1. MODELOS DE CONTROLMODELOS DE CONTROL
CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith
Diciembre 2007Diciembre 2007
2. 22
MODELOS DE CONTROLMODELOS DE CONTROL
CONTENIDOCONTENIDO
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
COSOCOSO
CADBURYCADBURY
COCOCOCO
COBITCOBIT
TURNBULLTURNBULL
AECAEC
3. 33
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Marcos de referencia (comunidades) paraMarcos de referencia (comunidades) para
clasificar los modelos de control según Philip L.clasificar los modelos de control según Philip L.
Campbell ( An Introduction to InformationCampbell ( An Introduction to Information
Control Models):Control Models):
Objetivos de ControlObjetivos de Control
PrincipiosPrincipios
Madurez de la CapacidadMadurez de la Capacidad
4. 44
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Comunidad de Objetivos de ControlComunidad de Objetivos de Control
Se basan en el concepto de “objetivo de control”:Se basan en el concepto de “objetivo de control”:
Control: Las políticas, procedimientos, prácticas yControl: Las políticas, procedimientos, prácticas y
estructuras organizacionales para proporcionarestructuras organizacionales para proporcionar
seguridad razonable de que los objetivosseguridad razonable de que los objetivos
organizacionales se alcanzarán y que los eventos noorganizacionales se alcanzarán y que los eventos no
deseados se evitarán o detectarán y corregirán.deseados se evitarán o detectarán y corregirán.
Objetivo de control: una declaración de que el resultadoObjetivo de control: una declaración de que el resultado
o propósito deseado se alcanzará al implantaro propósito deseado se alcanzará al implantar
mecanismos de control en una actividad particular demecanismos de control en una actividad particular de
tecnología de informacióntecnología de información
5. 55
PANORÁMICA DE MODELOS DE CONTROLPANORÁMICA DE MODELOS DE CONTROL
Comunidad de PrincipiosComunidad de Principios
Se basan en la noción de principios como rendición de cuentas,Se basan en la noción de principios como rendición de cuentas,
concientización, equidad y ética.concientización, equidad y ética.
Comunidad de Madurez de la CapacidadComunidad de Madurez de la Capacidad
Se basa en la noción del modelo de madurez, cuyo único miembroSe basa en la noción del modelo de madurez, cuyo único miembro
es el Systems Security Engineering Capability Maturity Model (SSE-es el Systems Security Engineering Capability Maturity Model (SSE-
CMM).CMM).
La teoría es que una organización cuyo nivel de madurez es mayorLa teoría es que una organización cuyo nivel de madurez es mayor
que otra es probable que produzca un mejor producto o servicio. Elque otra es probable que produzca un mejor producto o servicio. El
enfoque se centra en el proceso y sólo en forma secundaria en elenfoque se centra en el proceso y sólo en forma secundaria en el
producto.producto.
8. 88
SIGNIFICADO DE SIGLAS UTILIZADASSIGNIFICADO DE SIGLAS UTILIZADAS
OECD Organization for Economic Cooperation and DevelopmentOECD Organization for Economic Cooperation and Development
GAPP Generaly Accepted Principles and Practices. National Institute of StandardsGAPP Generaly Accepted Principles and Practices. National Institute of Standards
and Technology (NIST)and Technology (NIST)
BS 7799 British Standard InstituteBS 7799 British Standard Institute
SAC Security Auditability and Control. The Inst. of Internal Audit.SAC Security Auditability and Control. The Inst. of Internal Audit.
COSO Internal Control Integrated Framework. Committee of Sponsoring OrganizationsCOSO Internal Control Integrated Framework. Committee of Sponsoring Organizations
SSE CMM Systems Security Engineering Capability Maturity ModelSSE CMM Systems Security Engineering Capability Maturity Model
National Security Agency (NSA) Defense- Canada.National Security Agency (NSA) Defense- Canada.
CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.CoCo Criteria of Control Board of The Canadian Institute of Chartered Accountants.
ITCG Information Technology Control Guidelines. Canadian InstituteITCG Information Technology Control Guidelines. Canadian Institute
of Chartered Accountants (CICA)of Chartered Accountants (CICA)
GASSP Generaly Accepted System Security Principles. InternationalGASSP Generaly Accepted System Security Principles. International
Information Security Foundation (IISF)Information Security Foundation (IISF)
Cobit Control Objectives for Information and Related TechnologiesCobit Control Objectives for Information and Related Technologies
FISCAM Federal Information Systems Controls Audit Manual. GAOFISCAM Federal Information Systems Controls Audit Manual. GAO
SysTrust AICPA/CICA SysTrust Principles and Criteria for System ReliabilitySysTrust AICPA/CICA SysTrust Principles and Criteria for System Reliability
SSAG System Self-Assessment Guide for Information Technology Systems. NISTSSAG System Self-Assessment Guide for Information Technology Systems. NIST
9. 99
CP, CIA y Mtro Fernando Vera SmithCP, CIA y Mtro Fernando Vera Smith
Diciembre 2007Diciembre 2007
CONTROL SEGÚN COSOCONTROL SEGÚN COSO
10. 1010
COSO -COSO -
ANTECEDENTESANTECEDENTES
Modelo de Control COSOModelo de Control COSO:: Committee ofCommittee of
Sponsoring Organizations of the TradewaySponsoring Organizations of the Tradeway
Commision, USA, septiembre 1992.Commision, USA, septiembre 1992.
Modelo de Control COCOModelo de Control COCO:: Criteria of ControlCriteria of Control
Committee (Instituto Canadiense de ContadoresCommittee (Instituto Canadiense de Contadores
Certificados, CICA,Certificados, CICA, November1995November1995..
11. 1111
Cualquier medida que tome la dirección, el Consejo y otros,Cualquier medida que tome la dirección, el Consejo y otros,
para mejorar la gestión de riesgos y aumentar lapara mejorar la gestión de riesgos y aumentar la
probabilidad de alcanzar los objetivos y metas establecidos.probabilidad de alcanzar los objetivos y metas establecidos.
La dirección planifica, organiza y dirige la realización de lasLa dirección planifica, organiza y dirige la realización de las
acciones suficientes para proporcionar una seguridadacciones suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos y metasrazonable de que se alcanzarán los objetivos y metas..
COSO - CONTROLCOSO - CONTROL
12. 1212
Proceso llevado a cabo por el Consejo de Administración, laProceso llevado a cabo por el Consejo de Administración, la
Gerencia y otro personal de la Organización, diseñado paraGerencia y otro personal de la Organización, diseñado para
proporcionar una seguridad razonable sobre el logro de losproporcionar una seguridad razonable sobre el logro de los
objetivos de la organización clasificados en:objetivos de la organización clasificados en:
Efectividad y eficiencia de las operacionesEfectividad y eficiencia de las operaciones
Confiabilidad de la información financieraConfiabilidad de la información financiera
Cumplimiento con las leyes, reglamentos, normas yCumplimiento con las leyes, reglamentos, normas y
políticas.políticas.
