Post on 10-Aug-2015
MODELOS DE CONTROLMODELOS DE CONTROL
CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
22
MODELOS DE CONTROLMODELOS DE CONTROL
CONTENIDOCONTENIDO
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROLCOSOCOSOCADBURYCADBURYCOCOCOCOCOBIT COBIT TURNBULLTURNBULLAECAEC
33
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Marcos de referencia (comunidades) para Marcos de referencia (comunidades) para clasificar los modelos de control según Philip L. clasificar los modelos de control según Philip L. Campbell ( An Introduction to Information Campbell ( An Introduction to Information Control Models):Control Models):
Objetivos de ControlObjetivos de Control
PrincipiosPrincipios
Madurez de la CapacidadMadurez de la Capacidad
44
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Comunidad de Objetivos de ControlComunidad de Objetivos de Control
Se basan en el concepto de “objetivo de control”:Se basan en el concepto de “objetivo de control”:
Control: Las políticas, procedimientos, prácticas y Control: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar estructuras organizacionales para proporcionar seguridad razonable de que los objetivos seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán.deseados se evitarán o detectarán y corregirán.
Objetivo de control: una declaración de que el resultado Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de mecanismos de control en una actividad particular de tecnología de informacióntecnología de información
55
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Comunidad de PrincipiosComunidad de Principios
Se basan en la noción de principios como rendición de cuentas, Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética.concientización, equidad y ética.
Comunidad de Madurez de la CapacidadComunidad de Madurez de la Capacidad
Se basa en la noción del modelo de madurez, cuyo único miembro Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSE- es el Systems Security Engineering Capability Maturity Model (SSE- CMM).CMM).
La teoría es que una organización cuyo nivel de madurez es mayor La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en el enfoque se centra en el proceso y sólo en forma secundaria en el producto.producto.
66
DIAGRAMA DE INFLUENCIA
FUENTE: An Introduction to Information Control Models, Philip L. Campbell
77
COMUNIDADES DE MODELOS
FUENTE: An Introduction to Information Control Models, Philip L. Campbell
88
SIGNIFICADO DE SIGLAS UTILIZADASSIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and DevelopmentOECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of Standards GAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)and Technology (NIST)
BS 7799 British Standard InstituteBS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsCOSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity ModelSSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants. CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian InstituteITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA) of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. InternationalGASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related TechnologiesCobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAOFISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NISTSSAG System Self-Assessment Guide for Information Technology Systems. NIST
99
CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
CONTROL SEGÚN COSOCONTROL SEGÚN COSO
1010
COSO -COSO -
ANTECEDENTESANTECEDENTES
Modelo de Control COSOModelo de Control COSO:: Committee of Committee of Sponsoring Organizations of the Tradeway Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992.Commision, USA, septiembre 1992.
Modelo de Control COCOModelo de Control COCO:: Criteria of Control Criteria of Control Committee (Instituto Canadiense de Committee (Instituto Canadiense de Contadores Certificados, CICA, Contadores Certificados, CICA, November1995November1995..
1111
Cualquier medida que tome la dirección, el Consejo y otros, Cualquier medida que tome la dirección, el Consejo y otros,
para mejorar la gestión de riesgos y aumentar la para mejorar la gestión de riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas establecidos. probabilidad de alcanzar los objetivos y metas establecidos.
La dirección planifica, organiza y dirige la realización de las La dirección planifica, organiza y dirige la realización de las
acciones suficientes para proporcionar una seguridad acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos y metasrazonable de que se alcanzarán los objetivos y metas..
COSO - CONTROLCOSO - CONTROL
1212
Proceso llevado a cabo por el Consejo de Administración, la Proceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado para Gerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los proporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:objetivos de la organización clasificados en:
Efectividad y eficiencia de las operacionesEfectividad y eficiencia de las operaciones
Confiabilidad de la información financieraConfiabilidad de la información financiera
Cumplimiento con las leyes, reglamentos, normas y Cumplimiento con las leyes, reglamentos, normas y
políticas.políticas.
COSO - CONCEPTO DE CONTROL INTERNOCOSO - CONCEPTO DE CONTROL INTERNO
1313
COSO - CARACTERÍSTICASCOSO - CARACTERÍSTICAS
Medio para alcanzar un fin, no un fin en si mismo.Medio para alcanzar un fin, no un fin en si mismo.
No es un evento o circunstancia sino una serie de No es un evento o circunstancia sino una serie de
acciones que permean en las actividades de la acciones que permean en las actividades de la
organización.organización.
Forma parte de los procesos básicos de la Forma parte de los procesos básicos de la
administración-planeación ejecución y monitoreo y se administración-planeación ejecución y monitoreo y se
encuentra integrado en ellos.encuentra integrado en ellos.
Los controles deben construirse ”Dentro¨” de la Los controles deben construirse ”Dentro¨” de la
infraestructura de la organización y no “Sobre ella”.infraestructura de la organización y no “Sobre ella”.
1414
Es efectuado por personas. No es solamente un conjunto Es efectuado por personas. No es solamente un conjunto
de manuales de políticas y procedimientos, sino son de manuales de políticas y procedimientos, sino son
personas en cada nivel de la organización.personas en cada nivel de la organización.
Es ejecutado por la gente de una organización a través de Es ejecutado por la gente de una organización a través de
lo que hace y dice. La gente diseña los objetivos de la lo que hace y dice. La gente diseña los objetivos de la
Entidad y establece los mecanismos de control.Entidad y establece los mecanismos de control.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1515
Afecta las acciones del personal, señalándole sus Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los vinculación entre sus deberes y la forma en que los desempeñan.desempeñan.
