MODELOS DE CONTROL
CP, CIA y Mtro Fernando Vera Smith Diciembre 2007
MODELOS DE CONTROL CONTENIDO PANORÁMICA DE MODELOS DE CONTROL COSO CADBURY COCO COBIT TURNBULL AEC 2
PANORĂ MICA DE MODELOS DE CONTROL Marcos de referencia (comunidades) para clasificar los modelos de control segĂşn Philip L. Campbell ( An Introduction to Information Control Models): Objetivos de Control Principios Madurez de la Capacidad
3
PANORÁMICA DE MODELOS DE CONTROL Comunidad de Objetivos de Control Se basan en el concepto de “objetivo de control”: Control: Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán. Objetivo de control: una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información 4
PANORÁMICA DE MODELOS DE CONTROL Comunidad de Principios Se basan en la noción de principios como rendición de cuentas, concientización, equidad y ética. Comunidad de Madurez de la Capacidad Se basa en la noción del modelo de madurez, cuyo único miembro es el Systems Security Engineering Capability Maturity Model (SSECMM). La teoría es que una organización cuyo nivel de madurez es mayor que otra es probable que produzca un mejor producto o servicio. El enfoque se centra en el proceso y sólo en forma secundaria en el producto.
5
DIAGRAMA DE INFLUENCIA
FUENTE: An Introduction to Information Control Models, Philip L. Campbell 6
COMUNIDADES DE MODELOS
FUENTE: An Introduction to Information Control Models, Philip L. Campbell 7
SIGNIFICADO DE SIGLAS UTILIZADAS OECD
Organization for Economic Cooperation and Development
GAPP
Generaly Accepted Principles and Practices. National Institute of Standards and Technology (NIST)
BS 7799
British Standard Institute
SAC
Security Auditability and Control. The Inst. of Internal Audit.
COSO
Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity Model National Security Agency (NSA) Defense- Canada. CoCo
Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG
Information Technology Control Guidelines. Canadian Institute of Chartered Accountants (CICA)
GASSP
Generaly Accepted System Security Principles. International Information Security Foundation (IISF)
Cobit
Control Objectives for Information and Related Technologies
FISCAM
Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability SSAG
System Self-Assessment Guide for Information Technology Systems. NIST
8
CONTROL SEGĂšN COSO
CP, CIA y Mtro Fernando Vera Smith Diciembre 2007 9
COSO - ANTECEDENTES
Modelo de Control COSO: Committee of Sponsoring Organizations of the Tradeway Commision, USA, septiembre 1992. Modelo de Control COCO: Criteria of Control Committee (Instituto Canadiense de Contadores Certificados, CICA, November1995.
10
COSO - CONTROL Cualquier medida que tome la direcciรณn, el Consejo y otros, para mejorar la gestiรณn de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La direcciรณn planifica, organiza y dirige la realizaciรณn de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarรกn los objetivos y metas. 11
COSO - CONCEPTO DE CONTROL INTERNO Proceso llevado a cabo por el Consejo de Administración, la Gerencia y otro personal de la Organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en: Efectividad y eficiencia de las operaciones Confiabilidad de la información financiera Cumplimiento con las leyes, reglamentos, normas y políticas. 12
COSO - CARACTERÍSTICAS Medio para alcanzar un fin, no un fin en si mismo. No es un evento o circunstancia sino una serie de acciones que permean en las actividades de la organización. Forma parte de los procesos básicos de la administración-planeación ejecución y monitoreo y se encuentra integrado en ellos. Los controles deben construirse ”Dentro¨” de la infraestructura de la organización y no “Sobre ella”. 13
COSO - CARACTERÍSTICAS...
Es efectuado por personas. No es solamente un conjunto de manuales de políticas y procedimientos, sino son personas en cada nivel de la organización. Es ejecutado por la gente de una organización a través de lo que hace y dice. La gente diseña los objetivos de la Entidad y establece los mecanismos de control.
14
COSO - CARACTERÍSTICAS... Afecta las acciones del personal, señalándole sus responsabilidades y límites de autoridad, así como la vinculación entre sus deberes y la forma en que los desempeñan. La alta dirección es responsable de la existencia de un eficiente sistema de control.
Los Directores tienen la obligación de la vigilancia del control además de que proporcionan directrices y aprueban ciertas transacciones y políticas.
Cada individuo dentro de la organización tiene algún rol respecto al control interno. 15
COSO - CARACTERÍSTICAS...
