SlideShare ist ein Scribd-Unternehmen logo
1 von 117
Downloaden Sie, um offline zu lesen
MODELOS DE CONTROL



       CP, CIA y Mtro Fernando Vera Smith
                           Diciembre 2007
MODELOS DE CONTROL
        CONTENIDO


PANORÁMICA DE MODELOS DE CONTROL
COSO
CADBURY
COCO
COBIT
TURNBULL
AEC


                                   2
PANORÁMICA DE MODELOS DE CONTROL

Marcos de referencia (comunidades) para
clasificar los modelos de control según Philip L.
Campbell ( An Introduction to Information
Control Models):

Objetivos de Control
Principios
Madurez de la Capacidad


                                                    3
PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Objetivos de Control

  Se basan en el concepto de “objetivo de control”:

  Control: Las políticas, procedimientos, prácticas y
  estructuras organizacionales para proporcionar
  seguridad razonable de que los objetivos
  organizacionales se alcanzarán y que los eventos no
  deseados se evitarán o detectarán y corregirán.

  Objetivo de control: una declaración de que el resultado
  o propósito deseado se alcanzará al implantar
  mecanismos de control en una actividad particular de
  tecnología de información
                                                         4
PANORÁMICA DE MODELOS DE CONTROL

Comunidad de Principios

  Se basan en la noción de principios como rendición de cuentas,
  concientización, equidad y ética.

Comunidad de Madurez de la Capacidad

  Se basa en la noción del modelo de madurez, cuyo único miembro
  es el Systems Security Engineering Capability Maturity Model (SSE-
  CMM).

  La teoría es que una organización cuyo nivel de madurez es mayor
  que otra es probable que produzca un mejor producto o servicio. El
  enfoque se centra en el proceso y sólo en forma secundaria en el
  producto.


                                                                       5
DIAGRAMA DE INFLUENCIA




                    FUENTE: An Introduction to Information
                    Control Models, Philip L. Campbell

                                                             6
COMUNIDADES DE MODELOS




                  FUENTE: An Introduction to Information
                  Control Models, Philip L. Campbell


                                                           7
SIGNIFICADO DE SIGLAS UTILIZADAS
OECD       Organization for Economic Cooperation and Development
GAPP       Generaly Accepted Principles and Practices. National Institute of Standards
           and Technology (NIST)
BS 7799    British Standard Institute
SAC        Security Auditability and Control. The Inst. of Internal Audit.
COSO       Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model
           National Security Agency (NSA) Defense- Canada.
CoCo       Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG       Information Technology Control Guidelines. Canadian Institute
          of Chartered Accountants (CICA)
GASSP      Generaly Accepted System Security Principles. International
          Information Security Foundation (IISF)
Cobit     Control Objectives for Information and Related Technologies
FISCAM    Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG      System Self-Assessment Guide for Information Technology Systems. NIST




                                                                                           8
CONTROL SEGÚN COSO




       CP, CIA y Mtro Fernando Vera Smith
                          Diciembre 2007
                                        9
COSO - ANTECEDENTES



 Modelo de Control COSO: Committee of
 Sponsoring Organizations of the Tradeway
 Commision, USA, septiembre 1992.

 Modelo de Control COCO: Criteria of Control
 Committee (Instituto Canadiense de Contadores
 Certificados, CICA, November1995.




                                                 10
COSO - CONTROL

Cualquier medida que tome la dirección, el Consejo y otros,

para mejorar la gestión de riesgos y aumentar la

probabilidad de alcanzar los objetivos y metas establecidos.

La dirección planifica, organiza y dirige la realización de las

acciones suficientes para proporcionar una seguridad

razonable de que se alcanzarán los objetivos y metas.


                                                           11
COSO - CONCEPTO DE CONTROL INTERNO


Proceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:


  Efectividad y eficiencia de las operaciones
  Confiabilidad de la información financiera
  Cumplimiento con las leyes, reglamentos, normas y
   políticas.
                                                       12
COSO - CARACTERÍSTICAS


 Medio para alcanzar un fin, no un fin en si mismo.
 No es un evento o circunstancia sino una serie de
  acciones que permean en las actividades de la
  organización.
 Forma parte de los procesos básicos de la
  administración-planeación ejecución y monitoreo y se
  encuentra integrado en ellos.
 Los controles deben construirse ”Dentro¨” de la
  infraestructura de la organización y no “Sobre ella”.
                                                       13
COSO - CARACTERÍSTICAS...



 Es efectuado por personas. No es solamente un conjunto
   de manuales de políticas y procedimientos, sino son
   personas en cada nivel de la organización.

 Es ejecutado por la gente de una organización a través de
   lo que hace y dice. La gente diseña los objetivos de la
   Entidad y establece los mecanismos de control.



                                                        14
COSO - CARACTERÍSTICAS...

 Afecta las acciones del personal, señalándole sus
  responsabilidades y límites de autoridad, así como la
  vinculación entre sus deberes y la forma en que los
  desempeñan.
 La alta dirección es responsable de la existencia de un
  eficiente sistema de control.
 Los Directores tienen la obligación de la vigilancia del
  control además de que proporcionan directrices y
  aprueban ciertas transacciones y políticas.
 Cada individuo dentro de la organización tiene algún rol
  respecto al control interno.
                                                      15
COSO - CARACTERÍSTICAS...


 No existe sistema infalible. Ningún sistema hará por
  siempre lo que se espera que haga.
 No importa lo bien diseñado y operado que sea un
  sistema de control; lo más que puede esperarse es que
  proporcione seguridad razonable.
 El efecto acumulado de controles y su naturaleza
  diversa, reducen el riesgo de que no puedan alcanzarse
  los objetivos.


                                                      16
COSO - CARACTERÍSTICAS...
 Limitaciones del control :

     Errores por falta de capacidad para ejecutar las
       instrucciones

     Errores de juicio en la toma de decisiones.

     Errores por mala interpretación, negligencia,
       distracción o fatiga.

     Inobservancia      gerencial   a   las   políticas   o
       procedimientos prescritos.

     Colusión.

     Costo - beneficio.                                   17
COSO - CARACTERÍSTICAS...


 Características de los objetivos de una organización:


    Operacionales: Relacionados con el uso eficiente y
       eficaz de los recursos.

    Información      financiera:   Relacionados   con    la
       preparación de reportes financieros confiables.

    Cumplimiento: Relacionados con el cumplimiento
       con leyes y reglamentos aplicables.
                                                           18
COSO - MARCO INTEGRADO DE CONTROL




                                    19
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES


 Existe   una      relación
  directa entre objetivos
  que la organización
  busca         y        los
  componentes           que
  representan             lo
  necesario            para
  alcanzar los objetivos

                                              20
COSO - MARCO INTEGRADO DE CONTROL




                                    21
COSO - Relaciones de Componentes y Objetivos



             MONITOREO
           INFORMACION Y
           COMUNICACION
                                     ACTIVIDAD
           ACTIVIDADES DE
              CONTROL
           EVALUACION DE
              RIESGOS
            AMBIENTE DE
             CONTROL


            COMPONENTE




                                             22
COSO - AMBIENTE DE CONTROL
                     Integridad y Valores Eticos
                     Comité de Auditoría
                     Filosofía Admva. y Estilo de
                      Dirección
                     Estructura Organizacional
                     Asignación de Autoridad y
                      Responsabilidad
                     Política de Recursos
                      Humanos
                     Competencia
                                              23
COSO - EVALUACIÓN DE RIESGOS
                 Objetivos Institucionales
                 Objetivos Específicos
                    Operativos
                    Información Financiera
                    Cumplimiento
                 Análisis de Riesgos
                    Organización (Externos /
                      Internos)
                    Actividad
                    Análisis (Trascendencia /
                      Probabilidad / Control)
                 Manejo de Cambios
                  (Reorganizaciones/Políticas /
                  Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL

                    Actividades de control
                     sobre:

                          Las operaciones
                          La información
                           financiera
                          El acatamiento

                    Tipos de Control:

                          Preventivos /
                           Correctivos
                          Manuales /
                           Automatizados
                          Gerenciales        25
COSO - INFORMACIÓN Y COMUNICACIÓN
                    Sistemas de Información :

                          Apoyo Actividades
                           Estratégicas
                          Integración con las
                           Operaciones
                          Calidad


                    Comunicación :

                          Interna / Externa
                          Medios                26
COSO - SUPERVISIÓN Y SEGUIMIENTO
                     Supervisión Concurrente


                     Evaluaciones Independientes
                           Alcance y frecuencia
                           Quiénes evalúan
                           Proceso de evaluación
                           Metodología /
                            documentación
                           Plan de acción


                     Reportes de Deficiencias
                                                    27
COSO - RESPONSABILIDADES SOBRE EL CONTROL

 Consejo de Administración.- Es la instancia
  responsable de establecer guía, supervisión general y
  gobernabilidad a la organización
 Gerencia.- El Director General es el último responsable
  y asume la propiedad del sistema de control
 Auditores Internos.- Evalúa la efectividad del sistema
  de control
 Personal.- es responsable todo el personal dependiendo
  de su nivel y ubicación funcional


                                                       28
COSO - TIPOS DE CONTROL

- Preventivos                      - Detectivos
                                     • Concurrentes (sobre
                                       la marcha)
                                     • Posteriores
- De actividades                   - De resultados
  (repetitivas)                      (actividades creativas)

 - De recursos                     - De operaciones
 - De insumos                      - De procesos - De salidas
 - De acceso                       - De seguridad (resguardo)
 - De investigación y desarrollo
 - De proyectos
                                                                29
MODELO CADBURY


     CP, CIA y Mtro. Fernando Vera Smith
                         Diciembre, 2007
MODELO CADBURY


     • Desarrollado por el llamado Comité Cadbury
       (UK Cadbury Committee).


