyo Actividades EstratégicasEstratégicas  Integración con lasIntegración con las OperacionesOperaciones  CalidadCalidad Comunicación :Comunicación :  Interna / ExternaInterna / Externa  MediosMedios COSO - INFORMACIÓN Y COMUNICACIÓN
  • 27. 2727 Supervisión ConcurrenteSupervisión Concurrente Evaluaciones IndependientesEvaluaciones Independientes  Alcance y frecuenciaAlcance y frecuencia  Quiénes evalúanQuiénes evalúan  Proceso de evaluaciónProceso de evaluación  Metodología /Metodología / documentacióndocumentación  Plan de acciónPlan de acción Reportes de DeficienciasReportes de Deficiencias COSO - SUPERVISIÓN Y SEGUIMIENTO
  • 28. 2828 COSO -COSO - RESPONSABILIDADES SOBRE EL CONTROLRESPONSABILIDADES SOBRE EL CONTROL  Consejo de Administración.-Consejo de Administración.- Es la instanciaEs la instancia responsable de establecer guía, supervisión general yresponsable de establecer guía, supervisión general y gobernabilidad a la organizacióngobernabilidad a la organización  Gerencia.-Gerencia.- El Director General es el último responsableEl Director General es el último responsable y asume la propiedad del sistema de controly asume la propiedad del sistema de control  Auditores Internos.-Auditores Internos.- Evalúa la efectividad del sistemaEvalúa la efectividad del sistema de controlde control  Personal.-Personal.- es responsable todo el personal dependiendoes responsable todo el personal dependiendo de su nivel y ubicación funcionalde su nivel y ubicación funcional
  • 29. 2929 COSO - TIPOS DE CONTROLCOSO - TIPOS DE CONTROL - Preventivos • Concurrentes (sobre la marcha) - Detectivos • Posteriores - De actividades (repetitivas) - De resultados (actividades creativas) - De recursos - De insumos - De acceso - De investigación y desarrollo - De proyectos - De operaciones - De procesos - De salidas - De seguridad (resguardo)
  • 30. MODELO CADBURYMODELO CADBURY CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
  • 31. 3131 MODELO CADBURYMODELO CADBURY Adopta una interpretación amplia del control.Adopta una interpretación amplia del control. Mayores especificaciones en la definición deMayores especificaciones en la definición de su enfoque sobre el sistema de control en susu enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipoconjunto-financiero y de cualquier tipo.. • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee).
  • 32. 3232 • Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la información y reportes financieros. c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros MODELO CADBURY
  • 33. MODELO COCOMODELO COCO CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
  • 34. 3434 CONCEPTO DE CONTROL INTERNOCONCEPTO DE CONTROL INTERNO Efectividad y eficiencia de las operaciones.Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos.Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentosCumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.aplicables, así como con las políticas internas. MODELO COCO - Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:
  • 35. 3535 Servicio al clienteServicio al cliente Salvaguarda y uso eficiente de los recursosSalvaguarda y uso eficiente de los recursos Obtención de beneficiosObtención de beneficios Cumplimiento de obligaciones socialesCumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamenteSeguridad de que los riesgos son debidamente identificados y administradosidentificados y administrados OBJETIVOS ORGANIZACIONALES (efectividadOBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)y eficiencia de las operaciones) MODELO COCO
  • 36. 3636 Mantenimiento de registros contablesMantenimiento de registros contables adecuados.adecuados. Confiabilidad de la información utilizada.Confiabilidad de la información utilizada. Información publicada para tercerosInformación publicada para terceros interesadosinteresados.. Confiabilidad de los reportes internos yConfiabilidad de los reportes internos y externosexternos MODELO COCO
  • 37. 3737 Cumplimiento con la normatividad yCumplimiento con la normatividad y políticas internas aplicablespolíticas internas aplicables Aseguramiento de que las actividades de laAseguramiento de que las actividades de la organización se conducen en total concordanciaorganización se conducen en total concordancia con el marco legal y con las políticas internas.con el marco legal y con las políticas internas. MODELO COCO
  • 38. 3838 MODELO COCOMODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control. • El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.