No existe sistema infalible. Ningún sistema hará por siempre lo que se espera que haga. No importa lo bien diseñado y operado que sea un sistema de control; lo más que puede esperarse es que proporcione seguridad razonable. El efecto acumulado de controles y su naturaleza diversa, reducen el riesgo de que no puedan alcanzarse los objetivos.
16
COSO - CARACTERÍSTICAS... Limitaciones del control : Errores por falta de capacidad para ejecutar las instrucciones Errores de juicio en la toma de decisiones. Errores por mala interpretación, negligencia, distracción o fatiga. Inobservancia
gerencial
a
las
políticas
o
procedimientos prescritos. Colusión. Costo - beneficio.
17
COSO - CARACTERÍSTICAS... Características de los objetivos de una organización: Operacionales: Relacionados con el uso eficiente y eficaz de los recursos. Información
financiera:
Relacionados
con
la
preparación de reportes financieros confiables. Cumplimiento: Relacionados con el cumplimiento con leyes y reglamentos aplicables. 18
COSO - MARCO INTEGRADO DE CONTROL
19
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTES Existe una relación directa entre objetivos que la organización busca
y
los
componentes
que
representan necesario
lo para
alcanzar los objetivos 20
COSO - MARCO INTEGRADO DE CONTROL
21
MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL
ACTIVIDAD 2 ACTIVIDAD 1 UNIDAD B UNIDAD A
OP ER AC IO NE S RE PO FI RT NA NC ES IE RO S CU M PL IM IE NT O
COSO - Relaciones de Componentes y Objetivos
ACTIVIDAD
COMPONENTE
22
COSO - AMBIENTE DE CONTROL Integridad y Valores Eticos Comité de Auditoría Filosofía Admva. y Estilo de Dirección Estructura Organizacional Asignación de Autoridad y Responsabilidad Política de Recursos Humanos Competencia 23
COSO - EVALUACIÓN DE RIESGOS Objetivos Institucionales Objetivos Específicos Operativos Información Financiera Cumplimiento Análisis de Riesgos Organización (Externos / Internos) Actividad Análisis (Trascendencia / Probabilidad / Control) Manejo de Cambios (Reorganizaciones/Políticas / Sistemas y Procedimientos) 24
COSO - ACTIVIDADES DE CONTROL Actividades de control sobre:
Las operaciones La información financiera El acatamiento
Tipos de Control:
Preventivos / Correctivos Manuales / Automatizados Gerenciales
25
COSO - INFORMACIÓN Y COMUNICACIÓN Sistemas de Información :
Apoyo Actividades Estratégicas
Integración con las Operaciones
Calidad
Comunicación :
Interna / Externa
Medios
26
COSO - SUPERVISIÓN Y SEGUIMIENTO Supervisión Concurrente Evaluaciones Independientes
Alcance y frecuencia
Quiénes evalúan
Proceso de evaluación
Metodología / documentación
Plan de acción
Reportes de Deficiencias 27
COSO - RESPONSABILIDADES SOBRE EL CONTROL Consejo de Administración.- Es la instancia responsable de establecer guía, supervisión general y gobernabilidad a la organización Gerencia.- El Director General es el último responsable y asume la propiedad del sistema de control Auditores Internos.- Evalúa la efectividad del sistema de control Personal.- es responsable todo el personal dependiendo de su nivel y ubicación funcional 28
COSO - TIPOS DE CONTROL - Preventivos
- De actividades (repetitivas)
- Detectivos • Concurrentes (sobre la marcha) • Posteriores - De resultados (actividades creativas)
- De recursos
- De operaciones
- De insumos
- De procesos - De salidas
- De acceso
- De seguridad (resguardo)
- De investigación y desarrollo - De proyectos 29
MODELO CADBURY
CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
MODELO CADBURY • Desarrollado por el llamado Comité Cadbury (UK Cadbury Committee). Adopta una control.
interpretación
amplia
del
Mayores especificaciones en la definición de su enfoque sobre el sistema de control en su conjunto-financiero y de cualquier tipo .