        Adopta una interpretación amplia del control.

        Mayores especificaciones en la definición de
        su enfoque sobre el sistema de control en su
        conjunto-financiero y de cualquier tipo.




                                                        31
MODELO CADBURY
   • Objetivos orientados a      proporcionar una
     razonable seguridad de:
     a) Efectividad y eficiencia de las operaciones.
     b) Confiabilidad de la información y reportes
     financieros.

     c) Cumplimiento con leyes y reglamentos
   • Los elementos clave de este modelo son en
     esencia similares al modelo COSO, salvo la
     consideración de los sistemas de información
     integrados en los otros componentes y un
     mayor énfasis respecto a riesgos.
   • Limitación en la responsabilidad de los
     reportes de control a la confiabilidad de los
     financieros                                       32
MODELO COCO



   CP, CIA y Mtro. Fernando Vera Smith
                       Diciembre, 2007
MODELO COCO

CONCEPTO DE CONTROL INTERNO

 - Incluye aquellos elementos de una organización
   (recursos, sistemas, procesos, cultura, estructura y
   metas) que tomadas en conjunto apoyan al
   personal en el logro de los objetivos de la
   organización:

     Efectividad y eficiencia de las operaciones.

     Confiabilidad de los reportes internos o externos.

     Cumplimiento con las leyes y reglamentos aplicables,
     así como con las políticas internas.

                                                            34
MODELO COCO
 OBJETIVOS ORGANIZACIONALES (efectividad y
 eficiencia de las operaciones)

   Servicio al cliente

   Salvaguarda y uso eficiente de los recursos

   Obtención de beneficios

   Cumplimiento de obligaciones sociales

   Seguridad de que los riesgos son debidamente
   identificados y administrados

                                                  35
MODELO COCO

 Confiabilidad de los reportes internos y externos

   Mantenimiento de registros contables
   adecuados.

   Confiabilidad de la información utilizada.

   Información publicada para terceros
   interesados.




                                                     36
MODELO COCO



  Cumplimiento con la normatividad y
  políticas internas aplicables

    Aseguramiento de que las actividades de la
    organización se conducen en total concordancia
    con el marco legal y con las políticas internas.




                                                       37
MODELO COCO

  Naturaleza del control

  • El control debe ser realizado por el personal de toda la
    organización, quien será responsable del diseño,
    establecimiento, supervisión y mantenimiento del
    control.

  • El personal responsable de lograr determinados
    objetivos también deberá evaluar la efectividad del
    control dentro de su esfera de competencia y de
    reportar tal evaluación ante quien él es responsable.




                                                           38
MODELO COCO


 Naturaleza del control



     El costo del control deberá ser proporcional a los
     beneficios esperados.
     El control requiere de un equilibrio entre
     autonomía e integración y entre consistencia y
     adaptación al cambio.




                                                          39
MODELO COCO
 Ciclo del entendimiento básico
    Propósito
    Compromiso
    Aptitud
    Acción
    Evaluación (Auto) y Aprendizaje
 Criterios de control
 • Los criterios de control son la base para entender el
   control de una organización.
 • Están planteados como metas a cumplir
    permanentemente.

                                                           40
MODELO COCO
 A.- PROPÓSITO Sentido de Dirección a la
     Organización
     A1.- Los objetivos deben ser establecidos y
          comunicados.

     A2.- Los riesgos internos y externos significativos
          deben ser identificados y evaluados.

     A3.- Las políticas para apoyar el logro de los
          objetivos de una organización y el manejo de
          sus riesgos, deben ser establecidas,
          comunicadas y practicadas, de manera que el
          personal entienda lo que de él se espera.


                                                           41
MODELO COCO
  A.- PROPÓSITO

    A4.-   Deben establecerse y comunicarse
           planes para guiar los esfuerzos para
           lograr los objetivos de la organización.
    A5.-   Los objetivos y los planes relativos
           deben incluir metas, parámetros e
           indicadores de medición del
           desempeño.




                                                      42
MODELO COCO
 B.- COMPROMISO: Sentido de identidad y valores
     de la organización.

    B1.   Deben establecerse, comunicarse y ponerse
          en práctica valores éticos compartidos,
          incluyendo la integridad.

    B2. Las políticas y prácticas sobre recursos
        humanos deben ser consistentes con los
        valores éticos de la organización y con el
        logro de sus objetivos.




                                                      43
MODELO COCO

B.- COMPROMISO
   B3.    La autoridad, la responsabilidad y la
         obligación de rendir cuentas deben ser
         claramente definidas y consistentes con los
         objetivos de la organización, de tal forma se
         tomen las decisiones y acciones por el
         personal apropiado.

   B4. Debe fomentarse una atmósfera de mutua
       confianza para apoyar el flujo de la
       información entre el personal y para su
       efectivo desempeño hacia el logro de los
       objetivos.


                                                         44
MODELO COCO
 C. APTITUD: sentido de competencia o aptitud
    de la organización
   C1. El personal debe tener los conocimientos,
       habilidades y herramientas para alcanzar los
       objetivos de la organización.

   C2. El proceso de comunicación debe apoyar los
       valores de la organización y el logro de sus
       objetivos.

   C3. Debe ser identificada y comunicada información
       suficiente y relevante de manera oportuna, para
       posibilitar al personal a desempeñar las
       responsabiIidades asignadas.


                                                     45
MODELO COCO

 C. APTITUD


   C4. Deben coordinarse las decisiones y acciones de
       las diferentes partes de la organización.

   C5. Las actividades de control deben diseñarse como
       parte integral de la organización, tomando en
       consideración sus objetivos, los riesgos para su
       cumplimiento y la interrelación de los elementos
       de control.




                                                      46
MODELO COCO

- Evaluación y aprendizaje. Sentido de evolución
  de la organización:
   D1.-    El ambiente externo e interno debe ser
          “monitoreado” para obtener información que
          pueda señalar la necesidad de revaluar los
          objetivos de la organización o el control.

   D2.- El desempeño debe ser evaluado o medido contra
        las metas e indicadores en los planes u objetivos
        de la organización.

   D3.- Las premisas consideradas para los objetivos de la
        organización deben cuestionarse periódicamente.


                                                         47
MODELO COCO

  - Evaluación y Aprendizaje

    D4.- Las necesidades de información y los sistemas
    de información relativos deben reevaluarse en la
    medida que cambian los objetivos o al identificarse
    deficiencias en la información reportada.

    D5.- Debe establecerse y ejecutarse un seguimiento
    de los procedimientos, para asegurar que se den los
    cambios requeridos.




                                                      48
COBIT



 CP, CIA y Mtro. Fernando Vera Smith
                     Diciembre, 2007
                                  49
Cobit - Definición
                     Control
                     OBjectives
                   for Information
         and Related Technology
(Objetivos de Control para Tecnología de
 Información y Tecnologías relacionadas)

Fuente: Control Objectives for Information and Related
  Technology (CObIT) y presentación de Fernando
  Izquierdo Duarte 2002
                                                         50
Cobit - Definición


¿Qué es?

  Es un marco de control interno de TI.

  Parte de la premisa de que la TI
  requiere proporcionar información
  para lograr los objetivos de la
  organización.

  Promueve el enfoque y la propiedad
  de los procesos.
                                          51
Cobit - Definición
Apoya a la organización al proveer un marco que
asegura que:

La Tecnología de Información (TI) esté alineada con la
misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

                                                         52
Cobit - Usuarios
Gerencia: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.


Usuarios Finales: Garantizar seguridad y
control de los productos que adquieren
interna y externamente

                                           53
Cobit - Usuarios
Auditores : Apoyar sus opiniones sobre
los controles de los proyectos de TI , su
impacto en la organización y el control
mínimo requerido.

Responsables de TI: Identificar los
controles que requieren.


                                            54
Cobit - Principios

           REQUERIMIENTOS
           DE INFORMACIÓN
             DEL NEGOCIO


PROCESOS
  DE TI

               RECURSOS
                 DE TI

                            55
Cobit - Estructura


  EVENTOS                         INFORMACIÓN

 Objetivos de         Datos         Efectividad
   negocio                           Eficiencia
                  Aplicaciones
Oportunidades                     Confidencialidad
                   Tecnología
  de negocio                         Integridad
                  Instalaciones    Disponibilidad
Requerimientos   Recurso Humano
   externos                        Cumplimiento
  Regulación                       Confiabilidad
   Riesgos
                                                56
Cobit - Estructura
Lo que usted
                       Procesos del          Lo que Usted
   Obtiene               Negocio               Necesita

                                           Criterios
                                           Efectividad
        Información                         Eficiencia
                                         Confidencialidad
                                            Integridad
                                          Disponibilidad
                                          Cumplimiento
                      Recursos de TI      Confiabilidad

                            Datos
                         Aplicaciones
                          Tecnología    Concuerdan
                        Instalaciones
                       Recurso Humano
                                                            57
Cobit - Estructura
                              Criterios de la Información (7)
CUBO de CobiT
Relación entre los
componentes




                           Dominios
       Procesos TI




                           Procesos

                          Actividades

                                                                58
59
Objetivos del
                   Negocio



                    CobiT



                 Requerimientos     Planeación y
                 de Información        Organización

Seguimiento


                 Recursos de TI     Adquisición e
                                      Implantación
              Servicios y Soporte

                                                      60
Cobit - Requerimientos
 de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
           y conocidos, como COSO, SAC y SAS

Requerimientos        Calidad.
  de Calidad          Costo.
                      Oportunidad.

