Descargar

Auditoría de riesgos eficaz para la gestión gubernamental óptima de los ceticos (página 4)


Partes: 1, 2, 3, 4, 5, 6

2.3.9.1.2 Indicadores Cuantitativos

Dichos Indicadores se han construido de acuerdo a las Normas y Directivas Internas que aplica el Céticos Paita para el adecuado control y administración del Sistema de Gestión de Seguridad de la Información (SGSI):

Ítem

Indicadores

Nivel de Cumplimiento y Nivel de Efectividad

Nivel de Riesgo

Nivel de Madurez

1

Alcance y Limites del SGSI.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

2

Política SGSI.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

3

Enfoque de evaluación de Riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

4

Identificación, Análisis y Evaluación de Riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

 

Ítem

Descripción

Nivel de Cumplimiento y Nivel de Efectividad

Nivel de Riesgo

Nivel de Madurez

5

Identificación y Evaluación para el plan de tratamiento de riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

6

Objetivos y Controles para el Plan de Tratamiento de riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

7

Aprobación de Gerencia General para asumir el Riesgo Residual.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

8

Autorización de Gerencia para implementar y aprobar el Sistema de Gestión de Seguridad de la Información.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

9

Enunciado de Aplicabilidad.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

Ítem

Descripción

Nivel de Cumplimiento y Nivel de Efectividad

Nivel de Riesgo

Nivel de Madurez

10

Formulación del Plan de Tratamiento de riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

11

Implementación del Plan de Tratamiento de Riesgos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

12

Implementación de Controles.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

13

Medición de efectividad de los controles.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

14

Programas de capacitación.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

Ítem

Descripción

Nivel de Cumplimiento y Nivel de Efectividad

Nivel de Riesgo

Nivel de Madurez

15

Operaciones y recursos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

16

Programa de calendarización para acciones de prevención y monitoreo

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

17

Adecuado Uso de Recursos Informáticos.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

18

Adecuado uso de correo corporativo institucional.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

19

Evaluaciones al Sistema de Gestión de Seguridad de la Información.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

Ítem

Descripción

Nivel de Cumplimiento y Nivel de Efectividad

Nivel de Riesgo

Nivel de Madurez

20

Acciones Correctivas y Preventivas.

Cumplimiento: > = 90% y < = 100%

Incumplimiento: Medio: > = 60% y < 90%.

Incumplimiento Alto: >= 0% y < 60%.

Entre 0% y 25% = 4 Extremo.

> 25% y < 50% = 3 Alto.

> 50% y < 75% = 2 Moderado.

> 75% = 1 Aceptable

0% = 0 = No existe.

>0 y < =20% = 1 = Inicial.

>20% y <40% = 2 = Repetible.

>40% y <60% = 3= Definido.

>60% y <90% = 4 Administrado.

>91% y < =100% Optimizado.

Identificados los Indicadores el Auditor deberá de calificar el nivel de cumplimiento efectividad, riesgo y madurez del sistema de Gestión de Seguridad de la Información del Céticos Paita en función a los criterios cuantitativos establecidos en el Estándar Neozelandés ANZS 4360, ISO 31:000-2009 e ISO 31010, que a continuación se detallan:

edu.red

Incumplimiento Alto: Significa que el elemento muestra un limitado desarrollo, y su funcionamiento causa problemas para la normal ejecución de la gestión. Si bien no impide el logro de los resultados, los retrasa de manera importante y sólo se obtienen de manera parcial.

Incumplimiento Mediano: Significa que el elemento analizado muestra un mediano grado de desarrollo. Su aporte al logro de los objetivos no es sustancial y presenta dificultades operativas que retrasan la ejecución de las metas previstas.

Cumplimiento: Significa que el elemento analizado muestra un grado de desarrollo importante y aporta de manera sustancial al logro de los objetivos. De manera no significativa, presenta algunas dificultades, pero los resultados finales se obtienen sin mayor contratiempo.

Obtención del resultado del Nivel de Riesgo

edu.red

Descripción de los niveles de riesgo

edu.red

Obtención del resultado del Nivel de Madurez

edu.red

Descripción de los niveles de madurez:

edu.red

El Auditor traslada a estos indicadores en un enunciado de aplicabilidad en donde llevará a cabo la calificación de los mismos de acuerdo a los criterios cuantitativos establecidos en el Estándar Neozelandés ANZS 4360, ISO 31:000-2009 e ISO 31010:2009, a nivel micro y macro, por ejemplo:

edu.red

A nivel Micro el Proceso A Posee un control uno que tiene un nivel de Cumplimiento y efectividad del 75 y 85% respectivamente denominado Incumplimiento Medio, este control mitiga a un nivel de Riesgo 1 Aceptable y posee un nivel de madurez de 4 Administrado, es decir dicho proceso opera en condiciones aceptables.

A nivel Micro el Proceso B Posee un control dos que tiene un nivel de Cumplimiento y efectividad del 76 y 86% respectivamente denominado Incumplimiento Medio, este control mitiga a un nivel de Riesgo 1 Aceptable y posee un nivel de madurez de 4 Administrado, es decir dentro del Proceso B se están dando mejoras y buenas prácticas.

A nivel Macro dentro del Proceso A y B se han encontrado dos fortalezas poseen en su conjunto 2 controles que en promedio poseen un nivel de cumplimiento y efectividad del 76 y 86 respectivamente además dichos controles mitigan a niveles de riesgo 1 Aceptable y poseen un nivel de madurez 4 Administrado, es decir dichos procesos presentan un mediano y grado de desarrollo y se encuentran en mejora continua. Estos mismos resultados serán procesados en histogramas de frecuencia y diagramas radar para establecer las comparaciones pertinentes. Por ejemplo en el siguiente histograma de frecuencia se refleja el análisis del nivel de cumplimiento y efectividad de los controles a nivel micro.

edu.red

Así mismo en el Siguiente diagrama radar reflejamos a que nivel de riesgo mitigan tales controles y cuál es su nivel de madurez, en función a los resultados trabajados en el enunciado de aplicabilidad:

edu.red

Cuando hacemos la explicación Macro / promedio dentro de los gráficos se registra la cantidad promedio obtenida por los controles y se llevan a cabo las evaluaciones pertinentes.

Conocidos los resultados de estos indicadores determinaremos:

  • El Nivel de Implementación, Efectividad, Riesgo y Madurez del Sistema de Gestión de Seguridad de la Información.

  • Adecuada Administración y Control del Sistema de Gestión de Seguridad de la Información de la Entidad.

  • Mejoras Gubernamentales que ha experimentado dicho sistema en un espacio de tiempo delimitado por la Auditoría de Riesgos.