  • 39. 3939 Naturaleza del controlNaturaleza del control El costo del control deberá ser proporcional a losEl costo del control deberá ser proporcional a los beneficios esperados.beneficios esperados. El control requiere de un equilibrio entreEl control requiere de un equilibrio entre autonomía e integración y entre consistencia yautonomía e integración y entre consistencia y adaptación al cambio.adaptación al cambio. MODELO COCO
  • 40. 4040 Ciclo del entendimiento básicoCiclo del entendimiento básico PropósitoPropósito CompromisoCompromiso AptitudAptitud AcciónAcción Evaluación (Auto) y AprendizajeEvaluación (Auto) y Aprendizaje MODELO COCO Criterios de control • Los criterios de control son la base para entender el control de una organización. • Están planteados como metas a cumplir permanentemente.
  • 41. 4141 A.- PROPÓSITO Sentido de Dirección a laA.- PROPÓSITO Sentido de Dirección a la OrganizaciónOrganización A1.-A1.- LosLos objetivos deben ser establecidos yobjetivos deben ser establecidos y comunicados.comunicados. A2.-A2.- Los riesgos internos y externos significativosLos riesgos internos y externos significativos deben ser identificados y evaluados.deben ser identificados y evaluados. A3.-A3.- Las políticas para apoyar el logro de losLas políticas para apoyar el logro de los objetivos de una organización y el manejo deobjetivos de una organización y el manejo de sus riesgos, deben ser establecidas,sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que elcomunicadas y practicadas, de manera que el personal entienda lo que depersonal entienda lo que de élél se esperase espera.. MODELO COCO
  • 42. 4242 A4.-A4.- Deben establecerse y comunicarseDeben establecerse y comunicarse planes paraplanes para guiar los esfuerzosguiar los esfuerzos parapara lograr los objetivos de lalograr los objetivos de la organización.organización. A5.-A5.- Los objetivos y los planes relativosLos objetivos y los planes relativos deben incluirdeben incluir metas, parámetros emetas, parámetros e indicadores de medición delindicadores de medición del desempeñodesempeño.. A.- PROPÓSITO MODELO COCO
  • 43. 4343 B.-B.- COMPROMISO:COMPROMISO: SSentido de identidad yentido de identidad y valores de la organizaciónvalores de la organización .. B1.B1. Deben establecerse, comunicarse y ponerseDeben establecerse, comunicarse y ponerse en práctica valores éticos compartidos,en práctica valores éticos compartidos, incluyendo la integridad.incluyendo la integridad. B2. Las políticas y prácticas sobre recursosB2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con loshumanos deben ser consistentes con los valores éticos de la organización y con elvalores éticos de la organización y con el logro de sus objetivos.logro de sus objetivos. MODELO COCO
  • 44. 4444 B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado. B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos. B.- COMPROMISO MODELO COCO
  • 45. 4545 MODELO COCOMODELO COCO C. APTITUD: sentido de competencia o aptitud de la organización C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización. C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.
  • 46. 4646 MODELO COCO C. APTITUD C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización. C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.
