SlideShare uma empresa Scribd logo

Cobit

Transferir como PPTX, PDF
Alexander Velasque Rimac
Alexander Velasque Rimac
1 de 50
2011 AUDITORÍA DE SISTEMAS TEMA: “COBIT ORIENTADO A LA AUDITORÍA” INTEGRANTES: • CAYLLAHUA LEON, JOYCER • CUEVA BARDALES, HENRY • PRADO MARCA, FERNANDO • VARGAS OLIVA, CHARLE PROFESOR: • DR. OSCAR MUJICA RUIZ
COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA ESTRATEGIA CORPORATIVA Auditores de sistemas de información: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Conjunto de buenas prácticas a través de un marco de trabajo conformado por dominios y procesos que les permitirá optimizar sus inversiones de TI
Y divide los procesos de TI de la empresa en 4 áreas: CONSTRUIR PLANEAR EJECUTAR Ofreciendo una visión de MONITOREAR punta a punta de la TI
Objetivos de Negocio Objetivos de Gobierno INFORMACIÓN Eficiencia Efectividad Integridad Monitorear Cumplimiento Disponibilidad y Evaluar Confiabilidad Confidencialidad Planear y Recursos Organizar de TI Aplicaciones Información Infraestructura Personas Entregar y Adquirir e Dar Soporte Implementar
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Descripción del Proceso Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
AI2.4 Seguridad y disponibilidad de las aplicaciones. Derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones. Verificar que ada usuario necesariamente deberá tener un nivel de accesibilidad a las aplicaciones
AI2.7 Desarrollo de software aplicativo Evaluar que en el desarrollo que se sigan los estándares establecidos Modelo para creación de formularios
Estándar de programcion.Net Estándar de programación SQL
Descripción del Proceso Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
DS5.1 Administración de la seguridad de TI Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. Seguridad a nivel de Servidor de Base de datos
DS5.3 Administración de identidad Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.
DS5.4 Administración de cuentas del usuario Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario.
CASO 1: MEYCOR COBIT AG aplicado en WEST FINANCIALS PRESENTANDO A LOS ACTORES: La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo importante de condiciones diferentes por lo que el sistema informático de Cuentas a Cobrar resulta crítico, para alcanzar sus objetivos de negocio.
CASO 2: MEYCOR COBIT AG aplicado en WEST FINANCIALS PLANTEAMIENTO DEL PROBLEMA: Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable por la organización. Los riesgos identificados tienen una valoración significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.
En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario „JMartinez‟ al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles. Creación de un usuario Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe emitirse la opinión. Creación de un centro de análisis
Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditoría a nivel de los Objetivos de Control de alto nivel de Cobit). Se crea el Proyecto de auditoria al cual se da el nombre de “Sistema de Cuentas a Cobrar WF” Creación del proyecto y definición de su objetivo y alcance. Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama. Esto es creado por el supervisor. Menú: Centro de Análisis Organigrama
Definición de proceso de negocio. Detalle de las columnas: Efectividad o Eficacia, Eficiencia, Confidencialidad, Integri dad, Disponibilidad, Cumplimiento, Confiabili dad de la información. Requerimientos de Información.
Se ingresa la información de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnológica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de información previamente identificados. Relación entre procesos de negocio y procesos de COBIT. En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para obtener una información primaria de los procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales. Planillas de auditoria.
Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel), para la auditoría, al equipo de evaluadores asignados al proyecto. Ejemplo de la asignación de procesos de COBIT a un revisor. El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE Alerta que le indica que ha sido asignado a un proyecto de auditoria. Puede ver la información del mismo (organigrama, procesos de negocio. Recursos de Ti, etc.) Se determina sobre que objetivos de control auditar
Etapa 1: Entrevistas Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visión del objeto de la auditoría. Ejemplo de un hallazgo en la etapa de entrevistas Etapa 2: Documentación En este caso se obtienen los manuales técnicos y de usuarios de la aplicación. Registro de las tareas efectuadas
Etapa 3: Emisión de una primera opinión A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación. Evaluación de Controles. Etapa 4: Verificar el cumplimiento de los controles Aquí se revisa que esos controles estén funcionando. Verificación de controles
Etapa 5: Realización de muestreos • Consideraciones del riesgo de auditoría. • Si hay medidas de control. • Si las medidas de control existentes fueron evaluadas como no suficientes. Determinación del muestreo Etapa 6: Emisión de una conclusión final Se emite una conclusión (en este caso es para los Objetivos de control que forman un proceso) Se indica si hay o no aseguramiento.