2.3.9.2 Indicadores para determinar la Adecuada Atención a las Recomendaciones de Auditoría Interna de parte de la Gerencia General

2.3.9.2.1 Indicadores Cuantitativos

En la siguiente tabla enfaticé en los Indicadores Cuantitativos que me determinaron el nivel de atención de parte del Gerente General en atender las recomendaciones de las Auditorías de Riesgos efectuadas por mi persona, así como la mejora en la Gestión Gubernamental.

Ítem

Descripción del Indicador

Índice

Calificación

1

Nº de Recomendaciones Pendientes

0%

Gestión Gubernamental Ineficiente

2

Nº de Recomendaciones en Proceso

>0% y <100%

Gestión Gubernamental Moderadamente eficiente

3

Nº de Recomendaciones Atendidas

>=100%

Implementado= Gestión Gubernamental eficiente.

2.4 Hipótesis

HIPÓTESIS GENERAL

  • 1. La Auditoría de Riesgos eficaz facilita la gestión gubernamental óptima del Ceticos Paita.

HIPÓTESIS SECUNDARIAS.

  • La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez del Sistema de Control Interno de la entidad bajo el enfoque de gestión integral de riesgos.

  • La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez del Sistema de Gestión de Seguridad de la información bajo el enfoque de gestión integral de riesgos.

  • La Auditoría de Riesgos Determina el Estado Situacional de las Recomendaciones formuladas por el Órgano de Control Interno, con respecto a las evaluaciones efectuadas a las actividades de almacenes, industrias, talleres y aspectos de seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011.

CAPÍTULO III:

Método

3.1 Tipo

Esta investigación será del tipo experimental, en donde se demostrará que la Auditoria de Riesgos eficaz facilita la Gestión Gubernamental del Céticos Paita. El Objetivo de esta investigación se centra en realizar un experimento que permita demostrar presupuestos e hipótesis explicativas; se trabaja en una relación causa-efecto inmediata para lo cual requiere la aplicación del método experimental.

Diseño de Investigación

El Diseño seleccionado a implementarse en el presente estudio, es el diseño con pos prueba únicamente y grupo de control, es decir, la manipulación de la variable independiente alcanza solo dos niveles: presencia y ausencia.

3.3 Estrategia de Prueba de Hipótesis

Como lo mencione anteriormente el diseño de mi investigación científica será el de pos prueba únicamente y grupo de control y lo podemos graficar de la siguiente manera:

GRUPOS DE CONTROL SELECCIONADOS DEMANERA ALEATORIA

PRESENCIA (X) O AUSENCIA (-) DE LA VARIABLE INDEPENDIENTE

MEDICIÓN DE LOS SUJETOS DE UN GRUPO

RG1

X

01

RG2

02

Simbología del Diseño Experimental:

RG1= Procesos Críticos del Negocio, Sistema Control Interno de la Entidad y de Seguridad de la Información.

RG2= Diagnóstico de los Procesos Críticos del Negocio, Sistema de Control Interno y de Seguridad de la Información ejercicios.

X= Auditoria de Riesgos / Variable Independiente.

O1 y O2= Medición de los Sujetos de un grupo.

  • = Ausencia de la Variable Independiente.

Ahora la estrategia para probar la hipótesis de la investigación radicará en que: aplicaré la Variable Independiente (Auditoria de Riesgos) únicamente al Grupo de Control N° 1 seleccionado aleatoriamente denominado Procesos Críticos del Negocio, Sistema de Control Interno y de Seguridad de la Información, que comenzaron a funcionar a partir del mes de Setiembre del 2007 en adelante.

Los resultados de este experimento, una vez instauradas las recomendaciones sugeridas por la Auditoria de Riesgos, de parte de la entidad para incrementar la performance de su Sistema de Control Interno y demás sistemas internos, serán comparadas con el Grupo de Control N° 2 denominado Diagnóstico de los Procesos Críticos del Negocio, Sistema de Control Interno y de Seguridad de la Información al 31/12/2007, a quien no se le administró la variable independiente.

Con la ayuda de este Diseño demostraré que la Aplicación de la Auditoria de Riesgos Eficaz facilita la gestión gubernamental óptima del Ceticos Paita.

3.4 Variables

3.4.1 Variable Independiente.

X= Auditoría de Riesgos Eficaz.

3.4.2 Variable Dependiente.

Y= Gestión Gubernamental Óptima.

3.4.3 Variable Interviniente.

Z= Centro de Exportación, Transformación, Industria, Comercio y Servicios Generales de Paita CETICOS PAITA.

3.4.4 Operacionalización de Variables

A Continuación muestro una tabla en donde se refleja la Operacionalización de Variables de mi trabajo de Investigación Científica:

edu.red

3.5 Población

La población según el Sistema Nacional de Control está conformada por 3 Céticos los cuales se encuentran en Paita, Matarani e Ilo.

Muestra

La Muestra, será netamente no probabilística corresponde a la variante de sujeto tipo es decir, esta muestra que abarca a el Ceticos Paita que representa a todas los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales que tienen características similares con la unidad de observación y la he elegido de acuerdo a los siguientes criterios:

  • Acceso a la información, porque actualmente estoy llevando a cabo una serie de acciones de control en tal entidad.

  • Facilidades, debido al contacto con los servidores y funcionarios de la entidad puedo acceder a una serie de informaciones.

  • Importancia de la Empresa, Es una unidad de Observación que necesita la atención debida ya que recibe transferencias del gobierno central que deben de ser manejados de la mejor manera posible.

3.7 Técnicas de Investigación

3.7.1 Instrumentos de Recolección de Datos

  • Programa de Auditoría de Riesgos. (Anexo 1).

  • Diagramas de Procesos. (Anexo 2).

  • Enunciados de Aplicabilidad. (Anexo 3).

  • Matriz de Riesgos vs Controles. (Anexo 4).

  • Histogramas de Frecuencia y Diagramas Radar. (Anexo 5).

  • Planes de Tratamiento de Riesgos. (Anexo 6).

  • Análisis Comparativo. (Anexo 7)

  • Informe Ejecutivo. (Anexo 8).

3.7.2 Procesamiento y Análisis de Datos.

En este punto he resuelto el Programa de Auditoría de Riesgos Propuesto (Ver Anexo 1) en función a los Objetivos Generales y Específicos de la Investigación El Procesamiento de la Información se encuentra en todos y cada uno de los enunciados de aplicabilidad, matriz de riesgos y controles, histogramas de frecuencia, diagramas de radar, Planes de tratamiento de riesgos e Informes Ejecutivos que me sirvieron para validar mis hipótesis así mismo cada objetivo general y específico se encuentra analizado con su respectivo Informe de Auditoría de Riesgos.