  • 47. 4747 - Evaluación y aprendizaje. Sentido deEvaluación y aprendizaje. Sentido de evolución de la organización:evolución de la organización: D1.- El ambiente externo e interno debe serD1.- El ambiente externo e interno debe ser “monitoreado” para obtener información que“monitoreado” para obtener información que pueda señalar la necesidad de revaluar lospueda señalar la necesidad de revaluar los objetivos de la organización o el control.objetivos de la organización o el control. D2.-D2.- El desempeño debe ser evaluado o medido contraEl desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivoslas metas e indicadores en los planes u objetivos de la organización.de la organización. D3.-D3.- Las premisas consideradas para los objetivos deLas premisas consideradas para los objetivos de la organización deben cuestionarsela organización deben cuestionarse periódicamente.periódicamente. MODELO COCO
  • 48. 4848 D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada. D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos. - Evaluación y Aprendizaje MODELO COCO
  • 49. 4949 COBITCOBIT CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
  • 50. 5050 Cobit - DefiniciónCobit - Definición CControlontrol OBOBjectivesjectives forfor IInformationnformation aand Relatednd Related TTechnologyechnology (Objetivos de Control para Tecnología de(Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and RelatedFuente: Control Objectives for Information and Related Technology (CObIT) y presentación de FernandoTechnology (CObIT) y presentación de Fernando Izquierdo Duarte 2002Izquierdo Duarte 2002
  • 51. 5151 Cobit - DefiniciónCobit - Definición ¿Qué es?¿Qué es? Es un marco de control interno de TI.Es un marco de control interno de TI. Parte de la premisa de que la TIParte de la premisa de que la TI requiere proporcionar informaciónrequiere proporcionar información para lograr los objetivos de lapara lograr los objetivos de la organización.organización. Promueve el enfoque y la propiedadPromueve el enfoque y la propiedad de los procesos.de los procesos.
  • 52. 5252 Cobit - DefiniciónCobit - Definición Apoya a la organización al proveer un marco queApoya a la organización al proveer un marco que asegura que:asegura que: La Tecnología de Información (TI) esté alineada con laLa Tecnología de Información (TI) esté alineada con la misión y visión.misión y visión. LA TI capacite y maximice los beneficios.LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente.Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.Los riesgos de TI sean manejados apropiadamente.
  • 53. 5353 Cobit - UsuariosCobit - Usuarios GerenciaGerencia: Apoyar decisiones de inversión: Apoyar decisiones de inversión en TI y control sobre su rendimiento, asíen TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.como analizar el costo-beneficio del control. Usuarios FinalesUsuarios Finales: Garantizar seguridad y: Garantizar seguridad y control de los productos que adquierencontrol de los productos que adquieren interna y externamenteinterna y externamente
  • 54. 5454 Cobit - UsuariosCobit - Usuarios AuditoresAuditores :: Apoyar sus opiniones sobreApoyar sus opiniones sobre los controles de los proyectos de TI , sulos controles de los proyectos de TI , su impacto en la organización y el controlimpacto en la organización y el control mínimo requerido.mínimo requerido. Responsables de TIResponsables de TI:: Identificar losIdentificar los controles que requieren.controles que requieren.
  • 55. 5555 Cobit - PrincipiosCobit - Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI
  • 57. 5757 Procesos del Negocio Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Información Lo que usted Obtiene Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan Cobit - EstructuraCobit - Estructura
  • 58. 5858 ProcesosTI Dominios Procesos Actividades CUBO de CobiT Relación entre los componentes Datos Applicaciones Tecnología Instalaciones RecursoHumano Recursos de TI Calidad Confiabilidad Seguridad Criterios de la Información (7) Cobit - EstructuraCobit - Estructura
  • 59. 5959
  • 60. 6060 CobiT Objetivos del Negocio Recursos de TI Requerimientos de Información SeguimientoSeguimiento Planeación yPlaneación y OrganizaciónOrganización Adquisición eAdquisición e ImplantaciónImplantación Servicios y SoporteServicios y Soporte
  • 61. 6161 Cobit -Cobit - RequerimientosRequerimientos de la Información del Negociode la Información del Negocio Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad. Costo. Oportunidad. Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