CASO 2: Modelo de Auditoría basado en COBIT para Servicios de Internet en el Ambito Hospitalario La aparición de nuevas posibilidades de proceso de la información y de nuevos flujos de información ha provocado la aparición de nuevos riesgos y amenazas con respecto a la información y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologías y del contexto hospitalario para construir nuevos enfoques de auditoría de sistemas de información sanitarios. Se presenta un Modelo General basado en el marco formal de Auditoría denominado COBIT.
ANTECEDENTES Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Información Hospitalarios Areas conceptuales en un Sistema de Información Sanitaria
Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
Incorporación de Internet e Intranets en el hospital
Aspectos gestión y seguridad de las intranets hospitalarias • Problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática  Planificación  Organización  Seguridad  Adquisición  Mantenimiento  Servicios
• Objetivo .- Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT Descripción del estudio • El contexto del problema .- El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital. • El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales
Elementos Planificación Adquisición Mantenimiento Seguridad Servicio Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 Personal clínico (med., enfer.) 4 Personal auxiliar (celad., etc.) 4 Pacientes / usuarios 4 Tecnologías 4 4 4 Mercado 4 Marco Legal 4 4 4 4 4 Marco Normativo Estándares 4 4 4 4 4 Proveedores 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 Sw. aplicación 4 4 4 Elementos del sistema en estudio
Eficiencia y Confiden- Dsiponi- Elementos Integridad Cumplimiento Fiabilidad Efectividad cialidad bilidad Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 4 4 4 4 Personal clínico (med., enfer.) 4 4 4 Personal auxiliar (celad., etc.) 4 4 4 Pacientes / usuarios 4 Tecnologías 4 4 4 4 4 Mercado Marco Legal Marco Normativo Estándares 4 4 4 4 4 4 Proveedores 4 4 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 4 Sw. aplicación 4 4 4 4 Riesgos Asociados
• Resultados Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos. En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000). A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000): • P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. • ...... • P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PROCESO DENOMINACIÓN Planificación Adquisición Mantenimiento Seguridad Servicios PROCESO PO1 Definir un plan estratégico P de sistema PO2 Definir la arquitectura de P P información PO3 Determinar la dirección S P tecnológica PO4 Definir la organización y S P sus relaciones Planeación PO5 Administrar las P P P S y inversiones (en TI) Organiza- PO6 Comunicar la dirección y S P P ción objetivos de la gerencia PO7 Administrar los recursos P S P humanos PO8 Asegurar el apego a P P P P disposiciones externas PO9 Evaluar riesgo S P P P PO10 Administrar proyecto S P P PO11 Administrar calidad S P P P Adquisició AI1 Identificar soluciones de P P ne automatización Implemen- AI2 Adquirir y mantener P P S S tación software de aplicación AI3 Adquirir y mantener la P P S S arquitectura tecnológica
AI4 Desarrollar y mantener procedimiento P P S S AI5 Instalar y acreditar sistemas de información P P AI6 Administrar cambio P P S S DS1 Definir niveles de servicio P DS2 Administrar servicios de tercero DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio P P P DS5 Garantizar la seguridad de sistema P DS6 Identificar y asignar costo P Entrega de servicios y DS7 Educar y capacitar a usuario P P S Soporte DS8 Apoyar y orientar a clientes S DS9 Administrar la configuración P P DS10 Administrar problemas e incidente P P P DS11 Administrar la información S P P DS12 Administrar las instalaciones P DS13 Administrar la operación P P M1 Monitorear el proceso P M2 Evaluar lo adecuado del control interno P S S P P Monitoreo M3 Obtener aseguramiento independiente P P P M4 Proporcionar auditoría independiente S S P P P
II.- CARACTERISTICAS DEL GRUPO COLOMBIA El Grupo Bancolombia ya contaba con políticas y procedimientos de control interno y riesgos mucho antes de que los escándalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran. El Grupo adoptó e implementó un esquema de administración de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la información contable. El Grupo Bancolombia adoptó los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compañías que hacen parte del Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema de control interno.
I.- FUNCIONES DEL GRUPO BANCOLOMBIA A través de la Fundación Bancolombia se materializa el compromiso social y comunitario del Grupo Bancolombia. Trabajamos por el desarrollo integral de las comunidades. Desarrollamos líneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversión para los grupos de interés.
III.- ÓRGANO DE CONTROL INTERNO (SCI)
LA SCI Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comités, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuación unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia. El Sistema de Control Interno cuenta con el área de auditoria en la cual cuenta con independencia funcional y técnica respecto de la administración de GBC, dentro del ámbito del grupo. Este órgano mantiene una vinculación de dependencia funcional con la Gerencia general.
AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIA ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo. DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable. GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo. VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos. DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es responsable de la administración de los controles. VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para procesos de tecnología bajo el marco de referencia COBIT.
FUNCIONES DEL SCI Las Empresas del Grupo Bancolombia deberán contar con un SCI integrado por principios, políticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Interés de cada empresa. La adopción del SCI, debe contemplar la necesidad de que la alta dirección de cada empresa y el resto de la organización, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestión, considerándolo como un conjunto de actividades integradas a los procesos operativos de las empresas. Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la alta dirección y demás funcionarios de una organización de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos.
INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA La Junta Directiva y el Representante Legal presentan a los señores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría: El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estándares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este último aplicado a los procesos de tecnología de información. Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando en el año 2010 en el diseño y la valoración del Sistema de Control Interno. La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las siguientes actividades:
1. EVALUACIÓN DE LA ADMINISTRACIÓN: Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos. Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías, herramientas de control y matrices de autoevaluación de riesgo operacional. Actividades de control: Actualizamos la documentación de procesos y las matrices de control que permitieron identificar los riesgos relevantes para efectuar la evaluación de controles clave en los procesos y su verificación por parte de la Auditoría Interna. Información y comunicación: En 2010 continuamos con el programa de divulgación del Sistema de Control Interno y capacitaciones presenciales a un gran número de colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones corporativas, la página web de la entidad y otros medios como círculos de comunicación y grupos primarios. Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la correcta aplicación de los controles existentes. Además, realizamos actividades de retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente, implementar soluciones oportunas en el diseño de los procesos y matrices de control.
2. EVALUACIÓN DE LA AUDITORÍA INTERNA Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo con fundamento en las normas para la práctica profesional de Auditoría Interna. Los resultados de esta evaluación al sistema y de los riesgos relacionados con el funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias materiales o significativas en el diseño y operación de los controles asociados al proceso y registro de la información financiera de Bancolombia. El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a la información necesaria para la ejecución de las actividades de control.
3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL COMITÉ DE AUDITORÍA El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos, reportándole en forma periódica el desarrollo de sus actividades. Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la preparación de la información financiera que se presenta a las autoridades en Colombia y ante la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos presentados por los entes de control. De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede concluir que : (i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su información financiera, (ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado, (iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con independencia, (iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a través de la Línea Ética.
Al cierre del año 2010, ni la Administración ni los órganos de control internos y externos del Banco ni el Comité de Auditoría detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la información financiera preparada y revelada por el Banco.
CONCLUSIONES • Claramente COBIT es un marco de referencia para profesionalizar el área informática de una compañía, ya que tiene una compleja estructura de 34 procesos de alto nivel y 210 objetivos de control. • Los procesos de negocio son la base por la que COBIT existe y no lo es el simple hecho de implementar la tecnología de punta.
RECOMENDACIONES •Si el área informática de la organización es pequeña COBIT puede resultar muy cara en su implementación y por tanto no se justifica. En cambio si está en juego grandes sumas de dinero respaldadas en las tecnologías de la información, su uso es obligatorio. •Contar con personal altamente especializado para la implantación de COBIT en la organización, considerando que domine el enfoque de negocios y la tecnología relacionada a cumplir objetivos de los mismos.