La alta dirección es responsable de la existencia de un La alta dirección es responsable de la existencia de un eficiente sistema de control.eficiente sistema de control.
Los Directores tienen la obligación de la vigilancia del Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y control además de que proporcionan directrices y aprueban ciertas transacciones y políticas.aprueban ciertas transacciones y políticas.
Cada individuo dentro de la organización tiene algún rol Cada individuo dentro de la organización tiene algún rol respecto al control interno.respecto al control interno.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1616
No existe sistema infalible. Ningún sistema hará por No existe sistema infalible. Ningún sistema hará por
siempre lo que se espera que haga. siempre lo que se espera que haga.
No importa lo bien diseñado y operado que sea un No importa lo bien diseñado y operado que sea un
sistema de control; lo más que puede esperarse es que sistema de control; lo más que puede esperarse es que
proporcione seguridad razonable.proporcione seguridad razonable.
El efecto acumulado de controles y su naturaleza El efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarse diversa, reducen el riesgo de que no puedan alcanzarse
los objetivos. los objetivos.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1717
Limitaciones del control :Limitaciones del control :
Errores por falta de capacidad para ejecutar las Errores por falta de capacidad para ejecutar las
instruccionesinstrucciones
Errores de juicio en la toma de decisiones.Errores de juicio en la toma de decisiones.
Errores por mala interpretación, negligencia, Errores por mala interpretación, negligencia,
distracción o fatiga.distracción o fatiga.
Inobservancia gerencial a las políticas o Inobservancia gerencial a las políticas o
procedimientos prescritos. procedimientos prescritos.
Colusión.Colusión.
Costo - beneficio.Costo - beneficio.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1818
Características de los objetivos de una organización:Características de los objetivos de una organización:
OperacionalesOperacionales:: Relacionados con el uso eficiente y Relacionados con el uso eficiente y
eficaz de los recursos.eficaz de los recursos.
Información financieraInformación financiera:: Relacionados con la Relacionados con la
preparación de reportes financieros confiables.preparación de reportes financieros confiables.
CumplimientoCumplimiento:: Relacionados con el cumplimiento Relacionados con el cumplimiento
con leyes y reglamentos aplicables.con leyes y reglamentos aplicables.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
1919
COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
2020
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTESCOSO - RELACIÓN DE OBJETIVOS Y COMPONENTES
Existe una relación Existe una relación
directa entre objetivos directa entre objetivos
que la organización que la organización
busca y los busca y los
componentes que componentes que
representan lo representan lo
necesario para necesario para
alcanzar los objetivosalcanzar los objetivos
2121
COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
2222
OPE
RA
CIO
NES
OPE
RA
CIO
NES
REP
OR
TES
REP
OR
TES
FIN
AN
CIE
RO
S
FIN
AN
CIE
RO
SC
UM
PLIM
IEN
TO
CU
MPL
IMIE
NTO
MONITOREOMONITOREO
INFORMACION Y INFORMACION Y COMUNICACIONCOMUNICACION
ACTIVIDADES DE ACTIVIDADES DE CONTROLCONTROL
EVALUACION DE EVALUACION DE RIESGOSRIESGOS
AMBIENTE DE AMBIENTE DE CONTROLCONTROL
AC
TIV
IDA
D 2
AC
TIV
IDA
D 2
AC
TIV
IDA
D 1
AC
TIV
IDA
D 1
UN
IDA
D B
UN
IDA
D BU
NID
AD
AU
NID
AD
A
COSO - Relaciones de Componentes y ObjetivosCOSO - Relaciones de Componentes y Objetivos
COMPONENTECOMPONENTE
ACTIVIDADACTIVIDAD
2323
Integridad y Valores EticosIntegridad y Valores Eticos
Comité de AuditoríaComité de Auditoría
Filosofía Admva. y Estilo Filosofía Admva. y Estilo de Direcciónde Dirección
Estructura OrganizacionalEstructura Organizacional
Asignación de Autoridad y Asignación de Autoridad y ResponsabilidadResponsabilidad
Política de Recursos Política de Recursos HumanosHumanos
CompetenciaCompetencia
COSO - COSO - AMBIENTE DE CONTROLAMBIENTE DE CONTROL
2424
Objetivos InstitucionalesObjetivos InstitucionalesObjetivos EspecíficosObjetivos Específicos
OperativosOperativos Información FinancieraInformación Financiera CumplimientoCumplimiento
Análisis de RiesgosAnálisis de Riesgos Organización (Externos / Organización (Externos /
Internos) Internos) ActividadActividad Análisis (Trascendencia / Análisis (Trascendencia /
Probabilidad / Control)Probabilidad / Control)Manejo de CambiosManejo de Cambios (Reorganizaciones/Políticas / (Reorganizaciones/Políticas /
Sistemas y Procedimientos)Sistemas y Procedimientos)
COSO - EVALUACIÓN DE RIESGOSCOSO - EVALUACIÓN DE RIESGOS
2525
Actividades de control Actividades de control sobre:sobre:
Las operacionesLas operaciones La información La información
financierafinanciera El acatamientoEl acatamiento
Tipos de Control:Tipos de Control:
Preventivos / Preventivos / CorrectivosCorrectivos
Manuales / Manuales / AutomatizadosAutomatizados
GerencialesGerenciales
COSO - ACTIVIDADES DE CONTROLCONTROL
2626
Sistemas de Información :Sistemas de Información :
Apoyo Actividades Apoyo Actividades EstratégicasEstratégicas
Integración con las Integración con las OperacionesOperaciones
CalidadCalidad
Comunicación :Comunicación :
Interna / ExternaInterna / Externa MediosMedios
COSO - INFORMACIÓN Y COMUNICACIÓN
2727
Supervisión ConcurrenteSupervisión Concurrente
Evaluaciones IndependientesEvaluaciones Independientes