  • 62. 6262 EfectividadEfectividad: Información relevante y pertinente,: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente yproporcionada en forma oportuna, correcta, consistente y utilizableutilizable EficienciaEficiencia: Empleo óptimo de los recursos.: Empleo óptimo de los recursos. ConfidencialidadConfidencialidad: Protección de la información sensitiva: Protección de la información sensitiva contra divulgación no autorizadacontra divulgación no autorizada IntegridadIntegridad: Información exacta y completa, así como válida: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.de acuerdo con las expectativas de la organización. Cobit - Requerimientos de laCobit - Requerimientos de la Información del NegocioInformación del Negocio
  • 63. 6363 DisponibilidadDisponibilidad: accesibilidad a la: accesibilidad a la información y la salvaguarda de losinformación y la salvaguarda de los recursos y sus capacidades.recursos y sus capacidades. CumplimientoCumplimiento: Leyes, regulaciones y: Leyes, regulaciones y compromisos contractuales.compromisos contractuales. ConfiabilidadConfiabilidad: Apropiada para la toma de: Apropiada para la toma de decisiones adecuadas y el cumplimientodecisiones adecuadas y el cumplimiento normativo.normativo. Cobit -Cobit - Requerimientos de laRequerimientos de la Información del NegocioInformación del Negocio
  • 64. 6464 Recursos de TIRecursos de TI DatosDatos: Todos los objetos de información interna y externa,: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.estructurada o no, gráficas, sonidos, etc. AplicacionesAplicaciones: Sistemas de información, que integran: Sistemas de información, que integran procedimientos manuales y sistematizados.procedimientos manuales y sistematizados. TecnologíaTecnología: Hardware y software básico, sistemas operativos,: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes,de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.telecomunicaciones, multimedia, etc. InstalacionesInstalaciones: Recursos necesarios para alojar y dar soporte a: Recursos necesarios para alojar y dar soporte a los sistemas.los sistemas. Recurso HumanoRecurso Humano :Habilidad, actitud y productividad del:Habilidad, actitud y productividad del personal.personal.
  • 65. 6565 Procesos de TIProcesos de TI - Los Tres Niveles- Los Tres Niveles Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 4 34 318
  • 66. 6666 Planeación y OrganizaciónPlaneación y Organización Adquisición e ImplantaciónAdquisición e Implantación Prestación de Servicios y SoportePrestación de Servicios y Soporte SeguimientoSeguimiento COBIT – DOMINIOS: 4COBIT – DOMINIOS: 4
  • 67. 6767 COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS Adquisición e Implantación Identificación de soluciones automatizadas Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios Planeación y Organización Definición de un plan estratégico Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad
  • 68. 6868 COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS Servicios y Soporte Definición de los niveles de servicios Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente
  • 69. 6969 COBIT COMOCOBIT COMO PRODUCTOPRODUCTO Resumen EjecutivoResumen Ejecutivo Marco de Referencia (Framework)Marco de Referencia (Framework) Objetivos de ControlObjetivos de Control Guías de AuditoríaGuías de Auditoría Guías de AdministraciónGuías de Administración Herramientas de ImplementaciónHerramientas de Implementación CD-ROMCD-ROM 2a Edición disponible en español2a Edición disponible en español
  • 70. 7070 COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCOMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO CobiT 1996/1998 COSO 1992 SAC 1991/1994 SAS 55 - 1988 Definición de Control Interno Definición de Objetivos de Control de T I SAS 78 - 1995 Conceptos de Control Interno Conceptos de Control Interno enmienda Contribuciones al concepto de Control Interno
  • 71. 7171 Comparación de Conceptos de Control COBIT SAC COSO SASs 55/78 Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI Auditores Internos Administración Auditores Externos El Control Interno es Visto como Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional Conjunto de procesos, subsistemas y personas Procesos Procesos Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la información Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeación y Organización Adquisición e implantación Servicio y Soporte Seguimiento Componentes: Ambiente de Control Sistemas Manuales y Automatizados. Procedimientos de Control Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros Evaluación de la Efectividad del Control I. Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo Responsable por el Control Interno Administración Administración Administración Administración Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
  • 72. 7272 GUÍA TURNBULLGUÍA TURNBULL CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
  • 73. ¿ QUÉ ES LA GUÍA¿ QUÉ ES LA GUÍA TURNBULL?TURNBULL? Es la adopción de un enfoqueEs la adopción de un enfoque basado en riesgos parabasado en riesgos para establecer un sistema de controlestablecer un sistema de control interno y revisar su efectividadinterno y revisar su efectividad