Recomendados

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Cobit ppt
Cobit pptCobit ppt
Cobit pptAlexander Velasque Rimac
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasJose Alvarado Robles
 
Cuestionario cobit
Cuestionario cobitCuestionario cobit
Cuestionario cobitcitlalimtz2621
 

Recomendados

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Cobit ppt
Cobit pptCobit ppt
Cobit pptAlexander Velasque Rimac
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasJose Alvarado Robles
 
Cuestionario cobit
Cuestionario cobitCuestionario cobit
Cuestionario cobitcitlalimtz2621
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Luis Angello RH-CyberComputer
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxRamón Alexander Paula Reynoso
 
Caracteristicas de la auditoria financiera
Caracteristicas de la auditoria financieraCaracteristicas de la auditoria financiera
Caracteristicas de la auditoria financieraJhovana Malca Galvez
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaCESAR VILLA MAURA
 
Alineación estratégica de TI
Alineación estratégica de TIAlineación estratégica de TI
Alineación estratégica de TICIAPEM Nacional
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
Trabajo final auditoría
Trabajo final auditoríaTrabajo final auditoría
Trabajo final auditoríamitcheljrn
 
Nia 210 auditoria financiera
Nia 210 auditoria financieraNia 210 auditoria financiera
Nia 210 auditoria financieraGriselly Julvely
 
Objetivo general de una auditoría financiera
Objetivo general de una auditoría financieraObjetivo general de una auditoría financiera
Objetivo general de una auditoría financieraXiomara Enriquez
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROLVICTOR31651306
 
Comparacion entre nagas y nias
Comparacion entre nagas y niasComparacion entre nagas y nias
Comparacion entre nagas y niasJohanna Quishpe
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 IntroducciónFernando De los Ríos
 
Auditoria de cumplimiento
Auditoria de cumplimientoAuditoria de cumplimiento
Auditoria de cumplimientoRoberth Pardhu
 
Normas internacionales de auditoria
Normas internacionales de auditoriaNormas internacionales de auditoria
Normas internacionales de auditoriamaggie1958
 
2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoria2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoriaAlba Montoya
 
Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobitjulioandres55
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 

Mais conteúdo relacionado

Mais procurados

Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Luis Angello RH-CyberComputer
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxRamón Alexander Paula Reynoso
 
Caracteristicas de la auditoria financiera
Caracteristicas de la auditoria financieraCaracteristicas de la auditoria financiera
Caracteristicas de la auditoria financieraJhovana Malca Galvez
 
Alineación estratégica de TI
Alineación estratégica de TIAlineación estratégica de TI
Alineación estratégica de TICIAPEM Nacional
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
Trabajo final auditoría
Trabajo final auditoríaTrabajo final auditoría
Trabajo final auditoríamitcheljrn
 
Nia 210 auditoria financiera
Nia 210 auditoria financieraNia 210 auditoria financiera
Nia 210 auditoria financieraGriselly Julvely
 
Objetivo general de una auditoría financiera
Objetivo general de una auditoría financieraObjetivo general de una auditoría financiera
Objetivo general de una auditoría financieraXiomara Enriquez
 
Comparacion entre nagas y nias
Comparacion entre nagas y niasComparacion entre nagas y nias
Comparacion entre nagas y niasJohanna Quishpe
 
Auditoria de cumplimiento
Auditoria de cumplimientoAuditoria de cumplimiento
Auditoria de cumplimientoRoberth Pardhu
 
Normas internacionales de auditoria
Normas internacionales de auditoriaNormas internacionales de auditoria
Normas internacionales de auditoriamaggie1958
 