31
MODELO CADBURY • Objetivos orientados a proporcionar una razonable seguridad de: a) Efectividad y eficiencia de las operaciones. b) Confiabilidad de la información y reportes financieros. c) Cumplimiento con leyes y reglamentos • Los elementos clave de este modelo son en esencia similares al modelo COSO, salvo la consideración de los sistemas de información integrados en los otros componentes y un mayor énfasis respecto a riesgos. • Limitación en la responsabilidad de los reportes de control a la confiabilidad de los financieros
32
MODELO COCO
CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007
MODELO COCO CONCEPTO DE CONTROL INTERNO - Incluye aquellos elementos de una organizaci贸n (recursos, sistemas, procesos, cultura, estructura y metas) que tomadas en conjunto apoyan al personal en el logro de los objetivos de la organizaci贸n: Efectividad y eficiencia de las operaciones. Confiabilidad de los reportes internos o externos. Cumplimiento con las leyes y reglamentos aplicables, as铆 como con las pol铆ticas internas. 34
MODELO COCO OBJETIVOS ORGANIZACIONALES (efectividad y eficiencia de las operaciones) Servicio al cliente Salvaguarda y uso eficiente de los recursos Obtenci贸n de beneficios Cumplimiento de obligaciones sociales Seguridad de que los riesgos son debidamente identificados y administrados 35
MODELO COCO Confiabilidad de los reportes internos y externos Mantenimiento de registros contables adecuados. Confiabilidad de la informaci贸n utilizada. Informaci贸n publicada para terceros interesados.
36
MODELO COCO
Cumplimiento con la normatividad y polĂticas internas aplicables Aseguramiento de que las actividades de la organizaciĂłn se conducen en total concordancia con el marco legal y con las polĂticas internas.
37
MODELO COCO Naturaleza del control • El control debe ser realizado por el personal de toda la organización, quien será responsable del diseño, establecimiento, supervisión y mantenimiento del control. • El personal responsable de lograr determinados objetivos también deberá evaluar la efectividad del control dentro de su esfera de competencia y de reportar tal evaluación ante quien él es responsable.
38
MODELO COCO Naturaleza del control
El costo del control deber谩 ser proporcional a los beneficios esperados. El control requiere de un equilibrio entre autonom铆a e integraci贸n y entre consistencia y adaptaci贸n al cambio.
39
MODELO COCO Ciclo del entendimiento básico Propósito Compromiso Aptitud Acción Evaluación (Auto) y Aprendizaje Criterios de control • Los criterios de control son la base para entender el control de una organización. • Están planteados como metas a cumplir permanentemente. 40
MODELO COCO A.- PROPÓSITO Sentido de Dirección a la Organización A1.- Los objetivos deben ser establecidos y comunicados. A2.- Los riesgos internos y externos significativos deben ser identificados y evaluados. A3.- Las políticas para apoyar el logro de los objetivos de una organización y el manejo de sus riesgos, deben ser establecidas, comunicadas y practicadas, de manera que el personal entienda lo que de él se espera. 41
MODELO COCO A.- PROPÓSITO A4.-
Deben establecerse y comunicarse planes para guiar los esfuerzos para lograr los objetivos de la organización.
A5.-
Los objetivos y los planes relativos deben incluir metas, parámetros e indicadores de medición del desempeño.
42
MODELO COCO B.- COMPROMISO: Sentido de identidad y valores de la organización. B1. Deben establecerse, comunicarse y ponerse en práctica valores éticos compartidos, incluyendo la integridad. B2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos.
43
MODELO COCO B.- COMPROMISO B3.
La autoridad, la responsabilidad y la obligación de rendir cuentas deben ser claramente definidas y consistentes con los objetivos de la organización, de tal forma se tomen las decisiones y acciones por el personal apropiado.
B4. Debe fomentarse una atmósfera de mutua confianza para apoyar el flujo de la información entre el personal y para su efectivo desempeño hacia el logro de los objetivos.
44
MODELO COCO C. APTITUD: sentido de competencia o aptitud de la organización C1. El personal debe tener los conocimientos, habilidades y herramientas para alcanzar los objetivos de la organización. C2. El proceso de comunicación debe apoyar los valores de la organización y el logro de sus objetivos. C3. Debe ser identificada y comunicada información suficiente y relevante de manera oportuna, para posibilitar al personal a desempeñar las responsabiIidades asignadas.
45
MODELO COCO C. APTITUD C4. Deben coordinarse las decisiones y acciones de las diferentes partes de la organización. C5. Las actividades de control deben diseñarse como parte integral de la organización, tomando en consideración sus objetivos, los riesgos para su cumplimiento y la interrelación de los elementos de control.