  • 74. 7474 CONTRIBUCIONES DE AUDITORÍA INTERNACONTRIBUCIONES DE AUDITORÍA INTERNA Aseguramiento de la adecuación y efectividad de la Administración de Riesgos y del sistema de control Apoyo para mejorar el proceso de Identificación y Administración de riesgos Promoción de la Concientización de riesgos y controles y los programas de autoevaluación
  • 75. Desplazamiento oportuno a otras áreas de negocios Mayor probabilidad de lograr objetivos Mayor cobertura a largo plazo Mejores bases para establecer estrategias Disminución de sorpresas desagradables Menores costos de capital Mayor probabilidad de lograr cambios Enfoque interno en hacer bien las cosas Ventajas competitivas Reducción de tiempo para emergencias BENEFICIOS POTENCIALES
  • 76. 7676 ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE UNA MEJOR ADMINISTRACIÓN DE RIESGOS Identificación de cambios Internos y externos y reconsideración y negociación de objetivos Cambios en comportamiento y enfoque en las bases de una buena administración de riesgos y control Revisión de riesgos y controles anuales Implantación de acciones de mejora Informes sucintos Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos Identificación de factores críticos de éxito Identificación y priorización de riesgos Determinación de riesgos significativos Negociación de estrategias de control y administración de riesgos Negociación sobre rendición de cuentas Concientización de los riesgos críticos IMPLANTACIÓN DEL TURNBULL
  • 77. 7777 MANTENERSE SIMPLE Y PROSPECTIVO Enfocarse en riesgos críticos y sus controles Enfocarse en riesgos críticos y sus controles Reorientar el entrenamiento hacia los riesgos críticos Reorientar el entrenamiento hacia los riesgos críticos Elaborar un plan apropiado y monitorear su avance Elaborar un plan apropiado y monitorear su avance Evitar expedientes voluminosos Evitar expedientes voluminosos Asignar responsabilidades en la administración de riesgos Asignar responsabilidades en la administración de riesgos Evitar duplicidadesEvitar duplicidades Mantener los informes al Consejo sucintos y sencillos Mantener los informes al Consejo sucintos y sencillos Asegurar que los objetivos se jerarquicen Asegurar que los objetivos se jerarquicen SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
  • 78. 7878 Asignación de responsabilidades para elaborar el plan individual o de equipos Aceptación del plan por parte de los directores Consideración del plan por el Consejo de Administración Reconsideración y afinación del plan por el Consejo Implantación del plan de desarrollo y de la política de administració de riesgos Involucramiento de los distintos niveles de la organización Implantación de mecanismos apropiados para la información de avance Enfoque a la mejora de negocios PASOS SUGERIDOS
  • 79. 7979 RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOSRESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA)(EN INGLATERRA) TIPOS DE RIESGO PROMEDIO Fracaso en la administración de proyectos mayores Motivación y bajo desempeño del personal 7.05 6.67 6.32 6.30 6.00 Fracaso de estrategias Fracaso en innovación Mala reputación /administración - marca Fuente: Deloitte & Touche, 1990Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico
  • 80. Enfasis en el cambio de comportamiento Sencillez Conciencia del riesgo Mecanismos de advertencia oportunos y respuesta rápida Información confiable Concientización de los objetivos organizacionales Asesoría a todos los niveles de la compañía Aplicación continua de Estrategias de control ADECUADA ADMINISTRACIÓN DE RIESGOS Y CONTROL Controles básicos
  • 81. 8181 PELIGROS POTENCIALESPELIGROS POTENCIALES Falta de Mecanismos de Advertencia Demasiados Riesgos identificados Abandonarlo Demasiado tarde Incremento de Burocracia Ignorar Controles Financieros básicos Sobrecarga del comité de Auditoría Incapacidad para obtener aceptación del gerente Inapropiada Orientación de riesgos Enfoque Insuficiente en Admón de Riesgos Peligros Potenciales
  • 82. 8282 AUTOEVALUACIÓN DELAUTOEVALUACIÓN DEL CONTROLCONTROL CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
  • 83. 8383 AEC - DEFINICIÓNAEC - DEFINICIÓN Proceso documentado en el que :Proceso documentado en el que :  La administración o el equipo de trabajo se involucraLa administración o el equipo de trabajo se involucra directamente en una función.directamente en una función.  Se juzga la efectividad del proceso de controlSe juzga la efectividad del proceso de control vigente.vigente.  Se define si se asegura razonablemente el lograrSe define si se asegura razonablemente el lograr alguno o todos los objetivos.alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de queEl objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organizaciónse alcanzarán los objetivos de la organización ..
