SlideShare una empresa de Scribd logo
2011    AUDITORÍA
        DE SISTEMAS
       TEMA: “COBIT ORIENTADO A LA AUDITORÍA”



           INTEGRANTES:


           • CAYLLAHUA LEON, JOYCER
           • CUEVA BARDALES, HENRY
           • PRADO MARCA, FERNANDO
           • VARGAS OLIVA, CHARLE


           PROFESOR:
           • DR. OSCAR MUJICA RUIZ
COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE
INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA
ESTRATEGIA CORPORATIVA




Auditores de sistemas de información:
Para soportar sus opiniones sobre los controles de los proyectos de TI,
su impacto en la organización y determinar el control mínimo
requerido.
Conjunto de buenas prácticas a través de
  un marco de trabajo conformado por
 dominios y procesos que les permitirá
     optimizar sus inversiones de TI
Y divide los procesos de TI de la empresa en
                   4 áreas:

             CONSTRUIR
              PLANEAR
              EJECUTAR
       Ofreciendo una visión de
           MONITOREAR
        punta a punta de la TI
Objetivos de Negocio
                     Objetivos de Gobierno



                          INFORMACIÓN


                Eficiencia
                Efectividad                         Integridad
Monitorear     Cumplimiento                       Disponibilidad
y Evaluar      Confiabilidad                     Confidencialidad      Planear y
                                Recursos                               Organizar
                                 de TI


                                Aplicaciones
                                 Información
                               Infraestructura
                                  Personas

  Entregar y                                                         Adquirir e
 Dar Soporte                                                        Implementar
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Descripción del Proceso

Las aplicaciones deben estar disponibles de
acuerdo con los requerimientos del negocio. Este
proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y
requerimientos de seguridad. Esto permite apoyar
la operatividad del negocio de forma apropiada con
las aplicaciones automatizadas correctas.
AI2.4 Seguridad y disponibilidad de las aplicaciones.

Derechos de acceso y administración de privilegios, protección de
información sensible en todas las etapas, autenticación e integridad de
las transacciones y recuperación automática.

                                      Al momento de auditar el
                                      sistemas se verificar el
                                      nivel de accesibilidad de
                                      los Usuarios de las
                                      aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones.

Verificar que ada usuario necesariamente deberá tener un nivel de
accesibilidad a las aplicaciones
AI2.7 Desarrollo de software aplicativo

Evaluar que en el desarrollo que se sigan los estándares establecidos


        Modelo para creación de formularios
Estándar de programcion.Net
Estándar de programación SQL
Descripción del Proceso

Este proceso incluye el establecimiento y
mantenimiento de roles y responsabilidades de
seguridad, políticas, estándares y procedimientos
de TI. Una efectiva administración de la seguridad
protege todos los activos de TI para minimizar el
impacto en el negocio causado por vulnerabilidades
o incidentes de seguridad.
DS5.1 Administración de la seguridad de TI

Administrar la seguridad de TI al nivel más apropiado dentro de la
organización, de manera que las acciones de administración de la seguridad
estén en línea con los requerimientos del negocio.

             Seguridad a nivel de Servidor de Base de datos
DS5.3 Administración de identidad
Todos los usuarios (internos, externos y temporales) y su
actividad en sistemas de TI (aplicación de negocio, operación
del sistema, desarrollo y mantenimiento) deben ser
identificables de manera única. Los derechos de acceso del
usuario a sistemas y datos deben estar alineados con
necesidades de negocio.
DS5.4 Administración de cuentas del usuario

Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación
y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados
en cuenta por la gerencia de cuentas de usuario.
CASO 1:
               MEYCOR COBIT AG
         aplicado en WEST FINANCIALS

PRESENTANDO A LOS ACTORES:

La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en
organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de
tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar
COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT
AG para automatizar y facilitar la tarea.

La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera
de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo
importante de condiciones diferentes por lo que el sistema informático de Cuentas a
Cobrar resulta crítico, para alcanzar sus objetivos de negocio.
CASO 2:
MEYCOR COBIT AG aplicado en WEST FINANCIALS

 PLANTEAMIENTO DEL PROBLEMA:

 Todo el sistema informático consolida la información en Montevideo. Cuenta con
 procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un
 grupo de casi 100 cobradores organizados en equipos.


 Recientemente se han producido algunos problemas puntuales dados por errores en las
 cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo
 interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias
 del mismo mantienen algunas reservas.


 Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe
 en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable
 por la organización. Los riesgos identificados tienen una valoración significativa y no se
 encuentran adecuadamente cubiertos por las actividades de control existentes.
En primer lugar, el Administrador
                                          ingresa al software Meycor COBIT
                                          AG y crea un usuario „JMartinez‟ al
                                          que le define el perfil de supervisor.
                                          Posteriormente se ingresan los otros
                                          integrantes de la auditoria en sus
                                          diversos roles.




           Creación de un usuario


Un centro de
análisis, es el objeto
de la auditoría, es el
escenario sobre el
que debe emitirse la
opinión.


                                    Creación de un centro de análisis
Para el proyecto especifico se define el
                                        tipo de proyecto, en este caso se trata de
                                        una auditoria de procesos de TI (auditoría
                                        a nivel de los Objetivos de Control de alto
                                        nivel de Cobit).

                                        Se crea el Proyecto de auditoria al cual se
                                        da el nombre de “Sistema de Cuentas a
                                        Cobrar WF”



Creación del proyecto y definición de
       su objetivo y alcance.

