Este documento presenta un resumen de un proyecto de auditoría de sistemas realizado en 2011 sobre el tema "COBIT orientado a la auditoría". El proyecto fue realizado por 4 estudiantes y supervisado por el Dr. Oscar Mujica Ruiz. Explica brevemente que COBIT es un marco de trabajo para TI que garantiza la alineación con la estrategia corporativa y divide los procesos de TI en 4 áreas principales para ofrecer una visión completa.

1. 2011 AUDITORÍA
DE SISTEMAS
TEMA: “COBIT ORIENTADO A LA AUDITORÍA”
INTEGRANTES:
• CAYLLAHUA LEON, JOYCER
• CUEVA BARDALES, HENRY
• PRADO MARCA, FERNANDO
• VARGAS OLIVA, CHARLE
PROFESOR:
• DR. OSCAR MUJICA RUIZ

2. COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE
INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA
ESTRATEGIA CORPORATIVA
Auditores de sistemas de información:
Para soportar sus opiniones sobre los controles de los proyectos de TI,
su impacto en la organización y determinar el control mínimo
requerido.

3. Conjunto de buenas prácticas a través de
un marco de trabajo conformado por
dominios y procesos que les permitirá
optimizar sus inversiones de TI

4. Y divide los procesos de TI de la empresa en
4 áreas:
CONSTRUIR
PLANEAR
EJECUTAR
Ofreciendo una visión de
MONITOREAR
punta a punta de la TI

5. Objetivos de Negocio
Objetivos de Gobierno
INFORMACIÓN
Eficiencia
Efectividad Integridad
Monitorear Cumplimiento Disponibilidad
y Evaluar Confiabilidad Confidencialidad Planear y
Recursos Organizar
de TI
Aplicaciones
Información
Infraestructura
Personas
Entregar y Adquirir e
Dar Soporte Implementar

7. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Descripción del Proceso
Las aplicaciones deben estar disponibles de
acuerdo con los requerimientos del negocio. Este
proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y
requerimientos de seguridad. Esto permite apoyar
la operatividad del negocio de forma apropiada con
las aplicaciones automatizadas correctas.

8. AI2.4 Seguridad y disponibilidad de las aplicaciones.
Derechos de acceso y administración de privilegios, protección de
información sensible en todas las etapas, autenticación e integridad de
las transacciones y recuperación automática.
Al momento de auditar el
sistemas se verificar el
nivel de accesibilidad de
los Usuarios de las
aplicaciones

9. AI2.4 Seguridad y disponibilidad de las aplicaciones.
Verificar que ada usuario necesariamente deberá tener un nivel de
accesibilidad a las aplicaciones

10. AI2.7 Desarrollo de software aplicativo
Evaluar que en el desarrollo que se sigan los estándares establecidos
Modelo para creación de formularios

11. Estándar de programcion.Net
Estándar de programación SQL

12. Descripción del Proceso
Este proceso incluye el establecimiento y
mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos
de TI. Una efectiva administración de la seguridad
protege todos los activos de TI para minimizar el
impacto en el negocio causado por vulnerabilidades
o incidentes de seguridad.

13. DS5.1 Administración de la seguridad de TI
Administrar la seguridad de TI al nivel más apropiado dentro de la
organización, de manera que las acciones de administración de la seguridad
estén en línea con los requerimientos del negocio.
Seguridad a nivel de Servidor de Base de datos

14. DS5.3 Administración de identidad
Todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicación de negocio, operación
del sistema, desarrollo y mantenimiento) deben ser
identificables de manera única. Los derechos de acceso del
usuario a sistemas y datos deben estar alineados con
necesidades de negocio.

15. DS5.4 Administración de cuentas del usuario
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación
y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados
en cuenta por la gerencia de cuentas de usuario.

16. CASO 1:
MEYCOR COBIT AG
aplicado en WEST FINANCIALS
PRESENTANDO A LOS ACTORES:
La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en
organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de
tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar
COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT
AG para automatizar y facilitar la tarea.
La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera
de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo
importante de condiciones diferentes por lo que el sistema informático de Cuentas a
Cobrar resulta crítico, para alcanzar sus objetivos de negocio.