Alcance y frecuenciaAlcance y frecuencia Quiénes evalúanQuiénes evalúan Proceso de evaluaciónProceso de evaluación Metodología / Metodología /
documentacióndocumentación Plan de acciónPlan de acción
Reportes de DeficienciasReportes de Deficiencias
COSO - SUPERVISIÓN Y SEGUIMIENTO
2828
COSO - COSO - RESPONSABILIDADES SOBRE EL CONTROLRESPONSABILIDADES SOBRE EL CONTROL
Consejo de Administración.-Consejo de Administración.- Es la instancia Es la instancia
responsable de establecer guía, supervisión general y responsable de establecer guía, supervisión general y
gobernabilidad a la organizacióngobernabilidad a la organización
Gerencia.-Gerencia.- El Director General es el último responsable El Director General es el último responsable
y asume la propiedad del sistema de controly asume la propiedad del sistema de control
Auditores Internos.-Auditores Internos.- Evalúa la efectividad del sistema Evalúa la efectividad del sistema
de controlde control
Personal.-Personal.- es responsable todo el personal dependiendo es responsable todo el personal dependiendo
de su nivel y ubicación funcionalde su nivel y ubicación funcional
2929
COSO - TIPOS DE CONTROLCOSO - TIPOS DE CONTROL
- Preventivos• Concurrentes (sobre
la marcha)
- Detectivos
• Posteriores
- De actividades (repetitivas)
- De resultados (actividades creativas)
- De recursos
- De insumos
- De acceso
- De investigación y desarrollo
- De proyectos
- De operaciones
- De procesos - De salidas
- De seguridad (resguardo)
MODELO CADBURYMODELO CADBURY
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
3131
MODELO CADBURYMODELO CADBURY
Adopta una interpretación amplia del Adopta una interpretación amplia del control.control.
Mayores especificaciones en la Mayores especificaciones en la definición de su enfoque sobre el definición de su enfoque sobre el sistema de control en su conjunto-sistema de control en su conjunto-financiero y de cualquier tipofinanciero y de cualquier tipo..
• Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee).
3232
• Objetivos orientados a proporcionar una razonable seguridad de:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad de la información y reportes financieros.
c) Cumplimiento con leyes y reglamentos
• Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos.
• Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros
MODELO CADBURY
MODELO COCOMODELO COCO
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
3434
CONCEPTO DE CONTROL INTERNOCONCEPTO DE CONTROL INTERNO
Efectividad y eficiencia de las operaciones.Efectividad y eficiencia de las operaciones.
Confiabilidad de los reportes internos o Confiabilidad de los reportes internos o externos.externos.
Cumplimiento con las leyes y reglamentos Cumplimiento con las leyes y reglamentos aplicables, así como con las políticas internas.aplicables, así como con las políticas internas.
MODELO COCO
- Incluye aquellos elementos de una organización (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organización:
3535
Servicio al clienteServicio al cliente
Salvaguarda y uso eficiente de los recursosSalvaguarda y uso eficiente de los recursos
Obtención de beneficiosObtención de beneficios
Cumplimiento de obligaciones socialesCumplimiento de obligaciones sociales
Seguridad de que los riesgos son Seguridad de que los riesgos son debidamente identificados y administradosdebidamente identificados y administrados
OBJETIVOS ORGANIZACIONALES (efectividad OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones)y eficiencia de las operaciones)
MODELO COCO
3636
Mantenimiento de registros contables adecuados.Mantenimiento de registros contables adecuados.
Confiabilidad de la información utilizada.Confiabilidad de la información utilizada.
Información publicada para terceros interesadosInformación publicada para terceros interesados. .
Confiabilidad de los reportes internos y Confiabilidad de los reportes internos y externosexternos
MODELO COCO
3737
Cumplimiento con la normatividad y Cumplimiento con la normatividad y
políticas internas aplicablespolíticas internas aplicables
Aseguramiento de que las actividades de la Aseguramiento de que las actividades de la organización se conducen en total organización se conducen en total concordancia con el marco legal y con las concordancia con el marco legal y con las políticas internas.políticas internas.
MODELO COCO
3838
MODELO COCOMODELO COCO
Naturaleza del control
• El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control.
• El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.
3939
Naturaleza del controlNaturaleza del control
El costo del control deberá ser proporcional El costo del control deberá ser proporcional a los beneficios esperados. a los beneficios esperados.
El control requiere de un equilibrio entre El control requiere de un equilibrio entre autonomía e integración y entre autonomía e integración y entre consistencia y adaptación al cambio. consistencia y adaptación al cambio.
MODELO COCO
4040
Ciclo del entendimiento básicoCiclo del entendimiento básico
PropósitoPropósitoCompromisoCompromisoAptitudAptitudAcciónAcciónEvaluación (Auto) y AprendizajeEvaluación (Auto) y Aprendizaje
MODELO COCO
Criterios de control
• Los criterios de control son la base para entender el control de una organización.
• Están planteados como metas a cumplir
permanentemente.
4141
A.- PROPÓSITO Sentido de Dirección a la A.- PROPÓSITO Sentido de Dirección a la OrganizaciónOrganización
A1.-A1.- Los Los objetivos deben ser establecidos y objetivos deben ser establecidos y comunicados. comunicados.