Consiste en definir primero
los niveles jerárquicos     y
posteriormente   crear     el
organigrama.     Esto      es
creado por el supervisor.
Menú: Centro de Análisis


                                                           Organigrama
Definición de proceso de negocio.




Detalle de las columnas: Efectividad o
Eficacia, Eficiencia, Confidencialidad, Integri
dad, Disponibilidad, Cumplimiento, Confiabili
dad de la información.
                                                  Requerimientos de Información.
Se ingresa la información de los diversos
                                          recursos de Ti (clasificados en personas,
                                          datos,     aplicaciones,        infraestructura
                                          tecnológica e instalaciones).

                                          Mediante la facilidad de seleccionar y
                                          arrastrar los recursos de TI se relacionan
                                          con los requerimientos de información
                                          previamente identificados.


Relación entre procesos de negocio y
         procesos de COBIT.

En esta etapa puede ayudar el conjunto
de    planillas    que     define    el
Implementation Tool Set de Cobit para
obtener una información primaria de los
procesos de Cobit preseleccionados
para auditar o incluso agregar algunos
adicionales.


                                                     Planillas de auditoria.
Se asignan los Procesos de Cobit (o los
                                                    Objetivos   de    Control    de      bajo
                                                    nivel), para la auditoría, al equipo de
                                                    evaluadores asignados al proyecto.




  Ejemplo de la asignación de
procesos de COBIT a un revisor.

El Revisor Carlos ingresa a Meycor
COBIT AG y RECIBE UN MENSAJE DE
Alerta   que   le   indica   que   ha   sido
asignado a un proyecto de auditoria.
Puede ver la información del mismo
(organigrama, procesos de          negocio.
Recursos de Ti, etc.)
                                        Se determina sobre que objetivos de control auditar
Etapa 1: Entrevistas

                                        Vemos que el proceso comienza con
                                        entrevistas, las mismas permiten tener
                                        una primera visión del objeto de la
                                        auditoría.




Ejemplo de un hallazgo en la etapa de
            entrevistas


   Etapa 2: Documentación

   En este caso se obtienen los
   manuales técnicos y de usuarios
   de la aplicación.



                                           Registro de las tareas efectuadas
Etapa 3: Emisión de una primera
                                                   opinión

                                     A partir de las etapas anteriores y de
                                     algunos trabajos de campo puede
                                     determinarse      si    existen   controles
                                     suficientes      para       los    riesgos
                                     involucrados en la aplicación.




    Evaluación de Controles.



Etapa 4: Verificar el cumplimiento
         de los controles

Aquí se revisa que esos controles
estén funcionando.




                                                   Verificación de controles
Etapa 5: Realización de muestreos

                                           • Consideraciones del riesgo de auditoría.

                                           • Si hay medidas de control.

                                           • Si las medidas de control existentes
                                           fueron evaluadas como no suficientes.




    Determinación del muestreo

Etapa 6: Emisión de una conclusión final

Se emite una conclusión (en este caso es
para los Objetivos de control que forman
un proceso)




                                             Se indica si hay o no aseguramiento.
CASO 2:
  Modelo de Auditoría basado en COBIT
  para Servicios de Internet en el Ambito
               Hospitalario
La aparición de nuevas posibilidades de proceso de la información y de

nuevos flujos de información ha provocado la aparición de nuevos riesgos

y amenazas con respecto a la información y a los activos de TI. Por tanto,

es necesario considerar las particularidades de dichas tecnologías y del

contexto hospitalario para construir nuevos enfoques de auditoría de

sistemas de información sanitarios. Se presenta un Modelo General

basado en el marco formal de Auditoría denominado COBIT.
ANTECEDENTES
Criterios rigurosos de eficiencia, robustez,
operatividad y seguridad.
Los Sistemas de Información Hospitalarios




         Areas conceptuales en un Sistema de Información Sanitaria
Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
Incorporación de Internet e Intranets en el hospital
Aspectos gestión y seguridad de las
             intranets hospitalarias
• Problemas de seguridad y gestión de los nuevos flujos de
  información y elementos constitutivos de la red que, en
  algunas ocasiones, superan la capacidad técnica del personal
  de informática

      Planificación
      Organización
      Seguridad
      Adquisición
      Mantenimiento
      Servicios
• Objetivo      .- Se ha determinado el contexto del problema y el alcance del
    estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados.
    Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control
    y objetivos de auditoría. Todo ello se ha realizado aplicando el marco
    metodológico de auditoría denominado COBIT


                                   Descripción del estudio

•   El contexto del problema .- El contexto del problema es la implantación de una red IP en una
    organización hospitalaria para dar servicios generales de información a las distintas unidades
    clínicas de dicho hospital.