3.7.2.1 Con respecto al Objetivo General 1: La Auditoría de Riesgos eficaz facilita la Gestión Gubernamental Óptima del Ceticos Paita.

Se aplicó la Auditoría de Riesgos al Proceso de Ingreso y Salida de Mercancías de las Actividades de Almacenes, Talleres e Industrias con la finalidad de demostrar el Objetivo General 1.

Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó el Conocimiento del Proceso de Ingreso y Salida de Mercancías de las Actividades de Almacenes, Talleres e Industrias y los controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1).

Identificación de Riesgos: Se identificaron 32 Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3 PT 2).

Análisis de Riesgos: Los 32 Controles que fueron evaluados arrojaron resultados desfavorables para la Empresa. (Ver Anexo 4 PT 3).

Evaluación de Riesgos: El Proceso de Ingreso y Salida de Mercancías de la actividad de almacenes operaba en condiciones inaceptables. (Ver Anexo 5 PT 5).

Plan de Tratamiento de Riesgos: En mi Calidad de Jefe del Órgano de Control Institucional sugerí 32 recomendaciones para mejorar la Gestión Gubernamental del Ceticos Paita. (Ver Anexo 6 PT 6).

Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación del Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo de Colaboradores, el Sistema que monitorea el Ingreso y Salida de Mercancías de las Actividades de Almacenes, Talleres e Industrias experimentó mejoras en aspectos de Gestión Gubernamental y Gestión de Riesgos. (Ver Anexo 7 PT 7).

Comunicación y Consulta: Se elaboró el Informe Final cuya estructura y Resultados alineados al Objetivo General 1, reporta los siguientes resultados:

INFORME DE AUDITORÍA DE RIESGOS A LAS ACTIVIDADES DE ALMACENES, TALLERES E INDUSTRIAS EJERCICIO 2007 AL 2010

  • I. INTRODUCCIÓN

  • ORÍGEN DEL EXAMEN

En cumplimiento al Plan Anual de Auditoría.

  • OBJETIVOS DEL EXAMEN.

  • a) Objetivos Generales:

a.1 Con la Aplicación de la Auditoría de Riesgos: Verificar el Nivel de Cumplimiento y Efectividad de parte de la Entidad del:

  • Inta Pg 22 y Directiva 002-2008/CETICOS PAITA "Directiva de Procedimientos de Ingreso y Salida de Mercancías para Almacenes de Ceticos Paita".

  • Directiva 001-2008/CETICOS PAITA "Directiva de Procedimientos de Ingreso y Salida de Mercancías para Talleres de Ceticos Paita".

  • Directiva 003-2008/CETICOS PAITA "Directiva de Procedimientos de Ingreso y Salida de la Actividad de Industrias de Ceticos Paita".

  • b) Objetivos Específicos:

b.1 Determinar el Estado Situacional de los Riesgos Evidenciados durante la Auditoría.

b.2 Comentar el Impacto que ha generado la Evaluación dentro del Negocio.

  • ALCANCE

El alcance Abarca los Periodos 2007, 2008, 2009 y 2010 en donde se revisaron todos y cada uno de los Controles que se encuentran inmersos en los Procesos de Ingreso y Salida de Mercancías de las Actividades de: Almacenes, Industrias y Talleres. Se evaluó al El Personal Ejecutivo y Administrativo del Ceticos Paita.

  • METODOLOGÍA.

Se aplicó la Metodología de la Auditoría de Riesgos.

  • BASE LEGAL.

• Reglamento de Organización y Funciones del Céticos Paita.

Procedimiento de Calidad Inta PG 22.

• Directiva Nº 001-2008 "Directiva de Control de Ingreso y Salida de Vehículos de la Actividad de Talleres".

• Directiva de Infracciones y Sanciones del Céticos Paita.

• Normas de Control Interno Resolución de Contraloría General 320-2006.

• Reglamento de Seguridad y Salud en el Trabajo.

Libro de Seguridad de Montacargas.

• Norma A.130 Requisitos de Seguridad.

• Norma Técnica Peruana 399.010-1-2004.

• Decreto Supremo Nº 005-94-IN Reglamento de Servicios de Seguridad Privada.

La labor se desarrolló en la sede del CENTRO DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA, COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS PAITA, sito en Carretera Paita Sullana Km 3 Paita – Perú.

  • COMENTARIOS.

  • CONOCIENDO EL PROCESO A AUDITAR

  • Se elaboró el Diagrama del Proceso del Sistema de Gestión de Calidad vinculado con el Ingreso y Salida de Mercancías de la Actividades Almacenes, Talleres e Industrias del Ceticos Paita.

  • Se identificaron los Procesos y Controles que operan en dichos procesos. (Ver Anexo 1 PT 1).

  • ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE LA ADOPCIÓN DE MEDIDAS CORRECTIVAS

PROCESOS EVALUADOS

CONTROLES EVALUADOS

DESCRIPCION

NIVEL DE IMPLEMENTACION

NIVEL DE EFECTIVIDAD

NIVEL DE RIESGOS

NIVEL DE MADUREZ

4

32

Controles que administran y supervisan el Ingreso y Salida de Mercancías de las Actividades de Almacenes, Industrias y Talleres.

24%

30%

4

1

En promedio los 32 Controles que se encuentran dentro de los Procesos que controlan el Ingreso y Salida de Mercancías de las actividades de Almacenes, Talleres e Industrias poseen un Nivel de Implementación y Efectividad del 24 y 30% Incumplimiento Alto respectivamente, mitigan a niveles de Riesgo 4 Extremo y Poseen un Nivel de Madurez 1 Inicial, es decir dichos controles y procesos están operando en condiciones Inaceptables y es de vital importancia que el Gerente General tome Medidas con carácter de urgencia. (Ver Anexo 4 PT3).

  • RIESGOS / OBSERVACIONES.

Los Riesgos han sido redactados en función al Criterio Vulnerado, Recomendaciones, Acciones Correctivas y Estado Situacional del Riesgo Calificando claro está el Nivel de Implementación (NI), Nivel de Efectividad (NE) Nivel de Riesgo (NR) y Madurez (NM) de los Controles evaluados, El Detalle se refleja en la Siguiente Tabla.

edu.red edu.red edu.red edu.red

edu.red edu.red edu.red

  • ESTADO SITUACIONAL DE LOS PLANES DE TRATAMIENTO DE RIESGOS FORMULADAS EN EL PRESENTE INFORME

De un Total de 32 Planes de Tratamiento de Riesgos que fueron formuladas durante la evaluación y comunicadas formalmente al Gerente General del Ceticos Paita durante los años 2007, 2008, 2009 y 2010, se ha podido constatar con la documentación sustentatoria pertinente (Informes de Acción Correctivas 2007,2008, 2009 y 2010 emitidos por el Gerente General y su Grupo de Colaboradores) que al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del ejercicio 2007 al 2010 fueron atendidos en su totalidad. (Anexo 6 PT 5).

  • LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA LABOR DE AUDITORÍA

LOGROS:

9.1 ACTIVIDAD DE ALMACENES EJERCICIO 2008

Así mismo, cabe recalcar que en el periodo 2007, durante los meses de Agosto y Octubre, La Empresa Golden American Company (Usuario de Ceticos Paita) cometió una serie de Infracciones, siendo Sancionada por la Administración del Ceticos Paita en los lapsos de tiempo establecidos, de acuerdo a lo estipulado en la "Directiva de Infracciones y Sanciones para los Usuarios del Ceticos Paita", aprobada con Resolución de la Gerencia General Nº 016-2007-CETICOS PAITA del 13 de agosto del 2007.

9.2 ACTIVIDAD DE TALLERES EJERCICIO 2009

El Valor Agregado que está incorporando el Sub Director de Operaciones, al Instaurar Nuevos Controles con la finalidad de convivir con niveles de riesgos aceptables, fáciles de manejar y corregir.

Que el Actual Sub Director de Operaciones viene trabajando en la elaboración de una Nueva Directiva para el Control del Ingreso y Salida de Vehículos del Céticos Paita.

9.3 ACTIVIDAD DE INDUSTRIAS EJERCICIO 2010

Buena Administración de Riesgos y Controles (Calificación Optima) que se encuentran inmersos dentro del SISTEMA DE GESTION DE CALIDAD vinculado con el Ingreso y salida de mercancías de la actividad de industrias del Céticos Paita, de todos y cada uno de los colaboradores de la Entidad que organizan, implementan, regulan, monitorean y generan valor y mejora continua a la Actividad de Industrias.

9.4 BUEN NIVEL DE ATENCION DE PARTE DE LA ENTIDAD EN EL PLAN DE TRATAMIENTO DE MEDIDAS CORRECTIVAS PROPUESTOS POR EL AUDITOR INTERNO

Del 2007 al 2010 se ha podido evidenciar el adecuado compromiso responsable y solidario de parte del Gerente General y su grupo de colaboradores en atender los planes de tratamiento de medidas correctivas propuestos por mi persona en calidad de Auditor de Interno.

RIESGOS:

Durante la evaluación efectuada durante los ejercicios 2007, 2008, 2009 y 2010 a las actividades de almacenes, talleres e industrias se evidenciaron 32 riesgos los mismos que fueron mitigados por el Gerente General de la Entidad y su Grupo de Colaboradores al 100%.

  • ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE LAS ACCIONES DE MEJORA

Acción de Mejora propuesta en el Ejercicio 2010: Habilitar un filtro dentro del Sistema de Gestión de Ceticos Paita al área de Operaciones, para que pueda visualizar a manera de estadísticas / reportes a los usuarios que tienen obligaciones pendientes por pagar con Ceticos Paita ((Incorporación de un nuevo Control Tecnológico de Seguimiento contractual a los Usuarios del Ceticos Paita).

Estado Situacional de la Acción de Mejora: Con informe IE ESAM Nº 001-2011 / OCI – CP, denominado Estado Situacional de las Acciones de Mejorado al Gerente General de la Empresa el día 05/04/2011 se ha logrado evidenciar lo siguiente: se ha procedido a implementar dentro del sistema de gestión del CETICOS PAITA, una opción de consulta de deudas de los Usuarios del Ceticos Paita dentro del Sistema de Gestión. (Acción de Mejora Implementada al 100%).

  • IMPACTO QUE HA GENERADO LA EVALUACION DENTRO DE LA GESTION GUBERNAMENTAL DEL CETICOS PAITA

11.1 Cambios en el Comportamiento de los Controles Evaluados

Al 06 de Abril del 2011, luego de haber implementado en su totalidad los planes de tratamiento de Riesgos, El resultado ha sido el Siguiente: En promedio los 32 Controles que se encuentran dentro de los Procesos que controlan el Ingreso y Salida de Mercancías de las actividades de Almacenes, Talleres e Industrias poseen un Nivel de Implementación y Efectividad del 90% Cumplimiento, mitigan a niveles de Riesgo 1 Aceptable y Poseen un Nivel de Madurez 4 Administrado, es decir dichos controles y procesos están operando en condiciones Aceptables y se han experimentado mejoras sustanciales en la Gestión Gubernamental de la Empresa. (Ver Anexo 7 PT 6)

11.2 Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los Controles Sujetos a Evaluación del 01/01/2007 al 06/04/2011.

La evolución que ha experimentado la Organización luego de Instaurar los planes de tratamiento de Riesgos propuestos por Auditoría ha sido sustancial. En el Ejercicio 2007 los indicadores eran negativos: El Nivel de Implementación y Efectividad de los Controles Instaurados en el Proceso de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias Poseían índices de Incumplimiento Alto 24 y 30% respectivamente, mitigaban a niveles de riesgo 4 Extremo y poseían niveles de madurez 1 Inicial, es decir se estaba trabajando de una manera desordenada y existía caos en la Gestión Organizacional.

A partir del 06 de Abril del 2011 El Ceticos Paita tiene resultados positivos, El Nivel de Implementación y Efectividad de los Controles Instaurados en el Proceso de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias Poseían índices de Cumplimiento ambos del 90% , mitigan niveles de riesgo 1 Aceptable y poseen niveles de madurez 4 Administrado, es decir se está trabajando de una manera ordenada y transparente los controles se encuentran evolucionando y en proceso de mejora continua. (Ver Anexo 7 PT 6.1 y PT 6.1.1).

11. 3 Mejoras en La Gestión Gubernamental del Ceticos Paita

Se produjeron 32 mejoras en aspectos de Gestión gubernamental Vinculados con aspectos Organizacionales, de Responsabilidad de la Dirección, Supervisión y Monitoreo y Mejora Continua. (Ver Anexo 7 PT 6.1.1.1).

II CONCLUSIONES.

Adecuada Gestión de Riesgos de parte de la Entidad:

32 Controles que poseen tendencias aceptables nivel de implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en promedio a niveles de Riesgo Aceptable y poseen niveles de Madurez Administrado.