A2.- A2.- Los riesgos internos y externos Los riesgos internos y externos significativos deben ser identificados y significativos deben ser identificados y evaluados.evaluados.
A3.- A3.- Las políticas para apoyar el logro de los Las políticas para apoyar el logro de los objetivos de una organización y el objetivos de una organización y el manejo de sus riesgos, deben ser manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, establecidas, comunicadas y practicadas, de manera que el personal entienda lo de manera que el personal entienda lo que de que de élél se espera se espera..
MODELO COCO
4242
A4.- A4.- Deben establecerse y comunicarse Deben establecerse y comunicarse planes para planes para guiar los guiar los
esfuerzos esfuerzos para para lograr los objetivos de lograr los objetivos de la la organización.organización.
A5.- A5.- Los objetivos y los planes relativos Los objetivos y los planes relativos deben incluir deben incluir metas, metas,
parámetros e parámetros e indicadores de indicadores de medición del medición del desempeñodesempeño..
A.- PROPÓSITO
MODELO COCO
4343
B.-B.- COMPROMISO:COMPROMISO: SSentido de identidad y entido de identidad y valores de la organizaciónvalores de la organización..
B1.B1. Deben establecerse, comunicarse y Deben establecerse, comunicarse y ponerse ponerse en práctica valores éticos en práctica valores éticos compartidos, incluyendo la integridad.compartidos, incluyendo la integridad.
B2. Las políticas y prácticas sobre recursos B2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con humanos deben ser consistentes con los valores éticos de la organización y los valores éticos de la organización y con el logro de sus objetivos.con el logro de sus objetivos.
MODELO COCO
4444
B3. La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado.
B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos.
B.- COMPROMISO
MODELO COCO
4545
MODELO COCOMODELO COCO
C. APTITUD: sentido de competencia o aptitud de la organización
C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización.
C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos.
C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.
4646
MODELO COCO
C. APTITUD
C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización.
C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.
4747
- Evaluación y aprendizaje. Sentido de Evaluación y aprendizaje. Sentido de evolución de la organización:evolución de la organización:
D1.- El ambiente externo e interno debe ser D1.- El ambiente externo e interno debe ser “monitoreado” para obtener información “monitoreado” para obtener información que pueda señalar la necesidad de revaluar que pueda señalar la necesidad de revaluar los objetivos de la organización o el control.los objetivos de la organización o el control.
D2.- D2.- El desempeño debe ser evaluado o medido El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes contra las metas e indicadores en los planes u objetivos de la organización.u objetivos de la organización.
D3.- D3.- Las premisas consideradas para los Las premisas consideradas para los objetivos de la organización deben objetivos de la organización deben cuestionarse periódicamente.cuestionarse periódicamente.
MODELO COCO
4848
D4.- Las necesidades de información y los sistemas de información relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la información reportada.
D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.
- Evaluación y Aprendizaje
MODELO COCO
4949
COBITCOBIT
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
5050
Cobit - DefiniciónCobit - Definición
CControlontrol
OBOBjectivesjectives
for for IInformationnformation
aand Related nd Related TTechnologyechnology
(Objetivos de Control para Tecnología de (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)Información y Tecnologías relacionadas)
Fuente: Control Objectives for Information and Related Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002 Izquierdo Duarte 2002
5151
Cobit - DefiniciónCobit - Definición
¿Qué es?¿Qué es?
Es un marco de control interno de TI.Es un marco de control interno de TI.
Parte de la premisa de que la TI Parte de la premisa de que la TI requiere proporcionar información requiere proporcionar información para lograr los objetivos de la para lograr los objetivos de la organización.organización.
Promueve el enfoque y la propiedad Promueve el enfoque y la propiedad de los procesos.de los procesos.
5252
Cobit - DefiniciónCobit - Definición
Apoya a la organización al proveer un marco que Apoya a la organización al proveer un marco que asegura que:asegura que:
La Tecnología de Información (TI) esté alineada con la La Tecnología de Información (TI) esté alineada con la misión y visión.misión y visión.
LA TI capacite y maximice los beneficios.LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.Los riesgos de TI sean manejados apropiadamente.
5353
Cobit - UsuariosCobit - Usuarios
GerenciaGerencia: Apoyar decisiones de inversión : Apoyar decisiones de inversión en TI y control sobre su rendimiento, así en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control.como analizar el costo-beneficio del control.
Usuarios FinalesUsuarios Finales: Garantizar seguridad y : Garantizar seguridad y control de los productos que adquieren control de los productos que adquieren interna y externamenteinterna y externamente
5454
Cobit - UsuariosCobit - Usuarios
AuditoresAuditores : : Apoyar sus opiniones sobre Apoyar sus opiniones sobre los controles de los proyectos de TI , su los controles de los proyectos de TI , su impacto en la organización y el control impacto en la organización y el control mínimo requerido.mínimo requerido.
Responsables de TIResponsables de TI: : Identificar los Identificar los controles que requieren.controles que requieren.