•   El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento
    de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales
    del sector, sean estatales, sean regionales
Elementos              Planificación   Adquisición   Mantenimiento   Seguridad   Servicio

Gerencia                                4              4
Responsable Informática                 4              4
Técnicos Informática                                                  4             4           4
Webmaster                                              4              4             4           4
Administrador Seguridad                                4                            4

Personal clínico (med., enfer.)                                                                 4

Personal auxiliar (celad., etc.)                                                                4

Pacientes / usuarios                                                                            4
Tecnologías                                            4              4             4
Mercado                                                4
Marco Legal                             4              4              4             4           4
Marco Normativo Estándares              4              4              4             4           4

Proveedores                                            4              4             4
Hw base: servidores                                                   4             4           4
Hw redes                                                              4             4           4
Sw base: sis. op., ser. Web                                           4             4           4

Sw redes                                                              4             4           4
Sw Info: BD, etc.                                                     4             4           4
Sw. aplicación                                                        4             4           4
                                        Elementos del sistema en estudio
Eficiencia y            Confiden- Dsiponi-
           Elementos                            Integridad                    Cumplimiento Fiabilidad
                                   Efectividad              cialidad bilidad
Gerencia                               4                                           4
Responsable Informática                4                                           4
Técnicos Informática                   4                     4                     4
Webmaster                              4                     4         4           4
Administrador Seguridad                4           4         4         4           4           4
Personal clínico (med., enfer.)                              4                     4           4

Personal auxiliar (celad., etc.)                             4                     4           4

Pacientes / usuarios                                         4
Tecnologías                            4           4         4         4                       4
Mercado
Marco Legal
Marco Normativo Estándares             4           4         4         4           4           4

Proveedores                            4           4         4         4           4
Hw base: servidores                                          4         4                       4
Hw redes                                                     4         4                       4
Sw base: sis. op., ser. Web                                  4         4           4           4

Sw redes                                                     4         4                       4
Sw Info: BD, etc.                                            4         4           4           4
Sw. aplicación                                               4         4           4           4
                                                   Riesgos Asociados
•   Resultados

Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas
    de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un
    subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.

En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En
    este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las
    funciones identificadas en la incorporación de una intranet: Planificación, Adquisición,
    Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se
    determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase
    la Tabla 3) (ISACA-FMWK, 2000).

A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un
    grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000).
    Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación
    debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este
    proceso (ISACAF-COB, 2000):

•   P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La
    gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que
    satisfagan la misión y las metas de la organización.

•   ......

•   P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los
    sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad,
    complejidad, costo y fortalezas y debilidades.
DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS
                      FUNCIONES DEL SISTEMA EN ESTUDIO
              ESTRUCTURA DE COBIT                                     INCORPORACIÓN INTRANET
DOMINIO      PROCESO   DENOMINACIÓN
                                                     Planificación Adquisición Mantenimiento   Seguridad   Servicios
                       PROCESO
                PO1    Definir un plan estratégico        P
                       de sistema
                PO2    Definir la arquitectura de         P            P
                       información
                PO3    Determinar la dirección            S            P
                       tecnológica
                PO4    Definir la organización y          S                                                   P
                       sus relaciones
Planeación      PO5    Administrar las                    P            P            P             S
     y                 inversiones (en TI)
Organiza-       PO6    Comunicar la dirección y           S                                       P           P
   ción                objetivos de la gerencia
                PO7    Administrar los recursos           P                                       S           P
                       humanos
                PO8    Asegurar el apego a                P            P                          P           P
                       disposiciones externas
                PO9    Evaluar riesgo                     S            P                          P           P
               PO10    Administrar proyecto               S                                       P           P
               PO11    Administrar calidad                S            P                          P           P
Adquisició      AI1    Identificar soluciones de                       P                                      P
ne                     automatización
Implemen-       AI2    Adquirir y mantener                             P            P             S           S
tación                 software de aplicación
                AI3    Adquirir y mantener la                          P            P             S           S
                       arquitectura tecnológica
AI4   Desarrollar y mantener procedimiento               P   P   S   S
               AI5   Instalar y acreditar sistemas de información       P   P

               AI6   Administrar cambio                                 P   P   S   S


              DS1    Definir niveles de servicio                        P
              DS2    Administrar servicios de tercero
              DS3    Administrar desempeño y capacidad
              DS4    Asegurar continuidad de servicio                   P   P       P
              DS5    Garantizar la seguridad de sistema                         P
              DS6    Identificar y asignar costo                    P
Entrega de
servicios y   DS7    Educar y capacitar a usuario                   P   P           S
 Soporte      DS8    Apoyar y orientar a clientes                                   S
              DS9    Administrar la configuración                           P       P
              DS10 Administrar problemas e incidente                        P   P   P
              DS11 Administrar la información                               S   P   P
              DS12 Administrar las instalaciones                            P
              DS13 Administrar la operación                                 P       P
               M1    Monitorear el proceso                                          P
               M2    Evaluar lo adecuado del control interno        P   S   S   P   P
Monitoreo
               M3    Obtener aseguramiento independiente            P           P   P
               M4    Proporcionar auditoría independiente           S   S   P   P   P
II.- CARACTERISTICAS DEL GRUPO COLOMBIA
 El Grupo Bancolombia ya contaba con políticas y procedimientos de
 control interno y riesgos mucho antes de que los escándalos financieros
 que dieron origen a la ley Sarbanes Oxley sucedieran.

  El Grupo adoptó e implementó un esquema de administración de control
 interno para dar cumplimiento a esta ley, promulgada por el congreso de
 los Estados Unidos en 2002, con el fin de recuperar la confianza de los
 inversionistas, aumentar la credibilidad de los accionistas en las
 sociedades e incrementar la transparencia de los estados financieros y la
 información contable.

  El Grupo Bancolombia adoptó los modelos de control interno COSO
 (Committe of Sponsoring Organizations of the Treadway Commisision) y
 COBIT (Control Objectives for Information and related Technology) para ser
 implementados en los procesos de las compañías que hacen parte del
 Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema
 de control interno.
I.- FUNCIONES DEL GRUPO BANCOLOMBIA
A través de la Fundación
Bancolombia se materializa el
compromiso social y comunitario
del      Grupo      Bancolombia.
Trabajamos por el desarrollo
integral de las comunidades.