2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoria2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoriaAlba Montoya
 

Mais procurados (20)

Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
 
Caracteristicas de la auditoria financiera
Caracteristicas de la auditoria financieraCaracteristicas de la auditoria financiera
Caracteristicas de la auditoria financiera
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Alineación estratégica de TI
Alineación estratégica de TIAlineación estratégica de TI
Alineación estratégica de TI
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control interno
 
Trabajo final auditoría
Trabajo final auditoríaTrabajo final auditoría
Trabajo final auditoría
 
Nia 210 auditoria financiera
Nia 210 auditoria financieraNia 210 auditoria financiera
Nia 210 auditoria financiera
 
Objetivo general de una auditoría financiera
Objetivo general de una auditoría financieraObjetivo general de una auditoría financiera
Objetivo general de una auditoría financiera
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROL
 
Comparacion entre nagas y nias
Comparacion entre nagas y niasComparacion entre nagas y nias
Comparacion entre nagas y nias
 
Cobit5 Introducción
Cobit5 IntroducciónCobit5 Introducción
Cobit5 Introducción
 
Auditoria de cumplimiento
Auditoria de cumplimientoAuditoria de cumplimiento
Auditoria de cumplimiento
 
Normas internacionales de auditoria
Normas internacionales de auditoriaNormas internacionales de auditoria
Normas internacionales de auditoria
 
2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoria2. definiciones y conceptos tipos de auditoria
2. definiciones y conceptos tipos de auditoria
 

Destaque

Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 
Presentacion Sistemas
Presentacion SistemasPresentacion Sistemas
Presentacion Sistemascecesco
 
AUDITORIA DE CALIDAD
AUDITORIA DE CALIDADAUDITORIA DE CALIDAD
AUDITORIA DE CALIDADpatricia
 
P09,P010,P011 COBIT
P09,P010,P011 COBITP09,P010,P011 COBIT
P09,P010,P011 COBITShirlid .n
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacionEli Blas
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacioncarlosskovar
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticayamyortiz17
 
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power PointPasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power PointJorge Garcia Flores
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 

Destaque (17)

Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobit
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014
 
Presentacion Sistemas
Presentacion SistemasPresentacion Sistemas
Presentacion Sistemas
 
AUDITORIA DE CALIDAD
AUDITORIA DE CALIDADAUDITORIA DE CALIDAD
AUDITORIA DE CALIDAD
 
P09,P010,P011 COBIT
P09,P010,P011 COBITP09,P010,P011 COBIT
P09,P010,P011 COBIT
 
Cobit
Cobit Cobit
Cobit
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacion
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
What is Cobit
What is CobitWhat is Cobit
What is Cobit
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
 
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power PointPasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoria
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 

Semelhante a Cobit

Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitJackieHee27
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfGaboi7Casti
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionAndres_84
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacionChikita Patty
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicionoliviachurme
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Christian Cruz
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018Edgar Garcia
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organizaciónEDUARKON
 

Semelhante a Cobit (20)

Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
 
Cobit
CobitCobit
Cobit
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacion
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicion
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 