46
MODELO COCO - Evaluación y aprendizaje. Sentido de evolución de la organización: D1.-
El ambiente externo e interno debe “monitoreado” para obtener información pueda señalar la necesidad de revaluar objetivos de la organización o el control.
ser que los
D2.- El desempeño debe ser evaluado o medido contra las metas e indicadores en los planes u objetivos de la organización. D3.- Las premisas consideradas para los objetivos de la organización deben cuestionarse periódicamente. 47
MODELO COCO - Evaluaci贸n y Aprendizaje D4.- Las necesidades de informaci贸n y los sistemas de informaci贸n relativos deben reevaluarse en la medida que cambian los objetivos o al identificarse deficiencias en la informaci贸n reportada. D5.- Debe establecerse y ejecutarse un seguimiento de los procedimientos, para asegurar que se den los cambios requeridos.
48
COBIT
CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007 49
Cobit - Definición Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and Related Technology (CObIT) y presentación de Fernando Izquierdo Duarte 2002 50
Cobit - Definición ¿Qué es? Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización. Promueve el enfoque y la propiedad de los procesos. 51
Cobit - Definición Apoya a la organización al proveer un marco que asegura que: La Tecnología de Información (TI) esté alineada con la misión y visión. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente. 52
Cobit - Usuarios Gerencia: Apoyar decisiones de inversi贸n en TI y control sobre su rendimiento, as铆 como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente 53
Cobit - Usuarios Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizaci贸n y el control m铆nimo requerido. Responsables de TI: Identificar los controles que requieren.
54
Cobit - Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI 55
Cobit - Estructura INFORMACIÓN
EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos
Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
56
Cobit - Estructura Lo que usted Obtiene
Procesos del Negocio
Lo que Usted Necesita
Criterios Informaci贸n
Recursos de TI Datos Aplicaciones Tecnolog铆a Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Concuerdan 57
Cobit - Estructura
Procesos Actividades
R
ur c e
s o s
Recurso Humano
Dominios
Instalaciones
u g Se
d a rid
Tecnolog铆a
C
li i b if a on
Applicaciones
lid a C
ad
d a d
Datos
Procesos TI
CUBO de CobiT Relaci贸n entre los componentes
Criterios de la Informaci贸n (7)
de
TI
58
59
Objetivos del Negocio
CobiT
Requerimientos de Informaciรณn
Planeaciรณn y Organizaciรณn
Seguimiento Recursos de TI
Adquisiciรณn e Implantaciรณn
Servicios y Soporte 60
Cobit - Requerimientos
de la Informaci贸n del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad
Calidad.
Requerimientos Financieros (COSO)
Efectividad y eficiencia operacional.
Requerimientos de Seguridad
Confidencialidad.
Costo. Oportunidad.
Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.
Integridad. Disponibilidad. 61
Cobit - Requerimientos de la Información del Negocio Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Empleo óptimo de los recursos. Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.
62
Cobit - Requerimientos de la Informaci贸n del Negocio
Disponibilidad: accesibilidad a la informaci贸n y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo. 63
Recursos de TI Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano :Habilidad, actitud y productividad del personal.
64
Procesos de TI - Los Tres Niveles Dominios
4
Procesos 34
Actividades o tareas
318
Agrupaci贸n natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Conjuntos o series de actividades unidas con delimitaci贸n o cortes de control. Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 65
COBIT – DOMINIOS: 4
Planeación y Organización Adquisición e Implantación Prestación de Servicios y Soporte Seguimiento
66
COBIT – DOMINIOS - PROCESOS Planeación y Organización
Adquisición e Implantación
Definición de un plan estratégico Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad Identificación de soluciones automatizadas Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios
67
COBIT – DOMINIOS - PROCESOS Servicios y Soporte
Seguimiento
Definición de los niveles de servicios Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente 68
COBIT COMO PRODUCTO Resumen Ejecutivo Marco de Referencia (Framework) Objetivos de Control Guías de Auditoría Guías de Administración Herramientas de Implementación CD-ROM 2a Edición disponible en español 69
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998 Definición de Control Interno
Definición de Objetivos de Control de T I
COSO 1992 Contribuciones al concepto de Control Interno
SAS 78 - 1995
SAC 1991/1994 Conceptos de Control Interno
enmienda
Conceptos de Control Interno
SAS 55 - 1988 70
Comparación de Conceptos de Control COBIT Dirigido a:
SAC
Administración, Usuarios, Auditores de Auditores Internos Sistemas Responsables de TI
COSO
SASs 55/78
Administración
Auditores Externos
El Control Interno es Visto Conjunto de procesos incluyendo como políticas, procedimientos, prácticas y estructura Organizacional
Conjunto de procesos, subsistemas y personas
Procesos
Procesos
Los Objetivos Organizacionales de Control Interno
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Efectividad y Eficiencia de las operaciones
Confidencialidad, Integridad y disponibilidad de la información
Confiabilidad en los reportes Confiabilidad en los reportes financieros financieros
Confiabilidad en los reportes financieros
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Cumplimiento con leyes y normas
Cumplimiento con leyes y normas
Dominios:
Componentes:
Componentes:
Componentes:
Planeación y Organización
Ambiente de Control
Ambiente de Control
Ambiente de Control
Adquisición e implantación
Sistemas Manuales y Automatizados.