Requerimientos        Efectividad y eficiencia operacional.
 Financieros          Confiabilidad de los reportes financieros.
   (COSO)             Cumplimiento de leyes y regulaciones.

Requerimientos        Confidencialidad.
 de Seguridad         Integridad.
                      Disponibilidad.
                                                                   61
Cobit - Requerimientos de la
     Información del Negocio

Efectividad: Información relevante y pertinente,
proporcionada en forma oportuna, correcta, consistente y
utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Información exacta y completa, así como válida
de acuerdo con las expectativas de la organización.




                                                           62
Cobit - Requerimientos de la
    Información del Negocio

Disponibilidad: accesibilidad a la
información y la salvaguarda de los
recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y
compromisos contractuales.
Confiabilidad: Apropiada para la toma de
decisiones adecuadas y el cumplimiento
normativo.

                                           63
Recursos de TI
Datos: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Recursos necesarios para alojar y dar soporte a
los sistemas.
Recurso Humano :Habilidad, actitud y productividad del
personal.


                                                           64
Procesos de TI
              - Los Tres Niveles
                       Agrupación natural de procesos,
                   4
Dominios               normalmente corresponden a un
                       dominio o una responsabilidad
                       organizacional
Procesos
                       Conjuntos o series de actividades
                  34   unidas con delimitación o cortes de
                       control.

Actividades
                       Acciones requeridas para lograr un
o tareas         318   resultado medible. Las Actividades
                       Tienen un ciclo de vida mientras
                       que las tareas son discretas.

                                                         65
COBIT – DOMINIOS: 4



Planeación y Organización
Adquisición e Implantación
Prestación de Servicios y Soporte
Seguimiento



                                    66
COBIT – DOMINIOS - PROCESOS

 Planeación y   Definición de un plan estratégico
 Organización   Definición de la arquitectura de información
                Determinación de la dirección tecnológica
                Definición de organización y relaciones
                Administración de la inversión
                Comunicación de las políticas
                Administración de los recursos humanos
                Asegurar el cumplimiento con los requerimientos
                Externos
                Evaluación de riesgos
                Administración de proyectos
                Administración de la calidad


Adquisición e   Identificación de soluciones automatizadas
Implantación    Adquisición y mantenimiento del software aplicativo
                Adquisición y mantenimiento de la infraestructura
                tecnológica
                 Desarrollo y mantenimiento de procedimientos
                Instalación y aceptación de los sistemas
                Administración de los cambios                         67
COBIT – DOMINIOS - PROCESOS
 Servicios y    Definición de los niveles de servicios
  Soporte      Administración de los servicios de terceros
               Administración de la capacidad y rendimientos
               Aseguramiento del servicio continuo
               Aseguramiento de la seguridad de los sistemas
               Entrenamiento a los usuarios
               Identificación y asignación de los costos
               Asistencia y soporte a los clientes
               Administración de la configuración
               Administración de los problemas
               Administración de los datos
               Administración de las instalaciones
               Administración de la operación
Seguimiento
               Seguimiento de los procesos
               Evaluación del control Interno
               Contratación de un aseguramiento independiente

                                                                68
COBIT COMO PRODUCTO

Resumen Ejecutivo
Marco de Referencia (Framework)
Objetivos de Control
Guías de Auditoría
Guías de Administración
Herramientas de Implementación
CD-ROM
2a Edición disponible en español

                                   69
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO


                       CobiT 1996/1998

            Definición de                  Definición de Objetivos
           Control Interno                    de Control de T I

  COSO 1992
                                             SAC 1991/1994
 Contribuciones
                         Conceptos de
 al concepto de          Control Interno               Conceptos de
 Control Interno                                       Control Interno


 SAS 78 - 1995               enmienda
                                             SAS 55 - 1988
                                                                     70
Comparación de Conceptos de Control
                                           COBIT                                 SAC                             COSO                           SASs 55/78
Dirigido a:                 Administración, Usuarios, Auditores deAuditores Internos               Administración                    Auditores Externos
                            Sistemas Responsables de TI
El Control Interno es Visto Conjunto de procesos incluyendo          Conjunto de procesos,         Procesos                          Procesos
como                        políticas, procedimientos, prácticas y   subsistemas y personas
                            estructura Organizacional
Los Objetivos               Efectividad y Eficiencia de las          Efectividad y Eficiencia de   Efectividad y Eficiencia de las   Efectividad y Eficiencia de las
Organizacionales de         operaciones                              las operaciones               operaciones                       operaciones
Control Interno
                            Confidencialidad, Integridad y           Confiabilidad en los reportes Confiabilidad en los reportes     Confiabilidad en los reportes
                            disponibilidad de la información         financieros                   financieros                       financieros
                            Confiabilidad en los reportes            Cumplimiento con leyes y      Cumplimiento con leyes y          Cumplimiento con leyes y
                            financieros                              normas                        normas                            normas
                            Cumplimiento con leyes y normas
Componentes o Dominios      Dominios:                                Componentes:                  Componentes:                      Componentes:
                            Planeación y Organización                Ambiente de Control           Ambiente de Control               Ambiente de Control
                            Adquisición e implantación               Sistemas Manuales y           Evaluación de Riesgo              Evaluación de Riesgo
                                                                     Automatizados.
                            Servicio y Soporte                                                     Actividades de Control            Actividades de Control
                                                                     Procedimientos de Control
                            Seguimiento                                                            Información y Comunicación        Información y Comunicación
                                                                                                   Seguimiento                       Seguimiento
Enfocado a                  Tecnología de Información                Tecnología de Información     Toda la Organización              Estados Financieros
Evaluación de la           Por un periodo de tiempo                  Por un periodo de tiempo      En un punto en el tiempo          Por un periodo de tiempo
Efectividad del Control I.
Responsable por el Control Administración                            Administración                Administración                    Administración
Interno
Tamaño                      187 páginas en 4 volúmenes               1193 páginas en 12 módulos 353 páginas en 4 volúmenes           63 páginas en 2 documentos




                                                                                                                                                              71
GUÍA TURNBULL




      CP, CIA y Mtro. Fernando Vera Smith
                          Diciembre, 2007
                                      72
¿ QUÉ ES LA GUÍA
   TURNBULL?

  Es la adopción de un enfoque
     basado en riesgos para
establecer un sistema de control
 interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORÍA INTERNA
                          Aseguramiento de
                     la adecuación y efectividad
                  de la Administración de Riesgos
                       y del sistema de control




    Promoción de la                            Apoyo para mejorar
  Concientización de                              el proceso de
  riesgos y controles                            Identificación y
  y los programas de                            Administración de
     autoevaluación                                  riesgos




                                                                    74
Mayor
       Desplazamiento        probabilidad         Mayor
       oportuno a otras       de lograr      cobertura a largo
      áreas de negocios       objetivos            plazo




Disminución de                                           Mayor
   sorpresas                 BENEFICIOS              probabilidad de
desagradables               POTENCIALES              lograr cambios



   Reducción de
    tiempo para                                         Ventajas
   emergencias                                        competitivas




          Mejores bases                      Enfoque interno
          para establecer   Menores costos    en hacer bien
            estrategias       de capital        las cosas
IMPLANTACIÓN DEL TURNBULL
                                                                Identificación de
  Implantación de
                                                                factores críticos
    acciones de               Identificación de cambios             de éxito
      mejora                     Internos y externos
                                 y reconsideración y
                               negociación de objetivos         Identificación y
 Revisión de riesgos                                            priorización de
 y controles anuales                                                 riesgos


                                                                Determinación de
 Informes sucintos          ENFOQUE AL LOGRO DE               riesgos significativos
                            OBJETIVOS A TRAVÉS DE
                          UNA MEJOR ADMINISTRACIÓN
    Fuentes de                                                   Negociación de
                                 DE RIESGOS
   aseguramiento                                             estrategias de control y
                                                            administración de riesgos

Monitoreo de aspectos
  significativos de                                            Negociación sobre
   control interno                                            rendición de cuentas
                              Cambios en comportamiento
                                y enfoque en las bases
  Mecanismos de               de una buena administración
                                                                Concientización
advertencia oportunos             de riesgos y control
                                                                 de los riesgos
                                                                                76
                                                                     críticos
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS

Enfocarse en riesgos         Asegurar que los objetivos
                                                           Evitar duplicidades
críticos y sus controles          se jerarquicen




                                                                  Asignar
      Reorientar el                                         responsabilidades
     entrenamiento           MANTENERSE SIMPLE
                                                          en la administración de
hacia los riesgos críticos     Y PROSPECTIVO                      riesgos




  Elaborar un plan                                        Mantener los informes
                                  Evitar expedientes
     apropiado y                                          al Consejo sucintos y
                                     voluminosos
 monitorear su avance                                           sencillos
                                                                                 77
PASOS SUGERIDOS