5555
Cobit - PrincipiosCobit - Principios
REQUERIMIENTOS DE INFORMACIÓN
DEL NEGOCIO
RECURSOSDE TI
PROCESOS DE TI
5656
INFORMACIÓN
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
EVENTOS
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
RegulaciónRiesgos
DatosAplicacionesTecnología
InstalacionesRecurso Humano
Cobit - EstructuraCobit - Estructura
5757
Procesos del Negocio
Recursos de TI
DatosAplicacionesTecnología
InstalacionesRecurso Humano
Información
Lo que usted Obtiene
Lo que Usted Necesita
Criterios
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
Concuerdan
Cobit - EstructuraCobit - Estructura
5858
Pro
ces
os
TI Dominios
Procesos
Actividades
CUBO de CobiTRelación entre loscomponentes
Da
tos
Ap
plic
aci
on
es
Te
cno
log
ía
Inst
ala
cio
ne
s
Re
cu
rso
Hu
ma
no
Recursos d
e TI
Calidad
Confiabilid
ad
Segurid
ad
Criterios de la Información (7)
Cobit - EstructuraCobit - Estructura
5959
6060
CobiT
Objetivos del Negocio
Recursos de TI
Requerimientos de Información
SeguimientoSeguimiento
Planeación y Planeación y OrganizaciónOrganización
Adquisición e Adquisición e ImplantaciónImplantación
Servicios y SoporteServicios y Soporte
6161
Cobit - Cobit - Requerimientos Requerimientos de la Información del Negocio de la Información del Negocio
Requerimientos de Calidad
Requerimientos Financieros
(COSO)
Requerimientos de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad.
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
6262
EfectividadEfectividad: Información relevante y pertinente, : Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y proporcionada en forma oportuna, correcta, consistente y utilizable utilizable
EficienciaEficiencia: Empleo óptimo de los recursos.: Empleo óptimo de los recursos.
ConfidencialidadConfidencialidad: Protección de la información sensitiva : Protección de la información sensitiva contra divulgación no autorizadacontra divulgación no autorizada
IntegridadIntegridad: Información exacta y completa, así como válida : Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.de acuerdo con las expectativas de la organización.
Cobit - Requerimientos de la Cobit - Requerimientos de la Información del Negocio Información del Negocio
6363
DisponibilidadDisponibilidad: accesibilidad a la : accesibilidad a la información y la salvaguarda de los información y la salvaguarda de los recursos y sus capacidades.recursos y sus capacidades.
CumplimientoCumplimiento: Leyes, regulaciones y : Leyes, regulaciones y compromisos contractuales.compromisos contractuales.
ConfiabilidadConfiabilidad: Apropiada para la toma de : Apropiada para la toma de decisiones adecuadas y el cumplimiento decisiones adecuadas y el cumplimiento normativo.normativo.
Cobit - Cobit - Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
6464
Recursos de TIRecursos de TIDatosDatos: Todos los objetos de información interna y externa, : Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.estructurada o no, gráficas, sonidos, etc.
AplicacionesAplicaciones: Sistemas de información, que integran : Sistemas de información, que integran procedimientos manuales y sistematizados.procedimientos manuales y sistematizados.
TecnologíaTecnología: Hardware y software básico, sistemas operativos, : Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.telecomunicaciones, multimedia, etc.
InstalacionesInstalaciones: Recursos necesarios para alojar y dar soporte a : Recursos necesarios para alojar y dar soporte a los sistemas.los sistemas.
Recurso Humano Recurso Humano :Habilidad, actitud y productividad del :Habilidad, actitud y productividad del personal.personal.
6565
Procesos de TI Procesos de TI - Los Tres Niveles- Los Tres Niveles
DominiosAgrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividadeso tareas
Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.
4
34
318
6666
Planeación y OrganizaciónPlaneación y Organización
Adquisición e ImplantaciónAdquisición e Implantación
Prestación de Servicios y SoportePrestación de Servicios y Soporte
SeguimientoSeguimiento
COBIT – DOMINIOS: 4COBIT – DOMINIOS: 4
6767
COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS
Adquisición eImplantación
Identificación de soluciones automatizadasAdquisición y mantenimiento del software aplicativoAdquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientosInstalación y aceptación de los sistemasAdministración de los cambios
Planeación y Organización
Definición de un plan estratégicoDefinición de la arquitectura de informaciónDeterminación de la dirección tecnológicaDefinición de organización y relacionesAdministración de la inversiónComunicación de las políticasAdministración de los recursos humanosAsegurar el cumplimiento con los requerimientos ExternosEvaluación de riesgosAdministración de proyectosAdministración de la calidad
6868
COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS
Servicios y Soporte
Definición de los niveles de serviciosAdministración de los servicios de tercerosAdministración de la capacidad y rendimientosAseguramiento del servicio continuoAseguramiento de la seguridad de los sistemasEntrenamiento a los usuariosIdentificación y asignación de los costosAsistencia y soporte a los clientesAdministración de la configuraciónAdministración de los problemasAdministración de los datosAdministración de las instalacionesAdministración de la operación
Seguimiento
Seguimiento de los procesosEvaluación del control InternoContratación de un aseguramiento independiente
6969
COBIT COMOCOBIT COMO PRODUCTOPRODUCTO
Resumen EjecutivoResumen Ejecutivo
Marco de Referencia (Framework)Marco de Referencia (Framework)
Objetivos de ControlObjetivos de Control
Guías de AuditoríaGuías de Auditoría
Guías de Administración Guías de Administración
Herramientas de ImplementaciónHerramientas de Implementación
CD-ROMCD-ROM
2a Edición disponible en español2a Edición disponible en español
7070
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCOMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992SAC 1991/1994
SAS 55 - 1988
Definición deControl Interno
Definición de Objetivos de Control de T I
SAS 78 - 1995
Conceptos de Control Interno
Conceptos de Control Interno
enmienda
Contribucionesal concepto de Control Interno
7171
Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI
Auditores Internos Administración Auditores Externos
El Control Interno es Visto como
Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional
Conjunto de procesos, subsistemas y personas
Procesos Procesos
Los Objetivos Organizacionales de Control Interno
Efectividad y Eficiencia de las operaciones
Confidencialidad, Integridad y disponibilidad de la información
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Componentes o Dominios Dominios:
Planeación y Organización
Adquisición e implantación
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control Interno
Administración Administración Administración Administración
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
7272
GUÍA TURNBULLGUÍA TURNBULL
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007Diciembre, 2007
¿ QUÉ ES LA GUÍA ¿ QUÉ ES LA GUÍA TURNBULL?TURNBULL?