17. CASO 2:
MEYCOR COBIT AG aplicado en WEST FINANCIALS
PLANTEAMIENTO DEL PROBLEMA:
Todo el sistema informático consolida la información en Montevideo. Cuenta con
procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un
grupo de casi 100 cobradores organizados en equipos.
Recientemente se han producido algunos problemas puntuales dados por errores en las
cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo
interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias
del mismo mantienen algunas reservas.
Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe
en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable
por la organización. Los riesgos identificados tienen una valoración significativa y no se
encuentran adecuadamente cubiertos por las actividades de control existentes.

18. En primer lugar, el Administrador
ingresa al software Meycor COBIT
AG y crea un usuario „JMartinez‟ al
que le define el perfil de supervisor.
Posteriormente se ingresan los otros
integrantes de la auditoria en sus
diversos roles.
Creación de un usuario
Un centro de
análisis, es el objeto
de la auditoría, es el
escenario sobre el
que debe emitirse la
opinión.
Creación de un centro de análisis

19. Para el proyecto especifico se define el
tipo de proyecto, en este caso se trata de
una auditoria de procesos de TI (auditoría
a nivel de los Objetivos de Control de alto
nivel de Cobit).
Se crea el Proyecto de auditoria al cual se
da el nombre de “Sistema de Cuentas a
Cobrar WF”
Creación del proyecto y definición de
su objetivo y alcance.
Consiste en definir primero
los niveles jerárquicos y
posteriormente crear el
organigrama. Esto es
creado por el supervisor.
Menú: Centro de Análisis
Organigrama

20. Definición de proceso de negocio.
Detalle de las columnas: Efectividad o
Eficacia, Eficiencia, Confidencialidad, Integri
dad, Disponibilidad, Cumplimiento, Confiabili
dad de la información.
Requerimientos de Información.

21. Se ingresa la información de los diversos
recursos de Ti (clasificados en personas,
datos, aplicaciones, infraestructura
tecnológica e instalaciones).
Mediante la facilidad de seleccionar y
arrastrar los recursos de TI se relacionan
con los requerimientos de información
previamente identificados.
Relación entre procesos de negocio y
procesos de COBIT.
En esta etapa puede ayudar el conjunto
de planillas que define el
Implementation Tool Set de Cobit para
obtener una información primaria de los
procesos de Cobit preseleccionados
para auditar o incluso agregar algunos
adicionales.
Planillas de auditoria.

22. Se asignan los Procesos de Cobit (o los
Objetivos de Control de bajo
nivel), para la auditoría, al equipo de
evaluadores asignados al proyecto.
Ejemplo de la asignación de
procesos de COBIT a un revisor.
El Revisor Carlos ingresa a Meycor
COBIT AG y RECIBE UN MENSAJE DE
Alerta que le indica que ha sido
asignado a un proyecto de auditoria.
Puede ver la información del mismo
(organigrama, procesos de negocio.
Recursos de Ti, etc.)
Se determina sobre que objetivos de control auditar

23. Etapa 1: Entrevistas
Vemos que el proceso comienza con
entrevistas, las mismas permiten tener
una primera visión del objeto de la
auditoría.
Ejemplo de un hallazgo en la etapa de
entrevistas
Etapa 2: Documentación
En este caso se obtienen los
manuales técnicos y de usuarios
de la aplicación.
Registro de las tareas efectuadas

24. Etapa 3: Emisión de una primera
opinión
A partir de las etapas anteriores y de
algunos trabajos de campo puede
determinarse si existen controles
suficientes para los riesgos
involucrados en la aplicación.
Evaluación de Controles.
Etapa 4: Verificar el cumplimiento
de los controles
Aquí se revisa que esos controles
estén funcionando.
Verificación de controles

25. Etapa 5: Realización de muestreos
• Consideraciones del riesgo de auditoría.
• Si hay medidas de control.
• Si las medidas de control existentes
fueron evaluadas como no suficientes.
Determinación del muestreo
Etapa 6: Emisión de una conclusión final
Se emite una conclusión (en este caso es
para los Objetivos de control que forman
un proceso)
Se indica si hay o no aseguramiento.