COSO - CONCEPTO DE CONTROL INTERNOCOSO - CONCEPTO DE CONTROL INTERNO
13. 1313
COSO - CARACTERÍSTICASCOSO - CARACTERÍSTICAS
Medio para alcanzar un fin, no un fin en si mismo.Medio para alcanzar un fin, no un fin en si mismo.
No es un evento o circunstancia sino una serie deNo es un evento o circunstancia sino una serie de
acciones que permean en las actividades de laacciones que permean en las actividades de la
organización.organización.
Forma parte de los procesos básicos de laForma parte de los procesos básicos de la
administración-planeación ejecución y monitoreo y seadministración-planeación ejecución y monitoreo y se
encuentra integrado en ellos.encuentra integrado en ellos.
Los controles deben construirse ”Dentro¨” de laLos controles deben construirse ”Dentro¨” de la
infraestructura de la organización y no “Sobre ella”.infraestructura de la organización y no “Sobre ella”.
14. 1414
Es efectuado por personas. No es solamente un conjuntoEs efectuado por personas. No es solamente un conjunto
de manuales de políticas y procedimientos, sino sonde manuales de políticas y procedimientos, sino son
personas en cada nivel de la organización.personas en cada nivel de la organización.
Es ejecutado por la gente de una organización a través deEs ejecutado por la gente de una organización a través de
lo que hace y dice. La gente diseña los objetivos de lalo que hace y dice. La gente diseña los objetivos de la
Entidad y establece los mecanismos de control.Entidad y establece los mecanismos de control.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
15. 1515
Afecta las acciones del personal, señalándole susAfecta las acciones del personal, señalándole sus
responsabilidades y límites de autoridad, así como laresponsabilidades y límites de autoridad, así como la
vinculación entre sus deberes y la forma en que losvinculación entre sus deberes y la forma en que los
desempeñan.desempeñan.
La alta dirección es responsable de la existencia de unLa alta dirección es responsable de la existencia de un
eficiente sistema de control.eficiente sistema de control.
Los Directores tienen la obligación de la vigilancia delLos Directores tienen la obligación de la vigilancia del
control además de que proporcionan directrices ycontrol además de que proporcionan directrices y
aprueban ciertas transacciones y políticas.aprueban ciertas transacciones y políticas.
Cada individuo dentro de la organización tiene algún rolCada individuo dentro de la organización tiene algún rol
respecto al control interno.respecto al control interno.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
16. 1616
No existe sistema infalible. Ningún sistema hará porNo existe sistema infalible. Ningún sistema hará por
siempre lo que se espera que haga.siempre lo que se espera que haga.
No importa lo bien diseñado y operado que sea unNo importa lo bien diseñado y operado que sea un
sistema de control; lo más que puede esperarse es quesistema de control; lo más que puede esperarse es que
proporcione seguridad razonable.proporcione seguridad razonable.
El efecto acumulado de controles y su naturalezaEl efecto acumulado de controles y su naturaleza
diversa, reducen el riesgo de que no puedan alcanzarsediversa, reducen el riesgo de que no puedan alcanzarse
los objetivos.los objetivos.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
17. 1717
Limitaciones del control :Limitaciones del control :
Errores por falta de capacidad para ejecutar lasErrores por falta de capacidad para ejecutar las
instruccionesinstrucciones
Errores de juicio en la toma de decisiones.Errores de juicio en la toma de decisiones.
Errores por mala interpretación, negligencia,Errores por mala interpretación, negligencia,
distracción o fatiga.distracción o fatiga.
Inobservancia gerencial a las políticas oInobservancia gerencial a las políticas o
procedimientos prescritos.procedimientos prescritos.
Colusión.Colusión.
Costo - beneficio.Costo - beneficio.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
18. 1818
Características de los objetivos de una organización:Características de los objetivos de una organización:
OperacionalesOperacionales:: Relacionados con el uso eficiente yRelacionados con el uso eficiente y
eficaz de los recursos.eficaz de los recursos.
Información financieraInformación financiera:: Relacionados con laRelacionados con la
preparación de reportes financieros confiables.preparación de reportes financieros confiables.
CumplimientoCumplimiento:: Relacionados con el cumplimientoRelacionados con el cumplimiento
con leyes y reglamentos aplicables.con leyes y reglamentos aplicables.
COSO - CARACTERÍSTICAS...COSO - CARACTERÍSTICAS...
19. 1919
COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
20. 2020
COSO - RELACIÓN DE OBJETIVOS Y COMPONENTESCOSO - RELACIÓN DE OBJETIVOS Y COMPONENTES
Existe una relaciónExiste una relación
directa entre objetivosdirecta entre objetivos
que la organizaciónque la organización
busca y losbusca y los
componentes quecomponentes que
representan lorepresentan lo
necesario paranecesario para
alcanzar los objetivosalcanzar los objetivos
21. 2121
COSO - MARCO INTEGRADO DE CONTROLCOSO - MARCO INTEGRADO DE CONTROL
23. 2323
Integridad y Valores EticosIntegridad y Valores Eticos
Comité de AuditoríaComité de Auditoría
Filosofía Admva. y EstiloFilosofía Admva. y Estilo
de Direcciónde Dirección
Estructura OrganizacionalEstructura Organizacional
Asignación de Autoridad yAsignación de Autoridad y
ResponsabilidadResponsabilidad
Política de RecursosPolítica de Recursos
HumanosHumanos
CompetenciaCompetencia
COSO -COSO - AMBIENTE DE CONTROLAMBIENTE DE CONTROL
24. 2424
Objetivos InstitucionalesObjetivos Institucionales
Objetivos EspecíficosObjetivos Específicos
OperativosOperativos
Información FinancieraInformación Financiera
CumplimientoCumplimiento
Análisis de RiesgosAnálisis de Riesgos
Organización (Externos /Organización (Externos /
Internos)Internos)
ActividadActividad
Análisis (Trascendencia /Análisis (Trascendencia /
Probabilidad / Control)Probabilidad / Control)
Manejo de CambiosManejo de Cambios
(Reorganizaciones/Políticas /(Reorganizaciones/Políticas /
Sistemas y Procedimientos)Sistemas y Procedimientos)
COSO - EVALUACIÓN DE RIESGOSCOSO - EVALUACIÓN DE RIESGOS
25. 2525
Actividades de controlActividades de control
sobre:sobre:
Las operacionesLas operaciones
La informaciónLa información
financierafinanciera
El acatamientoEl acatamiento
Tipos de Control:Tipos de Control:
Preventivos /Preventivos /
CorrectivosCorrectivos
Manuales /Manuales /
AutomatizadosAutomatizados
GerencialesGerenciales
COSO - ACTIVIDADES DE CONTROLCONTROL