  • 84. 8484 AEC - OTROS NOMBRES • Autoevaluación de riesgo- control. • Evaluación dinámica del control. • Co-evaluación del control. • Autoevaluación organizacional. • Autoevaluación de proceso. • Autoevaluación de riesgos. • Autoevaluación de riesgos de la organización. AEC - DEFINICIÓN
  • 85. 8585 AEC - ENTRENAMIENTO • Para desarrollar la AEC se requiere capacitación: . En metodología. . En modelos de control . En evaluación de riesgos . En talleres de autoevaluación de control . En redacción. . En tecnología.
  • 86. 8686 AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN 2/2 Mejora del control y sus riesgos, BENEFICIOS AL PROCESO OPERATIVO  Eficiencia de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general A E C Desarrollo de la Responsabilidad Instrumentación del Control Diseño de Mejores Controles Delegación de Facultades CPC y CIA JUAN MANUEL PORTAL M.
  • 87. 8787 - Generación de ideas y planes de acción implantados más allá del alcance original. - Facilidad de implantación de acciones de mejora. - Promoción de la unidad organizacional mediante la identificación y solución de problemas. - REALZA EL PAPEL DE AUDITORÍA INTERNA. • ADMINISTRACIÓN • PARTICIPANTES • AUDITORÍA INTERNA AEC - BENEFICIOS PARA LA ADMINISTRACIÓN - Mejora de la moral del personal. - Eliminación de atmósferas de desconfianza.
  • 88. 8888 AEC - FASES DE LA AUTOEVALUACIÓN Monitoreo y Reporte de Resultados Conducción de Reuniones Capacitación Planeación Involucramiento de la alta Gerencia
  • 89. 8989 AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA Adopción de la AEC • Conocimiento de la AEC en los niveles adecuados • Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC • Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC
  • 90. 9090 - Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control. - Entorno libre de riesgos (no represalias) - Reconocimiento de la complejidad de la implantación de la AEC. AEC – INVOLUCRAMIENTO DE……. Requisitos de la Organización
  • 91. 9191 Requisitos del Facilitador - Ser innovador y desear tomar riesgos - Saber escuchar, comunicarse y aprender de la gente - Saber qué alcanzar y qué herramientas se necesitan - Conocer la organización, su entorno y normatividad - Entender la cultura organizacional AEC – INVOLUCRAMIENTO DE…….
  • 92. 9292 AEC - INVOLUCRAMIENTO DE ……….. - Asegurarse que la administración sabe que es responsable de los controles - Explicar el proceso de AEC - Proporcionar información y conocimiento al taller - Utilizar enfoques y herramientas específicas - Desarrollar la dinámica del equipo - Asegurar la logística del taller. - Obtener acciones de mejora del taller. Responsabilidades del Facilitador
  • 93. 9393 AEC – INVOLUCRAMIENTO DE……. Preparación del tallerPreparación del taller:: Entrevistar a la Gerencia y al personal operativoEntrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacionalEvaluar la estructura organizacional Aprender sobre la organizaciónAprender sobre la organización Seleccionar los objetivos de la organizaciónSeleccionar los objetivos de la organización Seleccionar los participantes al TACSeleccionar los participantes al TAC Preparar la logística de la reuniónPreparar la logística de la reunión Enviar información previa a la reuniónEnviar información previa a la reunión.. Responsabilidades del Facilitador
  • 94. 9494 Preparación del taller: - Facilitar la identificación del proceso y obstáculos - Vigilar la logística - Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIÓN AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador
  • 95. 9595 AEC – INVOLUCRAMIENTO DE……. 1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo suficiente para la preparación del taller. 4. Definir los objetivos del Taller de Autoevaluación del Control (TAC) 5. Emitir pronunciamientos y criterios al inicio del proceso Estrategias
  • 96. 9696 6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentación a los participantes sobre los resultados 9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora Estrategias AEC – INVOLUCRAMIENTO DE …….