Desarrollamos líneas de trabajo
que buscan minimizar el impacto
directo e indirecto de nuestras
actividades en el medio ambiente


Acercamos las actividades financieras
a diferentes poblaciones, generando
cada vez mayor crecimiento y
posibilidades de inversión para los
grupos de interés.
III.- ÓRGANO DE CONTROL INTERNO (SCI)
LA SCI
Todas las personas que hacen parte del Grupo
Bancolombia (empleados, miembros de junta,
comités, proveedores, outsourcing, entre otros)
son    responsables        por    el    adecuado
funcionamiento del Sistema de Control Interno.
No obstante, se muestran a continuación unos
roles clave y fundamentales que aportan de
manera directa a la efectividad del SCI


El Sistema de Control Interno es el encargado de
ejercer el control general, interno posterior a los
actos y operaciones del grupo Bancolombia.



El Sistema de Control Interno cuenta con el área de
auditoria en la cual     cuenta con independencia
funcional y técnica respecto de la administración de
GBC, dentro del ámbito del grupo. Este órgano
mantiene una vinculación de dependencia funcional
con la Gerencia general.
AREAS DE APOYO AL CONTROL INTERNO EN EL
               GRUPO BANCOLOMBIA

ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y
que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de
los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente
entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo.

DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del
establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información
financiera y contable.

GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo
apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la
normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos
y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo.

VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del
Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos.

DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que
estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es
responsable de la administración de los controles.

VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para
procesos de tecnología bajo el marco de referencia COBIT.
FUNCIONES DEL SCI

Las Empresas del Grupo Bancolombia deberán contar con un SCI
integrado por principios, políticas, normas y procedimientos
encaminados a proporcionar transparencia y seguridad a los
diferentes Grupos de Interés de cada empresa.


La adopción del SCI, debe contemplar la necesidad de que la alta
dirección de cada empresa y el resto de la organización, comprendan
cabalmente la trascendencia del control interno y la incidencia del
mismo sobre los resultados de la gestión, considerándolo como un
conjunto de actividades integradas a los procesos operativos de las
empresas.

Se entiende por SCI el conjunto de políticas, principios, normas,
procedimientos y mecanismos de verificación y evaluación
establecidos por la junta directiva, la alta dirección y demás
funcionarios de una organización de forma periodica para
proporcionar un grado de seguridad razonable en cuanto a la
consecución de los objetivos.
INFORME DEL SISTEMA DE CONTROL INTERNO DE
                        BANCOLOMBIA

 La Junta Directiva y el Representante Legal presentan a los señores accionistas, el
 siguiente informe sobre el funcionamiento del Sistema de Control Interno del
 Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría:


El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los
estándares internacionales del Comitee of Sponsoring Organizations of the
Treadway Commission, Coso, y en el marco de referencia Control Objectives for
information and related technology, Cobit, este último aplicado a los procesos de
tecnología de información.


Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando
en el año 2010 en el diseño y la valoración del Sistema de Control Interno.
La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las
siguientes actividades:
1. EVALUACIÓN DE LA ADMINISTRACIÓN:

Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y
la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de
Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto
funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos.

Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los
riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías,
herramientas de control y matrices de autoevaluación de riesgo operacional.

Actividades de control: Actualizamos la documentación de procesos y las matrices de
control que permitieron identificar los riesgos relevantes para efectuar la evaluación de
controles clave en los procesos y su verificación por parte de la Auditoría Interna.

Información y comunicación: En 2010 continuamos con el programa de divulgación
del Sistema de Control Interno y capacitaciones presenciales a un gran número de
colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones
corporativas, la página web de la entidad y otros medios como círculos de comunicación y
grupos primarios.

Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la
correcta aplicación de los controles existentes. Además, realizamos actividades de
retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre
otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente,
implementar soluciones oportunas en el diseño de los procesos y matrices de control.
2. EVALUACIÓN DE LA AUDITORÍA INTERNA

Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque
de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo
con fundamento en las normas para la práctica profesional de Auditoría Interna.

Los resultados de esta evaluación al sistema y de los riesgos relacionados con el
funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles
fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias
materiales o significativas en el diseño y operación de los controles asociados al proceso y
registro de la información financiera de Bancolombia.

El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a
la información necesaria para la ejecución de las actividades de control.
3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL
   COMITÉ DE AUDITORÍA
El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente
establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la
entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión
de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los
estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de
control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos,
reportándole en forma periódica el desarrollo de sus actividades.

Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan
aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de
competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la
preparación de la información financiera que se presenta a las autoridades en Colombia y ante
la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos
presentados por los entes de control.

De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede
concluir que :
(i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su
información financiera,
(ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado,
(iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con
independencia,
(iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos
aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas
respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a
través de la Línea Ética.
Al cierre del año 2010, ni la Administración ni los órganos de control
internos y externos del Banco ni el Comité de Auditoría detectaron
debilidades materiales o significativas relacionadas con el Sistema de
Control Interno, que pongan en riesgo la efectividad del mismo.
Tampoco se tuvo conocimiento de fraudes, errores malintencionados o
manipulaciones en la información financiera preparada y revelada por
el Banco.
CONCLUSIONES
• Claramente COBIT es un marco de referencia para
profesionalizar el área informática de una compañía, ya que
tiene una compleja estructura de 34 procesos de alto nivel y
210 objetivos de control.