Mais de Alexander Velasque Rimac

Mais de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Cobit

  • 1. 2011 AUDITORÍA DE SISTEMAS TEMA: “COBIT ORIENTADO A LA AUDITORÍA” INTEGRANTES: • CAYLLAHUA LEON, JOYCER • CUEVA BARDALES, HENRY • PRADO MARCA, FERNANDO • VARGAS OLIVA, CHARLE PROFESOR: • DR. OSCAR MUJICA RUIZ
  • 2. COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA ESTRATEGIA CORPORATIVA Auditores de sistemas de información: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
  • 3. Conjunto de buenas prácticas a través de un marco de trabajo conformado por dominios y procesos que les permitirá optimizar sus inversiones de TI
  • 4. Y divide los procesos de TI de la empresa en 4 áreas: CONSTRUIR PLANEAR EJECUTAR Ofreciendo una visión de MONITOREAR punta a punta de la TI
  • 5. Objetivos de Negocio Objetivos de Gobierno INFORMACIÓN Eficiencia Efectividad Integridad Monitorear Cumplimiento Disponibilidad y Evaluar Confiabilidad Confidencialidad Planear y Recursos Organizar de TI Aplicaciones Información Infraestructura Personas Entregar y Adquirir e Dar Soporte Implementar
  • 6.
  • 7. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Descripción del Proceso Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
  • 8. AI2.4 Seguridad y disponibilidad de las aplicaciones. Derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
  • 9. AI2.4 Seguridad y disponibilidad de las aplicaciones. Verificar que ada usuario necesariamente deberá tener un nivel de accesibilidad a las aplicaciones
  • 10. AI2.7 Desarrollo de software aplicativo Evaluar que en el desarrollo que se sigan los estándares establecidos Modelo para creación de formularios
  • 12. Descripción del Proceso Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
  • 13. DS5.1 Administración de la seguridad de TI Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. Seguridad a nivel de Servidor de Base de datos
  • 14. DS5.3 Administración de identidad Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.
  • 15. DS5.4 Administración de cuentas del usuario Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario.
  • 16. CASO 1: MEYCOR COBIT AG aplicado en WEST FINANCIALS PRESENTANDO A LOS ACTORES: La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo importante de condiciones diferentes por lo que el sistema informático de Cuentas a Cobrar resulta crítico, para alcanzar sus objetivos de negocio.
  • 17. CASO 2: MEYCOR COBIT AG aplicado en WEST FINANCIALS PLANTEAMIENTO DEL PROBLEMA: Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable por la organización. Los riesgos identificados tienen una valoración significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.
  • 18. En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario „JMartinez‟ al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles. Creación de un usuario Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe emitirse la opinión. Creación de un centro de análisis
  • 19. Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditoría a nivel de los Objetivos de Control de alto nivel de Cobit). Se crea el Proyecto de auditoria al cual se da el nombre de “Sistema de Cuentas a Cobrar WF” Creación del proyecto y definición de su objetivo y alcance. Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama. Esto es creado por el supervisor. Menú: Centro de Análisis Organigrama
  • 20. Definición de proceso de negocio. Detalle de las columnas: Efectividad o Eficacia, Eficiencia, Confidencialidad, Integri dad, Disponibilidad, Cumplimiento, Confiabili dad de la información. Requerimientos de Información.
  • 21. Se ingresa la información de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnológica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de información previamente identificados. Relación entre procesos de negocio y procesos de COBIT. En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para obtener una información primaria de los procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales. Planillas de auditoria.
  • 22. Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel), para la auditoría, al equipo de evaluadores asignados al proyecto. Ejemplo de la asignación de procesos de COBIT a un revisor. El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE Alerta que le indica que ha sido asignado a un proyecto de auditoria. Puede ver la información del mismo (organigrama, procesos de negocio. Recursos de Ti, etc.) Se determina sobre que objetivos de control auditar
  • 23. Etapa 1: Entrevistas Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visión del objeto de la auditoría. Ejemplo de un hallazgo en la etapa de entrevistas Etapa 2: Documentación En este caso se obtienen los manuales técnicos y de usuarios de la aplicación. Registro de las tareas efectuadas
  • 24. Etapa 3: Emisión de una primera opinión A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación. Evaluación de Controles. Etapa 4: Verificar el cumplimiento de los controles Aquí se revisa que esos controles estén funcionando. Verificación de controles
  • 25. Etapa 5: Realización de muestreos • Consideraciones del riesgo de auditoría. • Si hay medidas de control. • Si las medidas de control existentes fueron evaluadas como no suficientes. Determinación del muestreo Etapa 6: Emisión de una conclusión final Se emite una conclusión (en este caso es para los Objetivos de control que forman un proceso) Se indica si hay o no aseguramiento.