Es la adopción de un enfoque Es la adopción de un enfoque basado en riesgos para basado en riesgos para
establecer un sistema de control establecer un sistema de control interno y revisar su efectividadinterno y revisar su efectividad
7474
CONTRIBUCIONES DE AUDITORÍA INTERNACONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento dela adecuación y efectividad
de la Administración de Riesgos y del sistema de control
Apoyo para mejorar el proceso de
Identificación yAdministración de
riesgos
Promoción de laConcientización deriesgos y controlesy los programas de
autoevaluación
Desplazamientooportuno a otras
áreas de negocios
Mayor probabilidad
de lograrobjetivos
Mayorcobertura a largo
plazo
Mejores bases para establecer
estrategias
Disminución de sorpresas
desagradables
Menores costosde capital
Mayor probabilidad delograr cambios
Enfoque internoen hacer bien
las cosas
Ventajascompetitivas
Reducción de tiempo paraemergencias
BENEFICIOSPOTENCIALES
7676
ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN DE RIESGOS
Identificación de cambiosInternos y externosy reconsideración y
negociación de objetivos
Cambios en comportamientoy enfoque en las bases
de una buena administraciónde riesgos y control
Revisión de riesgos y controles anuales
Implantación deacciones de
mejora
Informes sucintos
Fuentes de aseguramiento
Monitoreo de aspectossignificativos decontrol interno
Mecanismos de advertencia oportunos
Identificación defactores críticos
de éxito
Identificación y priorización de
riesgos
Determinación de riesgos significativos
Negociación deestrategias de control y
administración de riesgos
Negociación sobrerendición de cuentas
Concientización de los riesgos
críticos
IMPLANTACIÓN DEL TURNBULL
7777
MANTENERSE SIMPLEY PROSPECTIVO
Enfocarse en riesgos críticos y sus controles
Enfocarse en riesgos críticos y sus controles
Reorientar elentrenamiento
hacia los riesgos críticos
Reorientar elentrenamiento
hacia los riesgos críticos
Elaborar un plan apropiado y
monitorear su avance
Elaborar un plan apropiado y
monitorear su avance
Evitar expedientesvoluminosos
Evitar expedientesvoluminosos
Asignar responsabilidades
en la administración deriesgos
Asignar responsabilidades
en la administración deriesgos
Evitar duplicidadesEvitar duplicidades
Mantener los informesal Consejo sucintos y
sencillos
Mantener los informesal Consejo sucintos y
sencillos
Asegurar que los objetivosse jerarquicen
Asegurar que los objetivosse jerarquicen
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
7878Asignación de responsabilidades para elaborar el plan individual o de equipos
Aceptación del plan por parte de los directores
Consideración del plan por el Consejo de Administración
Reconsideración y afinación del plan por el Consejo
Implantación del plan de desarrollo y de la política de administración de riesgos
Involucramiento de los distintos niveles de la organización
Implantación de mecanismos apropiados para la información de avance
Enfoque a la mejora de negocios
PASOS SUGERIDOS
7979
RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOSRESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS(EN INGLATERRA)(EN INGLATERRA)
TIPOS DE RIESGO PROMEDIO
Fracaso en la administración de proyectos mayores
Motivación y bajo desempeño del personal
7.05
6.67
6.32
6.30
6.00
Fracaso de estrategias
Fracaso en innovación
Mala reputación /administración - marca
Fuente: Deloitte & Touche, 1990Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico
Enfasis en el cambiode comportamiento
Sencillez
Conciencia del riesgo
Mecanismos deadvertencia oportunos
y respuesta rápida
Informaciónconfiable
Concientización de los objetivos
organizacionales
Asesoría atodos los niveles de
la compañía
Aplicación continua
deEstrategias de
control
ADECUADA ADMINISTRACIÓN DE
RIESGOS YCONTROL
Controles básicos
8181
PELIGROS POTENCIALESPELIGROS POTENCIALES
Falta deMecanismos
de Advertencia
DemasiadosRiesgos
identificados
AbandonarloDemasiado
tarde
Incrementode
Burocracia
IgnorarControles
Financierosbásicos
Sobrecargadel comité
deAuditoría
Incapacidadpara obtener
aceptacióndel gerente
InapropiadaOrientación de riesgos
Enfoque Insuficiente
en Admón deRiesgos
PeligrosPotenciales
8282
AUTOEVALUACIÓN DEL AUTOEVALUACIÓN DEL CONTROLCONTROL
CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith Diciembre 2007Diciembre 2007
8383
AEC - DEFINICIÓNAEC - DEFINICIÓN
Proceso documentado en el que :Proceso documentado en el que :
La administración o el equipo de trabajo se La administración o el equipo de trabajo se involucra directamente en una función.involucra directamente en una función.
Se juzga la efectividad del proceso de control Se juzga la efectividad del proceso de control vigente.vigente.