                                          Enfoque a la mejora de negocios

                                Implantación de mecanismos apropiados para
                                           la información de avance
                               Involucramiento de los distintos niveles de la
                                              organización

                 Implantación del plan de desarrollo y de la política de administració
                                             de riesgos

                      Reconsideración y afinación del plan por el Consejo

                 Consideración del plan por el Consejo de Administración

                  Aceptación del plan por parte de los directores


Asignación de responsabilidades para elaborar el plan individual o de equipos
                                                                            78
RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
                       (EN INGLATERRA)


  TIPOS DE RIESGO                                    PROMEDIO


 Fracaso en la
                                                         7.05
 administración de
 proyectos mayores
Fracaso de estrategias                                   6.67


Fracaso en innovación                                    6.32


Mala reputación                                          6.30
/administración - marca

Motivación y bajo desempeño                              6.00
del personal

  1= riesgo mínimo, 9 = crítico     Fuente: Deloitte & Touche, 1990
                                                                 79
Sencillez
  Enfasis en el cambio
   de comportamiento                             Conciencia
                                                  del riesgo




                            ADECUADA
                         ADMINISTRACIÓN DE                Asesoría a
Información
  confiable                  RIESGOS Y               todos los niveles de
                             CONTROL                     la compañía




                                                    Controles básicos



                                                 Aplicación
    Mecanismos de                                 continua
 advertencia oportunos     Concientización           de
   y respuesta rápida       de los objetivos   Estrategias de
                           organizacionales        control
PELIGROS POTENCIALES

                           Enfoque
                         Insuficiente
                             en
           Falta de       Admón de      Inapropiada
         Mecanismos        Riesgos      Orientación
        de Advertencia                   de riesgos


                                                Incapacidad
  Demasiados
                                                para obtener
    Riesgos
                                                 aceptación
 identificados         Peligros                  del gerente
                      Potenciales

                                               Sobrecarga
   Abandonarlo
                                               del comité
    Demasiado
                                                    de
      tarde
                                                Auditoría
                                   Ignorar
                 Incremento
                                  Controles
                     de
                                 Financieros
                 Burocracia
                                   básicos




                                                               81
AUTOEVALUACIÓN DEL
     CONTROL



       CP, CIA y Mtro Fernando Vera Smith
                           Diciembre 2007
                                            82
AEC - DEFINICIÓN


Proceso documentado en el que :

  La administración o el equipo de trabajo se involucra
   directamente en una función.

  Se juzga la efectividad del proceso de control vigente.

  Se define si se asegura razonablemente el lograr alguno
   o todos los objetivos.

El objetivo es proporcionar seguridad razonable de que se
alcanzarán los objetivos de la organización.



                                                            83
AEC - OTROS NOMBRES
   AEC - DEFINICIÓN



• Autoevaluación de riesgo-     • Autoevaluación de proceso.
  control.

                                • Autoevaluación de riesgos.
• Evaluación dinámica del
  control.
                                • Autoevaluación de riesgos de
                                  la organización.
• Co-evaluación del control.


• Autoevaluación
  organizacional.




                                                               84
AEC - ENTRENAMIENTO


• Para desarrollar la AEC se requiere capacitación:


     . En metodología.
     . En modelos de control
     . En evaluación de riesgos
     . En talleres de autoevaluación de control
     . En redacción.
     . En tecnología.




                                                      85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
                                                                                2/2


         BENEFICIOS AL PROCESO OPERATIVO

  Mejora del control y sus riesgos,

                                  Delegación de
                                   Facultades

               Desarrollo de la
               Responsabilidad                     AEC



                  Instrumentación           Diseño de Mejores
                     del Control                Controles


 Eficienciade Procesos - Satisfacción del cliente - Mejora
  de la calidad - Examen de los procesos
  organizacionales en general
                                                                           86
                                                  CPC y CIA JUAN MANUEL PORTAL M.
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN

   • ADMINISTRACIÓN
           •   PARTICIPANTES
                • AUDITORÍA INTERNA
 - Mejora de la moral del personal.
 - Eliminación de atmósferas de desconfianza.
 - Generación de ideas y planes de acción
   implantados más allá del alcance original.
 - Facilidad de implantación de acciones de
   mejora.
 - Promoción de la unidad organizacional
   mediante la identificación y solución de
   problemas.
 - REALZA EL PAPEL DE AUDITORÍA INTERNA.        87
AEC - FASES DE LA AUTOEVALUACIÓN


                    Involucramiento
                       de la alta
                       Gerencia




Monitoreo y
Reporte de                                  Planeación
Resultados




      Conducción                      Capacitación
     de Reuniones


                                                         88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA


Adopción de la AEC


• Conocimiento   de   la   AEC   en   los   niveles
  adecuados
• Entendimiento de la complejidad,          costos,
  beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la
  alta gerencia en la AEC


                                                  89
AEC – INVOLUCRAMIENTO DE…….

 Requisitos de la Organización

- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al
  control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la       complejidad      de   la
  implantación de la AEC.




                                                        90
AEC – INVOLUCRAMIENTO DE…….
 Requisitos del Facilitador

 - Ser innovador y desear tomar riesgos
 - Saber escuchar, comunicarse y aprender de la
   gente
 - Saber qué       alcanzar   y   qué   herramientas   se
   necesitan
 - Conocer    la     organización,      su   entorno    y
   normatividad
 - Entender la cultura organizacional


                                                        91
AEC - INVOLUCRAMIENTO DE ………..
Responsabilidades del Facilitador
- Asegurarse que la administración sabe que es
  responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.

                                                      92
AEC – INVOLUCRAMIENTO DE…….

Responsabilidades del Facilitador
Preparación del taller:


  Entrevistar a la Gerencia y al personal operativo
  Evaluar la estructura organizacional
  Aprender sobre la organización
  Seleccionar los objetivos de la organización
  Seleccionar los participantes al TAC
  Preparar la logística de la reunión
  Enviar información previa a la reunión.

                                                      93
AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
  Preparación del taller:


  - Facilitar la identificación del proceso y
    obstáculos
  - Vigilar la logística
  - Obtener acciones de mejora del TAC


    AGREGAR VALOR A LA ORGANIZACIÓN

                                                94
AEC – INVOLUCRAMIENTO DE…….
Estrategias

  1. Limitar el alcance a asuntos de alta prioridad
  2. Emplear grupos de trabajo interdisciplinarios y
     con personal comprometido
  3. Proporcionar     tiempo     suficiente   para    la
     preparación del taller.
  4. Definir los objetivos del Taller de Autoevaluación
     del Control (TAC)
  5. Emitir pronunciamientos y criterios al inicio del
     proceso
                                                       95
AEC – INVOLUCRAMIENTO DE …….
   Estrategias
 6. Mantener visible el apoyo de la alta gerencia
 7. Vender el concepto constantemente
 8. Proporcionar      retroalimentación      a      los
    participantes sobre los resultados
 9. Implantar la AEC mediante prueba piloto, lo
    mismo que las acciones de mejora




                                                          96
AEC - P L A N E A C I Ó N

1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
   mixta.
4. Seleccionar los participantes del TAC
5. Elaborar  el    programa        de    actividades   con
   responsables y tiempos
6. Planear reportes de avance y conclusión



                                                            97
AEC- C A P A C I T A C I O N


Capacitar en Control y Autocontrol:


   • Modelos de Control (COSO, COCO...)
   • Evaluación de riesgos
   • Autoevaluación en control y su metodología
   • Herramientas y tecnología especializada para
     su uso en el taller




                                                    98
AEC - CONDUCCIÓN DE REUNIONES

1. Preparar la logística de las reuniones
2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
•   Definición del producto final
•   Metodología del taller
•   Herramientas a utilizar
•   Método de registro y votación
•   Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
   expectativas.
                                                 99
•
AEC - CONDUCCIÓN DE REUNIONES


5. Presentar la agenda de la reunión

6. Conducir la reunión

7. Estructurar e inventariar el resultado de las
   evaluaciones

8. Levantar minuta de los acuerdos




                                                   100
AEC - CONDUCCIÓN DE REUNIONES
     REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche

No interrumpa

Establezca un proceso de voto

Asegúrese que todos apoyen las reglas

Todos deben ser facilitadores en algún momento

Las ideas de otros fortalecen la decisión del grupo

Logre consenso

                                                      101
AEC – CONDUCCIÓN DE REUNIONES

DESARROLLO DE PLANES DE ACCIÓN
- Definición y evaluación de objetivos, riesgos y
  controles.

- Determinación de acciones de mejora.

- Definición y realización de las acciones, tiempos,
  responsables y recursos para la implantación de
  las mejoras.

- Establecimiento de puntos de control para la
  evaluación de los avances y la comunicación de
  las desviaciones                                     102
AEC - MONITOREO Y REPORTE DE
              RESULTADOS

- Establecer sistema de seguimiento y evaluación de
  los planes de acción
- Implantar acciones correctivas y formular nuevos
  planes
- Establecer y formular reportes de avance de los
  trabajos del taller
- Evaluar los costos y beneficios de las mejoras
  implantadas
- Impulsar la mejora continua


                                                  103
AEC - PROBLEMÁTICA

- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos   de    honorarios    de    profesionales,
  entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna


                                                      104
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción

• Impedimentos derivados de la técnica.
 - Represalias por comentarios hechos en la sesión de la
   AEC.
 - Acción subsecuente con información confidencial.