• Los procesos de negocio son la base por la que COBIT
existe y no lo es el simple hecho de implementar la tecnología
de punta.
RECOMENDACIONES

•Si el área informática de la organización es pequeña COBIT puede
resultar muy cara en su implementación y por tanto no se justifica. En
cambio si está en juego grandes sumas de dinero respaldadas en las
tecnologías de la información, su uso es obligatorio.


•Contar con personal altamente especializado para la implantación de
COBIT en la organización, considerando que domine el enfoque de
negocios y la tecnología relacionada a cumplir objetivos de los
mismos.

Más contenido relacionado

La actualidad más candente

Objetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasObjetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemas
jonaliz
 
Cobit
CobitCobit
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
Fredy EC
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
COBIT
COBITCOBIT
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
janethvalverdereyes
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Federico Gonzalez
 
ESTRATEGIA DE SERVICIO- 2DA FASE ITIL
ESTRATEGIA DE SERVICIO- 2DA FASE ITILESTRATEGIA DE SERVICIO- 2DA FASE ITIL
ESTRATEGIA DE SERVICIO- 2DA FASE ITIL
carmen1589
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
miguelserrano5851127
 
Auditoria Interna y Operacional
Auditoria Interna y OperacionalAuditoria Interna y Operacional
Auditoria Interna y Operacional
Moishef HerCo
 
Cobit 5 informe
Cobit 5 informeCobit 5 informe
Cobit 5 informe
Yarina Yauri Villanueva
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
Hector Chajón
 
Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informatica
Favio Meneses
 
Diferencias entre contabilidad y auditoria
Diferencias entre contabilidad y auditoriaDiferencias entre contabilidad y auditoria
Diferencias entre contabilidad y auditoria
Estefy Ortiz
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
Analy Diaz
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
Acosta Escalante Jesus Jose
 
Normas Generales De Auditoria
Normas Generales De AuditoriaNormas Generales De Auditoria
Normas Generales De Auditoria
carlos llorach barrios
 
Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Principios de la Gerencia en Informática
Principios de la Gerencia en Informática
Eva Salmerón
 
Cap. 6 evidencia de la auditoria
Cap. 6 evidencia de la auditoriaCap. 6 evidencia de la auditoria
Cap. 6 evidencia de la auditoria
LaFlaka Stef
 

La actualidad más candente (20)

Objetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemasObjetivos y relaciones empresariales del departamento de sistemas
Objetivos y relaciones empresariales del departamento de sistemas
 
Cobit
CobitCobit
Cobit
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
 
COBIT
COBITCOBIT
COBIT
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
 
ESTRATEGIA DE SERVICIO- 2DA FASE ITIL
ESTRATEGIA DE SERVICIO- 2DA FASE ITILESTRATEGIA DE SERVICIO- 2DA FASE ITIL
ESTRATEGIA DE SERVICIO- 2DA FASE ITIL
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
 
Auditoria Interna y Operacional
Auditoria Interna y OperacionalAuditoria Interna y Operacional
Auditoria Interna y Operacional
 
Cobit 5 informe
Cobit 5 informeCobit 5 informe
Cobit 5 informe
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informatica
 
Diferencias entre contabilidad y auditoria
Diferencias entre contabilidad y auditoriaDiferencias entre contabilidad y auditoria
Diferencias entre contabilidad y auditoria
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Normas Generales De Auditoria
Normas Generales De AuditoriaNormas Generales De Auditoria
Normas Generales De Auditoria
 
Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Principios de la Gerencia en Informática
Principios de la Gerencia en Informática
 
Cap. 6 evidencia de la auditoria
Cap. 6 evidencia de la auditoriaCap. 6 evidencia de la auditoria
Cap. 6 evidencia de la auditoria
 

Destacado

Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobit
julioandres55
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014
migerlin
 
Presentacion Sistemas
Presentacion SistemasPresentacion Sistemas
Presentacion Sistemas
cecesco
 
AUDITORIA DE CALIDAD
AUDITORIA DE CALIDADAUDITORIA DE CALIDAD
AUDITORIA DE CALIDAD
patricia
 
P09,P010,P011 COBIT
P09,P010,P011 COBITP09,P010,P011 COBIT
P09,P010,P011 COBIT
Shirlid .n
 
Cobit
Cobit Cobit
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Luis Angello RH-CyberComputer
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
luz milagros
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
Eli Blas
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacion
carlosskovar
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit
Nena Patraca
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
vryancceall
 
What is Cobit
What is CobitWhat is Cobit
What is Cobit
Ben Kalland
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5
Software Guru
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
yamyortiz17
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
Carlos Francavilla
 
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power PointPasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Jorge Garcia Flores
 
Trabajo final auditoría
Trabajo final  auditoríaTrabajo final  auditoría
Trabajo final auditoría
mitcheljrn
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoria
rubyvg
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
Carmen Rios Zapata
 

Destacado (20)

Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobit
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014
 
Presentacion Sistemas
Presentacion SistemasPresentacion Sistemas
Presentacion Sistemas
 