  • 26. CASO 2: Modelo de Auditoría basado en COBIT para Servicios de Internet en el Ambito Hospitalario La aparición de nuevas posibilidades de proceso de la información y de nuevos flujos de información ha provocado la aparición de nuevos riesgos y amenazas con respecto a la información y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologías y del contexto hospitalario para construir nuevos enfoques de auditoría de sistemas de información sanitarios. Se presenta un Modelo General basado en el marco formal de Auditoría denominado COBIT.
  • 27. ANTECEDENTES Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Información Hospitalarios Areas conceptuales en un Sistema de Información Sanitaria
  • 28. Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
  • 29. Incorporación de Internet e Intranets en el hospital
  • 30. Aspectos gestión y seguridad de las intranets hospitalarias • Problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática  Planificación  Organización  Seguridad  Adquisición  Mantenimiento  Servicios
  • 31. • Objetivo .- Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT Descripción del estudio • El contexto del problema .- El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital. • El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales
  • 32. Elementos Planificación Adquisición Mantenimiento Seguridad Servicio Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 Personal clínico (med., enfer.) 4 Personal auxiliar (celad., etc.) 4 Pacientes / usuarios 4 Tecnologías 4 4 4 Mercado 4 Marco Legal 4 4 4 4 4 Marco Normativo Estándares 4 4 4 4 4 Proveedores 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 Sw. aplicación 4 4 4 Elementos del sistema en estudio
  • 33. Eficiencia y Confiden- Dsiponi- Elementos Integridad Cumplimiento Fiabilidad Efectividad cialidad bilidad Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 4 4 4 4 Personal clínico (med., enfer.) 4 4 4 Personal auxiliar (celad., etc.) 4 4 4 Pacientes / usuarios 4 Tecnologías 4 4 4 4 4 Mercado Marco Legal Marco Normativo Estándares 4 4 4 4 4 4 Proveedores 4 4 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 4 Sw. aplicación 4 4 4 4 Riesgos Asociados
  • 34. Resultados Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos. En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000). A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000): • P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. • ...... • P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
  • 35. DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PROCESO DENOMINACIÓN Planificación Adquisición Mantenimiento Seguridad Servicios PROCESO PO1 Definir un plan estratégico P de sistema PO2 Definir la arquitectura de P P información PO3 Determinar la dirección S P tecnológica PO4 Definir la organización y S P sus relaciones Planeación PO5 Administrar las P P P S y inversiones (en TI) Organiza- PO6 Comunicar la dirección y S P P ción objetivos de la gerencia PO7 Administrar los recursos P S P humanos PO8 Asegurar el apego a P P P P disposiciones externas PO9 Evaluar riesgo S P P P PO10 Administrar proyecto S P P PO11 Administrar calidad S P P P Adquisició AI1 Identificar soluciones de P P ne automatización Implemen- AI2 Adquirir y mantener P P S S tación software de aplicación AI3 Adquirir y mantener la P P S S arquitectura tecnológica
  • 36. AI4 Desarrollar y mantener procedimiento P P S S AI5 Instalar y acreditar sistemas de información P P AI6 Administrar cambio P P S S DS1 Definir niveles de servicio P DS2 Administrar servicios de tercero DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio P P P DS5 Garantizar la seguridad de sistema P DS6 Identificar y asignar costo P Entrega de servicios y DS7 Educar y capacitar a usuario P P S Soporte DS8 Apoyar y orientar a clientes S DS9 Administrar la configuración P P DS10 Administrar problemas e incidente P P P DS11 Administrar la información S P P DS12 Administrar las instalaciones P DS13 Administrar la operación P P M1 Monitorear el proceso P M2 Evaluar lo adecuado del control interno P S S P P Monitoreo M3 Obtener aseguramiento independiente P P P M4 Proporcionar auditoría independiente S S P P P
  • 37. II.- CARACTERISTICAS DEL GRUPO COLOMBIA El Grupo Bancolombia ya contaba con políticas y procedimientos de control interno y riesgos mucho antes de que los escándalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran. El Grupo adoptó e implementó un esquema de administración de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la información contable. El Grupo Bancolombia adoptó los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compañías que hacen parte del Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema de control interno.
  • 38. I.- FUNCIONES DEL GRUPO BANCOLOMBIA A través de la Fundación Bancolombia se materializa el compromiso social y comunitario del Grupo Bancolombia. Trabajamos por el desarrollo integral de las comunidades. Desarrollamos líneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversión para los grupos de interés.
  • 39. III.- ÓRGANO DE CONTROL INTERNO (SCI)
  • 40.
  • 41. LA SCI Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comités, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuación unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia. El Sistema de Control Interno cuenta con el área de auditoria en la cual cuenta con independencia funcional y técnica respecto de la administración de GBC, dentro del ámbito del grupo. Este órgano mantiene una vinculación de dependencia funcional con la Gerencia general.