Adecuada Gestión Gubernamental:

La Gerencia viene cumpliendo en lo posible con las Normas Internas y de Gobierno para el Adecuado Control del Ingreso y Salida de Mercancías de las actividades de Almacenes, Talleres e Industrias.

Al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del ejercicio 2007 al 2010 fueron atendidos en su totalidad. Produciendo mejoras sustanciales en el Ceticos Paita.

Se vienen sancionando a Usuarios que Infringen los controles internos instaurados por la Entidad.

Se viene trabajando en nuevas regulaciones para controlar los procesos de las actividades de almacenes, talleres e industrias.

La Auditoría propuso una Acción de Mejora.

III RECOMENDACIONES.

Al Gerente General del Ceticos Paita:

Continuar en la Labor de Mejorar la Gestión de Riesgos dentro del Ceticos Paita.

Continuar en la labor de seguir mejorando la Gestión Gubernamental del Ceticos Paita.

Continuar con la labor de seguir cumpliendo las Directivas Internas y Regulaciones de Gobierno para el Adecuado Control del Ingreso y Salida de Mercancías de las Actividades de Almacenes, Industrias y Talleres.

Refrendado por;

CPCC. Nicolay Alexander Galecio Sosa MG.

Resultado del Objetivo General 1: Es indispensable puntualizar que luego de poner en práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría facilita la Gestión Gubernamental Óptima de los Centros de Exportación, Transformación, Industrias y Servicios Generales.

3.7.2.2 Con respecto al Objetivo Específico 1: La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos.

Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó el Conocimiento del Sistema de Control Interno bajo el Enfoque COSO ERM y los controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1).

Identificación de Riesgos: Se identificaron 72 Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3 PT 2.1).

Análisis de Riesgos: Los 72 Controles que fueron evaluados arrojaron resultados desfavorables para la Empresa. (Ver Anexo 4 PT 3.1).

Evaluación de Riesgos: El Sistema de Control Interno bajo el Enfoque COSO ERM operaba en condiciones inaceptables. (Ver Anexo 5 PT 4.1).

Plan de Tratamiento de Riesgos: En mi Calidad de Jefe del Órgano de Control Institucional sugerí 72 recomendaciones para mejorar la Gestión Gubernamental del Ceticos Paita. (Ver Anexo 6 PT 5.1).

Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación del Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo de Colaboradores, el Sistema de Control Interno bajo el Enfoque COSO ERM experimentó mejoras en aspectos de Ambiente de Control, Evaluación de Riesgos, Actividades de Control Gerencial, Información y Comunicación y Supervisión y Autoevaluación. (Ver Anexo 7 PT 6.2, PT 6.2.1, PT 6.2.1.1 y 6.2.1.1.1).

Comunicación y Consulta: Se elaboró el Informe Final cuya estructura y Resultados alineados al Objetivo Específico 1, reporta los siguientes resultados:

INFORME DE AUDITORÍA DE RIESGOS AL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA DEL 30 DE JUNIO DEL 2008 AL 10 DE OCTURE DEL EJERCICIO 2010.

En cumplimiento al Plan Anual de Auditoría.

  • 2. OBJETIVOS DEL EXAMEN

  • a) Objetivos Generales:

a.1 Con la Aplicación de la Auditoría de Riesgos: Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos.

  • b) Objetivo Específicos:

b.1 Determinar el Estado Situacional de los Riesgos Evidenciados durante la Auditoría.

b.2 Comentar el Impacto que ha generado la Evaluación dentro del Negocio.

  • 3. ALCANCE

El alcance Abarca los Periodos 2008, 2009 y 2010 en donde se revisaron todos y cada uno de los Controles que se encuentran inmersos en el Sistema de Control Interno del Ceticos Paita.

Se evaluó al Personal Ejecutivo y Administrativo del Ceticos Paita.

  • 4. METODOLOGÍA

Se Aplicó la Metodología de la Auditoría de Riesgos.

  • 5. BASE LEGAL

  • NORMAS de Control Interno, aprobadas con Resolución de Contraloría General Nº 320-2006-CG del 30 de Octubre del 2006, instauradas en Ceticos Paita, con Resolución de Gerencia General Nº 009-2009-Ceticos Paita, del 14/04/2009.

  • Resolución de Contraloría General Nº 458-2008-CG Contralor General autoriza aprobar la "Guía para la Implementación del Sistema de Control Interno de las entidades del Estado", del 28 de octubre de 2008.

La labor se desarrolló en la sede del CENTRO DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA, COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS PAITA, sito en Carretera Paita Sullana Km 3 Paita – Perú.

  • 6. COMENTARIOS

  • CONOCIENDO EL PROCESO A AUDITAR

Se elaboró el Diagrama del Proceso del Sistema de Control Interno bajo el Enfoque Coso ERM. Con la finalidad de determinar, los objetivos de control, controles, procesos y procedimientos que se trabajan en dicho Sistema y que fueron sujetos a Evaluación por parte de mi persona en calidad de Jefe de Oci del Ceticos Paita. (Ver Anexo 2 PT 1.1).

  • ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE LA ADOPCION DE MEDIDAS CORRECTIVAS AL 30 DE JUNIO DEL 2008

PROCESOS EVALUADOS

CONTROLES EVALUADOS

NIVEL DE IMPLEMENTACIÓN / EFECTIVIDAD

NR

NM

5

112

35.71%

3

2

El Sistema de Control interno del Ceticos Paita posee un nivel de Implementación y efectividad en Promedio de 35.71% Incumplimiento Alto, sus controles en Promedio mitigan a Niveles de Riesgo 3 Alto y poseen niveles de madurez en promedio 2 Repetible. Es decir el Sistema de Control Interno Opera en condiciones inaceptables y es de vital importancia que se tomen medidas correctivas con carácter de urgencia. (Ver Anexo 4 PT 3.1).

7. RIESGOS / OBSERVACIONES

Los Riesgos han sido redactados en función al Criterio Vulnerado, Recomendaciones, Acciones Correctivas y Estado Situacional del Riesgo Calificando claro está el Nivel Implementación (NI) / Efectividad (NE), Nivel de Riesgo (NR) y Madurez (NM) de los Controles evaluados, El Detalle se refleja en la Siguiente Tabla.

edu.red edu.red edu.red edu.red edu.red

edu.red

edu.red edu.red edu.red edu.red edu.red

  • 8. ESTADO SITUACIONAL DE LOS PLANES DE TRATAMIENTO DE RIESGOS FORMULADAS EN EL PRESNTE INFORME.