26. 2626
Sistemas de Información :Sistemas de Información :
Apoyo ActividadesApoyo Actividades
EstratégicasEstratégicas
Integración con lasIntegración con las
OperacionesOperaciones
CalidadCalidad
Comunicación :Comunicación :
Interna / ExternaInterna / Externa
MediosMedios
COSO - INFORMACIÓN Y COMUNICACIÓN
27. 2727
Supervisión ConcurrenteSupervisión Concurrente
Evaluaciones IndependientesEvaluaciones Independientes
Alcance y frecuenciaAlcance y frecuencia
Quiénes evalúanQuiénes evalúan
Proceso de evaluaciónProceso de evaluación
Metodología /Metodología /
documentacióndocumentación
Plan de acciónPlan de acción
Reportes de DeficienciasReportes de Deficiencias
COSO - SUPERVISIÓN Y SEGUIMIENTO
28. 2828
COSO -COSO - RESPONSABILIDADES SOBRE EL CONTROLRESPONSABILIDADES SOBRE EL CONTROL
Consejo de Administración.-Consejo de Administración.- Es la instanciaEs la instancia
responsable de establecer guía, supervisión general yresponsable de establecer guía, supervisión general y
gobernabilidad a la organizacióngobernabilidad a la organización
Gerencia.-Gerencia.- El Director General es el último responsableEl Director General es el último responsable
y asume la propiedad del sistema de controly asume la propiedad del sistema de control
Auditores Internos.-Auditores Internos.- Evalúa la efectividad del sistemaEvalúa la efectividad del sistema
de controlde control
Personal.-Personal.- es responsable todo el personal dependiendoes responsable todo el personal dependiendo
de su nivel y ubicación funcionalde su nivel y ubicación funcional
29. 2929
COSO - TIPOS DE CONTROLCOSO - TIPOS DE CONTROL
- Preventivos
• Concurrentes (sobre
la marcha)
- Detectivos
• Posteriores
- De actividades
(repetitivas)
- De resultados
(actividades creativas)
- De recursos
- De insumos
- De acceso
- De investigación y desarrollo
- De proyectos
- De operaciones
- De procesos - De salidas
- De seguridad (resguardo)
30. MODELO CADBURYMODELO CADBURY
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007Diciembre, 2007
31. 3131
MODELO CADBURYMODELO CADBURY
Adopta una interpretación amplia del control.Adopta una interpretación amplia del control.
Mayores especificaciones en la definición deMayores especificaciones en la definición de
su enfoque sobre el sistema de control en susu enfoque sobre el sistema de control en su
conjunto-financiero y de cualquier tipoconjunto-financiero y de cualquier tipo..
• Desarrollado por el llamado Comité Cadbury
(UK Cadbury Committee).
32. 3232
• Objetivos orientados a proporcionar una
razonable seguridad de:
a) Efectividad y eficiencia de las
operaciones.
b) Confiabilidad de la información y reportes
financieros.
c) Cumplimiento con leyes y reglamentos
• Los elementos clave de este modelo son en
esencia similares al modelo COSO, salvo la
consideración de los sistemas de información
integrados en los otros componentes y un
mayor énfasis respecto a riesgos.
• Limitación en la responsabilidad de los
reportes de control a la confiabilidad de los
financieros
MODELO CADBURY
33. MODELO COCOMODELO COCO
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007Diciembre, 2007
34. 3434
CONCEPTO DE CONTROL INTERNOCONCEPTO DE CONTROL INTERNO
Efectividad y eficiencia de las operaciones.Efectividad y eficiencia de las operaciones.
Confiabilidad de los reportes internos o externos.Confiabilidad de los reportes internos o externos.
Cumplimiento con las leyes y reglamentosCumplimiento con las leyes y reglamentos
aplicables, así como con las políticas internas.aplicables, así como con las políticas internas.
MODELO COCO
- Incluye aquellos elementos de una organización
(recursos, sistemas, procesos, cultura, estructura y
metas) que tomadas en conjunto apoyan al
personal en el logro de los objetivos de la
organización:
35. 3535
Servicio al clienteServicio al cliente
Salvaguarda y uso eficiente de los recursosSalvaguarda y uso eficiente de los recursos
Obtención de beneficiosObtención de beneficios
Cumplimiento de obligaciones socialesCumplimiento de obligaciones sociales
Seguridad de que los riesgos son debidamenteSeguridad de que los riesgos son debidamente
identificados y administradosidentificados y administrados
OBJETIVOS ORGANIZACIONALES (efectividadOBJETIVOS ORGANIZACIONALES (efectividad
y eficiencia de las operaciones)y eficiencia de las operaciones)
MODELO COCO
36. 3636
Mantenimiento de registros contablesMantenimiento de registros contables
adecuados.adecuados.
Confiabilidad de la información utilizada.Confiabilidad de la información utilizada.
Información publicada para tercerosInformación publicada para terceros
interesadosinteresados..
Confiabilidad de los reportes internos yConfiabilidad de los reportes internos y
externosexternos
MODELO COCO
37. 3737
Cumplimiento con la normatividad yCumplimiento con la normatividad y
políticas internas aplicablespolíticas internas aplicables
Aseguramiento de que las actividades de laAseguramiento de que las actividades de la
organización se conducen en total concordanciaorganización se conducen en total concordancia
con el marco legal y con las políticas internas.con el marco legal y con las políticas internas.
MODELO COCO
38. 3838
MODELO COCOMODELO COCO
Naturaleza del control
• El control debe ser realizado por el personal de toda
la organización, quien será responsable del diseño,
establecimiento, supervisión y mantenimiento del
control.
• El personal responsable de lograr determinados
objetivos también deberá evaluar la efectividad del
control dentro de su esfera de competencia y de
reportar tal evaluación ante quien él es responsable.
39. 3939
Naturaleza del controlNaturaleza del control
El costo del control deberá ser proporcional a losEl costo del control deberá ser proporcional a los
beneficios esperados.beneficios esperados.
El control requiere de un equilibrio entreEl control requiere de un equilibrio entre
autonomía e integración y entre consistencia yautonomía e integración y entre consistencia y
adaptación al cambio.adaptación al cambio.
MODELO COCO
40. 4040
Ciclo del entendimiento básicoCiclo del entendimiento básico
PropósitoPropósito
CompromisoCompromiso
AptitudAptitud
AcciónAcción
Evaluación (Auto) y AprendizajeEvaluación (Auto) y Aprendizaje
MODELO COCO
Criterios de control
• Los criterios de control son la base para entender el
control de una organización.
• Están planteados como metas a cumplir
permanentemente.
41. 4141
A.- PROPÓSITO Sentido de Dirección a laA.- PROPÓSITO Sentido de Dirección a la
OrganizaciónOrganización
A1.-A1.- LosLos objetivos deben ser establecidos yobjetivos deben ser establecidos y
comunicados.comunicados.