Se define si se asegura razonablemente el lograr Se define si se asegura razonablemente el lograr alguno o todos los objetivos.alguno o todos los objetivos.
El objetivo es proporcionar seguridad razonable de El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organizaciónque se alcanzarán los objetivos de la organización..
8484
AEC - OTROS NOMBRES
• Autoevaluación de riesgo-control.
• Evaluación dinámica del control.
• Co-evaluación del control.
• Autoevaluación organizacional.
• Autoevaluación de proceso.
• Autoevaluación de riesgos.
• Autoevaluación de riesgos de la organización.
AEC - DEFINICIÓN
8585
AEC - ENTRENAMIENTO
• Para desarrollar la AEC se requiere capacitación:
. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de control
. En redacción.
. En tecnología.
8686
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN2/2
Mejora del control y sus riesgos,
BENEFICIOS AL PROCESO OPERATIVO
Eficiencia de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general
A E CDesarrollo de la Responsabilidad
Instrumentación del Control
Diseño de Mejores Controles
Delegación de Facultades
CPC y CIA JUAN MANUEL PORTAL M.
8787
- Generación de ideas y planes de acción implantados más allá del alcance original.
- Facilidad de implantación de acciones de mejora.
- Promoción de la unidad organizacional mediante la identificación y solución de problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA.
• ADMINISTRACIÓN• PARTICIPANTES
• AUDITORÍA INTERNA
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
8888
AEC - FASES DE LA AUTOEVALUACIÓN
Monitoreo y
Reporte de Resultados
Conducción de Reuniones
Capacitación
Planeación
Involucramiento de la alta Gerencia
8989
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopción de la AEC
• Conocimiento de la AEC en los niveles adecuados
• Entendimiento de la complejidad, costos, beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC
9090
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la implantación de la AEC.
AEC – INVOLUCRAMIENTO DE…….
Requisitos de la Organización
9191
Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la gente
- Saber qué alcanzar y qué herramientas se necesitan
- Conocer la organización, su entorno y normatividad
- Entender la cultura organizacional
AEC – INVOLUCRAMIENTO DE…….
9292
AEC - INVOLUCRAMIENTO DE ………..
- Asegurarse que la administración sabe que es responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
Responsabilidades del Facilitador
9393
AEC – INVOLUCRAMIENTO DE…….
Preparación del tallerPreparación del taller::
Entrevistar a la Gerencia y al personal operativo Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacionalEvaluar la estructura organizacionalAprender sobre la organizaciónAprender sobre la organizaciónSeleccionar los objetivos de la organizaciónSeleccionar los objetivos de la organizaciónSeleccionar los participantes al TACSeleccionar los participantes al TACPreparar la logística de la reuniónPreparar la logística de la reuniónEnviar información previa a la reuniónEnviar información previa a la reunión..
Responsabilidades del Facilitador
9494
Preparación del taller:
- Facilitar la identificación del proceso y obstáculos
- Vigilar la logística
- Obtener acciones de mejora del TAC
AGREGAR VALOR A LA ORGANIZACIÓN
AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
9595
AEC – INVOLUCRAMIENTO DE…….
1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido
3. Proporcionar tiempo suficiente para la preparación del taller.
4. Definir los objetivos del Taller de Autoevaluación del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del proceso
Estrategias
9696
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentación a los participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora
Estrategias
AEC – INVOLUCRAMIENTO DE …….
9797
AEC - P L A N E A C I Ó N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con responsables y tiempos
6. Planear reportes de avance y conclusión
9898
A E C - C A P A C I T A C I O N
Capacitar en Control y Autocontrol:
• Modelos de Control (COSO, COCO...)
• Evaluación de riesgos
• Autoevaluación en control y su metodología
• Herramientas y tecnología especializada para su uso en el taller
9999
AEC - CONDUCCIÓN DE REUNIONES
1. Preparar la logística de las reuniones
2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
• Definición del producto final
• Metodología del taller
• Herramientas a utilizar
• Método de registro y votación
• Beneficios tangibles
4. Explicar el papel de los participantes y aclarar expectativas.
•
100100
AEC - CONDUCCIÓN DE REUNIONES
5. Presentar la agenda de la reunión
6. Conducir la reunión
7. Estructurar e inventariar el resultado de las
evaluaciones
8. Levantar minuta de los acuerdos
101101
AEC - CONDUCCIÓN DE REUNIONESAEC - CONDUCCIÓN DE REUNIONES
EscucheEscuche
No interrumpaNo interrumpa
Establezca un proceso de votoEstablezca un proceso de voto
Asegúrese que todos apoyen las reglasAsegúrese que todos apoyen las reglas
Todos deben ser facilitadores en algún momentoTodos deben ser facilitadores en algún momento
Las ideas de otros fortalecen la decisión del grupoLas ideas de otros fortalecen la decisión del grupo
Logre consensoLogre consenso
REGLAS PARA LA TOMA DE DECISIONES DE GRUPOREGLAS PARA LA TOMA DE DECISIONES DE GRUPO
102102
AEC – CONDUCCIÓN DE REUNIONES
- Definición y evaluación de objetivos, riesgos y
controles.
- Determinación de acciones de mejora.
- Definición y realización de las acciones, tiempos,
responsables y recursos para la implantación de
las mejoras.