Al 30/06/2008 Se evidenciaron 72 Riesgos/Observaciones los mismos que al 30/10/2010 fueron mitigados y atendidos en su totalidad del 18 de Octubre del 2008 al 30 de Noviembre del 2010. (Ver Anexo 6 PT 5.1).

  • 9. LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA LABOR DE AUDITORÍA

LOGROS:

  • REMISION DE INFORMES DE AUTOEVALUACION AL SISTEMA NACIONAL DE CONTROL CON RESPECTO AL NIVEL DE IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA

Con Oficio Nº 1221-A-2010/GG-CETICOS PAITA del 29/10/2010, el Titular de la Entidad remite al Jefe de Oci de Ceticos Paita el Segundo del Informe de Implementación de la Estructura de Control Interno de Ceticos Paita, realizado entre los meses de Noviembre del 2008 a Octubre del 2010 Es importante recalcar que la entidad ha dado cumplimiento a lo establecido en el Artículo 2 y 3 de la Resolución de Contraloría General de la República Nº 458-2008-CG del 28/10/2008: "Guía para la Implementación del Sistema de Control Interno de las entidades del Estado".

  • REUNIONES DE VALOR AGREGADO DEL COMITÉ DE IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO

El Comité encargado del Proceso de Implementación del Sistema de Control Interno viene llevando a cabo reuniones de Coordinación con la finalidad de generar alternativas de solución para crear a Mediano / Largo plazo la Gerencia de Tecnologías de Información y Comunicaciones en Ceticos Paita.

  • DOCUMENTACION DE LOS PROCESOS MÁS IMPORTANTES DEL NEGOCIO

A la fecha la entidad cuenta con los siguientes Manuales de Procedimientos aprobados con resoluciones de Gerencia General Nº 040, 041, 042, 043, 044, 045 y 046-2010-CETICOS PAITA del 09/11/2010, que a continuación se detallan: Manual de Procedimientos de la Oficina General de Administración – Contabilidad; Manual de Procedimientos de Tecnologías de Información y Comunicaciones; Manual de Procedimientos de la Oficina General de Administración – Recursos Humanos; Manual de Procedimientos de la Oficina General de Administración – Tesorería; Manual de Procedimientos de la Oficina General de Administración – Logística; Manual de Procedimientos de la Oficina de Asesoría Legal y Manual de Procedimientos del Órgano de Control Institucional.

RIESGOS:

Durante la evaluación efectuada el 30 de Junio del 2008 al Sistema de Control Interno se evidenciaron 72 riesgos los mismos que fueron mitigados por el Gerente General de la Entidad y su Grupo de Colaboradores al 100%, del 18 de Octubre del 2008 al 30 de Noviembre del 2010.

  • ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE LAS ACCIONES DE MEJORA

  • INCREMENTAR EL NIVEL DE EFECTIVIDAD E IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO DE LA ENTIDAD

A Manera de valor agregado se sugiere continuar generando avances a los componentes del Sistema de Control Interno que se encuentran pendientes de Implementar.

Estado Situacional de la Acción de mejora: Con Informe N° 2-4391-2010-006 del 30 de Noviembre del 2010, denominado Evaluación del Control Interno, se ha logrado evidenciar que el Comité encargado de Implementar y mejorar el Sistema de Control Interno de la Entidad se vienen reuniendo de manera reiterada con la finalidad de atender los componentes de dicho sistema que se encuentran pendientes por implementar.

  • IMPACTO QUE HA GENERADO LA EVALUACION DENTRO DE LA GESTION GUBERNAMENTAL DEL CETICOS PAITA

  • Cambios en la Performance de los Controles al 30/11/2010.

Al 30/11/2010 los Controles poseen un nivel de implementación y efectividad del 78.57%, mitigan a niveles de riesgo 1 Aceptable y se encuentran en un nivel de madurez aceptable, la Organización viene experimentando cambios aceptables para el logro de los Objetivos Misionales. (Ver Anexo 7 PT 6.2)

  • Evolución en el Nivel de Implementación, Efectividad, Riesgo y Madurez del Sistema de Control Interno del CETICOS PAITA del 30/06/2008 al 30/11/2010.

La evolución que ha experimentado el Sistema de Control Interno del Ceticos Paita luego de Instaurar los planes de tratamiento de Riesgos propuestos por Auditoría ha sido sustancial. En El 2008 los indicadores eran negativos: El Nivel de Implementación y Efectividad de los Controles Instaurados en el Sistema de Control Interno Poseían índices de Incumplimiento Alto 35.71% respectivamente, mitigaban a niveles de riesgo 4 Extremo y poseían niveles de madurez 1 Inicial, es decir El Sistema de Control Interno operaba en condiciones Inaceptables y no aportaba al logro de los Objetivos Institucionales

A partir del 30 de Noviembre del 2010 El Sistema de Control Interno del Ceticos Paita tiene resultados positivos, El Nivel de Implementación y Efectividad de los Controles Instaurados en dicho sistema Poseían índices de Incumplimiento Medio ambos del 78.57%, mitigan a niveles de riesgo 1 Aceptable y poseen niveles de madurez 4 Administrado, es decir El Sistema de Control Interno del Ceticos Paita experimenta un mediano grado de desarrollo y viene contribuyendo al logro de los objetivos institucionales de manera progresiva. (Ver Anexo 7 PT 6.2.1 y 6.2.1.1)

12.3 Mejoras en Aspectos Gubernamentales

El Sistema de Control Interno del Ceticos Paita ha experimentado 72 mejoras en aspectos vinculados con: Ambiente de Control, Evaluación de Riesgos, Actividades de Control Gerencial, Información y Comunicación y Supervisión y Autoevaluación. (Ver Anexo 7 PT 6.2.1.1.1)

II CONCLUSIONES

Adecuada Gestión de Riesgos

A la fecha el Sistema de Control Interno de la Entidad posee en promedio Niveles de Implementación y efectividad del 78.57%, así mismo mitiga a niveles de riesgo 1 Aceptable y Posee niveles de Madurez 4 Administrado. Dicho sistema viene evolucionando paulatinamente y aporta al logro misional de la empresa.

Adecuada Gestión Gubernamental

El Ceticos Paita viene cumpliendo de manera gradual Las Normas de Control Interno emitidas por la Contraloría General de la República para el Adecuado Manejo, Control y Administración de los Recursos y Fondos que son de Propiedad del Estado.

Se evidenciaron 72 riesgos los mismos que fueron atendidos.

Se derivó al Sistema Nacional de Control el Informe 1 y 2 de Autoevaluación al Sistema de Control Interno del Ceticos Paita con fechas 23/10/2009 y 23/10/2010.