  • 97. 9797 AEC - P L A N E A C I Ó N 1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta. 4. Seleccionar los participantes del TAC 5. Elaborar el programa de actividades con responsables y tiempos 6. Planear reportes de avance y conclusión
  • 98. 9898 A E C - C A P A C I T A C I O N Capacitar en Control y Autocontrol: • Modelos de Control (COSO, COCO...) • Evaluación de riesgos • Autoevaluación en control y su metodología • Herramientas y tecnología especializada para su uso en el taller
  • 99. 9999 AEC - CONDUCCIÓN DE REUNIONES 1. Preparar la logística de las reuniones 2. Enviar información previa a las reuniones 3. Presentar los objetivos del TAC • Definición del producto final • Metodología del taller • Herramientas a utilizar • Método de registro y votación • Beneficios tangibles 4. Explicar el papel de los participantes y aclarar expectativas.
  • 100. 100100 AEC - CONDUCCIÓN DE REUNIONES 5. Presentar la agenda de la reunión 6. Conducir la reunión 7. Estructurar e inventariar el resultado de las evaluaciones 8. Levantar minuta de los acuerdos
  • 101. 101101 AEC - CONDUCCIÓN DE REUNIONESAEC - CONDUCCIÓN DE REUNIONES EscucheEscuche No interrumpaNo interrumpa Establezca un proceso de votoEstablezca un proceso de voto Asegúrese que todos apoyen las reglasAsegúrese que todos apoyen las reglas Todos deben ser facilitadores en algún momentoTodos deben ser facilitadores en algún momento Las ideas de otros fortalecen la decisión del grupoLas ideas de otros fortalecen la decisión del grupo Logre consensoLogre consenso REGLAS PARA LA TOMA DE DECISIONES DE GRUPOREGLAS PARA LA TOMA DE DECISIONES DE GRUPO
  • 102. 102102 AEC – CONDUCCIÓN DE REUNIONES - Definición y evaluación de objetivos, riesgos y controles. - Determinación de acciones de mejora. - Definición y realización de las acciones, tiempos, responsables y recursos para la implantación de las mejoras. - Establecimiento de puntos de control para la evaluación de los avances y la comunicación de las desviaciones DESARROLLO DE PLANES DE ACCIÓN
  • 103. 103103 AEC - MONITOREO Y REPORTE DE RESULTADOS - Establecer sistema de seguimiento y evaluación de los planes de acción - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua
  • 104. 104104 AEC - PROBLEMÁTICA - Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes - Costos de honorarios de profesionales, entrenamiento, equipo y software - Inversión fuerte en capacitación - Esfuerzo serio de venta interna
  • 105. 105105 AEC – PROBLEMÁTICA - Represalias por comentarios hechos en la sesión de la AEC. - Acción subsecuente con información confidencial. Obstáculos Para Su Adopción • Impedimentos derivados de la técnica. • Salvaguarda. - Garantía de no represalias. - Garantía sobre la confidencialidad. - Tecnología de voto electrónico.