A2.-A2.- Los riesgos internos y externos significativosLos riesgos internos y externos significativos
deben ser identificados y evaluados.deben ser identificados y evaluados.
A3.-A3.- Las políticas para apoyar el logro de losLas políticas para apoyar el logro de los
objetivos de una organización y el manejo deobjetivos de una organización y el manejo de
sus riesgos, deben ser establecidas,sus riesgos, deben ser establecidas,
comunicadas y practicadas, de manera que elcomunicadas y practicadas, de manera que el
personal entienda lo que depersonal entienda lo que de élél se esperase espera..
MODELO COCO
42. 4242
A4.-A4.- Deben establecerse y comunicarseDeben establecerse y comunicarse
planes paraplanes para guiar los esfuerzosguiar los esfuerzos parapara
lograr los objetivos de lalograr los objetivos de la
organización.organización.
A5.-A5.- Los objetivos y los planes relativosLos objetivos y los planes relativos
deben incluirdeben incluir metas, parámetros emetas, parámetros e
indicadores de medición delindicadores de medición del
desempeñodesempeño..
A.- PROPÓSITO
MODELO COCO
43. 4343
B.-B.- COMPROMISO:COMPROMISO: SSentido de identidad yentido de identidad y
valores de la organizaciónvalores de la organización ..
B1.B1. Deben establecerse, comunicarse y ponerseDeben establecerse, comunicarse y ponerse
en práctica valores éticos compartidos,en práctica valores éticos compartidos,
incluyendo la integridad.incluyendo la integridad.
B2. Las políticas y prácticas sobre recursosB2. Las políticas y prácticas sobre recursos
humanos deben ser consistentes con loshumanos deben ser consistentes con los
valores éticos de la organización y con elvalores éticos de la organización y con el
logro de sus objetivos.logro de sus objetivos.
MODELO COCO
44. 4444
B3. La autoridad, la responsabilidad y la
obligación de rendir cuentas deben ser
claramente definidas y consistentes con los
objetivos de la organización, de tal forma se
tomen las decisiones y acciones por el
personal apropiado.
B4. Debe fomentarse una atmósfera de mutua
confianza para apoyar el flujo de la
información entre el personal y para su
efectivo desempeño hacia el logro de los
objetivos.
B.- COMPROMISO
MODELO COCO
45. 4545
MODELO COCOMODELO COCO
C. APTITUD: sentido de competencia o
aptitud de la organización
C1. El personal debe tener los conocimientos,
habilidades y herramientas para alcanzar los
objetivos de la organización.
C2. El proceso de comunicación debe apoyar los
valores de la organización y el logro de sus
objetivos.
C3. Debe ser identificada y comunicada información
suficiente y relevante de manera oportuna, para
posibilitar al personal a desempeñar las
responsabiIidades asignadas.
46. 4646
MODELO COCO
C. APTITUD
C4. Deben coordinarse las decisiones y acciones de
las diferentes partes de la organización.
C5. Las actividades de control deben diseñarse como
parte integral de la organización, tomando en
consideración sus objetivos, los riesgos para su
cumplimiento y la interrelación de los elementos
de control.
47. 4747
- Evaluación y aprendizaje. Sentido deEvaluación y aprendizaje. Sentido de
evolución de la organización:evolución de la organización:
D1.- El ambiente externo e interno debe serD1.- El ambiente externo e interno debe ser
“monitoreado” para obtener información que“monitoreado” para obtener información que
pueda señalar la necesidad de revaluar lospueda señalar la necesidad de revaluar los
objetivos de la organización o el control.objetivos de la organización o el control.
D2.-D2.- El desempeño debe ser evaluado o medido contraEl desempeño debe ser evaluado o medido contra
las metas e indicadores en los planes u objetivoslas metas e indicadores en los planes u objetivos
de la organización.de la organización.
D3.-D3.- Las premisas consideradas para los objetivos deLas premisas consideradas para los objetivos de
la organización deben cuestionarsela organización deben cuestionarse
periódicamente.periódicamente.
MODELO COCO
48. 4848
D4.- Las necesidades de información y los sistemas
de información relativos deben reevaluarse en la
medida que cambian los objetivos o al identificarse
deficiencias en la información reportada.
D5.- Debe establecerse y ejecutarse un seguimiento
de los procedimientos, para asegurar que se den los
cambios requeridos.
- Evaluación y Aprendizaje
MODELO COCO
49. 4949
COBITCOBIT
CP, CIA y Mtro. Fernando Vera SmithCP, CIA y Mtro. Fernando Vera Smith
Diciembre, 2007Diciembre, 2007
50. 5050
Cobit - DefiniciónCobit - Definición
CControlontrol
OBOBjectivesjectives
forfor IInformationnformation
aand Relatednd Related TTechnologyechnology
(Objetivos de Control para Tecnología de(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)Información y Tecnologías relacionadas)
Fuente: Control Objectives for Information and RelatedFuente: Control Objectives for Information and Related
Technology (CObIT) y presentación de FernandoTechnology (CObIT) y presentación de Fernando
Izquierdo Duarte 2002Izquierdo Duarte 2002
51. 5151
Cobit - DefiniciónCobit - Definición
¿Qué es?¿Qué es?
Es un marco de control interno de TI.Es un marco de control interno de TI.
Parte de la premisa de que la TIParte de la premisa de que la TI
requiere proporcionar informaciónrequiere proporcionar información
para lograr los objetivos de lapara lograr los objetivos de la
organización.organización.
Promueve el enfoque y la propiedadPromueve el enfoque y la propiedad
de los procesos.de los procesos.
52. 5252
Cobit - DefiniciónCobit - Definición
Apoya a la organización al proveer un marco queApoya a la organización al proveer un marco que
asegura que:asegura que:
La Tecnología de Información (TI) esté alineada con laLa Tecnología de Información (TI) esté alineada con la
misión y visión.misión y visión.
LA TI capacite y maximice los beneficios.LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.Los riesgos de TI sean manejados apropiadamente.
53. 5353
Cobit - UsuariosCobit - Usuarios
GerenciaGerencia: Apoyar decisiones de inversión: Apoyar decisiones de inversión
en TI y control sobre su rendimiento, asíen TI y control sobre su rendimiento, así
como analizar el costo-beneficio del control.como analizar el costo-beneficio del control.
Usuarios FinalesUsuarios Finales: Garantizar seguridad y: Garantizar seguridad y
control de los productos que adquierencontrol de los productos que adquieren
interna y externamenteinterna y externamente
54. 5454
Cobit - UsuariosCobit - Usuarios
AuditoresAuditores :: Apoyar sus opiniones sobreApoyar sus opiniones sobre
los controles de los proyectos de TI , sulos controles de los proyectos de TI , su
impacto en la organización y el controlimpacto en la organización y el control
mínimo requerido.mínimo requerido.