El Comité de Control Interno del Ceticos Paita viene realizando reuniones de coordinación para Mejorar El Sistema de Control Interno de la Entidad.

Se reportó una Acción de mejora para mejorar la Gestión Gubernamental del Ceticos Paita.

III RECOMENDACIONES

Continuar con la Adecuada Gestión de Riesgos de la Entidad dentro del Sistema de Control Interno del Ceticos Paita, es decir que sus niveles de implementación y efectividad oscilen entre 60% y 100% y sus niveles de riesgo y madurez posean índices de1 Aceptable y de 4 Administrado, que son los resultados que reflejan un gestión de riesgos ordenada y transparente.

Continuar con la Adecuada Gestión Gubernamental dentro del Sistema de Control Interno del Ceticos Paita para ello se deberá de seguir cumpliendo con las Normas del Sistema Nacional de Control para el Adecuado manejo y administración del Sistema de Control Interno.

La Gerencia deberá de seguir en la labor de atender las recomendaciones de Auditoría Interna.

Refrendado por;

CPCC. Nicolay Alexander Galecio Sosa MG.

Resultado del Objetivo Específico 1: Es indispensable puntualizar que luego de poner en práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría Evalúa el nivel de efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos, generando de esta manera valor agregado en la Gestión Organizacional y Gubernamental de la Entidad. Prueba de ello es que el Ceticos Paita ha experimentado 72 mejoras en aspectos de Ambiente de Control, Gestión de Riesgos, Actividades de Control Gerencial, Información y Comunicación y Supervisión y Autoevaluación.

3.7.2.3 Con respecto al Objetivo Específico Nº 2: La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez del sistema de gestión de seguridad de la información bajo el enfoque de gestión integral de riesgos.

Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó el Conocimiento del Sistema de Gestión de Seguridad de la Información del Ceticos Paita y los controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1.1).

Identificación de Riesgos: Se identificaron 2 Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3 PT 2.1.1).

Análisis de Riesgos: Los 2 Controles que fueron evaluados arrojaron resultados desfavorables para la Empresa. (Ver Anexo 4 PT 3.1.1).

Evaluación de Riesgos: El Sistema de Control Interno bajo el Enfoque COSO ERM operaba en condiciones relativamente aceptables. (Ver Anexo 5 PT 4.1.1).

Plan de Tratamiento de Riesgos: En mi Calidad de Jefe del Órgano de Control Institucional sugerí 2 recomendaciones para mejorar la Gestión Gubernamental del Ceticos Paita. (Ver Anexo 6 PT 5.1.1).

Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación del Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo de Colaboradores, el Sistema de Gestión de Seguridad de la Información experimentó mejoras en aspectos de Adecuado manejo de recursos informáticos. (Ver Anexo 7 PT 6.3, PT 6.3.1, PT 6.3.1.1 y 6.3.1.1.1).

Comunicación y Consulta: Se elaboró el Informe Final cuya estructura y Resultados alineados al Objetivo Específico 2, reporta los siguientes resultados:

AUDITORÍA DE RIESGOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL 01 DE ENERO DEL 2011 AL 30 DE MARZO DEL 2011

I INTRODUCCIÓN

1. ORIGEN DEL EXAMEN

En cumplimiento al plan Anual de Auditoría.

  • OBJETIVOS DEL EXAMEN.

  • a) Objetivos Generales:

a.1 Con la Aplicación de la Auditoría de Riesgos: Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de Gestión de Seguridad de la Información del Ceticos Paita.

  • b) Objetivos Específicos:

b.1 Determinar el Estado Situacional de los Riesgos Evidenciados durante la Auditoría.

b.2 Comentar el Impacto que ha generado la Evaluación dentro del Negocio.

  • ALCANCE

El alcance Abarca el Ejercicio 2011 en donde se revisaron todos y cada uno de los Controles que se encuentran inmersos en el Sistema de Gestión de Seguridad de la Información del Ceticos Paita. Se evaluaron a todos y cada uno de los colaboradores del Ceticos Paita personal Directivo y Ejecutivo.

  • METODOLOGÍA

Se Aplicó la Metodología de la Auditoría de Riesgos.

  • BASE LEGAL

  • Manual de Uso de Recursos Informáticos Versión 2009.

  • Manual de Uso de Correo Corporativo Institucional Versión 2009.

La labor se desarrolló en la sede del CENTRO DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA, COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS PAITA, sito en Carretera Paita Sullana Km 3 Paita – Perú.

  • COMENTARIOS

  • CONOCIENDO EL PROCESO A AUDITAR

Se elaboró el Diagrama del Proceso del Sistema de Gestión de Seguridad de la Información del Ceticos Paita, con la finalidad de determinar, los objetivos de control, controles, procesos y procedimientos que se trabajan en dicho Sistema y que fueron sujetos a Evaluación por parte del Jefe de Oci del Ceticos Paita. (Ver Anexo 2 PT1.1.1).

  • ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE LA ADOPCION DE MEDIDAS CORRECTIVAS AL 01 DE ENERO DEL EJERCICIO 2011

PROCESOS EVALUADOS

CONTROLES EVALUADOS

DESCRIPCION

NIVEL DE IMPLEMENTACION

NIVEL DE EFECTIVIDAD

NIVEL DE RIESGOS

NIVEL DE MADUREZ

4

20

Controles que administran y supervisan el Sistema de Gestión de Seguridad de la Información.

90%

86%

1

4

En promedio los 20 Controles que se encuentran dentro de los Procesos que controlan el Sistema de Gestión de la Seguridad de la Información poseen un Nivel de Implementación y Efectividad del 90% y 86% Cumplimiento respectivamente, mitigan a niveles de Riesgo 1 Aceptable y Poseen un Nivel de Madurez 4 Administrado. Es decir tiene una buena práctica y vienen ayudando al logro de los objetivos del sistema pero se deben tomar medidas correctivas urgentes con respecto al adecuado uso de recursos informáticos y correo corporativo institucional. (Ver Anexo 4 PT 4.1.1).

7. RIESGOS / OBSERVACIONES.

Los Riesgos han sido redactados en función al Criterio Vulnerado, Recomendaciones, Acciones Correctivas y Estado Situacional del Riesgo Calificando claro está el Nivel de Implementación (NI), Efectividad (NE) Riesgo (NR) y Madurez (NM) de los Controles evaluados, El Detalle se refleja en la Siguiente Tabla.

edu.red

8. ESTADO SITUACIONAL DE LOS PLANES DE TRATAMIENTO DE RIESGOS FORMULADAS EN EL PRESENTE INFORME

Al 30/03/2011 Se evidenciaron 2 Riesgos/Observaciones los mismos que al 06/04/2011 fueron mitigados y atendidos en su totalidad.

  • LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA LABOR DE AUDITORÍA.

LOGROS: Durante la evaluación se pudieron evidenciar los siguientes logros:

  • TEST DE PENETRACINÓN: Con fecha 30/03/2011, la entidad viene realizando las coordinaciones pertinentes con la empresa Network Professional Security Perú SAC, con RUC N° 20518079281, con domicilio legal para estos efectos en Av. José A. Larco 345 Interior M-03 Miraflores, representada por su Gerente General Sr. Miguel Fernando Mayta Flores, con DNI # 42500196, quien será encargada de llevar a cabo un test de penetración al sistema de gestión de seguridad de la información.

  • AVANCE DEL PLAN DE CONTINUIDAD DE NEGOCIOS: Con fecha 30/03/2011 a las 12:19 pm el Jefe de Oci de la Entidad logra evidenciar que el porcentaje de avance del Plan de Continuidad de Negocios del Céticos Paita se encuentra en un 95 %, a la fecha la entidad ya cuenta con los documentos de Introducción (3 folios), Establecimiento y Gestión del Sistema de Continuidad de Negocios (24 folios), Aspectos Metodológicos del Sistema de Continuidad de Negocios (42 folios), Implementación del Sistema de Continuidad de Negocios (210 folios) y finalmente Supervisión y revisión del Sistema de Continuidad de Negocios (12 folios).

  • CERTIFICACIONES EN SEGURIDAD DE LA INFORMACIÓN: A la fecha la entidad en materia de Seguridad de la Información ha obtenido 10 certificaciones distribuidas de la siguiente manera: 2 certificaciones obtenidas por los colaboradores que realizan labores de Informática, 07 certificaciones obtenidas por colaboradores que realizan labores administrativas y una certificación obtenida por el Jefe del Órgano de Control Institucional en calidad de Veedor y responsable de Auditar el Sistema de Gestión de Seguridad de la Información del Céticos Paita.

RIESGOS: Durante la evaluación efectuada el 30 de Marzo del Ejercicio 2011 al Sistema de Gestión de Seguridad de la Información se evidenciaron 2 riesgos los mismos que fueron mitigados por el Gerente General de la Entidad y su Grupo de Colaboradores al 100%, del 30 de Marzo del 2011 al 05 de Abril del 2011.

  • ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE LAS ACCIONES DE MEJORA.

11.1 Fortalecer la seguridad donde se ubica la sala de servidores con la edificación de una pared.

11.2 Implementar un sensor de aniego.

11.3 Implementar lineamientos de uso de equipos móviles.

11.4 Llevar a cabo la Instalación de un Gabinete de Pared para protección de equipos informáticos.

11.5 Llevar a cabo el cableado en telecomunicaciones.

11.6 Implementar el Firewall Perimetral.

11.7 Definir los niveles de acuerdos y Servicios.

11.8 Desarrollar e implementar políticas y procedimientos para proteger la información asociada a los sistemas de información comercial.

11.9 Continuar con el Avance vinculado con el Plan de Continuidad de Negocios.

11.10 Atender las Recomendaciones/Sugerencias que surjan del Test de Penetración al Sistema de Gestión de Seguridad de la Información del Ceticos Paita, que elaborará y ejecutará la Empresa Network Professional Security Perú SAC.

A La fecha las 10 acciones de mejora a manera de valor agregado propuestas por mi Persona como una contribución para mejorar el Sistema de Gestión de Seguridad de la Información fueron implementadas en su totalidad.

  • IMPACTO QUE HA GENERADO LA EVALUACION AL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION DENTRO DE LA GESTION GUBERNAMENTAL DEL CETICOS PAITA.

11.1 Mejoras en la Performance de los Controles Al 06 de Abril del Ejercicio 2011en promedio Los Controles poseen un nivel de implementación y efectividad del 90%, mitigan a niveles de riesgo 1 Aceptable y se encuentran en niveles de madurez aceptables. El Sistema de Gestión de Seguridad de la Información viene contribuyendo con los Objetivos Misionales del Negocio. (Ver Anexo 7 PT 6.3).

11.2 Evolución en el Nivel de Implementación, Efectividad, Riesgo y Madurez del Sistema de Gestión de Seguridad de la Información del 30 de Marzo del 2010 al 06 de Abril del 2011

La evolución que ha experimentado el Sistema de Gestión de Seguridad de la Información del Ceticos Paita luego de Instaurar los planes de tratamiento de Riesgos propuestos por Auditoría ha sido sustancial. En El 2010 los indicadores eran relativamente favorables: El Nivel de Implementación y Efectividad de los Controles Instaurados en el Sistema de Gestión de Seguridad de la Información Poseían índices de Cumplimiento 90% y 86% respectivamente, mitigaban a niveles de riesgo 1 Aceptable y poseían niveles de madurez 4 Administrado, es decir El Sistema de Control Interno operaba en condiciones Relativamente Aceptables debido a que se debían de mitigar 2 riesgos vinculados con el adecuado manejo de recursos informáticos del Ceticos Paita.

A partir del 06 de Abril del 2011 El Sistema de Gestión de Seguridad de la Información del Ceticos Paita tiene resultados positivos, El Nivel de Implementación y Efectividad de los Controles Instaurados en dicho sistema Poseen índices de Cumplimiento del 90%, mitigan a niveles de riesgo 1 Aceptable y poseen niveles de madurez 4 Administrado, es decir El Sistema de Gestión de Seguridad de la Información viene contribuyendo al logro de los objetivos institucionales de manera progresiva. (Ver Anexo 7 PT 6.3.1, PT 6.3.1.1).

  • Mejoras en la Adecuada Administración y Control del Sistema de Gestión de Seguridad de la Información: Ha generado 2 Mejoras vinculadas con el adecuado uso de recursos informáticosy adecuado uso de Correo Corporativo Institucional, dentro de las 18 mejoras que a la fecha ostenta el Sistema de Gestión de Seguridad de la Información de la Entidad. (Ver Anexo 7 PT 6.3.1.1.1).

II CONCLUSIONES

Adecuada Gestión de Riesgos

El Sistema de Gestión de Seguridad de la Información posee en promedio un nivel de implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en promedio a niveles de Riesgo Aceptable y poseen niveles de Madurez Administrado. Índices que reflejan que dichos sistema se encuentra contribuyendo al logro de los objetivos misionales.

Adecuada Gestión Gubernamental

Partes: 1, 2, 3, 4, 5, 6
 Página anterior Volver al principio del trabajoPágina siguiente