AUDITORIA DE CALIDAD
AUDITORIA DE CALIDADAUDITORIA DE CALIDAD
AUDITORIA DE CALIDAD
 
P09,P010,P011 COBIT
P09,P010,P011 COBITP09,P010,P011 COBIT
P09,P010,P011 COBIT
 
Cobit
Cobit Cobit
Cobit
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacion
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
What is Cobit
What is CobitWhat is Cobit
What is Cobit
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
 
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power PointPasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
Pasos para Hacer un INDICE CON HIPERVINCULOS en Power Point
 
Trabajo final auditoría
Trabajo final  auditoríaTrabajo final  auditoría
Trabajo final auditoría
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoria
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 

Similar a Cobit

Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
Soby Soby
 
Cobit
CobitCobit
Cobit
CobitCobit
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
JackieHee27
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
Gaboi7Casti
 
Adquisicion e implementacion
Adquisicion e  implementacionAdquisicion e  implementacion
Adquisicion e implementacion
Andres_84
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
Carlos Chavez Monzón
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacion
Chikita Patty
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicion
oliviachurme
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
RMVTITO
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
RMVTITO
 
Metodos ITIL, COBIT, BS15000
Metodos  ITIL, COBIT, BS15000Metodos  ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
Christian Cruz
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
Stéfano Morán Noboa
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
Ramón Alexander Paula Reynoso
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
abueladelniaka28
 
Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018
Edgar Garcia
 
Estándares cobit e informe coso
Estándares cobit e  informe cosoEstándares cobit e  informe coso
Estándares cobit e informe coso
Armando Pomaire
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
EDUARKON
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
Darwin David León
 
Planificacion y organizacion
Planificacion y organizacionPlanificacion y organizacion
Planificacion y organizacion
Silvia Patricia Calderón Viveros
 

Similar a Cobit (20)

Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
 
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdfU2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
U2_HERRAMIENTA_COBIT_AUDITORIAINFORMATICA_LPQ.pdf
 
Adquisicion e implementacion
Adquisicion e  implementacionAdquisicion e  implementacion
Adquisicion e implementacion
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacion
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicion
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
Metodos ITIL, COBIT, BS15000
Metodos  ITIL, COBIT, BS15000Metodos  ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018Gobierno electronico actividad 16102018
Gobierno electronico actividad 16102018
 
Estándares cobit e informe coso
Estándares cobit e  informe cosoEstándares cobit e  informe coso
Estándares cobit e informe coso
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 
Planificacion y organizacion
Planificacion y organizacionPlanificacion y organizacion
Planificacion y organizacion
 

Más de Alexander Velasque Rimac

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Controles
ControlesControles
Controles final
Controles finalControles final
Controles final
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
Alexander Velasque Rimac
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
Alexander Velasque Rimac
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
Alexander Velasque Rimac
 
Is audit ..
Is audit ..Is audit ..
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
Alexander Velasque Rimac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Coso final-cd
Coso final-cdCoso final-cd
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
Alexander Velasque Rimac
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
Alexander Velasque Rimac
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
Alexander Velasque Rimac
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Alexander Velasque Rimac
 