Evaluación de Riesgo
Evaluación de Riesgo
Actividades de Control
Actividades de Control
Información y Comunicación
Información y Comunicación
Seguimiento
Seguimiento
Tecnología de Información
Toda la Organización
Estados Financieros
Evaluación de la Por un periodo de tiempo Efectividad del Control I.
Por un periodo de tiempo
En un punto en el tiempo
Por un periodo de tiempo
Responsable por el Control Administración Interno
Administración
Administración
Administración
Tamaño
1193 páginas en 12 módulos 353 páginas en 4 volúmenes
Cumplimiento con leyes y normas Componentes o Dominios
Servicio y Soporte Seguimiento Enfocado a
Tecnología de Información
187 páginas en 4 volúmenes
Procedimientos de Control
63 páginas en 2 documentos
71
GUĂ?A TURNBULL
CP, CIA y Mtro. Fernando Vera Smith Diciembre, 2007 72
¿ QUÉ ES LA GUÍA TURNBULL? Es la adopción de un enfoque basado en riesgos para establecer un sistema de control interno y revisar su efectividad
CONTRIBUCIONES DE AUDITORÍA INTERNA Aseguramiento de la adecuación y efectividad de la Administración de Riesgos y del sistema de control
Promoción de la Concientización de riesgos y controles y los programas de autoevaluación
Apoyo para mejorar el proceso de Identificación y Administración de riesgos
74
Desplazamiento oportuno a otras 谩reas de negocios
Disminuci贸n de sorpresas desagradables
Mayor probabilidad de lograr objetivos
BENEFICIOS POTENCIALES
Reducci贸n de tiempo para emergencias
Mejores bases para establecer estrategias
Mayor cobertura a largo plazo
Mayor probabilidad de lograr cambios
Ventajas competitivas
Menores costos de capital
Enfoque interno en hacer bien las cosas
IMPLANTACIÓN DEL TURNBULL Implantación de acciones de mejora
Revisión de riesgos y controles anuales
Informes sucintos
Fuentes de aseguramiento Monitoreo de aspectos significativos de control interno Mecanismos de advertencia oportunos
Identificación de cambios Internos y externos y reconsideración y negociación de objetivos
ENFOQUE AL LOGRO DE OBJETIVOS A TRAVÉS DE UNA MEJOR ADMINISTRACIÓN DE RIESGOS
Cambios en comportamiento y enfoque en las bases de una buena administración de riesgos y control
Identificación de factores críticos de éxito Identificación y priorización de riesgos Determinación de riesgos significativos
Negociación de estrategias de control y administración de riesgos Negociación sobre rendición de cuentas Concientización de los riesgos 76 críticos
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS Enfocarse Enfocarseen enriesgos riesgos críticos y sus controles críticos y sus controles
Asegurar Asegurarque quelos losobjetivos objetivos se jerarquicen se jerarquicen
Reorientar Reorientarelel entrenamiento entrenamiento hacia hacialos losriesgos riesgoscríticos críticos
MANTENERSE SIMPLE Y PROSPECTIVO
Elaborar Elaborarun unplan plan apropiado apropiadoyy monitorear monitorearsu suavance avance
Evitar Evitarexpedientes expedientes voluminosos voluminosos
Evitar Evitarduplicidades duplicidades
Asignar Asignar responsabilidades responsabilidades en la en laadministración administraciónde de riesgos riesgos
Mantener Mantenerlos losinformes informes alalConsejo sucintos Consejo sucintosyy sencillos sencillos 77
PASOS SUGERIDOS Enfoque a la mejora de negocios Implantación de mecanismos apropiados para la información de avance Involucramiento de los distintos niveles de la organización