Responsables de TIResponsables de TI:: Identificar losIdentificar los
controles que requieren.controles que requieren.
55. 5555
Cobit - PrincipiosCobit - Principios
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
57. 5757
Procesos del
Negocio
Recursos de TI
Datos
Aplicaciones
Tecnología
Instalaciones
Recurso Humano
Información
Lo que usted
Obtiene
Lo que Usted
Necesita
Criterios
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
Cobit - EstructuraCobit - Estructura
60. 6060
CobiT
Objetivos del
Negocio
Recursos de TI
Requerimientos
de Información
SeguimientoSeguimiento
Planeación yPlaneación y
OrganizaciónOrganización
Adquisición eAdquisición e
ImplantaciónImplantación
Servicios y SoporteServicios y Soporte
61. 6161
Cobit -Cobit - RequerimientosRequerimientos
de la Información del Negociode la Información del Negocio
Requerimientos
de Calidad
Requerimientos
Financieros
(COSO)
Requerimientos
de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad.
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
62. 6262
EfectividadEfectividad: Información relevante y pertinente,: Información relevante y pertinente,
proporcionada en forma oportuna, correcta, consistente yproporcionada en forma oportuna, correcta, consistente y
utilizableutilizable
EficienciaEficiencia: Empleo óptimo de los recursos.: Empleo óptimo de los recursos.
ConfidencialidadConfidencialidad: Protección de la información sensitiva: Protección de la información sensitiva
contra divulgación no autorizadacontra divulgación no autorizada
IntegridadIntegridad: Información exacta y completa, así como válida: Información exacta y completa, así como válida
de acuerdo con las expectativas de la organización.de acuerdo con las expectativas de la organización.
Cobit - Requerimientos de laCobit - Requerimientos de la
Información del NegocioInformación del Negocio
63. 6363
DisponibilidadDisponibilidad: accesibilidad a la: accesibilidad a la
información y la salvaguarda de losinformación y la salvaguarda de los
recursos y sus capacidades.recursos y sus capacidades.
CumplimientoCumplimiento: Leyes, regulaciones y: Leyes, regulaciones y
compromisos contractuales.compromisos contractuales.
ConfiabilidadConfiabilidad: Apropiada para la toma de: Apropiada para la toma de
decisiones adecuadas y el cumplimientodecisiones adecuadas y el cumplimiento
normativo.normativo.
Cobit -Cobit - Requerimientos de laRequerimientos de la
Información del NegocioInformación del Negocio
64. 6464
Recursos de TIRecursos de TI
DatosDatos: Todos los objetos de información interna y externa,: Todos los objetos de información interna y externa,
estructurada o no, gráficas, sonidos, etc.estructurada o no, gráficas, sonidos, etc.
AplicacionesAplicaciones: Sistemas de información, que integran: Sistemas de información, que integran
procedimientos manuales y sistematizados.procedimientos manuales y sistematizados.
TecnologíaTecnología: Hardware y software básico, sistemas operativos,: Hardware y software básico, sistemas operativos,
de administración de bases de datos, de redes,de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.telecomunicaciones, multimedia, etc.
InstalacionesInstalaciones: Recursos necesarios para alojar y dar soporte a: Recursos necesarios para alojar y dar soporte a
los sistemas.los sistemas.
Recurso HumanoRecurso Humano :Habilidad, actitud y productividad del:Habilidad, actitud y productividad del
personal.personal.
65. 6565
Procesos de TIProcesos de TI
- Los Tres Niveles- Los Tres Niveles
Dominios
Agrupación natural de procesos,
normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
o tareas
Acciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
4
34
318
66. 6666
Planeación y OrganizaciónPlaneación y Organización
Adquisición e ImplantaciónAdquisición e Implantación
Prestación de Servicios y SoportePrestación de Servicios y Soporte
SeguimientoSeguimiento
COBIT – DOMINIOS: 4COBIT – DOMINIOS: 4
67. 6767
COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS
Adquisición e
Implantación
Identificación de soluciones automatizadas
Adquisición y mantenimiento del software aplicativo
Adquisición y mantenimiento de la infraestructura
tecnológica
Desarrollo y mantenimiento de procedimientos
Instalación y aceptación de los sistemas
Administración de los cambios
Planeación y
Organización
Definición de un plan estratégico
Definición de la arquitectura de información
Determinación de la dirección tecnológica
Definición de organización y relaciones
Administración de la inversión
Comunicación de las políticas
Administración de los recursos humanos
Asegurar el cumplimiento con los requerimientos
Externos
Evaluación de riesgos
Administración de proyectos
Administración de la calidad
68. 6868
COBIT – DOMINIOS - PROCESOSCOBIT – DOMINIOS - PROCESOS
Servicios y
Soporte
Definición de los niveles de servicios
Administración de los servicios de terceros
Administración de la capacidad y rendimientos
Aseguramiento del servicio continuo
Aseguramiento de la seguridad de los sistemas
Entrenamiento a los usuarios
Identificación y asignación de los costos
Asistencia y soporte a los clientes
Administración de la configuración
Administración de los problemas
Administración de los datos
Administración de las instalaciones
Administración de la operación
Seguimiento
Seguimiento de los procesos
Evaluación del control Interno
Contratación de un aseguramiento independiente
69. 6969
COBIT COMOCOBIT COMO PRODUCTOPRODUCTO
Resumen EjecutivoResumen Ejecutivo
Marco de Referencia (Framework)Marco de Referencia (Framework)
Objetivos de ControlObjetivos de Control
Guías de AuditoríaGuías de Auditoría
Guías de AdministraciónGuías de Administración
Herramientas de ImplementaciónHerramientas de Implementación
CD-ROMCD-ROM
2a Edición disponible en español2a Edición disponible en español
70. 7070
COMPARACIÓN DE CONCEPTOS DE CONTROL INTERNOCOMPARACIÓN DE CONCEPTOS DE CONTROL INTERNO
CobiT 1996/1998
COSO 1992
SAC 1991/1994
SAS 55 - 1988
Definición de
Control Interno
Definición de Objetivos
de Control de T I
SAS 78 - 1995
Conceptos de
Control Interno
Conceptos de
Control Interno
enmienda
Contribuciones
al concepto de
Control Interno
71. 7171
Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de
Sistemas Responsables de TI
Auditores Internos Administración Auditores Externos
El Control Interno es Visto
como
Conjunto de procesos incluyendo
políticas, procedimientos, prácticas y
estructura Organizacional
Conjunto de procesos,
subsistemas y personas
Procesos Procesos
Los Objetivos
Organizacionales de
Control Interno
Efectividad y Eficiencia de las
operaciones
Confidencialidad, Integridad y
disponibilidad de la información
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de
las operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Efectividad y Eficiencia de las
operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Efectividad y Eficiencia de las
operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Componentes o Dominios Dominios:
Planeación y Organización
Adquisición e implantación
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y
Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la
Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control
Interno
Administración Administración Administración Administración
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
73. ¿ QUÉ ES LA GUÍA¿ QUÉ ES LA GUÍA
TURNBULL?TURNBULL?