  • 106. 106106 AEC – PROBLEMÁTICA - Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante • Impedimentos derivados de la resistencia. • Salvaguardas. - Selección de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar. Obstáculos Para Su Adopción
  • 107. 107107 - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Amenazas derivadas de la cultura. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
  • 108. 108108 - El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con únicamente una o dos personas. + Terceros vendedores o proveedores de servicios. • Amenazas derivadas de la adecuación. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
  • 109. 109109 - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Amenazas derivadas de la cultura. • Salvaguardas. - Evitar utilizar la AEC con estas situaciones. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN
  • 110. 110110 ÉXITO PARA SU IMPLANTACIÓNÉXITO PARA SU IMPLANTACIÓN I.I. Factores críticos de éxitoFactores críticos de éxito II.II. Pasos para acelerar suPasos para acelerar su implantaciónimplantación III.III. Recomendaciones para suRecomendaciones para su implantaciónimplantación
  • 111. 111111 1)1) Determinación de objetivos clarosDeterminación de objetivos claros 2)2) Patrocinio de la alta gerenciaPatrocinio de la alta gerencia 3)3) Apoyo de la gerenciaApoyo de la gerencia 4)4) Entendimiento de por qué participa cada uno en laEntendimiento de por qué participa cada uno en la sesión de Autoevaluaciónsesión de Autoevaluación 5)5) Señalamiento de expectativasSeñalamiento de expectativas I. FACTORES CRÍTICOS DE ÉXITOI. FACTORES CRÍTICOS DE ÉXITO
  • 112. 112112 6)6) Cultura que apoya la AECCultura que apoya la AEC 7)7) Actitud gerencial orientada al facultamiento y elActitud gerencial orientada al facultamiento y el controlcontrol 8)8) Beneficios tangiblesBeneficios tangibles 9)9) Definición del producto finalDefinición del producto final 10)10) Entorno libre de riesgos (no represalias)Entorno libre de riesgos (no represalias) I. FACTORES CRÍTICOS DE ÉXITO
  • 113. 113113 II. PASOS PARA ACELERAR SU IMPLANTACIÓNII. PASOS PARA ACELERAR SU IMPLANTACIÓN 1)1) Reconocer la complejidad de su implantaciónReconocer la complejidad de su implantación 2)2) Conducir sesiones pilotoConducir sesiones piloto 3)3) Ser realistas acerca de la cobertura deSer realistas acerca de la cobertura de auditoríaauditoría 4)4) Dar los pronunciamientos y criterios al inicioDar los pronunciamientos y criterios al inicio del procesodel proceso 5)5) Permitir suficiente tiempo para su preparaciónPermitir suficiente tiempo para su preparación 6)6) Limitar el alcance a los temas de alta prioridadLimitar el alcance a los temas de alta prioridad
  • 114. 114114 III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN 1)1) Conocer cuál es el propósito y quéConocer cuál es el propósito y qué herramientas se necesitanherramientas se necesitan 2)2) Entender la cultura organizacionalEntender la cultura organizacional 3)3) Ser innovador y dispuesto a tomar riesgosSer innovador y dispuesto a tomar riesgos 4)4) Particularizar el marco estructurado de controlParticularizar el marco estructurado de control 5)5) Agregar valor a la organizaciónAgregar valor a la organización 6)6) Comentar con los demás y aprender de ellosComentar con los demás y aprender de ellos 7)7) Rotar facilitadores que procedan de otrasRotar facilitadores que procedan de otras áreasáreas
  • 115. 115115 III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN 8)8) Emplear grupos de trabajo interdisciplinariosEmplear grupos de trabajo interdisciplinarios 9)9) Mantener el proceso sencilloMantener el proceso sencillo 10)10) Reconocer que las habilidades de facilitaciónReconocer que las habilidades de facilitación son tan importantes como las pruebas deson tan importantes como las pruebas de cumplimiento o las habilidades tradicionalescumplimiento o las habilidades tradicionales de auditoríade auditoría 11)11) Mantener visible el apoyo de la gerenciaMantener visible el apoyo de la gerencia 12)12) Vender el concepto cada díaVender el concepto cada día
  • 116. 116116 AEC - ERRORES EN SU IMPLANTACIÓN 1) Fallar en explicar el por qué de la AEC. 2) Pilotear la AEC en un área problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situación.
  • 117. 117117 AEC - POR QUÉ FUNCIONA • Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones. • Se incrementa la conciencia entre objetivos, riesgos y controles. • Los equipos (grupos de AEC) funcionan mejor que los individuos. • La AEC promueve un entendimiento común de objetivos y metas. • Los talleres de AEC eliminan las barreras de comunicación.