26. CASO 2:
Modelo de Auditoría basado en COBIT
para Servicios de Internet en el Ambito
Hospitalario
La aparición de nuevas posibilidades de proceso de la información y de
nuevos flujos de información ha provocado la aparición de nuevos riesgos
y amenazas con respecto a la información y a los activos de TI. Por tanto,
es necesario considerar las particularidades de dichas tecnologías y del
contexto hospitalario para construir nuevos enfoques de auditoría de
sistemas de información sanitarios. Se presenta un Modelo General
basado en el marco formal de Auditoría denominado COBIT.

27. ANTECEDENTES
Criterios rigurosos de eficiencia, robustez,
operatividad y seguridad.
Los Sistemas de Información Hospitalarios
Areas conceptuales en un Sistema de Información Sanitaria

28. Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico

29. Incorporación de Internet e Intranets en el hospital

30. Aspectos gestión y seguridad de las
intranets hospitalarias
• Problemas de seguridad y gestión de los nuevos flujos de
información y elementos constitutivos de la red que, en
algunas ocasiones, superan la capacidad técnica del personal
de informática
 Planificación
 Organización
 Seguridad
 Adquisición
 Mantenimiento
 Servicios

31. • Objetivo .- Se ha determinado el contexto del problema y el alcance del
estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados.
Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control
y objetivos de auditoría. Todo ello se ha realizado aplicando el marco
metodológico de auditoría denominado COBIT
Descripción del estudio
• El contexto del problema .- El contexto del problema es la implantación de una red IP en una
organización hospitalaria para dar servicios generales de información a las distintas unidades
clínicas de dicho hospital.
• El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento
de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales
del sector, sean estatales, sean regionales

32. Elementos Planificación Adquisición Mantenimiento Seguridad Servicio
Gerencia 4 4
Responsable Informática 4 4
Técnicos Informática 4 4 4
Webmaster 4 4 4 4
Administrador Seguridad 4 4
Personal clínico (med., enfer.) 4
Personal auxiliar (celad., etc.) 4
Pacientes / usuarios 4
Tecnologías 4 4 4
Mercado 4
Marco Legal 4 4 4 4 4
Marco Normativo Estándares 4 4 4 4 4
Proveedores 4 4 4
Hw base: servidores 4 4 4
Hw redes 4 4 4
Sw base: sis. op., ser. Web 4 4 4
Sw redes 4 4 4
Sw Info: BD, etc. 4 4 4
Sw. aplicación 4 4 4
Elementos del sistema en estudio

33. Eficiencia y Confiden- Dsiponi-
Elementos Integridad Cumplimiento Fiabilidad
Efectividad cialidad bilidad
Gerencia 4 4
Responsable Informática 4 4
Técnicos Informática 4 4 4
Webmaster 4 4 4 4
Administrador Seguridad 4 4 4 4 4 4
Personal clínico (med., enfer.) 4 4 4
Personal auxiliar (celad., etc.) 4 4 4
Pacientes / usuarios 4
Tecnologías 4 4 4 4 4
Mercado
Marco Legal
Marco Normativo Estándares 4 4 4 4 4 4
Proveedores 4 4 4 4 4
Hw base: servidores 4 4 4
Hw redes 4 4 4
Sw base: sis. op., ser. Web 4 4 4 4
Sw redes 4 4 4
Sw Info: BD, etc. 4 4 4 4
Sw. aplicación 4 4 4 4
Riesgos Asociados

34. • Resultados
Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas
de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un
subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.
En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En
este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las
funciones identificadas en la incorporación de una intranet: Planificación, Adquisición,
Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se
determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase
la Tabla 3) (ISACA-FMWK, 2000).
A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un
grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000).
Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación
debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este
proceso (ISACAF-COB, 2000):
• P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La
gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que
satisfagan la misión y las metas de la organización.
• ......
• P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los
sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad,
complejidad, costo y fortalezas y debilidades.

35. DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS
FUNCIONES DEL SISTEMA EN ESTUDIO
ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET
DOMINIO PROCESO DENOMINACIÓN
Planificación Adquisición Mantenimiento Seguridad Servicios
PROCESO
PO1 Definir un plan estratégico P
de sistema
PO2 Definir la arquitectura de P P
información
PO3 Determinar la dirección S P
tecnológica
PO4 Definir la organización y S P
sus relaciones
Planeación PO5 Administrar las P P P S
y inversiones (en TI)
Organiza- PO6 Comunicar la dirección y S P P
ción objetivos de la gerencia
PO7 Administrar los recursos P S P
humanos
PO8 Asegurar el apego a P P P P
disposiciones externas
PO9 Evaluar riesgo S P P P
PO10 Administrar proyecto S P P
PO11 Administrar calidad S P P P
Adquisició AI1 Identificar soluciones de P P
ne automatización
Implemen- AI2 Adquirir y mantener P P S S
tación software de aplicación
AI3 Adquirir y mantener la P P S S
arquitectura tecnológica

36. AI4 Desarrollar y mantener procedimiento P P S S
AI5 Instalar y acreditar sistemas de información P P
AI6 Administrar cambio P P S S
DS1 Definir niveles de servicio P
DS2 Administrar servicios de tercero
DS3 Administrar desempeño y capacidad
DS4 Asegurar continuidad de servicio P P P
DS5 Garantizar la seguridad de sistema P
DS6 Identificar y asignar costo P
Entrega de
servicios y DS7 Educar y capacitar a usuario P P S
Soporte DS8 Apoyar y orientar a clientes S
DS9 Administrar la configuración P P
DS10 Administrar problemas e incidente P P P
DS11 Administrar la información S P P
DS12 Administrar las instalaciones P
DS13 Administrar la operación P P
M1 Monitorear el proceso P
M2 Evaluar lo adecuado del control interno P S S P P
Monitoreo
M3 Obtener aseguramiento independiente P P P
M4 Proporcionar auditoría independiente S S P P P

37. II.- CARACTERISTICAS DEL GRUPO COLOMBIA
El Grupo Bancolombia ya contaba con políticas y procedimientos de
control interno y riesgos mucho antes de que los escándalos financieros
que dieron origen a la ley Sarbanes Oxley sucedieran.
El Grupo adoptó e implementó un esquema de administración de control
interno para dar cumplimiento a esta ley, promulgada por el congreso de
los Estados Unidos en 2002, con el fin de recuperar la confianza de los
inversionistas, aumentar la credibilidad de los accionistas en las
sociedades e incrementar la transparencia de los estados financieros y la
información contable.
El Grupo Bancolombia adoptó los modelos de control interno COSO
(Committe of Sponsoring Organizations of the Treadway Commisision) y
COBIT (Control Objectives for Information and related Technology) para ser
implementados en los procesos de las compañías que hacen parte del
Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema
de control interno.

38. I.- FUNCIONES DEL GRUPO BANCOLOMBIA
A través de la Fundación
Bancolombia se materializa el
compromiso social y comunitario
del Grupo Bancolombia.
Trabajamos por el desarrollo
integral de las comunidades.
Desarrollamos líneas de trabajo
que buscan minimizar el impacto
directo e indirecto de nuestras
actividades en el medio ambiente
Acercamos las actividades financieras
a diferentes poblaciones, generando
cada vez mayor crecimiento y
posibilidades de inversión para los
grupos de interés.

39. III.- ÓRGANO DE CONTROL INTERNO (SCI)

41. LA SCI
Todas las personas que hacen parte del Grupo
Bancolombia (empleados, miembros de junta,
comités, proveedores, outsourcing, entre otros)
son responsables por el adecuado
funcionamiento del Sistema de Control Interno.
No obstante, se muestran a continuación unos
roles clave y fundamentales que aportan de
manera directa a la efectividad del SCI
El Sistema de Control Interno es el encargado de
ejercer el control general, interno posterior a los
actos y operaciones del grupo Bancolombia.
El Sistema de Control Interno cuenta con el área de
auditoria en la cual cuenta con independencia
funcional y técnica respecto de la administración de
GBC, dentro del ámbito del grupo. Este órgano
mantiene una vinculación de dependencia funcional
con la Gerencia general.

42. AREAS DE APOYO AL CONTROL INTERNO EN EL
GRUPO BANCOLOMBIA
ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y
que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de
los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente
entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo.
DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del
establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información
financiera y contable.
GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo
apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la
normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos
y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo.
VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del
Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos.
DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que
estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es
responsable de la administración de los controles.
VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para
procesos de tecnología bajo el marco de referencia COBIT.