Es la adopción de un enfoqueEs la adopción de un enfoque
basado en riesgos parabasado en riesgos para
establecer un sistema de controlestablecer un sistema de control
interno y revisar su efectividadinterno y revisar su efectividad
74. 7474
CONTRIBUCIONES DE AUDITORÍA INTERNACONTRIBUCIONES DE AUDITORÍA INTERNA
Aseguramiento de
la adecuación y efectividad
de la Administración de Riesgos
y del sistema de control
Apoyo para mejorar
el proceso de
Identificación y
Administración de
riesgos
Promoción de la
Concientización de
riesgos y controles
y los programas de
autoevaluación
75. Desplazamiento
oportuno a otras
áreas de negocios
Mayor
probabilidad
de lograr
objetivos
Mayor
cobertura a largo
plazo
Mejores bases
para establecer
estrategias
Disminución de
sorpresas
desagradables
Menores costos
de capital
Mayor
probabilidad de
lograr cambios
Enfoque interno
en hacer bien
las cosas
Ventajas
competitivas
Reducción de
tiempo para
emergencias
BENEFICIOS
POTENCIALES
76. 7676
ENFOQUE AL LOGRO DE
OBJETIVOS A TRAVÉS DE
UNA MEJOR ADMINISTRACIÓN
DE RIESGOS
Identificación de cambios
Internos y externos
y reconsideración y
negociación de objetivos
Cambios en comportamiento
y enfoque en las bases
de una buena administración
de riesgos y control
Revisión de riesgos
y controles anuales
Implantación de
acciones de
mejora
Informes sucintos
Fuentes de
aseguramiento
Monitoreo de aspectos
significativos de
control interno
Mecanismos de
advertencia oportunos
Identificación de
factores críticos
de éxito
Identificación y
priorización de
riesgos
Determinación de
riesgos significativos
Negociación de
estrategias de control y
administración de riesgos
Negociación sobre
rendición de cuentas
Concientización
de los riesgos
críticos
IMPLANTACIÓN DEL TURNBULL
77. 7777
MANTENERSE SIMPLE
Y PROSPECTIVO
Enfocarse en riesgos
críticos y sus controles
Enfocarse en riesgos
críticos y sus controles
Reorientar el
entrenamiento
hacia los riesgos críticos
Reorientar el
entrenamiento
hacia los riesgos críticos
Elaborar un plan
apropiado y
monitorear su avance
Elaborar un plan
apropiado y
monitorear su avance
Evitar expedientes
voluminosos
Evitar expedientes
voluminosos
Asignar
responsabilidades
en la administración de
riesgos
Asignar
responsabilidades
en la administración de
riesgos
Evitar duplicidadesEvitar duplicidades
Mantener los informes
al Consejo sucintos y
sencillos
Mantener los informes
al Consejo sucintos y
sencillos
Asegurar que los objetivos
se jerarquicen
Asegurar que los objetivos
se jerarquicen
SIMPLIFICACIÓN Y REDUCCIÓN DE COSTOS
78. 7878
Asignación de responsabilidades para elaborar el plan individual o de equipos
Aceptación del plan por parte de los directores
Consideración del plan por el Consejo de Administración
Reconsideración y afinación del plan por el Consejo
Implantación del plan de desarrollo y de la política de administració
de riesgos
Involucramiento de los distintos niveles de la
organización
Implantación de mecanismos apropiados para
la información de avance
Enfoque a la mejora de negocios
PASOS SUGERIDOS
79. 7979
RESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOSRESULTADOS DE LA ENCUESTA DE RIESGOS SIGNIFICATIVOS
(EN INGLATERRA)(EN INGLATERRA)
TIPOS DE RIESGO PROMEDIO
Fracaso en la
administración de
proyectos mayores
Motivación y bajo desempeño
del personal
7.05
6.67
6.32
6.30
6.00
Fracaso de estrategias
Fracaso en innovación
Mala reputación
/administración - marca
Fuente: Deloitte & Touche, 1990Deloitte & Touche, 19901= riesgo mínimo, 9 = crítico
80. Enfasis en el cambio
de comportamiento
Sencillez
Conciencia
del riesgo
Mecanismos de
advertencia oportunos
y respuesta rápida
Información
confiable
Concientización
de los objetivos
organizacionales
Asesoría a
todos los niveles de
la compañía
Aplicación
continua
de
Estrategias de
control
ADECUADA
ADMINISTRACIÓN DE
RIESGOS Y
CONTROL
Controles básicos
81. 8181
PELIGROS POTENCIALESPELIGROS POTENCIALES
Falta de
Mecanismos
de Advertencia
Demasiados
Riesgos
identificados
Abandonarlo
Demasiado
tarde
Incremento
de
Burocracia
Ignorar
Controles
Financieros
básicos
Sobrecarga
del comité
de
Auditoría
Incapacidad
para obtener
aceptación
del gerente
Inapropiada
Orientación
de riesgos
Enfoque
Insuficiente
en
Admón de
Riesgos
Peligros
Potenciales
83. 8383
AEC - DEFINICIÓNAEC - DEFINICIÓN
Proceso documentado en el que :Proceso documentado en el que :
La administración o el equipo de trabajo se involucraLa administración o el equipo de trabajo se involucra
directamente en una función.directamente en una función.
Se juzga la efectividad del proceso de controlSe juzga la efectividad del proceso de control
vigente.vigente.
Se define si se asegura razonablemente el lograrSe define si se asegura razonablemente el lograr
alguno o todos los objetivos.alguno o todos los objetivos.
El objetivo es proporcionar seguridad razonable de queEl objetivo es proporcionar seguridad razonable de que
se alcanzarán los objetivos de la organizaciónse alcanzarán los objetivos de la organización ..
84. 8484
AEC - OTROS NOMBRES
• Autoevaluación de riesgo-
control.
• Evaluación dinámica del
control.
• Co-evaluación del control.
• Autoevaluación
organizacional.
• Autoevaluación de proceso.
• Autoevaluación de riesgos.
• Autoevaluación de riesgos de
la organización.
AEC - DEFINICIÓN
85. 8585
AEC - ENTRENAMIENTO
• Para desarrollar la AEC se requiere
capacitación:
. En metodología.
. En modelos de control
. En evaluación de riesgos
. En talleres de autoevaluación de control
. En redacción.
. En tecnología.