Implantación del plan de desarrollo y de la política de administració de riesgos Reconsideración y afinación del plan por el Consejo Consideración del plan por el Consejo de Administración Aceptación del plan por parte de los directores Asignación de responsabilidades para elaborar el plan individual o de equipos78
RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS (EN INGLATERRA) TIPOS DE RIESGO Fracaso en la administración de proyectos mayores Fracaso de estrategias
PROMEDIO
7.05 6.67
Fracaso en innovación
6.32
Mala reputación /administración - marca
6.30
Motivación y bajo desempeño del personal
6.00
1= riesgo mínimo, 9 = crítico
Fuente: Deloitte & Touche, 1990 79
Enfasis en el cambio de comportamiento
Información confiable
Sencillez Conciencia del riesgo
ADECUADA ADMINISTRACIÓN DE RIESGOS Y CONTROL
Asesoría a todos los niveles de la compañía
Controles básicos
Mecanismos de advertencia oportunos y respuesta rápida
Concientización de los objetivos organizacionales
Aplicación continua de Estrategias de control
PELIGROS POTENCIALES
Falta de Mecanismos de Advertencia
Demasiados Riesgos identificados
Enfoque Insuficiente en Admón de Riesgos
Inapropiada Orientación de riesgos
Peligros Potenciales
Incapacidad para obtener aceptación del gerente
Sobrecarga del comité de Auditoría
Abandonarlo Demasiado tarde Incremento de Burocracia
Ignorar Controles Financieros básicos
81
AUTOEVALUACIÓN DEL CONTROL
CP, CIA y Mtro Fernando Vera Smith Diciembre 2007 82
AEC - DEFINICIÓN
Proceso documentado en el que : La administración o el equipo de trabajo se involucra directamente en una función. Se juzga la efectividad del proceso de control vigente. Se define si se asegura razonablemente el lograr alguno o todos los objetivos. El objetivo es proporcionar seguridad razonable de que se alcanzarán los objetivos de la organización .
83
AEC - OTROS NOMBRES AEC - DEFINICIÓN
• Autoevaluación de riesgocontrol. • Evaluación dinámica del control. • Co-evaluación del control.
• Autoevaluación de proceso. • Autoevaluación de riesgos. • Autoevaluación de riesgos de la organización.
• Autoevaluación organizacional.
84
AEC - ENTRENAMIENTO • Para desarrollar la AEC se requiere capacitación: . En metodología. . En modelos de control . En evaluación de riesgos . En talleres de autoevaluación de control . En redacción. . En tecnología.
85
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN 2/2
BENEFICIOS AL PROCESO OPERATIVO Mejora del control y sus riesgos, Delegación de Facultades Desarrollo de la Responsabilidad
Instrumentación del Control
AEC
Diseño de Mejores Controles
Eficiencia
de Procesos - Satisfacción del cliente - Mejora de la calidad - Examen de los procesos organizacionales en general
86 CPC y CIA JUAN MANUEL PORTAL M.
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN •
ADMINISTRACIÓN • PARTICIPANTES • AUDITORÍA INTERNA
- Mejora de la moral del personal. - Eliminación de atmósferas de desconfianza. - Generación de ideas y planes de acción implantados más allá del alcance original. - Facilidad de implantación de acciones de mejora. - Promoción de la unidad organizacional mediante la identificación y solución de problemas. - REALZA EL PAPEL DE AUDITORÍA INTERNA.
87
AEC - FASES DE LA AUTOEVALUACIÓN
Involucramiento de la alta Gerencia
Monitoreo y Reporte de Resultados
Conducción de Reuniones
Planeación
Capacitación
88
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopción de la AEC • Conocimiento adecuados
de
la
AEC
en
los
niveles
• Entendimiento de la complejidad, beneficios y limitaciones de la AEC
costos,
• Aceptación, involucramiento y patrocinio de la alta gerencia en la AEC
89
AEC – INVOLUCRAMIENTO DE…….