- Establecimiento de puntos de control para la
evaluación de los avances y la comunicación de
las desviaciones
DESARROLLO DE PLANES DE ACCIÓN
103103
AEC - MONITOREO Y REPORTE DE RESULTADOS
- Establecer sistema de seguimiento y evaluación de los planes de acción
- Implantar acciones correctivas y formular nuevos planes
- Establecer y formular reportes de avance de los trabajos del taller
- Evaluar los costos y beneficios de las mejoras implantadas
- Impulsar la mejora continua
104104
AEC - PROBLEMÁTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales, entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna
105105
AEC – PROBLEMÁTICA
- Represalias por comentarios hechos en la sesión de la AEC.
- Acción subsecuente con información confidencial.
Obstáculos Para Su Adopción
• Impedimentos derivados de la
técnica.
• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.
106106
AEC – PROBLEMÁTICA
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como agobiante
• Impedimentos derivados de la
resistencia.
• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para la AEC
- Enfoque en los beneficios a alcanzar.
Obstáculos Para Su Adopción
107107
- La cultura no valora la innovación y la
colaboración.
- Organizaciones en medio de una reducción de
personal.
• Amenazas derivadas de la cultura.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
108108
- El desarrollo de la AEC no es adecuado en caso de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos personas.
+ Terceros vendedores o proveedores de servicios.
• Amenazas derivadas de la
adecuación.
• Salvaguardas.- Evitar utilizar la AEC en estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
109109
- La cultura no valora la innovación y la
colaboración.
- Organizaciones en medio de una reducción
de personal.
• Amenazas derivadas de la cultura.
• Salvaguardas.
- Evitar utilizar la AEC con estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
110110
ÉXITO PARA SU IMPLANTACIÓNÉXITO PARA SU IMPLANTACIÓN
I.I. Factores críticos de éxitoFactores críticos de éxito
II.II. Pasos para acelerar su Pasos para acelerar su implantaciónimplantación
III.III. Recomendaciones para su Recomendaciones para su implantaciónimplantación
111111
1)1) Determinación de objetivos clarosDeterminación de objetivos claros
2)2) Patrocinio de la alta gerenciaPatrocinio de la alta gerencia
3)3) Apoyo de la gerenciaApoyo de la gerencia
4)4) Entendimiento de por qué participa cada uno en la Entendimiento de por qué participa cada uno en la sesión de Autoevaluaciónsesión de Autoevaluación
5)5) Señalamiento de expectativasSeñalamiento de expectativas
I. FACTORES CRÍTICOS DE ÉXITOI. FACTORES CRÍTICOS DE ÉXITO
112112
6)6) Cultura que apoya la AECCultura que apoya la AEC
7)7) Actitud gerencial orientada al facultamiento y el controlActitud gerencial orientada al facultamiento y el control
8)8) Beneficios tangiblesBeneficios tangibles
9)9) Definición del producto finalDefinición del producto final
10)10) Entorno libre de riesgos (no represalias)Entorno libre de riesgos (no represalias)
I. FACTORES CRÍTICOS DE ÉXITO
113113
II. PASOS PARA ACELERAR SU IMPLANTACIÓNII. PASOS PARA ACELERAR SU IMPLANTACIÓN
1)1) Reconocer la complejidad de su implantaciónReconocer la complejidad de su implantación
2)2) Conducir sesiones pilotoConducir sesiones piloto
3)3) Ser realistas acerca de la cobertura de Ser realistas acerca de la cobertura de auditoríaauditoría
4)4) Dar los pronunciamientos y criterios al inicio Dar los pronunciamientos y criterios al inicio del procesodel proceso
5)5) Permitir suficiente tiempo para su preparaciónPermitir suficiente tiempo para su preparación
6)6) Limitar el alcance a los temas de alta prioridadLimitar el alcance a los temas de alta prioridad
114114
III. RECOMENDACIONES PARA SU III. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN
1)1) Conocer cuál es el propósito y qué Conocer cuál es el propósito y qué herramientas se necesitanherramientas se necesitan
2)2) Entender la cultura organizacional Entender la cultura organizacional
3)3) Ser innovador y dispuesto a tomar riesgosSer innovador y dispuesto a tomar riesgos
4)4) Particularizar el marco estructurado de controlParticularizar el marco estructurado de control
5)5) Agregar valor a la organizaciónAgregar valor a la organización
6)6) Comentar con los demás y aprender de ellosComentar con los demás y aprender de ellos
7)7) Rotar facilitadores que procedan de otras Rotar facilitadores que procedan de otras áreasáreas
115115
III. RECOMENDACIONES PARA SU III. RECOMENDACIONES PARA SU IMPLANTACIÓNIMPLANTACIÓN
8)8) Emplear grupos de trabajo interdisciplinariosEmplear grupos de trabajo interdisciplinarios
9)9) Mantener el proceso sencilloMantener el proceso sencillo
10)10) Reconocer que las habilidades de facilitación Reconocer que las habilidades de facilitación son tan importantes como las pruebas de son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales cumplimiento o las habilidades tradicionales de auditoríade auditoría
11)11) Mantener visible el apoyo de la gerenciaMantener visible el apoyo de la gerencia
12)12) Vender el concepto cada díaVender el concepto cada día
116116
AEC - ERRORES EN SU IMPLANTACIÓN
1) Fallar en explicar el por qué de la AEC.
2) Pilotear la AEC en un área problema.
3) Escoger los objetivos equivocados.
4) Sobre-analizar la situación.
117117
AEC - POR QUÉ FUNCIONA
• Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones.
• Se incrementa la conciencia entre objetivos, riesgos y controles.
• Los equipos (grupos de AEC) funcionan mejor que los individuos.
• La AEC promueve un entendimiento común de objetivos y metas.
• Los talleres de AEC eliminan las barreras de comunicación.