43. FUNCIONES DEL SCI
Las Empresas del Grupo Bancolombia deberán contar con un SCI
integrado por principios, políticas, normas y procedimientos
encaminados a proporcionar transparencia y seguridad a los
diferentes Grupos de Interés de cada empresa.
La adopción del SCI, debe contemplar la necesidad de que la alta
dirección de cada empresa y el resto de la organización, comprendan
cabalmente la trascendencia del control interno y la incidencia del
mismo sobre los resultados de la gestión, considerándolo como un
conjunto de actividades integradas a los procesos operativos de las
empresas.
Se entiende por SCI el conjunto de políticas, principios, normas,
procedimientos y mecanismos de verificación y evaluación
establecidos por la junta directiva, la alta dirección y demás
funcionarios de una organización de forma periodica para
proporcionar un grado de seguridad razonable en cuanto a la
consecución de los objetivos.

44. INFORME DEL SISTEMA DE CONTROL INTERNO DE
BANCOLOMBIA
La Junta Directiva y el Representante Legal presentan a los señores accionistas, el
siguiente informe sobre el funcionamiento del Sistema de Control Interno del
Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría:
El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los
estándares internacionales del Comitee of Sponsoring Organizations of the
Treadway Commission, Coso, y en el marco de referencia Control Objectives for
information and related technology, Cobit, este último aplicado a los procesos de
tecnología de información.
Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando
en el año 2010 en el diseño y la valoración del Sistema de Control Interno.
La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las
siguientes actividades:

45. 1. EVALUACIÓN DE LA ADMINISTRACIÓN:
Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y
la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de
Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto
funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos.
Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los
riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías,
herramientas de control y matrices de autoevaluación de riesgo operacional.
Actividades de control: Actualizamos la documentación de procesos y las matrices de
control que permitieron identificar los riesgos relevantes para efectuar la evaluación de
controles clave en los procesos y su verificación por parte de la Auditoría Interna.
Información y comunicación: En 2010 continuamos con el programa de divulgación
del Sistema de Control Interno y capacitaciones presenciales a un gran número de
colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones
corporativas, la página web de la entidad y otros medios como círculos de comunicación y
grupos primarios.
Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la
correcta aplicación de los controles existentes. Además, realizamos actividades de
retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre
otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente,
implementar soluciones oportunas en el diseño de los procesos y matrices de control.

46. 2. EVALUACIÓN DE LA AUDITORÍA INTERNA
Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque
de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo
con fundamento en las normas para la práctica profesional de Auditoría Interna.
Los resultados de esta evaluación al sistema y de los riesgos relacionados con el
funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles
fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias
materiales o significativas en el diseño y operación de los controles asociados al proceso y
registro de la información financiera de Bancolombia.
El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a
la información necesaria para la ejecución de las actividades de control.

47. 3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL
COMITÉ DE AUDITORÍA
El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente
establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la
entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión
de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los
estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de
control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos,
reportándole en forma periódica el desarrollo de sus actividades.
Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan
aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de
competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la
preparación de la información financiera que se presenta a las autoridades en Colombia y ante
la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos
presentados por los entes de control.
De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede
concluir que :
(i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su
información financiera,
(ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado,
(iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con
independencia,
(iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos
aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas
respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a
través de la Línea Ética.

48. Al cierre del año 2010, ni la Administración ni los órganos de control
internos y externos del Banco ni el Comité de Auditoría detectaron
debilidades materiales o significativas relacionadas con el Sistema de
Control Interno, que pongan en riesgo la efectividad del mismo.
Tampoco se tuvo conocimiento de fraudes, errores malintencionados o
manipulaciones en la información financiera preparada y revelada por
el Banco.

49. CONCLUSIONES
• Claramente COBIT es un marco de referencia para
profesionalizar el área informática de una compañía, ya que
tiene una compleja estructura de 34 procesos de alto nivel y
210 objetivos de control.
• Los procesos de negocio son la base por la que COBIT
existe y no lo es el simple hecho de implementar la tecnología
de punta.

50. RECOMENDACIONES
•Si el área informática de la organización es pequeña COBIT puede
resultar muy cara en su implementación y por tanto no se justifica. En
cambio si está en juego grandes sumas de dinero respaldadas en las
tecnologías de la información, su uso es obligatorio.
•Contar con personal altamente especializado para la implantación de
COBIT en la organización, considerando que domine el enfoque de
negocios y la tecnología relacionada a cumplir objetivos de los
mismos.