• Salvaguarda.
 - Garantía de no represalias.
 - Garantía sobre la confidencialidad.
 - Tecnología de voto electrónico.


                                                           105
AEC – PROBLEMÁTICA
Obstáculos Para Su Adopción
• Impedimentos derivados de la resistencia.
  - Inflexibilidad de quienes llevan a cabo la AEC
  - La AEC trae cambios que a la gente no le gustan.
  - El compromiso de tiempo puede ser visto como
    agobiante

• Salvaguardas.
 - Selección de personal adecuado.
 - Soporte y compromiso de alto nivel para la AEC
 - Enfoque en los beneficios a alcanzar.

                                                       106
AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN
  • Amenazas derivadas de la cultura.

    - La cultura no valora la innovación y la colaboración.

    - Organizaciones en medio de una reducción de personal.


  • Salvaguardas.

    - Evitar utilizar la AEC en estas situaciones.



                                                              107
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
   • Amenazas derivadas de la adecuación.
     - El desarrollo de la AEC no es adecuado en caso
       de:
       + Fraude.
       + Litigio.
       + Paticipantes con objetivos opuestos.
       + Funciones con únicamente una o dos
       personas.
       + Terceros vendedores o proveedores de
       servicios.
    • Salvaguardas.
      - Evitar utilizar la AEC en estas situaciones.

                                                        108
AEC – PROBLEMÁTICA

OBSTÁCULOS PARA SU ADOPCIÓN
• Amenazas derivadas de la cultura.

  -   La cultura no valora la innovación y la
      colaboración.

  - Organizaciones en medio de una reducción
      de personal.

• Salvaguardas.

  - Evitar utilizar la AEC con estas situaciones.

                                                    109
ÉXITO PARA SU IMPLANTACIÓN



I.     Factores críticos de éxito

II.    Pasos     para     acelerar   su
       implantación

III.   Recomendaciones        para   su
       implantación


                                          110
I. FACTORES CRÍTICOS DE ÉXITO


1)   Determinación de objetivos claros

2)   Patrocinio de la alta gerencia

3)   Apoyo de la gerencia

4)   Entendimiento de por qué participa cada uno en la
     sesión de Autoevaluación

5)   Señalamiento de expectativas



                                                   111
I. FACTORES CRÍTICOS DE ÉXITO


6)    Cultura que apoya la AEC
7)    Actitud gerencial orientada al facultamiento y el
      control
8)    Beneficios tangibles
9)    Definición del producto final
10)   Entorno libre de riesgos (no represalias)



                                                    112
II. PASOS PARA ACELERAR SU IMPLANTACIÓN

1)   Reconocer la complejidad de su implantación
2)   Conducir sesiones piloto
3)   Ser realistas acerca de la cobertura de
     auditoría
4)   Dar los pronunciamientos y criterios al inicio
     del proceso
5)   Permitir suficiente tiempo para su preparación
6)   Limitar el alcance a los temas de alta prioridad
                                                   113
III. RECOMENDACIONES PARA SU
                  IMPLANTACIÓN

1)   Conocer cuál es el propósito            y   qué
     herramientas se necesitan
2)   Entender la cultura organizacional
3)   Ser innovador y dispuesto a tomar riesgos
4)   Particularizar el marco estructurado de control
5)   Agregar valor a la organización
6)   Comentar con los demás y aprender de ellos
7)   Rotar facilitadores que procedan de otras
     áreas
                                                 114
III. RECOMENDACIONES PARA SU
                   IMPLANTACIÓN

8)    Emplear grupos de trabajo interdisciplinarios
9)    Mantener el proceso sencillo
10)   Reconocer que las habilidades de facilitación
      son tan importantes como las pruebas de
      cumplimiento o las habilidades tradicionales
      de auditoría
11)   Mantener visible el apoyo de la gerencia
12)   Vender el concepto cada día

                                                  115
AEC - ERRORES EN SU IMPLANTACIÓN


1) Fallar en explicar el por qué de la AEC.

2) Pilotear la AEC en un área problema.

3) Escoger los objetivos equivocados.

4) Sobre-analizar la situación.




                                              116
AEC - POR QUÉ FUNCIONA

• Los empleados sienten que tienen un propósito, que sus
  contribuciones son valiosas y que están involucrados en
  la toma de decisiones.

• Se incrementa la conciencia entre objetivos, riesgos y
  controles.

• Los equipos (grupos de AEC) funcionan mejor que los
  individuos.
• La AEC promueve un entendimiento común de objetivos
  y metas.

• Los talleres de AEC eliminan las barreras de
  comunicación.


                                                            117

Más contenido relacionado

Was ist angesagt?

La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases600582
 
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...miguelserrano5851127
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacciónYeilan Ivette González Odio
 
Programas de auditoria
Programas de auditoriaProgramas de auditoria
Programas de auditoriayemixxx
 
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributos
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributosejemplos-sobre-hallazgos-de-auditoria-empleando-losatributos
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributosjose lius ccasa huallpa
 
Normas de Auditoria Generalmente Aceptadas (NAGA)
Normas de Auditoria Generalmente Aceptadas (NAGA)Normas de Auditoria Generalmente Aceptadas (NAGA)
Normas de Auditoria Generalmente Aceptadas (NAGA)Karen Nabit Lorenzo Pérez
 
14 Papeles de trabajo
14 Papeles de trabajo14 Papeles de trabajo
14 Papeles de trabajoauditoria1uvq
 
Informes de auditoría y opiniones
Informes de auditoría y opinionesInformes de auditoría y opiniones
Informes de auditoría y opinionesMarlon Cevallos
 
Auditoria administrativa i
Auditoria administrativa iAuditoria administrativa i
Auditoria administrativa iAlexander Ovalle
 

Was ist angesagt? (20)

La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases
 
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...
CURSO AUDITORÍA DE CUMPLIMIENTO - FASE DE PLANIFICACIÓN 07.DIC.2014 Dr. MIGUE...
 
COSO Y COSO ERM
COSO Y COSO ERMCOSO Y COSO ERM
COSO Y COSO ERM
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción
 
Riesgo de auditoria
Riesgo de auditoriaRiesgo de auditoria
Riesgo de auditoria
 
Programas de auditoria
Programas de auditoriaProgramas de auditoria
Programas de auditoria
 
Linea de tiempo sobre la Auditoria
Linea de tiempo sobre la AuditoriaLinea de tiempo sobre la Auditoria
Linea de tiempo sobre la Auditoria
 
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributos
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributosejemplos-sobre-hallazgos-de-auditoria-empleando-losatributos
ejemplos-sobre-hallazgos-de-auditoria-empleando-losatributos
 
Normas de Auditoria Generalmente Aceptadas (NAGA)
Normas de Auditoria Generalmente Aceptadas (NAGA)Normas de Auditoria Generalmente Aceptadas (NAGA)
Normas de Auditoria Generalmente Aceptadas (NAGA)
 
Nia 210
Nia 210Nia 210
Nia 210
 
Nia 315
Nia 315Nia 315
Nia 315
 
Presentacion coso
Presentacion cosoPresentacion coso
Presentacion coso
 
Conclusiones
ConclusionesConclusiones
Conclusiones
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
14 Papeles de trabajo
14 Papeles de trabajo14 Papeles de trabajo
14 Papeles de trabajo
 
GUÍA DE TÉCNICAS DE AUDITORÍA
GUÍA DE TÉCNICAS DE AUDITORÍAGUÍA DE TÉCNICAS DE AUDITORÍA
GUÍA DE TÉCNICAS DE AUDITORÍA
 
INDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIAINDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIA
 
Informes de auditoría y opiniones
Informes de auditoría y opinionesInformes de auditoría y opiniones
Informes de auditoría y opiniones
 
Auditoria administrativa i
Auditoria administrativa iAuditoria administrativa i
Auditoria administrativa i
 
Nia 260 diapo
Nia 260 diapoNia 260 diapo
Nia 260 diapo
 

Andere mochten auch

Andere mochten auch (16)

Modelos de control
Modelos de controlModelos de control
Modelos de control
 
Modelo turnbull
Modelo turnbullModelo turnbull
Modelo turnbull
 
Analisis informes-coso-coco
Analisis informes-coso-cocoAnalisis informes-coso-coco
Analisis informes-coso-coco
 
Evaluación del sistema de control interno
Evaluación del sistema de control internoEvaluación del sistema de control interno
Evaluación del sistema de control interno
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
Guía turnbull
Guía turnbullGuía turnbull
Guía turnbull
 
Sistema de control interno coco
Sistema de control interno cocoSistema de control interno coco
Sistema de control interno coco
 
Sistema de control COCO
Sistema de control COCOSistema de control COCO
Sistema de control COCO
 
INFORME COCO
INFORME COCOINFORME COCO
INFORME COCO
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
 
Control interno coso
Control interno cosoControl interno coso
Control interno coso
 
El cadbury
El cadburyEl cadbury
El cadbury
 
Control interno basado en informe COSO
Control interno basado en informe COSOControl interno basado en informe COSO
Control interno basado en informe COSO
 
Sistemas de control y caracteristicas
Sistemas de control y caracteristicasSistemas de control y caracteristicas
Sistemas de control y caracteristicas
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe Coso
 
Fases de la Auditoría
Fases de la AuditoríaFases de la Auditoría
Fases de la Auditoría
 