86. 8686
AEC - FACTORES QUE PROMUEVEN SU ADOPCIÓN
2/2
Mejora del control y sus riesgos,
BENEFICIOS AL PROCESO OPERATIVO
Eficiencia de Procesos - Satisfacción del cliente - Mejora
de la calidad - Examen de los procesos
organizacionales en general
A E C
Desarrollo de la
Responsabilidad
Instrumentación
del Control
Diseño de Mejores
Controles
Delegación de
Facultades
CPC y CIA JUAN MANUEL PORTAL M.
87. 8787
- Generación de ideas y planes de acción
implantados más allá del alcance original.
- Facilidad de implantación de acciones de
mejora.
- Promoción de la unidad organizacional
mediante la identificación y solución de
problemas.
- REALZA EL PAPEL DE AUDITORÍA INTERNA.
• ADMINISTRACIÓN
• PARTICIPANTES
• AUDITORÍA INTERNA
AEC - BENEFICIOS PARA LA ADMINISTRACIÓN
- Mejora de la moral del personal.
- Eliminación de atmósferas de desconfianza.
88. 8888
AEC - FASES DE LA AUTOEVALUACIÓN
Monitoreo y
Reporte de
Resultados
Conducción
de Reuniones
Capacitación
Planeación
Involucramiento
de la alta
Gerencia
89. 8989
AEC - INVOLUCRAMIENTO DE LA ALTA GERENCIA
Adopción de la AEC
• Conocimiento de la AEC en los niveles
adecuados
• Entendimiento de la complejidad, costos,
beneficios y limitaciones de la AEC
• Aceptación, involucramiento y patrocinio de la
alta gerencia en la AEC
90. 9090
- Cultura que apoye la AEC
- Actitud gerencial orientada al facultamiento y al
control.
- Entorno libre de riesgos (no represalias)
- Reconocimiento de la complejidad de la
implantación de la AEC.
AEC – INVOLUCRAMIENTO DE…….
Requisitos de la Organización
91. 9191
Requisitos del Facilitador
- Ser innovador y desear tomar riesgos
- Saber escuchar, comunicarse y aprender de la
gente
- Saber qué alcanzar y qué herramientas se
necesitan
- Conocer la organización, su entorno y
normatividad
- Entender la cultura organizacional
AEC – INVOLUCRAMIENTO DE…….
92. 9292
AEC - INVOLUCRAMIENTO DE ………..
- Asegurarse que la administración sabe que es
responsable de los controles
- Explicar el proceso de AEC
- Proporcionar información y conocimiento al taller
- Utilizar enfoques y herramientas específicas
- Desarrollar la dinámica del equipo
- Asegurar la logística del taller.
- Obtener acciones de mejora del taller.
Responsabilidades del Facilitador
93. 9393
AEC – INVOLUCRAMIENTO DE…….
Preparación del tallerPreparación del taller::
Entrevistar a la Gerencia y al personal operativoEntrevistar a la Gerencia y al personal operativo
Evaluar la estructura organizacionalEvaluar la estructura organizacional
Aprender sobre la organizaciónAprender sobre la organización
Seleccionar los objetivos de la organizaciónSeleccionar los objetivos de la organización
Seleccionar los participantes al TACSeleccionar los participantes al TAC
Preparar la logística de la reuniónPreparar la logística de la reunión
Enviar información previa a la reuniónEnviar información previa a la reunión..
Responsabilidades del Facilitador
94. 9494
Preparación del taller:
- Facilitar la identificación del proceso y
obstáculos
- Vigilar la logística
- Obtener acciones de mejora del TAC
AGREGAR VALOR A LA ORGANIZACIÓN
AEC – INVOLUCRAMIENTO DE…….
Responsabilidades del Facilitador
95. 9595
AEC – INVOLUCRAMIENTO DE…….
1. Limitar el alcance a asuntos de alta prioridad
2. Emplear grupos de trabajo interdisciplinarios y
con personal comprometido
3. Proporcionar tiempo suficiente para la
preparación del taller.
4. Definir los objetivos del Taller de Autoevaluación
del Control (TAC)
5. Emitir pronunciamientos y criterios al inicio del
proceso
Estrategias
96. 9696
6. Mantener visible el apoyo de la alta gerencia
7. Vender el concepto constantemente
8. Proporcionar retroalimentación a los
participantes sobre los resultados
9. Implantar la AEC mediante prueba piloto, lo
mismo que las acciones de mejora
Estrategias
AEC – INVOLUCRAMIENTO DE …….
97. 9797
AEC - P L A N E A C I Ó N
1. Seleccionar el (los) objetivo (s) a analizar en el TAC
2. Seleccionar al facilitador y al relator
3. Definir la estructura del TAC: horizontal, vertical o
mixta.
4. Seleccionar los participantes del TAC
5. Elaborar el programa de actividades con
responsables y tiempos
6. Planear reportes de avance y conclusión
98. 9898
A E C - C A P A C I T A C I O N
Capacitar en Control y Autocontrol:
• Modelos de Control (COSO, COCO...)
• Evaluación de riesgos
• Autoevaluación en control y su metodología
• Herramientas y tecnología especializada para
su uso en el taller
99. 9999
AEC - CONDUCCIÓN DE REUNIONES
1. Preparar la logística de las reuniones
2. Enviar información previa a las reuniones
3. Presentar los objetivos del TAC
• Definición del producto final
• Metodología del taller
• Herramientas a utilizar
• Método de registro y votación
• Beneficios tangibles
4. Explicar el papel de los participantes y aclarar
expectativas.
100. 100100
AEC - CONDUCCIÓN DE REUNIONES
5. Presentar la agenda de la reunión
6. Conducir la reunión
7. Estructurar e inventariar el resultado de las
evaluaciones
8. Levantar minuta de los acuerdos
101. 101101
AEC - CONDUCCIÓN DE REUNIONESAEC - CONDUCCIÓN DE REUNIONES
EscucheEscuche
No interrumpaNo interrumpa
Establezca un proceso de votoEstablezca un proceso de voto
Asegúrese que todos apoyen las reglasAsegúrese que todos apoyen las reglas
Todos deben ser facilitadores en algún momentoTodos deben ser facilitadores en algún momento
Las ideas de otros fortalecen la decisión del grupoLas ideas de otros fortalecen la decisión del grupo
Logre consensoLogre consenso
REGLAS PARA LA TOMA DE DECISIONES DE GRUPOREGLAS PARA LA TOMA DE DECISIONES DE GRUPO
102. 102102
AEC – CONDUCCIÓN DE REUNIONES
- Definición y evaluación de objetivos, riesgos y
controles.
- Determinación de acciones de mejora.
- Definición y realización de las acciones, tiempos,
responsables y recursos para la implantación de
las mejoras.