Requisitos de la Organización - Cultura que apoye la AEC - Actitud gerencial orientada al facultamiento y al control. - Entorno libre de riesgos (no represalias) - Reconocimiento de la implantación de la AEC.
complejidad
de
la
90
AEC – INVOLUCRAMIENTO DE……. Requisitos del Facilitador - Ser innovador y desear tomar riesgos - Saber escuchar, comunicarse y aprender de la gente - Saber qué necesitan - Conocer la normatividad
alcanzar
y
qué
organización,
herramientas su
entorno
se y
- Entender la cultura organizacional 91
AEC - INVOLUCRAMIENTO DE ……….. Responsabilidades del Facilitador - Asegurarse que la administración sabe que es responsable de los controles - Explicar el proceso de AEC - Proporcionar información y conocimiento al taller - Utilizar enfoques y herramientas específicas - Desarrollar la dinámica del equipo - Asegurar la logística del taller. - Obtener acciones de mejora del taller. 92
AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador
Preparación del taller: Entrevistar a la Gerencia y al personal operativo Evaluar la estructura organizacional Aprender sobre la organización Seleccionar los objetivos de la organización Seleccionar los participantes al TAC Preparar la logística de la reunión Enviar información previa a la reunión. 93
AEC – INVOLUCRAMIENTO DE……. Responsabilidades del Facilitador Preparación del taller:
- Facilitar la identificación del proceso y obstáculos - Vigilar la logística - Obtener acciones de mejora del TAC AGREGAR VALOR A LA ORGANIZACIÓN 94
AEC – INVOLUCRAMIENTO DE……. Estrategias 1. Limitar el alcance a asuntos de alta prioridad 2. Emplear grupos de trabajo interdisciplinarios y con personal comprometido 3. Proporcionar tiempo preparación del taller.
suficiente
para
la
4. Definir los objetivos del Taller de Autoevaluación del Control (TAC) 5. Emitir pronunciamientos y criterios al inicio del proceso 95
AEC – INVOLUCRAMIENTO DE ……. Estrategias 6. Mantener visible el apoyo de la alta gerencia 7. Vender el concepto constantemente 8. Proporcionar retroalimentación participantes sobre los resultados
a
los
9. Implantar la AEC mediante prueba piloto, lo mismo que las acciones de mejora
96
AEC - P L A N E A C I Ó N 1. Seleccionar el (los) objetivo (s) a analizar en el TAC 2. Seleccionar al facilitador y al relator 3. Definir la estructura del TAC: horizontal, vertical o mixta. 4. Seleccionar los participantes del TAC 5. Elaborar el programa responsables y tiempos
de
actividades
con
6. Planear reportes de avance y conclusión
97
AEC- C A P A C I T A C I O N Capacitar en Control y Autocontrol: • Modelos de Control (COSO, COCO...) • Evaluación de riesgos • Autoevaluación en control y su metodología • Herramientas y tecnología especializada para su uso en el taller
98
AEC - CONDUCCIÓN DE REUNIONES 1. Preparar la logística de las reuniones 2. Enviar información previa a las reuniones 3. Presentar los objetivos del TAC •
Definición del producto final
•
Metodología del taller
•
Herramientas a utilizar
•
Método de registro y votación
•
Beneficios tangibles
4. Explicar el papel de los participantes y aclarar expectativas. 99
AEC - CONDUCCIÓN DE REUNIONES
5. Presentar la agenda de la reunión 6. Conducir la reunión 7. Estructurar e inventariar el resultado de las evaluaciones 8. Levantar minuta de los acuerdos
100
AEC - CONDUCCIÓN DE REUNIONES REGLAS PARA LA TOMA DE DECISIONES DE GRUPO
Escuche No interrumpa Establezca un proceso de voto Asegúrese que todos apoyen las reglas Todos deben ser facilitadores en algún momento Las ideas de otros fortalecen la decisión del grupo Logre consenso 101
AEC – CONDUCCIÓN DE REUNIONES DESARROLLO DE PLANES DE ACCIÓN - Definición y evaluación de objetivos, riesgos y controles. - Determinación de acciones de mejora. - Definición y realización de las acciones, tiempos, responsables y recursos para la implantación de las mejoras. - Establecimiento de puntos de control para la evaluación de los avances y la comunicación de las desviaciones
102
AEC - MONITOREO Y REPORTE DE RESULTADOS - Establecer sistema de seguimiento y evaluaci贸n de los planes de acci贸n - Implantar acciones correctivas y formular nuevos planes - Establecer y formular reportes de avance de los trabajos del taller - Evaluar los costos y beneficios de las mejoras implantadas - Impulsar la mejora continua 103
AEC - PROBLEMÁTICA - Arranque costoso - Curva de aprendizaje pronunciada - Habilidades poco aprovechadas - Poco o mal entendimiento de los talleres - Resultados iniciales poco impactantes - Costos de honorarios de entrenamiento, equipo y software
profesionales,
- Inversión fuerte en capacitación - Esfuerzo serio de venta interna
104
AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la técnica. - Represalias por comentarios hechos en la sesión de la AEC. - Acción subsecuente con información confidencial.