Ähnlich wie 1 modelos de control

1 modelos de control (1)
1 modelos de control (1)1 modelos de control (1)
1 modelos de control (1)acarolinareyes
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de controlMOMONFUMA
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicionmoratorres
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicionmoratorres
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicionDaNii Z
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicionDaNii Z
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicionDaNii Z
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirJesus Alvarez
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso EsOmar Hernandez
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-esjavieralejandrobarro
 
Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)seveman
 
analisis y evaluacion de ctrl int. (coso)[1]
 analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]LauraMedina56
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Genny Paola Rojas
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-eseboadaspsm
 

Ähnlich wie 1 modelos de control (20)

1 modelos de control (1)
1 modelos de control (1)1 modelos de control (1)
1 modelos de control (1)
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de control
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicion
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicion
 
El Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera GubernamentalEl Sistema de Control Interno en la Administración Financiera Gubernamental
El Sistema de Control Interno en la Administración Financiera Gubernamental
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicion
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicion
 
Auditoria exposicion
Auditoria exposicionAuditoria exposicion
Auditoria exposicion
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimir
 
Ejemplo
EjemploEjemplo
Ejemplo
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso Es
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de control
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 
COSO.pptx
COSO.pptxCOSO.pptx
COSO.pptx
 
Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)
 
analisis y evaluacion de ctrl int. (coso)[1]
 analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)
 
Control
ControlControl
Control
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 