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Cobit

  • 1. 2011 AUDITORÍA DE SISTEMAS TEMA: “COBIT ORIENTADO A LA AUDITORÍA” INTEGRANTES: • CAYLLAHUA LEON, JOYCER • CUEVA BARDALES, HENRY • PRADO MARCA, FERNANDO • VARGAS OLIVA, CHARLE PROFESOR: • DR. OSCAR MUJICA RUIZ
  • 2. COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA ESTRATEGIA CORPORATIVA Auditores de sistemas de información: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
  • 3. Conjunto de buenas prácticas a través de un marco de trabajo conformado por dominios y procesos que les permitirá optimizar sus inversiones de TI
  • 4. Y divide los procesos de TI de la empresa en 4 áreas: CONSTRUIR PLANEAR EJECUTAR Ofreciendo una visión de MONITOREAR punta a punta de la TI
  • 5. Objetivos de Negocio Objetivos de Gobierno INFORMACIÓN Eficiencia Efectividad Integridad Monitorear Cumplimiento Disponibilidad y Evaluar Confiabilidad Confidencialidad Planear y Recursos Organizar de TI Aplicaciones Información Infraestructura Personas Entregar y Adquirir e Dar Soporte Implementar
  • 6.
  • 7. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO Descripción del Proceso Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
  • 8. AI2.4 Seguridad y disponibilidad de las aplicaciones. Derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática. Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
  • 9. AI2.4 Seguridad y disponibilidad de las aplicaciones. Verificar que ada usuario necesariamente deberá tener un nivel de accesibilidad a las aplicaciones
  • 10. AI2.7 Desarrollo de software aplicativo Evaluar que en el desarrollo que se sigan los estándares establecidos Modelo para creación de formularios
  • 12. Descripción del Proceso Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
  • 13. DS5.1 Administración de la seguridad de TI Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. Seguridad a nivel de Servidor de Base de datos
  • 14. DS5.3 Administración de identidad Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.
  • 15. DS5.4 Administración de cuentas del usuario Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario.
  • 16. CASO 1: MEYCOR COBIT AG aplicado en WEST FINANCIALS PRESENTANDO A LOS ACTORES: La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo importante de condiciones diferentes por lo que el sistema informático de Cuentas a Cobrar resulta crítico, para alcanzar sus objetivos de negocio.
  • 17. CASO 2: MEYCOR COBIT AG aplicado en WEST FINANCIALS PLANTEAMIENTO DEL PROBLEMA: Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable por la organización. Los riesgos identificados tienen una valoración significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.
  • 18. En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario „JMartinez‟ al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles. Creación de un usuario Un centro de análisis, es el objeto de la auditoría, es el escenario sobre el que debe emitirse la opinión. Creación de un centro de análisis
  • 19. Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditoría a nivel de los Objetivos de Control de alto nivel de Cobit). Se crea el Proyecto de auditoria al cual se da el nombre de “Sistema de Cuentas a Cobrar WF” Creación del proyecto y definición de su objetivo y alcance. Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama. Esto es creado por el supervisor. Menú: Centro de Análisis Organigrama
  • 20. Definición de proceso de negocio. Detalle de las columnas: Efectividad o Eficacia, Eficiencia, Confidencialidad, Integri dad, Disponibilidad, Cumplimiento, Confiabili dad de la información. Requerimientos de Información.
  • 21. Se ingresa la información de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnológica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de información previamente identificados. Relación entre procesos de negocio y procesos de COBIT. En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para obtener una información primaria de los procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales. Planillas de auditoria.
  • 22. Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel), para la auditoría, al equipo de evaluadores asignados al proyecto. Ejemplo de la asignación de procesos de COBIT a un revisor. El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE Alerta que le indica que ha sido asignado a un proyecto de auditoria. Puede ver la información del mismo (organigrama, procesos de negocio. Recursos de Ti, etc.) Se determina sobre que objetivos de control auditar
  • 23. Etapa 1: Entrevistas Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visión del objeto de la auditoría. Ejemplo de un hallazgo en la etapa de entrevistas Etapa 2: Documentación En este caso se obtienen los manuales técnicos y de usuarios de la aplicación. Registro de las tareas efectuadas
  • 24. Etapa 3: Emisión de una primera opinión A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación. Evaluación de Controles. Etapa 4: Verificar el cumplimiento de los controles Aquí se revisa que esos controles estén funcionando. Verificación de controles
  • 25. Etapa 5: Realización de muestreos • Consideraciones del riesgo de auditoría. • Si hay medidas de control. • Si las medidas de control existentes fueron evaluadas como no suficientes. Determinación del muestreo Etapa 6: Emisión de una conclusión final Se emite una conclusión (en este caso es para los Objetivos de control que forman un proceso) Se indica si hay o no aseguramiento.
  • 26. CASO 2: Modelo de Auditoría basado en COBIT para Servicios de Internet en el Ambito Hospitalario La aparición de nuevas posibilidades de proceso de la información y de nuevos flujos de información ha provocado la aparición de nuevos riesgos y amenazas con respecto a la información y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologías y del contexto hospitalario para construir nuevos enfoques de auditoría de sistemas de información sanitarios. Se presenta un Modelo General basado en el marco formal de Auditoría denominado COBIT.
  • 27. ANTECEDENTES Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Información Hospitalarios Areas conceptuales en un Sistema de Información Sanitaria
  • 28. Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
  • 29. Incorporación de Internet e Intranets en el hospital
  • 30. Aspectos gestión y seguridad de las intranets hospitalarias • Problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática  Planificación  Organización  Seguridad  Adquisición  Mantenimiento  Servicios
  • 31. • Objetivo .- Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT Descripción del estudio • El contexto del problema .- El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital. • El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales
  • 32. Elementos Planificación Adquisición Mantenimiento Seguridad Servicio Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 Personal clínico (med., enfer.) 4 Personal auxiliar (celad., etc.) 4 Pacientes / usuarios 4 Tecnologías 4 4 4 Mercado 4 Marco Legal 4 4 4 4 4 Marco Normativo Estándares 4 4 4 4 4 Proveedores 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 Sw. aplicación 4 4 4 Elementos del sistema en estudio
  • 33. Eficiencia y Confiden- Dsiponi- Elementos Integridad Cumplimiento Fiabilidad Efectividad cialidad bilidad Gerencia 4 4 Responsable Informática 4 4 Técnicos Informática 4 4 4 Webmaster 4 4 4 4 Administrador Seguridad 4 4 4 4 4 4 Personal clínico (med., enfer.) 4 4 4 Personal auxiliar (celad., etc.) 4 4 4 Pacientes / usuarios 4 Tecnologías 4 4 4 4 4 Mercado Marco Legal Marco Normativo Estándares 4 4 4 4 4 4 Proveedores 4 4 4 4 4 Hw base: servidores 4 4 4 Hw redes 4 4 4 Sw base: sis. op., ser. Web 4 4 4 4 Sw redes 4 4 4 Sw Info: BD, etc. 4 4 4 4 Sw. aplicación 4 4 4 4 Riesgos Asociados
  • 34. Resultados Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos. En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000). A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000): • P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización. • ...... • P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