• Salvaguarda. - Garantía de no represalias. - Garantía sobre la confidencialidad. - Tecnología de voto electrónico.
105
AEC – PROBLEMÁTICA Obstáculos Para Su Adopción • Impedimentos derivados de la resistencia. - Inflexibilidad de quienes llevan a cabo la AEC - La AEC trae cambios que a la gente no le gustan. - El compromiso de tiempo puede ser visto como agobiante
• Salvaguardas. - Selección de personal adecuado. - Soporte y compromiso de alto nivel para la AEC - Enfoque en los beneficios a alcanzar. 106
AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura. - La cultura no valora la innovación y la colaboración. - Organizaciones en medio de una reducción de personal.
• Salvaguardas. - Evitar utilizar la AEC en estas situaciones.
107
AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la adecuación. - El desarrollo de la AEC no es adecuado en caso de: + Fraude. + Litigio. + Paticipantes con objetivos opuestos. + Funciones con únicamente una o dos personas. + Terceros vendedores o proveedores de servicios.
• Salvaguardas. - Evitar utilizar la AEC en estas situaciones. 108
AEC – PROBLEMÁTICA OBSTÁCULOS PARA SU ADOPCIÓN • Amenazas derivadas de la cultura. -
La cultura no valora la innovación y la colaboración.
- Organizaciones en medio de una reducción de personal. • Salvaguardas. - Evitar utilizar la AEC con estas situaciones. 109
ÉXITO PARA SU IMPLANTACIÓN
I.
Factores críticos de éxito
II.
Pasos para implantación
III.
Recomendaciones implantación
acelerar
su
para
su
110
I. FACTORES CRÍTICOS DE ÉXITO 1)
Determinación de objetivos claros
2)
Patrocinio de la alta gerencia
3)
Apoyo de la gerencia
4)
Entendimiento de por qué participa cada uno en la sesión de Autoevaluación
5)
Señalamiento de expectativas 111
I. FACTORES CRÍTICOS DE ÉXITO
6)
Cultura que apoya la AEC
7)
Actitud gerencial orientada al facultamiento y el control
8)
Beneficios tangibles
9)
Definición del producto final
10)
Entorno libre de riesgos (no represalias) 112
II. PASOS PARA ACELERAR SU IMPLANTACIÓN 1)
Reconocer la complejidad de su implantación
2)
Conducir sesiones piloto
3)
Ser realistas acerca de la cobertura de auditoría
4)
Dar los pronunciamientos y criterios al inicio del proceso
5)
Permitir suficiente tiempo para su preparación
6)
Limitar el alcance a los temas de alta prioridad 113
III. RECOMENDACIONES PARA SU IMPLANTACIÓN 1)
Conocer cuál es el propósito herramientas se necesitan
y
qué
2)
Entender la cultura organizacional
3)
Ser innovador y dispuesto a tomar riesgos
4)
Particularizar el marco estructurado de control
5)
Agregar valor a la organización
6)
Comentar con los demás y aprender de ellos
7)
Rotar facilitadores que procedan de otras áreas 114
III. RECOMENDACIONES PARA SU IMPLANTACIÓN 8)
Emplear grupos de trabajo interdisciplinarios
9)
Mantener el proceso sencillo
10)
Reconocer que las habilidades de facilitación son tan importantes como las pruebas de cumplimiento o las habilidades tradicionales de auditoría
11)
Mantener visible el apoyo de la gerencia
12)
Vender el concepto cada día 115
AEC - ERRORES EN SU IMPLANTACIÓN
1) Fallar en explicar el por qué de la AEC. 2) Pilotear la AEC en un área problema. 3) Escoger los objetivos equivocados. 4) Sobre-analizar la situación.
116
AEC - POR QUÉ FUNCIONA • Los empleados sienten que tienen un propósito, que sus contribuciones son valiosas y que están involucrados en la toma de decisiones. • Se incrementa la conciencia entre objetivos, riesgos y controles. • Los equipos (grupos de AEC) funcionan mejor que los individuos. • La AEC promueve un entendimiento común de objetivos y metas. • Los talleres de AEC eliminan las barreras de comunicación. 117