- Establecimiento de puntos de control para la
evaluación de los avances y la comunicación de
las desviaciones
DESARROLLO DE PLANES DE ACCIÓN
103. 103103
AEC - MONITOREO Y REPORTE DE
RESULTADOS
- Establecer sistema de seguimiento y evaluación de
los planes de acción
- Implantar acciones correctivas y formular nuevos
planes
- Establecer y formular reportes de avance de los
trabajos del taller
- Evaluar los costos y beneficios de las mejoras
implantadas
- Impulsar la mejora continua
104. 104104
AEC - PROBLEMÁTICA
- Arranque costoso
- Curva de aprendizaje pronunciada
- Habilidades poco aprovechadas
- Poco o mal entendimiento de los talleres
- Resultados iniciales poco impactantes
- Costos de honorarios de profesionales,
entrenamiento, equipo y software
- Inversión fuerte en capacitación
- Esfuerzo serio de venta interna
105. 105105
AEC – PROBLEMÁTICA
- Represalias por comentarios hechos en la sesión de la
AEC.
- Acción subsecuente con información confidencial.
Obstáculos Para Su Adopción
• Impedimentos derivados de la técnica.
• Salvaguarda.
- Garantía de no represalias.
- Garantía sobre la confidencialidad.
- Tecnología de voto electrónico.
106. 106106
AEC – PROBLEMÁTICA
- Inflexibilidad de quienes llevan a cabo la AEC
- La AEC trae cambios que a la gente no le gustan.
- El compromiso de tiempo puede ser visto como
agobiante
• Impedimentos derivados de la
resistencia.
• Salvaguardas.
- Selección de personal adecuado.
- Soporte y compromiso de alto nivel para la
AEC
- Enfoque en los beneficios a alcanzar.
Obstáculos Para Su Adopción
107. 107107
- La cultura no valora la innovación y la colaboración.
- Organizaciones en medio de una reducción de personal.
• Amenazas derivadas de la cultura.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
108. 108108
- El desarrollo de la AEC no es adecuado en caso
de:
+ Fraude.
+ Litigio.
+ Paticipantes con objetivos opuestos.
+ Funciones con únicamente una o dos
personas.
+ Terceros vendedores o proveedores de
servicios.
• Amenazas derivadas de la adecuación.
• Salvaguardas.
- Evitar utilizar la AEC en estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
109. 109109
- La cultura no valora la innovación y la
colaboración.
- Organizaciones en medio de una reducción
de personal.
• Amenazas derivadas de la cultura.
• Salvaguardas.
- Evitar utilizar la AEC con estas situaciones.
AEC – PROBLEMÁTICA
OBSTÁCULOS PARA SU ADOPCIÓN
110. 110110
ÉXITO PARA SU IMPLANTACIÓNÉXITO PARA SU IMPLANTACIÓN
I.I. Factores críticos de éxitoFactores críticos de éxito
II.II. Pasos para acelerar suPasos para acelerar su
implantaciónimplantación
III.III. Recomendaciones para suRecomendaciones para su
implantaciónimplantación
111. 111111
1)1) Determinación de objetivos clarosDeterminación de objetivos claros
2)2) Patrocinio de la alta gerenciaPatrocinio de la alta gerencia
3)3) Apoyo de la gerenciaApoyo de la gerencia
4)4) Entendimiento de por qué participa cada uno en laEntendimiento de por qué participa cada uno en la
sesión de Autoevaluaciónsesión de Autoevaluación
5)5) Señalamiento de expectativasSeñalamiento de expectativas
I. FACTORES CRÍTICOS DE ÉXITOI. FACTORES CRÍTICOS DE ÉXITO
112. 112112
6)6) Cultura que apoya la AECCultura que apoya la AEC
7)7) Actitud gerencial orientada al facultamiento y elActitud gerencial orientada al facultamiento y el
controlcontrol
8)8) Beneficios tangiblesBeneficios tangibles
9)9) Definición del producto finalDefinición del producto final
10)10) Entorno libre de riesgos (no represalias)Entorno libre de riesgos (no represalias)
I. FACTORES CRÍTICOS DE ÉXITO
113. 113113
II. PASOS PARA ACELERAR SU IMPLANTACIÓNII. PASOS PARA ACELERAR SU IMPLANTACIÓN
1)1) Reconocer la complejidad de su implantaciónReconocer la complejidad de su implantación
2)2) Conducir sesiones pilotoConducir sesiones piloto
3)3) Ser realistas acerca de la cobertura deSer realistas acerca de la cobertura de
auditoríaauditoría
4)4) Dar los pronunciamientos y criterios al inicioDar los pronunciamientos y criterios al inicio
del procesodel proceso
5)5) Permitir suficiente tiempo para su preparaciónPermitir suficiente tiempo para su preparación
6)6) Limitar el alcance a los temas de alta prioridadLimitar el alcance a los temas de alta prioridad
114. 114114
III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU
IMPLANTACIÓNIMPLANTACIÓN
1)1) Conocer cuál es el propósito y quéConocer cuál es el propósito y qué
herramientas se necesitanherramientas se necesitan
2)2) Entender la cultura organizacionalEntender la cultura organizacional
3)3) Ser innovador y dispuesto a tomar riesgosSer innovador y dispuesto a tomar riesgos
4)4) Particularizar el marco estructurado de controlParticularizar el marco estructurado de control
5)5) Agregar valor a la organizaciónAgregar valor a la organización
6)6) Comentar con los demás y aprender de ellosComentar con los demás y aprender de ellos
7)7) Rotar facilitadores que procedan de otrasRotar facilitadores que procedan de otras
áreasáreas
115. 115115
III. RECOMENDACIONES PARA SUIII. RECOMENDACIONES PARA SU
IMPLANTACIÓNIMPLANTACIÓN
8)8) Emplear grupos de trabajo interdisciplinariosEmplear grupos de trabajo interdisciplinarios
9)9) Mantener el proceso sencilloMantener el proceso sencillo
10)10) Reconocer que las habilidades de facilitaciónReconocer que las habilidades de facilitación
son tan importantes como las pruebas deson tan importantes como las pruebas de
cumplimiento o las habilidades tradicionalescumplimiento o las habilidades tradicionales
de auditoríade auditoría
11)11) Mantener visible el apoyo de la gerenciaMantener visible el apoyo de la gerencia
12)12) Vender el concepto cada díaVender el concepto cada día
116. 116116
AEC - ERRORES EN SU IMPLANTACIÓN
1) Fallar en explicar el por qué de la AEC.
2) Pilotear la AEC en un área problema.
3) Escoger los objetivos equivocados.
4) Sobre-analizar la situación.
117. 117117
AEC - POR QUÉ FUNCIONA
• Los empleados sienten que tienen un propósito, que
sus contribuciones son valiosas y que están
involucrados en la toma de decisiones.
• Se incrementa la conciencia entre objetivos, riesgos y
controles.
• Los equipos (grupos de AEC) funcionan mejor que los
individuos.
• La AEC promueve un entendimiento común de
objetivos y metas.
• Los talleres de AEC eliminan las barreras de
comunicación.