  • 35. DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET DOMINIO PROCESO DENOMINACIÓN Planificación Adquisición Mantenimiento Seguridad Servicios PROCESO PO1 Definir un plan estratégico P de sistema PO2 Definir la arquitectura de P P información PO3 Determinar la dirección S P tecnológica PO4 Definir la organización y S P sus relaciones Planeación PO5 Administrar las P P P S y inversiones (en TI) Organiza- PO6 Comunicar la dirección y S P P ción objetivos de la gerencia PO7 Administrar los recursos P S P humanos PO8 Asegurar el apego a P P P P disposiciones externas PO9 Evaluar riesgo S P P P PO10 Administrar proyecto S P P PO11 Administrar calidad S P P P Adquisició AI1 Identificar soluciones de P P ne automatización Implemen- AI2 Adquirir y mantener P P S S tación software de aplicación AI3 Adquirir y mantener la P P S S arquitectura tecnológica
  • 36. AI4 Desarrollar y mantener procedimiento P P S S AI5 Instalar y acreditar sistemas de información P P AI6 Administrar cambio P P S S DS1 Definir niveles de servicio P DS2 Administrar servicios de tercero DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio P P P DS5 Garantizar la seguridad de sistema P DS6 Identificar y asignar costo P Entrega de servicios y DS7 Educar y capacitar a usuario P P S Soporte DS8 Apoyar y orientar a clientes S DS9 Administrar la configuración P P DS10 Administrar problemas e incidente P P P DS11 Administrar la información S P P DS12 Administrar las instalaciones P DS13 Administrar la operación P P M1 Monitorear el proceso P M2 Evaluar lo adecuado del control interno P S S P P Monitoreo M3 Obtener aseguramiento independiente P P P M4 Proporcionar auditoría independiente S S P P P
  • 37. II.- CARACTERISTICAS DEL GRUPO COLOMBIA El Grupo Bancolombia ya contaba con políticas y procedimientos de control interno y riesgos mucho antes de que los escándalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran. El Grupo adoptó e implementó un esquema de administración de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la información contable. El Grupo Bancolombia adoptó los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compañías que hacen parte del Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema de control interno.
  • 38. I.- FUNCIONES DEL GRUPO BANCOLOMBIA A través de la Fundación Bancolombia se materializa el compromiso social y comunitario del Grupo Bancolombia. Trabajamos por el desarrollo integral de las comunidades. Desarrollamos líneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversión para los grupos de interés.
  • 39. III.- ÓRGANO DE CONTROL INTERNO (SCI)
  • 40.
  • 41. LA SCI Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comités, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuación unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia. El Sistema de Control Interno cuenta con el área de auditoria en la cual cuenta con independencia funcional y técnica respecto de la administración de GBC, dentro del ámbito del grupo. Este órgano mantiene una vinculación de dependencia funcional con la Gerencia general.
  • 42. AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIA ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo. DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable. GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo. VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos. DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es responsable de la administración de los controles. VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para procesos de tecnología bajo el marco de referencia COBIT.
  • 43. FUNCIONES DEL SCI Las Empresas del Grupo Bancolombia deberán contar con un SCI integrado por principios, políticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Interés de cada empresa. La adopción del SCI, debe contemplar la necesidad de que la alta dirección de cada empresa y el resto de la organización, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestión, considerándolo como un conjunto de actividades integradas a los procesos operativos de las empresas. Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la alta dirección y demás funcionarios de una organización de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos.
  • 44. INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA La Junta Directiva y el Representante Legal presentan a los señores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría: El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estándares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este último aplicado a los procesos de tecnología de información. Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando en el año 2010 en el diseño y la valoración del Sistema de Control Interno. La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las siguientes actividades:
  • 45. 1. EVALUACIÓN DE LA ADMINISTRACIÓN: Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos. Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías, herramientas de control y matrices de autoevaluación de riesgo operacional. Actividades de control: Actualizamos la documentación de procesos y las matrices de control que permitieron identificar los riesgos relevantes para efectuar la evaluación de controles clave en los procesos y su verificación por parte de la Auditoría Interna. Información y comunicación: En 2010 continuamos con el programa de divulgación del Sistema de Control Interno y capacitaciones presenciales a un gran número de colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones corporativas, la página web de la entidad y otros medios como círculos de comunicación y grupos primarios. Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la correcta aplicación de los controles existentes. Además, realizamos actividades de retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente, implementar soluciones oportunas en el diseño de los procesos y matrices de control.
  • 46. 2. EVALUACIÓN DE LA AUDITORÍA INTERNA Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo con fundamento en las normas para la práctica profesional de Auditoría Interna. Los resultados de esta evaluación al sistema y de los riesgos relacionados con el funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias materiales o significativas en el diseño y operación de los controles asociados al proceso y registro de la información financiera de Bancolombia. El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a la información necesaria para la ejecución de las actividades de control.
  • 47. 3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL COMITÉ DE AUDITORÍA El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos, reportándole en forma periódica el desarrollo de sus actividades. Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la preparación de la información financiera que se presenta a las autoridades en Colombia y ante la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos presentados por los entes de control. De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede concluir que : (i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su información financiera, (ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado, (iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con independencia, (iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a través de la Línea Ética.
  • 48. Al cierre del año 2010, ni la Administración ni los órganos de control internos y externos del Banco ni el Comité de Auditoría detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la información financiera preparada y revelada por el Banco.
  • 49. CONCLUSIONES • Claramente COBIT es un marco de referencia para profesionalizar el área informática de una compañía, ya que tiene una compleja estructura de 34 procesos de alto nivel y 210 objetivos de control. • Los procesos de negocio son la base por la que COBIT existe y no lo es el simple hecho de implementar la tecnología de punta.
  • 50. RECOMENDACIONES •Si el área informática de la organización es pequeña COBIT puede resultar muy cara en su implementación y por tanto no se justifica. En cambio si está en juego grandes sumas de dinero respaldadas en las tecnologías de la información, su uso es obligatorio. •Contar con personal altamente especializado para la implantación de COBIT en la organización, considerando que domine el enfoque de negocios y la tecnología relacionada a cumplir objetivos de los mismos.