  • 42. AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIA ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo. DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable. GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo. VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos. DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es responsable de la administración de los controles. VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para procesos de tecnología bajo el marco de referencia COBIT.
  • 43. FUNCIONES DEL SCI Las Empresas del Grupo Bancolombia deberán contar con un SCI integrado por principios, políticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Interés de cada empresa. La adopción del SCI, debe contemplar la necesidad de que la alta dirección de cada empresa y el resto de la organización, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestión, considerándolo como un conjunto de actividades integradas a los procesos operativos de las empresas. Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la alta dirección y demás funcionarios de una organización de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos.
  • 44. INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA La Junta Directiva y el Representante Legal presentan a los señores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría: El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estándares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este último aplicado a los procesos de tecnología de información. Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando en el año 2010 en el diseño y la valoración del Sistema de Control Interno. La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las siguientes actividades:
  • 45. 1. EVALUACIÓN DE LA ADMINISTRACIÓN: Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos. Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías, herramientas de control y matrices de autoevaluación de riesgo operacional. Actividades de control: Actualizamos la documentación de procesos y las matrices de control que permitieron identificar los riesgos relevantes para efectuar la evaluación de controles clave en los procesos y su verificación por parte de la Auditoría Interna. Información y comunicación: En 2010 continuamos con el programa de divulgación del Sistema de Control Interno y capacitaciones presenciales a un gran número de colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones corporativas, la página web de la entidad y otros medios como círculos de comunicación y grupos primarios. Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la correcta aplicación de los controles existentes. Además, realizamos actividades de retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente, implementar soluciones oportunas en el diseño de los procesos y matrices de control.
  • 46. 2. EVALUACIÓN DE LA AUDITORÍA INTERNA Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo con fundamento en las normas para la práctica profesional de Auditoría Interna. Los resultados de esta evaluación al sistema y de los riesgos relacionados con el funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias materiales o significativas en el diseño y operación de los controles asociados al proceso y registro de la información financiera de Bancolombia. El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a la información necesaria para la ejecución de las actividades de control.
  • 47. 3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL COMITÉ DE AUDITORÍA El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos, reportándole en forma periódica el desarrollo de sus actividades. Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la preparación de la información financiera que se presenta a las autoridades en Colombia y ante la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos presentados por los entes de control. De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede concluir que : (i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su información financiera, (ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado, (iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con independencia, (iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a través de la Línea Ética.
  • 48. Al cierre del año 2010, ni la Administración ni los órganos de control internos y externos del Banco ni el Comité de Auditoría detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la información financiera preparada y revelada por el Banco.
  • 49. CONCLUSIONES • Claramente COBIT es un marco de referencia para profesionalizar el área informática de una compañía, ya que tiene una compleja estructura de 34 procesos de alto nivel y 210 objetivos de control. • Los procesos de negocio son la base por la que COBIT existe y no lo es el simple hecho de implementar la tecnología de punta.
  • 50. RECOMENDACIONES •Si el área informática de la organización es pequeña COBIT puede resultar muy cara en su implementación y por tanto no se justifica. En cambio si está en juego grandes sumas de dinero respaldadas en las tecnologías de la información, su uso es obligatorio. •Contar con personal altamente especializado para la implantación de COBIT en la organización, considerando que domine el enfoque de negocios y la tecnología relacionada a cumplir objetivos de los mismos.