1 modelos de control

  • 1. MODELOS DE CONTROL CP, CIA y Mtro Fernando Vera Smith Diciembre 2007
  • 2. MODELOS DE CONTROL CONTENIDO PANORÁMICA DE MODELOS DE CONTROL COSO CADBURY COCO COBIT TURNBULL AEC 2
  • 3. PANORÁMICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control según Philip L. Campbell ( An Introduction to Information Control Models): Objetivos de Control Principios Madurez de la Capacidad 3
  • 4. PANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”: Control: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán. Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información 4
  • 5. PANORÁMICA DE MODELOS DE CONTROL Comunidad de Principios Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética. Comunidad de Madurez de la Capacidad Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- CMM). La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en el producto. 5
  • 6. DIAGRAMA DE INFLUENCIA FUENTE: An Introduction to Information Control Models, Philip L. Campbell 6
  • 7. COMUNIDADES DE MODELOS FUENTE: An Introduction to Information Control Models, Philip L. Campbell 7
  • 8. SIGNIFICADO DE SIGLAS UTILIZADAS OECD Organization for Economic Cooperation and Development GAPP Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST) BS 7799 British Standard Institute SAC Security Auditability and Control. The Inst. of Internal Audit. COSO Internal Control Integrated Framework. Committee of Sponsoring Organizations SSE CMM Systems Security Engineering Capability Maturity Model National Security Agency (NSA) Defense- Canada. CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants. ITCG Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA) GASSP Generaly Accepted System Security Principles. International Information Security Foundation (IISF) Cobit Control Objectives for Information and Related Technologies FISCAM Federal Information Systems Controls Audit Manual. GAO SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability SSAG System Self-Assessment Guide for Information Technology Systems. NIST 8
  • 9. CONTROL SEGÚN COSO CP, CIA y Mtro Fernando Vera Smith Diciembre 2007 9
  • 10. COSO - ANTECEDENTES Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995. 10
  • 11. COSO - CONTROL Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas. 11
  • 12. COSO - CONCEPTO DE CONTROL INTERNO Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:  Efectividad y eficiencia de las operaciones  Confiabilidad de la información financiera  Cumplimiento con las leyes, reglamentos, normas y políticas. 12
  • 13. COSO - CARACTERÍSTICAS  Medio para alcanzar un fin, no un fin en si mismo.  No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización.  Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos.  Los controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”. 13
  • 14. COSO - CARACTERÍSTICAS...  Es efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino son personas en cada nivel de la organización.  Es ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control. 14
  • 15. COSO - CARACTERÍSTICAS...  Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan.  La alta dirección es responsable de la existencia de un eficiente sistema de control.  Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y aprueban ciertas transacciones y políticas.  Cada individuo dentro de la organización tiene algún rol respecto al control interno. 15
  • 16. COSO - CARACTERÍSTICAS...  No existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga.  No importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es que proporcione seguridad razonable.  El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos. 16
  • 17. COSO - CARACTERÍSTICAS...  Limitaciones del control :  Errores por falta de capacidad para ejecutar las instrucciones  Errores de juicio en la toma de decisiones.  Errores por mala interpretación, negligencia, distracción o fatiga.  Inobservancia gerencial a las políticas o procedimientos prescritos.  Colusión.  Costo - beneficio. 17
  • 18. COSO - CARACTERÍSTICAS...  Características de los objetivos de una organización:  Operacionales: Relacionados con el uso eficiente y eficaz de los recursos.  Información financiera: Relacionados con la preparación de reportes financieros confiables.  Cumplimiento: Relacionados con el cumplimiento con leyes y reglamentos aplicables. 18
  • 19. COSO - MARCO INTEGRADO DE CONTROL 19
  • 20. COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES  Existe una relación directa entre objetivos que la organización busca y los componentes que representan lo necesario para alcanzar los objetivos 20
  • 21. COSO - MARCO INTEGRADO DE CONTROL 21
  • 22. COSO - Relaciones de Componentes y Objetivos MONITOREO INFORMACION Y COMUNICACION ACTIVIDAD ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL COMPONENTE 22
  • 23. COSO - AMBIENTE DE CONTROL Integridad y Valores Eticos Comité de Auditoría Filosofía Admva. y Estilo de Dirección Estructura Organizacional Asignación de Autoridad y Responsabilidad Política de Recursos Humanos Competencia 23
  • 24. COSO - EVALUACIÓN DE RIESGOS Objetivos Institucionales Objetivos Específicos  Operativos  Información Financiera  Cumplimiento Análisis de Riesgos  Organización (Externos / Internos)  Actividad  Análisis (Trascendencia / Probabilidad / Control) Manejo de Cambios (Reorganizaciones/Políticas / Sistemas y Procedimientos) 24
  • 25. COSO - ACTIVIDADES DE CONTROL Actividades de control sobre:  Las operaciones  La información financiera  El acatamiento Tipos de Control:  Preventivos / Correctivos  Manuales / Automatizados  Gerenciales 25
  • 26. COSO - INFORMACIÓN Y COMUNICACIÓN Sistemas de Información :  Apoyo Actividades Estratégicas  Integración con las Operaciones  Calidad Comunicación :  Interna / Externa  Medios 26
  • 27. COSO - SUPERVISIÓN Y SEGUIMIENTO Supervisión Concurrente Evaluaciones Independientes  Alcance y frecuencia  Quiénes evalúan  Proceso de evaluación  Metodología / documentación  Plan de acción Reportes de Deficiencias 27
  • 28. COSO - RESPONSABILIDADES SOBRE EL CONTROL  Consejo de Administración.- Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización  Gerencia.- El Director General es el último responsable y asume la propiedad del sistema de control  Auditores Internos.- Evalúa la efectividad del sistema de control  Personal.- es responsable todo el personal dependiendo de su nivel y ubicación funcional 28
  • 29. COSO - TIPOS DE CONTROL - Preventivos - Detectivos • Concurrentes (sobre la marcha) • Posteriores - De actividades - De resultados (repetitivas) (actividades creativas) - De recursos - De operaciones - De insumos - De procesos - De salidas - De acceso - De seguridad (resguardo) - De investigación y desarrollo - De proyectos 29
  • 30. MODELO CADBURY CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
  • 31. MODELO CADBURY • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee). Adopta una interpretación amplia del control. Mayores especificaciones en la definición de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo. 31
  • 32. MODELO CADBURY • Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la información y reportes financieros. c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros 32
  • 33. MODELO COCO CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
  • 34. MODELO COCO CONCEPTO DE CONTROL INTERNO - Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización: Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas. 34
  • 35. MODELO COCO OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones) Servicio al cliente Salvaguarda y uso eficiente de los recursos Obtención de beneficios Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados 35
  • 36. MODELO COCO Confiabilidad de los reportes internos y externos Mantenimiento de registros contables adecuados. Confiabilidad de la información utilizada. Información publicada para terceros interesados. 36
  • 37. MODELO COCO Cumplimiento con la normatividad y políticas internas aplicables Aseguramiento de que las actividades de la organización se conducen en total concordancia con el marco legal y con las políticas internas. 37
  • 38. MODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control. • El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable. 38
  • 39. MODELO COCO Naturaleza del control El costo del control deberá ser proporcional a los beneficios esperados. El control requiere de un equilibrio entre autonomía e integración y entre consistencia y adaptación al cambio. 39
  • 40. MODELO COCO Ciclo del entendimiento básico Propósito Compromiso Aptitud Acción Evaluación (Auto) y Aprendizaje Criterios de control • Los criterios de control son la base para entender el control de una organización. • Están planteados como metas a cumplir permanentemente. 40
  • 41. MODELO COCO A.- PROPÓSITO Sentido de Dirección a la Organización A1.- Los objetivos deben ser establecidos y comunicados. A2.- Los riesgos internos y externos significativos deben ser identificados y evaluados. A3.- Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de él se espera. 41
  • 42. MODELO COCO A.- PROPÓSITO A4.- Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organización. A5.- Los objetivos y los planes relativos deben incluir metas, parámetros e indicadores de medición del desempeño. 42
  • 43. MODELO COCO B.- COMPROMISO: Sentido de identidad y valores de la organización. B1. Deben establecerse, comunicarse y ponerse en práctica valores éticos compartidos, incluyendo la integridad. B2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. 43
  • 44. MODELO COCO B.- COMPROMISO B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado. B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos. 44
  • 45. MODELO COCO C. APTITUD: sentido de competencia o aptitud de la organización C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización. C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas. 45
  • 46. MODELO COCO C. APTITUD C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización. C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control. 46
  • 47. MODELO COCO - Evaluación y aprendizaje. Sentido de evolución de la organización: D1.- El ambiente externo e interno debe ser “monitoreado” para obtener información que pueda señalar la necesidad de revaluar los objetivos de la organización o el control. D2.- El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organización. D3.- Las premisas consideradas para los objetivos de la organización deben cuestionarse periódicamente. 47
  • 48. MODELO COCO - Evaluación y Aprendizaje D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada. D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos. 48
  • 49. COBIT CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007 49
  • 50. Cobit - Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002 50
  • 51. Cobit - Definición ¿Qué es? Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización. Promueve el enfoque y la propiedad de los procesos. 51
  • 52. Cobit - Definición Apoya a la organización al proveer un marco que asegura que: La Tecnología de Información (TI) esté alineada con la misión y visión. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente. 52
  • 53. Cobit - Usuarios Gerencia: Apoyar decisiones de inversión en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente 53
  • 54. Cobit - Usuarios Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y el control mínimo requerido. Responsables de TI: Identificar los controles que requieren. 54
  • 55. Cobit - Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI 55
  • 56. Cobit - Estructura EVENTOS INFORMACIÓN Objetivos de Datos Efectividad negocio Eficiencia Aplicaciones Oportunidades Confidencialidad Tecnología de negocio Integridad Instalaciones Disponibilidad Requerimientos Recurso Humano externos Cumplimiento Regulación Confiabilidad Riesgos 56
  • 57. Cobit - Estructura Lo que usted Procesos del Lo que Usted Obtiene Negocio Necesita Criterios Efectividad Información Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Recursos de TI Confiabilidad Datos Aplicaciones Tecnología Concuerdan Instalaciones Recurso Humano 57
  • 58. Cobit - Estructura Criterios de la Información (7) CUBO de CobiT Relación entre los componentes Dominios Procesos TI Procesos Actividades 58
  • 59. 59
  • 60. Objetivos del Negocio CobiT Requerimientos Planeación y de Información Organización Seguimiento Recursos de TI Adquisición e Implantación Servicios y Soporte 60
  • 61. Cobit - Requerimientos de la Información del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS Requerimientos Calidad. de Calidad Costo. Oportunidad. Requerimientos Efectividad y eficiencia operacional. Financieros Confiabilidad de los reportes financieros. (COSO) Cumplimiento de leyes y regulaciones. Requerimientos Confidencialidad. de Seguridad Integridad. Disponibilidad. 61
  • 62. Cobit - Requerimientos de la Información del Negocio Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Empleo óptimo de los recursos. Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización. 62
  • 63. Cobit - Requerimientos de la Información del Negocio Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo. 63
  • 64. Recursos de TI Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano :Habilidad, actitud y productividad del personal. 64
  • 65. Procesos de TI - Los Tres Niveles Agrupación natural de procesos, 4 Dominios normalmente corresponden a un dominio o una responsabilidad organizacional Procesos Conjuntos o series de actividades 34 unidas con delimitación o cortes de control. Actividades Acciones requeridas para lograr un o tareas 318 resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 65
  • 66. COBIT – DOMINIOS: 4 Planeación y Organización Adquisición e Implantación Prestación de Servicios y Soporte Seguimiento 66
  • 67. COBIT – DOMINIOS - PROCESOS Planeación y Definición de un plan estratégico Organización Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad Adquisición e Identificación de soluciones automatizadas Implantación Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios 67
  • 68. COBIT – DOMINIOS - PROCESOS Servicios y Definición de los niveles de servicios Soporte Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente 68
  • 69. COBIT COMO PRODUCTO Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoría Guías de Administración Herramientas de Implementación CD-ROM 2a Edición disponible en español 69
  • 70. COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO CobiT 1996/1998 Definición de Definición de Objetivos Control Interno de Control de T I COSO 1992 SAC 1991/1994 Contribuciones Conceptos de al concepto de Control Interno Conceptos de Control Interno Control Interno SAS 78 - 1995 enmienda SAS 55 - 1988 70
  • 71. Comparación de Conceptos de Control COBIT SAC COSO SASs 55/78 Dirigido a: Administración, Usuarios, Auditores deAuditores Internos Administración Auditores Externos Sistemas Responsables de TI El Control Interno es Visto Conjunto de procesos incluyendo Conjunto de procesos, Procesos Procesos como políticas, procedimientos, prácticas y subsistemas y personas estructura Organizacional Los Objetivos Efectividad y Eficiencia de las Efectividad y Eficiencia de Efectividad y Eficiencia de las Efectividad y Eficiencia de las Organizacionales de operaciones las operaciones operaciones operaciones Control Interno Confidencialidad, Integridad y Confiabilidad en los reportes Confiabilidad en los reportes Confiabilidad en los reportes disponibilidad de la información financieros financieros financieros Confiabilidad en los reportes Cumplimiento con leyes y Cumplimiento con leyes y Cumplimiento con leyes y financieros normas normas normas Cumplimiento con leyes y normas Componentes o Dominios Dominios: Componentes: Componentes: Componentes: Planeación y Organización Ambiente de Control Ambiente de Control Ambiente de Control Adquisición e implantación Sistemas Manuales y Evaluación de Riesgo Evaluación de Riesgo Automatizados. Servicio y Soporte Actividades de Control Actividades de Control Procedimientos de Control Seguimiento Información y Comunicación Información y Comunicación Seguimiento Seguimiento Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros Evaluación de la Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo Efectividad del Control I. Responsable por el Control Administración Administración Administración Administración Interno Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos 71
  • 72. GUÍA TURNBULL CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007 72
  • 73. ¿ QUÉ ES LA GUÍA TURNBULL? Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad
  • 74. CONTRIBUCIONES DE AUDITORÍA INTERNA Aseguramiento de la adecuación y efectividad de la Administración de Riesgos y del sistema de control Promoción de la Apoyo para mejorar Concientización de el proceso de riesgos y controles Identificación y y los programas de Administración de autoevaluación riesgos 74
  • 75. Mayor Desplazamiento probabilidad Mayor oportuno a otras de lograr cobertura a largo áreas de negocios objetivos plazo Disminución de Mayor sorpresas BENEFICIOS probabilidad de desagradables POTENCIALES lograr cambios Reducción de tiempo para Ventajas emergencias competitivas Mejores bases Enfoque interno para establecer Menores costos en hacer bien estrategias de capital las cosas
  • 76. IMPLANTACIÓN DEL TURNBULL Identificación de Implantación de factores críticos acciones de Identificación de cambios de éxito mejora Internos y externos y reconsideración y negociación de objetivos Identificación y Revisión de riesgos priorización de y controles anuales riesgos Determinación de Informes sucintos ENFOQUE AL LOGRO DE riesgos significativos OBJETIVOS A TRAVÉS DE UNA MEJOR ADMINISTRACIÓN Fuentes de Negociación de DE RIESGOS aseguramiento estrategias de control y administración de riesgos Monitoreo de aspectos significativos de Negociación sobre control interno rendición de cuentas Cambios en comportamiento y enfoque en las bases Mecanismos de de una buena administración Concientización advertencia oportunos de riesgos y control de los riesgos 76 críticos
  • 77. SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS Enfocarse en riesgos Asegurar que los objetivos Evitar duplicidades críticos y sus controles se jerarquicen Asignar Reorientar el responsabilidades entrenamiento MANTENERSE SIMPLE en la administración de hacia los riesgos críticos Y PROSPECTIVO riesgos Elaborar un plan Mantener los informes Evitar expedientes apropiado y al Consejo sucintos y voluminosos monitorear su avance sencillos 77
  • 78. PASOS SUGERIDOS Enfoque a la mejora de negocios Implantación de mecanismos apropiados para la información de avance Involucramiento de los distintos niveles de la organización Implantación del plan de desarrollo y de la política de administració de riesgos Reconsideración y afinación del plan por el Consejo Consideración del plan por el Consejo de Administración Aceptación del plan por parte de los directores Asignación de responsabilidades para elaborar el plan individual o de equipos 78
  • 79. RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA) TIPOS DE RIESGO PROMEDIO Fracaso en la 7.05 administración de proyectos mayores Fracaso de estrategias 6.67 Fracaso en innovación 6.32 Mala reputación 6.30 /administración - marca Motivación y bajo desempeño 6.00 del personal 1= riesgo mínimo, 9 = crítico Fuente: Deloitte & Touche, 1990 79
  • 80. Sencillez Enfasis en el cambio de comportamiento Conciencia del riesgo ADECUADA ADMINISTRACIÓN DE Asesoría a Información confiable RIESGOS Y todos los niveles de CONTROL la compañía Controles básicos Aplicación Mecanismos de continua advertencia oportunos Concientización de y respuesta rápida de los objetivos Estrategias de organizacionales control
  • 81. PELIGROS POTENCIALES Enfoque Insuficiente en Falta de Admón de Inapropiada Mecanismos Riesgos Orientación de Advertencia de riesgos Incapacidad Demasiados para obtener Riesgos aceptación identificados Peligros del gerente Potenciales Sobrecarga Abandonarlo del comité Demasiado de tarde Auditoría Ignorar Incremento Controles de Financieros Burocracia básicos 81
  • 82. AUTOEVALUACIÓN DEL CONTROL CP, CIA y Mtro Fernando Vera Smith Diciembre 2007 82
  • 83. AEC - DEFINICIÓN Proceso documentado en el que :  La administración o el equipo de trabajo se involucra directamente en una función.  Se juzga la efectividad del proceso de control vigente.  Se define si se asegura razonablemente el lograr alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización. 83
  • 84. AEC - OTROS NOMBRES AEC - DEFINICIÓN • Autoevaluación de riesgo- • Autoevaluación de proceso. control. • Autoevaluación de riesgos. • Evaluación dinámica del control. • Autoevaluación de riesgos de la organización. • Co-evaluación del control. • Autoevaluación organizacional. 84
  • 85. AEC - ENTRENAMIENTO • Para desarrollar la AEC se requiere capacitación: . En metodología. . En modelos de control . En evaluación de riesgos . En talleres de autoevaluación de control . En redacción. . En tecnología. 85
  • 86. AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN 2/2 BENEFICIOS AL PROCESO OPERATIVO Mejora del control y sus riesgos, Delegación de Facultades Desarrollo de la Responsabilidad AEC Instrumentación Diseño de Mejores del Control Controles  Eficienciade Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general 86 CPC y CIA JUAN MANUEL PORTAL M.
  • 87. AEC - BENEFICIOS PARA LA ADMINISTRACIÓN • ADMINISTRACIÓN • PARTICIPANTES • AUDITORÍA INTERNA - Mejora de la moral del personal. - Eliminación de atmósferas de desconfianza. - Generación de ideas y planes de acción implantados más allá del alcance original. - Facilidad de implantación de acciones de mejora. - Promoción de la unidad organizacional mediante la identificación y solución de problemas. - REALZA EL PAPEL DE AUDITORÍA INTERNA. 87
  • 88. AEC - FASES DE LA AUTOEVALUACIÓN Involucramiento de la alta Gerencia Monitoreo y Reporte de Planeación Resultados Conducción Capacitación de Reuniones 88
  • 89. AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA Adopción de la AEC • Conocimiento de la AEC en los niveles adecuados • Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC • Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC 89
  • 90. AEC – INVOLUCRAMIENTO DE……. Requisitos de la Organización - Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control. - Entorno libre de riesgos (no represalias) - Reconocimiento de la complejidad de la implantación de la AEC. 90
  • 91. AEC – INVOLUCRAMIENTO DE……. Requisitos del Facilitador - Ser innovador y desear tomar riesgos - Saber escuchar, comunicarse y aprender de la gente - Saber qué alcanzar y qué herramientas se necesitan - Conocer la organización, su entorno y normatividad - Entender la cultura organizacional 91
  • 92. AEC - INVOLUCRAMIENTO DE ……….. Responsabilidades del Facilitador - Asegurarse que la administración sabe que es responsable de los controles - Explicar el proceso de AEC - Proporcionar información y conocimiento al taller - Utilizar enfoques y herramientas específicas - Desarrollar la dinámica del equipo - Asegurar la logística del taller. - Obtener acciones de mejora del taller. 92
  • 93. AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador Preparación del taller: Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organización Seleccionar los objetivos de la organización Seleccionar los participantes al TAC Preparar la logística de la reunión Enviar información previa a la reunión. 93
  • 94. AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador Preparación del taller: - Facilitar la identificación del proceso y obstáculos - Vigilar la logística - Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIÓN 94
  • 95. AEC – INVOLUCRAMIENTO DE……. Estrategias 1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo suficiente para la preparación del taller. 4. Definir los objetivos del Taller de Autoevaluación del Control (TAC) 5. Emitir pronunciamientos y criterios al inicio del proceso 95
  • 96. AEC – INVOLUCRAMIENTO DE ……. Estrategias 6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentación a los participantes sobre los resultados 9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora 96
  • 97. AEC - P L A N E A C I Ó N 1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta. 4. Seleccionar los participantes del TAC 5. Elaborar el programa de actividades con responsables y tiempos 6. Planear reportes de avance y conclusión 97
  • 98. AEC- C A P A C I T A C I O N Capacitar en Control y Autocontrol: • Modelos de Control (COSO, COCO...) • Evaluación de riesgos • Autoevaluación en control y su metodología • Herramientas y tecnología especializada para su uso en el taller 98
  • 99. AEC - CONDUCCIÓN DE REUNIONES 1. Preparar la logística de las reuniones 2. Enviar información previa a las reuniones 3. Presentar los objetivos del TAC • Definición del producto final • Metodología del taller • Herramientas a utilizar • Método de registro y votación • Beneficios tangibles 4. Explicar el papel de los participantes y aclarar expectativas. 99 •
  • 100. AEC - CONDUCCIÓN DE REUNIONES 5. Presentar la agenda de la reunión 6. Conducir la reunión 7. Estructurar e inventariar el resultado de las evaluaciones 8. Levantar minuta de los acuerdos 100
  • 101. AEC - CONDUCCIÓN DE REUNIONES REGLAS PARA LA TOMA DE DECISIONES DE GRUPO Escuche No interrumpa Establezca un proceso de voto Asegúrese que todos apoyen las reglas Todos deben ser facilitadores en algún momento Las ideas de otros fortalecen la decisión del grupo Logre consenso 101
  • 102. AEC – CONDUCCIÓN DE REUNIONES DESARROLLO DE PLANES DE ACCIÓN - Definición y evaluación de objetivos, riesgos y controles. - Determinación de acciones de mejora. - Definición y realización de las acciones, tiempos, responsables y recursos para la implantación de las mejoras. - Establecimiento de puntos de control para la evaluación de los avances y la comunicación de las desviaciones 102
  • 103. AEC - MONITOREO Y REPORTE DE RESULTADOS - Establecer sistema de seguimiento y evaluación de los planes de acción - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua 103
  • 104. AEC - PROBLEMÁTICA - Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes - Costos de honorarios de profesionales, entrenamiento, equipo y software - Inversión fuerte en capacitación - Esfuerzo serio de venta interna 104
  • 105. AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la técnica. - Represalias por comentarios hechos en la sesión de la AEC. - Acción subsecuente con información confidencial. • Salvaguarda. - Garantía de no represalias. - Garantía sobre la confidencialidad. - Tecnología de voto electrónico. 105
  • 106. AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la resistencia. - Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante • Salvaguardas. - Selección de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar. 106
  • 107. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura. - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. 107
  • 108. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la adecuación. - El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con únicamente una o dos personas. + Terceros vendedores o proveedores de servicios. • Salvaguardas. - Evitar utilizar la AEC en estas situaciones. 108
  • 109. AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura. - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal. • Salvaguardas. - Evitar utilizar la AEC con estas situaciones. 109
  • 110. ÉXITO PARA SU IMPLANTACIÓN I. Factores críticos de éxito II. Pasos para acelerar su implantación III. Recomendaciones para su implantación 110
  • 111. I. FACTORES CRÍTICOS DE ÉXITO 1) Determinación de objetivos claros 2) Patrocinio de la alta gerencia 3) Apoyo de la gerencia 4) Entendimiento de por qué participa cada uno en la sesión de Autoevaluación 5) Señalamiento de expectativas 111
  • 112. I. FACTORES CRÍTICOS DE ÉXITO 6) Cultura que apoya la AEC 7) Actitud gerencial orientada al facultamiento y el control 8) Beneficios tangibles 9) Definición del producto final 10) Entorno libre de riesgos (no represalias) 112
  • 113. II. PASOS PARA ACELERAR SU IMPLANTACIÓN 1) Reconocer la complejidad de su implantación 2) Conducir sesiones piloto 3) Ser realistas acerca de la cobertura de auditoría 4) Dar los pronunciamientos y criterios al inicio del proceso 5) Permitir suficiente tiempo para su preparación 6) Limitar el alcance a los temas de alta prioridad 113
  • 114. III. RECOMENDACIONES PARA SU IMPLANTACIÓN 1) Conocer cuál es el propósito y qué herramientas se necesitan 2) Entender la cultura organizacional 3) Ser innovador y dispuesto a tomar riesgos 4) Particularizar el marco estructurado de control 5) Agregar valor a la organización 6) Comentar con los demás y aprender de ellos 7) Rotar facilitadores que procedan de otras áreas 114
  • 115. III. RECOMENDACIONES PARA SU IMPLANTACIÓN 8) Emplear grupos de trabajo interdisciplinarios 9) Mantener el proceso sencillo 10) Reconocer que las habilidades de facilitación son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditoría 11) Mantener visible el apoyo de la gerencia 12) Vender el concepto cada día 115
  • 116. AEC - ERRORES EN SU IMPLANTACIÓN 1) Fallar en explicar el por qué de la AEC. 2) Pilotear la AEC en un área problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situación. 116
  • 117. AEC - POR QUÉ FUNCIONA • Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones. • Se incrementa la conciencia entre objetivos, riesgos y controles. • Los equipos (grupos de AEC) funcionan mejor que los individuos. • La AEC promueve un entendimiento común de objetivos y metas. • Los talleres de AEC eliminan las barreras de comunicación. 117